Dr. Daniel Ashkar, RA, und Dr. Christian Schröder, RA

Digitaler Omnibus: Die Reformvorschläge der Europäischen Kommission zur EU-Digitalgesetzgebung

In den letzten Jahren hat die Europäische Union (EU) eine Reihe von Digitalrechtsakten erlassen, welche für Unternehmen eine erhebliche Anzahl an neuen Vorgaben beinhalteten. Nachdem erhebliche Kritik an den Rechtsakten aufkam, auch weil sie generell nicht gut aufeinander abgestimmt sind, plant die Europäische Kommission eine Reihe von Anpassungen bei diesen und früheren Rechtsakten aus den Bereichen Daten-, Künstliche Intelligenz (KI)- und Cyber-Recht. Bemerkenswert ist an diesem Reformvorschlag, dass er erstmals materiell-rechtliche Änderungen der DSGVO beinhaltet. Dieser Beitrag erläutert die Hintergründe und enthält einen Überblick der wichtigsten Reformvorschläge sowie einen Ausblick zu den nächsten Schritten.

I. Hintergründe der Reformvorschläge

1. Inkrafttreten einer Reihe neuer digitaler Rechtsakte der EU in den letzten Jahren

Als die DSGVO am 25.5.20218 erstmals galt, beschränkte sich die europäische Regulierung von Daten auf wenige Rechtsakte. Im Jahr 2019 initiierte die Europäische Kommission (“Kommission”) dann ihre Digitalstrategie,1 welche auch eine Datenstrategie umfasst.2 Als Ziele ihrer Strategie gab die Kommission insbesondere Innovationsförderung, Stärkung der digitalen Souveränität Europas, Minimierung von negativen Risiken, Verbesserung der Cybersicherheit, Ermöglichung des Zugangs zu Daten für Wirtschaft und Gesellschaft und Etablierung eines Binnenmarktes für Daten sowie Ermöglichung der Kontrolle über die eigenen Daten für Betroffene an.3

Als Folge dieser Strategie wurde innerhalb nur weniger Jahre eine erhebliche Anzahl an EU-Rechtsakten verabschiedet.4 Diese umfassten insbesondere Rechtsakte zur Regulierung in Bezug auf Daten, Cybersicherheit und KI.5 In den Anwendungsbereich der erstgenannten Datenregulierungen fallen im Gegensatz zur DSGVO auch nicht personenbezogene Daten, was insbesondere die sog. Datenverordnung (im Englischen “Data Act”)6 umfasst.7 Außerdem wurde etwa auch das Gesetz über digitale Dienste (im Englischen “Digital Services Act”, DSA)8 eingeführt, das insbesondere Vorgaben für Plattformbetreiber hinsichtlich der Entfernung von rechtswidrigen Inhalten enthält.9 Mit dem Gesetz über künstliche Intelligenz der Europäischen Union (KI-Verordnung)10 trat im Jahr 2024 das weltweit erste umfassende Gesetz zur Regulierung von KI in Kraft.11

2. Kritik an der Vielzahl der neuen Rechtsvorgaben und der Draghi-Bericht

Entgegen der ursprünglichen Annahme, dass einzelne digitale Rechtsakte in erster Linie für große Technologie-Konzerne geplant würden, wurden die allgemeinen Anwendungsbereiche der Rechtsakte letztlich überwiegend relativ weit ausgestaltet, so dass sie regelmäßig eine Vielzahl von Unternehmen aus verschiedenen Branchen erfassen. Für Unternehmen führt die Einhaltung der Fülle an zusätzlichen Vorschriften zu erheblichem Aufwand und Kosten. Dies wird noch dadurch erschwert, dass sich die Geltungsbereiche der unterschiedlichen Rechtsakte teilweise überschneiden, was aber von Seiten des EU-Gesetzgebers mehrfach nicht ausreichend berücksichtigt worden zu sein scheint.

All dies führt zu erheblicher Kritik, wobei zwischenzeitlich auch im allgemeinen politischen Diskurs die Rufe nach einer Reduzierung von Regulierungen für Unternehmen lauter werden.12 Eine besonders prominente Kritik in Bezug auf die EU stammt von Mario Draghi, der im September 2024 den Draghi-Bericht zur Wettbewerbsfähigkeit der EU veröffentlichte und hierbei im Technologiesektor insbesondere die Verhinderung von Innovation durch Überregulierung bemängelte.13

In Bezug auf die digitalen Rechtsakte der EU kritisierte Draghi konkret insbesondere, dass die Komplexität und Risiken von Überschneidungen und Unstimmigkeiten von DSGVO und KI-Verordnung Innovationen im KI-Bereich in der EU gefährde.14 Außerdem wird die unterschiedliche Umsetzung und Durchsetzung der DSGVO in den Mitgliedstaaten kritisiert.15 Die EU solle vereinfachte Vorschriften entwickeln, eine harmonisierte Umsetzung der DSGVO in den Mitgliedstaaten durchsetzen sowie regulatorische Überschneidungen mit der KI-Verordnung beseitigen.16 In Bezug auf den Digital Markets Act (DMA)17 und DSA führt der Bericht an, dass es zwar noch zu früh sei, um deren Auswirkungen vollständig abzuschätzen, mahnt aber gleichzeitig an, zu vermeiden, dass sie zu Verwaltungs- und Compliance-Belastungen sowie Rechtsunsicherheiten führen, wie es bei der DSGVO der Fall gewesen wäre.18

3. Digitale Omnibus Reformvorschläge der Kommission

Die im November 2025 vorgestellten Reformvorschläge werden von der Kommission insgesamt als “digitaler Omnibus” bezeichnet.19 Die Kommission hat ihre Reformvorschläge in zwei Verordnungen aufgeteilt, die Digital-Omnibus-Verordnung20 (nachfolgend “Omnibus-VO-E”) und die Digital-Omnibus-Verordnung zur KI21 (nachfolgend “Omnibus-VO-KI-E”).

Hauptanliegen der Reform sei, dass “Unternehmen in der EU (. . .) weniger Zeit mit Verwaltungsarbeit verbringen und dafür mehr Zeit für Innovation und Skalierung haben [sollen].”22 Die Kommission geht davon aus, dass “[d]ie Vereinfachungen der Gesetzgebung (. . .) bis 2029 fünf Milliarden Euro Verwaltungskosten einsparen [sollen].”

Verantwortliche von der Kommission führen als Ziele der Reform unter anderem den “Abbau von Bürokratie”, die “Vereinfachung der EU-Rechtsvorschriften” sowie Erleichterungen insbesondere für kleinere Unternehmen und Start-ups an.23 Im Einzelnen führt die Kommission auch an, KI-Regulierungen und die DSGVO “innovationsfreundlicher” zu machen, die “Verbesserung des Zugangs zu Daten” und Meldungen von Cybersicherheitsvorfällen zu erleichtern.24

Im nächsten Schritt werden die Reformvorschläge von dem Europäischen Parlament und dem Rat der EU-Mitgliedstaaten geprüft.25 Beide Institutionen legen dann im Rahmen des sog. Trilog-Verfahrens eigene Reformvorschläge vor.26 Nachdem die Frist zur allgemeinen Geltung der KI-VO am 2.8.2026 endet, besteht insoweit eine wesentliche Motivation für die EU-Institutionen, die Digital-Omnibus-Verordnung zur KI bis dahin zu verabschieden. Möglicherweise werden die sonstigen Änderungen zu digitalen Rechtsakten der Digital-Omnibus-Verordnung erst nachgelagert verabschiedet.

Im Übrigen erläutert die Kommission, dass ihre “Vorschläge (. . .) ein erster Schritt der Kommission zur Vereinfachung und Wirksamkeit des digitalen Regelwerks der EU [sind].”27 So führt die Kommission zusätzlich einen “Fitness-Check der Digitalgesetzgebung” einschließlich einer Konsultation durch, wobei geprüft werden soll, “wie das Regelwerk sein Ziel der Wettbewerbsfähigkeit erreicht und ob die Kohärenz und die kumulative Wirkung der digitalen Vorschriften der EU gewahrt sind”.28 Die Kommission stellt auch im Zuge des digitalen Omnibus explizit in Aussicht, dass es “zu weiteren regulatorischen Anpassungen” kommen könnte.29

Die Reformvorschläge der Kommission im Rahmen des digitalen Omnibus umfassen eine Reihe von digitalen EU-Rechtsakten. Aus einer branchenübergreifenden Unternehmenssicht erscheinen insoweit insbesondere die nachfolgend dargestellten Vorschläge besonders interessant:

II. Reformvorschläge zur DSGVO

Erstmals seit der Einführung der DSGVO schlägt die Kommission nunmehr mehrere materiell-rechtliche Änderungen vor. Diese beinhalten auch die Einführung einer neuen Regelung zu sog. Cookies und ähnlichen Technologien in der DSGVO. Für die meisten Unternehmen dürften die folgenden Reformvorschläge die höchste Relevanz besitzen:

1. Anpassung der Definition personenbezogener Daten

Zunächst soll die Definition für personenbezogene Daten ergänzt werden (Art. 3 Nr. 1 Omnibus-VO-E).30 Demnach soll zukünftig unter Art. 4 Nr. 1 der DSGVO explizit vorgesehen werden, dass das Vorliegen der Identifizierbarkeit einer Person für eine Stelle nicht notwendigerweise für jede andere Stelle gilt (Art. 3 Nr. 1 Omnibus-VO-E).31 Demgegenüber soll festgeschrieben werden, dass für jede verarbeitende Stelle jeweils individuell festzustellen ist, ob sie auf Basis der von ihr “mit hinreichender Wahrscheinlichkeit (. . .) genutzten Mittel” eine natürliche Person identifizieren kann (Art. 3 Nr. 1 Omnibus-VO-E).32 Nur wenn dies der Fall sein sollte, wären die betroffenen Daten für die Stelle personenbezogen. Hierdurch soll der Anwendungsbereich der DSGVO konkretisiert und eingegrenzt werden.33

In Bezug auf ihren Vorschlag nimmt die Kommission auf die “Rechtsprechung des Gerichtshofs der Europäischen Union” (EuGH) Bezug,34 der in seinem Urteil aus dem Jahr 2025 explizit klarstellte, dass hinsichtlich der Frage des Personenbezugs eine individuelle Einzelfallprüfung für jede verarbeitende Stelle durchzuführen ist.35

Nachdem die Vorgaben der DSGVO nur auf personenbezogene Daten Anwendung finden, handelt es sich hierbei um eine zentrale Frage, bei der die Datenschutzbehörden traditionell eine eher weite Auslegung vertreten haben.36 So hatte auch der Europäische Datenschutzbeauftragte in dem vorgenannten Verfahren vor dem EuGH eine weitere Auslegung des Begriffs der personenbezogenen Daten vertreten, welcher das Gericht in seinem Urteil ausdrücklich widersprach.37 Demnach überrascht es auch nicht, dass die europäischen Datenschutzbehörden insbesondere diesen Kommissionsvorschlag kritisieren und ausführen, dass er “eindeutig über die Rechtsprechung des EuGH hinaus[gehen] [(. . .) und dadurch] der Begriff der personenbezogenen Daten erheblich eingeschränkt würde”.38

Nach einem geleakten Entwurf des Europäischen Rates (Rat) vom 20.2.2026 lehnt dieser die vorgeschlagene Anpassung der Definition für personenbezogene Daten ab, so dass es fraglich erscheint, ob es diese Anpassung tatsächlich in dieser Form in die finale Digital-Omnibus-Verordnung schaffen wird.39

Aus Unternehmenssicht sind allerdings sowohl das vorgenannte Urteil als auch der Kommissionsvorschlag zu begrüßen.

2. Verarbeitung von personenbezogenen Daten für KI auf Basis berechtigter Unternehmensinteressen

Auch in Bezug auf die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Entwicklung und dem Betrieb eines KI-Systems oder KI-Modells möchte die Kommission die DSGVO ergänzen bzw. anpassen.

Insoweit ist derzeit Art. 6 Abs. 1 lit. f DSGVO zentrale Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, wonach eine Verarbeitung zulässig ist, wenn sie zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich ist und die Interessen oder Rechte und Freiheiten der betroffenen Personen in der Abwägung nicht überwiegen.40

Die Kommission möchte nunmehr ausdrücklich in der DSGVO festschreiben, dass Datenverarbeitungen im KI-Zusammenhang grundsätzlich auf Basis von Art. 6 Abs. 1 lit. f DSGVO erfolgen können, sofern die Betroffeneninteressen oder deren Grundrechte und -freiheiten nicht überwiegen und andere Rechtsvorschriften der EU oder der Mitgliedstaaten nicht ausdrücklich eine Einwilligung vorsehen (Art. 3 Nr. 15 Omnibus-VO-E).

Zusätzlich ist vorgesehen, dass “[e]ine solche Verarbeitung geeigneten organisatorischen, technischen Maßnahmen und Garantien für die Rechte und Freiheiten der betroffenen Person” unterliegt (Art. 3 Nr. 15 Omnibus-VO-E). Als diesbezügliche Beispiele werden insoweit etwa Maßnahmen zur Datenminimierung, zum Schutz vor Offenlegung oder für mehr Transparenz für die Betroffenen sowie ein bedingungsloses Widerspruchsrecht genannt (Art. 3 Nr. 15 Omnibus-VO-E).

Erwägungsgrund 36 der Omnibus-VO-E erwähnt außerdem, dass bei der Interessenabwägung noch zu prüfen wäre, “ob das vom Verantwortlichen verfolgte Interesse der betroffenen Person und der Gesellschaft insgesamt zugutekommt”, wobei dies etwa der Fall sein soll, “wenn die Verarbeitung personenbezogener Daten erforderlich ist, um systematische Verzerrungen aufzudecken und zu beseitigen und so die betroffenen Personen vor Diskriminierung zu schützen”.

Da aber bereits jetzt weitgehend anerkannt ist, dass Art. 6 Abs. 1 lit. f DSGVO insoweit eine geeignete Rechtsgrundlage bietet,41 stellt die Ergänzung keine grundlegende Änderung der DSGVO dar. Allerdings könnte die explizite Ergänzung durch den Gesetzgeber Unternehmen zumindest die argumentative Rechtfertigung ihrer Verarbeitung im Zusammenhang mit KI auf Basis dieser Rechtsgrundlage erleichtern. Nachdem es sich hierbei um einen zentralen Bereich für Unternehmen handelt, wäre es wünschenswert, wenn im Laufe des Gesetzgebungsverfahrens die vorgeschlagene Vorschrift für Unternehmen noch rechtssicherer gestaltet werden würde. Der Rat scheint bisher aber keine Anpassungen bei dem von der Kommission vorgeschlagenen neuen DSGVO-Artikel vornehmen zu wollen.42

3. Einführung einer zusätzlichen Rechtsgrundlage für die Verarbeitung sensibler Daten im Zusammenhang mit KI

Außerdem möchte die Kommission eine neue Rechtsgrundlage für die Verarbeitung besonderer Kategorien von personenbezogenem Daten, also besonders sensibler Daten, im Zusammenhang mit der Entwicklung und dem Betrieb eines KI-Systems oder eines KI-Modells einführen (Art. 3 Nr. 3 a) Omnibus-VO-E). Danach sollen derartige Verarbeitungen unter den folgenden Bedingungen zulässig sein:

Von der verarbeitenden Stelle sollen “geeignete organisatorische und technische Maßnahmen getroffen [werden], um die Erhebung und sonstige Verarbeitung besonderer Kategorien personenbezogener Daten zu vermeiden.” (Art. 3 Nr. 3 b) Omnibus-VO-E) Sofern “trotz der Umsetzung solcher Maßnahmen (. . .) in den für das Trainieren, Testen oder Validieren verwendeten Datensätzen oder im KI-System oder KI-Modell besondere Kategorien personenbezogener Daten enthalten sind”, wären sie zu entfernen (Art. 3 Nr. 3 b) Omnibus-VO-E). Falls “das Entfernen [(. . .) allerdings] einen unverhältnismäßigen Aufwand” erfordert, reicht es aus, wenn “diese Daten in jedem Fall unverzüglich wirksam davor [geschützt werden], zur Erzeugung von Ergebnissen verwendet, offengelegt oder auf andere Weise Dritten zur Verfügung gestellt zu werden.” (Art. 3 Nr. 3 b) Omnibus-VO-E)

Diese Regelung wäre für Unternehmen im Hinblick auf die im Zusammenhang mit KI regelmäßig erfolgenden Verarbeitungen großer Datenmengen, welche ungewollt auch vereinzelt solche sensiblen Daten enthalten können, durchaus hilfreich, da – sofern die Verarbeitung der sensiblen Daten nicht auf Basis einer anderweitigen gesetzlichen Rechtsgrundlage gerechtfertigt werden kann – hierfür grundsätzlich eine Einwilligung der betroffenen Personen erforderlich wäre.43

Bisher scheint der Rat die Einführung dieser zusätzlichen Rechtsgrundlage zu begrüßen.44

4. Regelung gegen missbräuchliche Auskunftsersuchen

Unternehmen sehen sich schon seit geraumer Zeit regelmäßig mit Auskunftsersuchen konfrontiert, die nicht (primär) auf Datenschutzgründen beruhen.45 So ist es nicht ungewöhnlich, dass solche Ansprüche als Druckmittel im Rahmen einer arbeitsrechtlichen Auseinandersetzung oder zum Erhalt eines Schadenersatzes erhoben werden.46 Nicht selten werden Auskunftsersuchen auch mit der Androhung einer Beschwerde bei der Aufsichtsbehörde verbunden und gleichzeitig angeboten, dass man sich gegen Kompensationszahlung gütlich einigen könne. Gerade bei aufwendigen und kostenintensiven Auskunftsersuchen, wie etwa von langjährigen (früheren) Mitarbeitenden, kann eine solche “gütliche Einigung” für Unternehmen aus wirtschaftlichen Erwägungen unter Umständen attraktiv erscheinen.

Die Kommission möchte es Unternehmen nun ermöglichen, im Falle von Auskunftsersuchen, bei denen “die betroffene Person die [(. . .) Rechte nach der DSGVO] zu anderen Zwecken als dem Schutz ihrer Daten missbraucht, entweder ein angemessenes Entgelt verlangen” oder den Antrag verweigern zu können (Art. 3 Nr. 4 Omnibus-VO-E).

Unter Erwägungsgrund 35 der Omnibus-VO-E wird hierzu ausgeführt, dass das Auskunftsrecht ermöglichen soll, “die Rechtmäßigkeit der Datenverarbeitung (. . .) zu prüfen” und die “anderen Rechte gemäß der [DSGVO] auszuüben”. Danach wären Beispiele für einen Missbrauch des Auskunftsrechts, “wenn die betroffene Person beabsichtigt, den Verantwortlichen zur Ablehnung eines Auskunftsantrags zu veranlassen, um anschließend eine Entschädigungszahlung zu verlangen, möglicherweise unter Androhung eines Schadensersatzanspruchs (. . .), “oder wenn eine Einzelperson ein Verlangen stellt und gleichzeitig anbietet, dieses gegen eine bestimmte Form der Vorteilgewährung (. . .) zurückzuziehen.”47

Außerdem möchte die Kommission bisherige Beweislastvorgaben für Unternehmen hinsichtlich exzessiver Auskunftsersuchen verringern, wobei “[z]u weit gefasste und undifferenzierte Auskunftsverlangen (. . .) ebenfalls als exzessiv anzusehen” wären (Art. 3 Nr. 4 Omnibus-VO-E).48

In Anbetracht der vorstehend erläuterten, nicht seltenen Praxis bei Auskunftsersuchen ist dieser Vorschlag aus Unternehmenssicht zu begrüßen.

Der Rat scheint derzeit zwar grundsätzlich offen für eine Anpassung dieser Regelung zu sein.49 Allerdings möchte er hierbei hinter dem Vorschlag der Kommission zurückbleiben und eine zusätzliche Ausnahme nur für den Fall einer vom Verantwortlichen nachzuweisenden Missbrauchsabsicht der betroffenen Person gelten lassen.50

5. Zusätzliche Ausnahme von der Informationspflicht

Bei Erhebung von Daten bei der betroffenen Person selbst möchte die Kommission die Pflicht zur Information dieser Person entfallen lassen, “wenn die personenbezogenen Daten im Rahmen einer klaren und begrenzten Beziehung zwischen betroffenen Personen und einem Verantwortlichen, der eine nicht datenintensive Tätigkeit ausübt, erhoben wurden und hinreichende Gründe für die Annahme bestehen, dass die betroffene Person bereits über Namen und die Kontaktdaten des Verantwortlichen sowie den Zweck und die Rechtsgrundlage für die Verarbeitung verfügt”. (Art. 3 Nr. 5 Omnibus-VO-E) Dies soll allerdings unter gewissen Umständen, wie etwa der Datenübermittlung an andere Empfänger oder in ein Drittland, nicht gelten (Art. 3 Nr. 5 Omnibus-VO-E).

Als Beispiel für diese Ausnahme nennt Erwägungsgrund 36 der Omnibus-VO-E “die Beziehung eines Handwerkers zu seinen Kunden, in der sich die Datenverarbeitung auf das zum Erbringen der Dienstleistung erforderliche Mindestmaß beschränkt.”

Auch wenn eine Erweiterung der Ausnahmen von der sehr formalistischen Informationspflicht sinnvoll erscheint, wird dieser Vorschlag zumindest für größere Unternehmen in der Praxis voraussichtlich nicht zu einer wesentlichen Entlastung führen.

Der Rat scheint eine solche Ausnahme bisher grundsätzlich zu begrüßen, wobei er allerdings insbesondere spezifischere Anforderungen vorschlägt, wie unter anderem, dass keine besondere Kategorien personenbezogener Daten verarbeitet werden.51

6. Mehrere Erleichterungen für die Meldung von Datenpannen an Aufsichtsbehörden

In Bezug auf die Meldung von Datenschutzverletzungen, umgangssprachlich auch als Datenpannen bezeichnet, an Aufsichtsbehörden plant die Kommission mehrere, wesentliche Erleichterungen:

• Derzeit gilt nach Art. 33 Abs. 1 DSGVO, dass bei einem voraussichtlichen Risiko eine Meldung an die zuständige/n Aufsichtsbehörde/n erforderlich ist. Die Kommission möchte, dass eine solche Meldung zukünftig nur noch bei einem voraussichtlich hohen Risiko erfolgen muss (Art. 3 Nr. 8 a) Omnibus-VO-E). Dies würde in der Praxis eine wesentliche Erleichterung darstellen und eine erhebliche Anzahl der derzeit erfolgenden Meldungen entfallen lassen.
• Die maximale Meldefrist soll von derzeit spätestens 72 Stunden auf 96 Stunden ansteigen (Art. 3 Nr. 8 a) Omnibus-VO-E). Auch diese Anpassung würde in der Praxis eine nicht unwesentliche Erleichterung darstellen, da 72 Stunden einen sehr kurzen Zeitraum darstellen können, um die für eine Meldung erforderlichen Informationen zusammenzustellen.
• Außerdem möchte die Kommission eine zentrale Anlaufstelle für solche Meldungen einrichten, an die gleichzeitig auch Meldungen nach anderen Gesetzen erfolgen sollen (siehe nachfolgende Ziffer III., Art. 3 Nr. 8 c), Art. 6 ff. Omnibus-VO-E).52 Zusätzlich soll der Europäische Datenschutzausschuss ein einheitliches Muster für die Meldung erarbeiten, welches dann von der Kommission geprüft und angenommen werden soll (Art. 3 Nr. 8 c) Omnibus-VO-E).53 In Anbetracht der derzeit unterschiedlichen Meldeformulare nicht nur der unterschiedlichen Behörden der EU-Mitgliedstaaten, sondern sogar der 17 deutschen Aufsichtsbehörden für den privaten Sektor,54 wäre der Kommissionsvorschlag begrüßenswert und hilfreich.
• Die Meldepflicht bei Datenschutzverletzungen für Betreiber von öffentlich zugänglichen elektronischen Kommunikationsdiensten nach Art. 4 Abs. 3 ff. der sog. ePrivacy-Richtlinie55 soll zur Vermeidung von Überschneidungen wegfallen und insoweit sollen nur noch die aktuelleren Regelungen der DSGVO gelten (Art. 5 Nr. 1 Omnibus-VO-E).56

Bisher scheint der Rat seine grundsätzliche Zustimmung zu den vorgenannten, die DSGVO betreffenden Vorschlägen zu signalisieren, obgleich der Rat allerdings insbesondere die vorgenannte maximale Meldefrist bei 72 Stunden belassen möchte.57

7. Neuregelung zu Cookies und ähnliche Technologien in der DSGVO

Die derzeitige und zuletzt im Jahr 2009 geänderte Regelung der ePrivacy-Richtlinie,58 wonach für Cookies und ähnliche Technologien in der Regel eine Einwilligung einzuholen ist, stößt schon seit einiger Zeit bei Unternehmen wie auch Besuchern von Webseiten auf erhebliches Unverständnis. Es gibt seit fast zehn Jahren in der EU erfolglose Bestrebungen, diese mittlerweile mehr als 16 Jahre alte Regelung zu reformieren.59

Die Kommission möchte nun eine diesbezügliche Regelung zur Verarbeitung personenbezogener Daten in der DSGVO einführen (Art. 3 Nr. 15 Omnibus-VO-E). Ziel der Kommission ist es, hierbei insoweit eine einheitliche Regelung in der DSGVO vorzusehen,60 wodurch wohl auch eine in den Mitgliedstaaten abweichende Umsetzungspraxis vermieden werden soll.

Allerdings soll im Grundsatz erneut an dem Erfordernis einer Einwilligung für die Speicherung von oder den Zugriff auf personenbezogene/n Daten auf den Geräten von Nutzern festgehalten werden (Art. 3 Nr. 15 Omnibus-VO-E).61 Zusätzlich soll nunmehr unter anderem explizit geregelt werden, dass eine diesbezügliche Anfrage vom Nutzer einfach abgelehnt werden kann und bei Ablehnung für mindestens sechs Monaten keine neue Anfrage gestellt werden soll (Art. 3 Nr. 15 Omnibus-VO-E). Hierdurch möchte die Kommission die wiederholte Abfrage bei jedem neuen Besuch einer Webseite zu Gunsten der Nutzer vermeiden.62

Allerdings sollen im Vergleich zur derzeitigen Regelung die Anforderungen an bisherige Ausnahmen von der Einwilligung reduziert sowie zusätzlich insbesondere die von dem Verantwortlichen nur zur eigenen Verwendung erfolgende “Erstellung aggregierter Informationen über die Nutzung eines Online-Dienstes zur Messung [von dessen] Zielgruppe” ohne Einwilligung gestattet werden (Art. 3 Nr. 15 Omnibus-VO-E). Die letztgenannte, begrüßenswerte Ausnahme würde es Unternehmen ermöglichen, auf ihren Webseiten aggregierte Reichweitenmessungen ohne Einwilligung durchzuführen.

Darüber hinaus möchte die Kommission noch einen weiteren DSGVO-Artikel einführen, welcher es Betroffenen ermöglichen soll, Entscheidungen “mit automatisierten und maschinenlesbaren Mitteln” zu treffen, also insbesondere Einwilligungen automatisiert zu erteilen oder abzulehnen (Art. 3 Nr. 15 Omnibus-VO-E). Dies sollen Verantwortliche über ihre Online-Schnittstellen ermöglichen (Art. 3 Nr. 15 Omnibus-VO-E). Die Kommission will insoweit Normen für die Auswertung maschinenlesbarer Angaben über die Wahlentscheidungen erstellen lassen (Art. 3 Nr. 15 Omnibus-VO-E). Außerdem sollen Anbieter von Webbrowsern technische Mittel bereitstellen, die insbesondere die automatisierte Erteilung oder Ablehnung einer Einwilligung ermöglichen (Art. 3 Nr. 15 Omnibus-VO-E). Nutzer sollen insofern insbesondere über ihre Browser-Einstellungen automatisiert grundsätzliche Entscheidungen treffen können und sich nicht mehr bei jeder einzelnen Webseite durch den Cookie-Banner klicken müssen.63 Wenngleich Nutzer sich hierüber möglicherweise freuen könnten, wird dieser Vorschlag von Unternehmen nicht durchgehend begrüßt werden, weil eine manuelle, wiederholte Abfrage grundsätzlich auch die Chancen auf eine Einwilligung erhöhen kann.64 Letzteres scheint offenbar auch die Kommission so zu sehen, da sie explizit eine Ausnahme für “Mediendiensteanbieter” vorsehen möchte, wonach diese nicht verpflichtet wären, automatisierte Entscheidungen der Nutzer zu befolgen, was sie damit begründet, “die wirtschaftliche Grundlage [für unabhängigen Journalismus] nicht (. . .) untergraben” zu wollen (Art. 3 Nr. 15 Omnibus-VO-E).65

Ein geleakter Entwurf des Rates vom 20.2.2026 deutet dessen Zustimmung zu diesen Neuregelungen zu Cookies und ähnlichen Technologien an.66

Um die vorgeschlagene Regelung nach der DSGVO zu der nach der ePrivacy-Richtlinie abzugrenzen, welche auch nicht-personenbezogene Daten erfasst, will die Kommission bei letzterer ergänzen, dass sie “keine Anwendung [findet], wenn es sich bei dem (. . .) Nutzer um eine natürliche Person handelt und die gespeicherten oder abgerufenen Informationen eine Verarbeitung personenbezogener Daten darstellen oder zu einer solchen Verarbeitung führen.” (Art. 5 Nr. 2 Omnibus-VO-E).

8. Zwischenergebnis

Zunächst einmal ist festzuhalten, dass die Reformvorschläge grundsätzlich nicht auf strukturelle Änderungen der DSGVO und der ihr zugrungeliegenden Grundsätze abzielen. Rigorose Kritik an den Kommissionsvorschlägen von Aktivistenseite67 erscheint vor diesem Hintergrund als wenig nachvollziehbar. Die Änderungsvorschläge zu KI können für Unternehmen grundsätzlich hilfreich sein, obgleich sie keinen umfassenden Paradigmenwechsel zu der bisherigen Rechtslage nach der DSGVO darstellen. Gerade die vorgeschlagenen Änderungen zum Auskunftsrecht und zur Meldung von Datenpannen dürften den Aufwand für Unternehmen in der Praxis wesentlich verringern.

Die europäischen Datenschutzbehörden haben bereits mitgeteilt, dass sie etwa auch die vorgenannten Erleichterungen hinsichtlich Datenpannen und einzelne andere Kommissionsvorschläge zur DSGVO begrüßen.68 Gleichzeitig äußern sie teilweise aber auch wesentliche Bedenken (siehe auch vorstehende Ziffer II. 1.) und fordern hinsichtlich einer Reihe von Kommissionvorschlägen Nachbesserungen.69

Ein geleakter Entwurf des Rates vom 20.2.2026 signalisiert, dass dieser einer diesbezüglichen Reform der DSGVO grundsätzlich offen gegenübersteht, wenngleich der Entwurf einige Änderungen im Vergleich zu den Kommissionsvorschlägen enthält.70

III. Reformvorschlag zum Cyber-Recht

Im Cyber-Recht möchte die Kommission mit einer neuen Regelung in der Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) eine zentrale Anlaufstelle für die Meldung von Vorfällen nach dieser Richtlinie, der DSGVO (siehe vorstehend unter Ziffer II. 6.), der Verordnung (EU) 2022/2554 (DORA), der Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) und der Richtlinie (EU) 2022/2557 (CER-Richtlinie) schaffen (Art. 3 Nr. 8 c), Art. 6 ff. Omnibus-VO-E).71

Die zentrale Anlaufstelle soll bei der Agentur der Europäischen Union für Cybersicherheit (ENISA) geschaffen werden (Art. 6 Nr. 1 Omnibus-VO-E). Die Stelle soll die zuständigen Behörden nicht ersetzen, sondern es lediglich Unternehmen ermöglichen, ihre Meldungen von Vorfällen nach den vorgenannten Rechtsakten “an eine einzige Schnittstelle zu übermitteln.”72 (Art. 6 Nr. 1 Omnibus-VO-E) Die zuständigen Behörden sollen dann Zugang zu den Informationen erhalten (Art. 6 Nr. 1 Omnibus-VO-E).

Die Kommission sieht zusätzlich einige Anforderungen für die zentrale Anlaufstelle vor, wie die “Fähigkeit zur Interoperabilität” hinsichtlich der Meldepflichten und die Berücksichtigung von deren Besonderheiten sowie die technische Ermöglichung des Zugriffs der zuständigen Behörden (Art. 6 Nr. 1 Omnibus-VO-E). Nach Inkrafttreten dieses Vorschlags soll die ENISA innerhalb von 18 Monaten “die ordnungsgemäße Funktionsweise, die Zuverlässigkeit, die Integrität und die Vertraulichkeit der zentralen Anlaufstelle” sicherstellen, welche dann noch von der Kommission erfolgreich zu verifizieren ist (Art. 6 Nr. 1 Omnibus-VO-E). Im Anschluss würde letztere eine entsprechende Bekanntmachung im Amtsblatt der EU vornehmen (Art. 6 Nr. 1 Omnibus-VO-E).

In Anbetracht der unterschiedlichen Meldepflichten, welche von Unternehmen potenziell erfüllt werden müssen, würde die Einrichtung einer solchen zentralen Anlaufstelle für Unternehmen sinnvoll und hilfreich sein (siehe auch vorstehend unter Ziffer II. 6.).

IV. Reformvorschläge zum Datenrecht

Auch für den Bereich des Datenrechts mit dem Data Act als zentralem Rechtsakt sieht die Kommission Reformbedarf. Insoweit dürften insbesondere folgende Reformvorschläge der Kommission des digitalen Omnibus branchenübergreifend für Unternehmen relevant sein:

1. Aufhebung und Konsolidierung mehrerer Rechtsakte des Datenrechts

Die Kommission möchte den Data Governance Act,73 die Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors und die Verordnung (EU) 2018/1807 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der EU aufheben und Vorschriften dieser Rechtsakte in den Data Act aufnehmen (Art. 10 Abs. 3 Omnibus-VO-E). Hierbei werden insbesondere auch Regelungen der vorstehend erst- und zweitgenannten Rechtsakte zur Weiterverwendung von Informationen des öffentlichen Sektors zu Innovationszwecken in einem neuen Kapitel des Data Acts konsolidiert und angeglichen (Art. 1 Nr. 18 Omnibus-VO-KI-E).74 Diese Zusammenlegung der Rechtsakte geht einher mit einer Aktualisierung und Ergänzung des Gegenstands und Anwendungsbereichs des Data Acts sowie von dessen Begriffsbestimmungen und Definitionen, welche einheitlich für dessen zukünftige Regelungen gelten sollen (Art. 1 Nr. 1 f. Omnibus-VO-KI-E). Abgesehen von der DSGVO wird letzterer damit zum zentralen EU-Rechtsakt des Datenrechts, wobei die Kommission dadurch insbesondere einen kohärenten und gestrafften Rechtsrahmen schaffen sowie Verwaltungskosten reduzieren möchte.75

Gleichzeitig sieht die Kommission für die Weiterverwendung von Informationen des öffentlichen Sektors zu Innovationszwecken teilweise Erleichterungen für kleine und mittlere Unternehmen (KMU) und kleine Midcap-Unternehmen (vgl. nachfolgend Ziffer V. 1.) vor, was insbesondere die Möglichkeit für ermäßigte Gebühren umfasst (Art. 1 Nr. 18 Omnibus-VO-KI-E). Demgegenüber können Behörden für die Weitergabe von Informationen an sehr großen Unternehmen besondere Bedingungen und höhere Entgelte und Gebühren bestimmen (Art. 1 Nr. 18 Omnibus-VO-KI-E).76 Dies soll insbesondere den Wettbewerb zu Gunsten von kleineren Unternehmen und neuen Marktteilnehmern stärken.77

Auf Basis der aufzuhebenden Verordnung (EU) 2018/1807 soll insbesondere ein neuer Artikel in den Data Act aufgenommen werden, der Datenlokalisierungsauflagen für nicht-personenbezogene Daten zur Ermöglichung des freien Datenverkehrs verbietet, sofern sie nicht wegen der öffentlichen Sicherheit verhältnismäßig gerechtfertigt oder im EU-Recht festgelegt wurden (Art. 1 Nr. 18 Omnibus-VO-KI-E).78 Einige andere Regelungen dieser Verordnung wären in Anbetracht von neueren Regelungen des Data Acts obsolet.79

Des Weiteren wird die Verordnung (EU) 2019/1150 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten aufgehoben (Art. 10 Abs. 1 Omnibus-VO-KI-E). Die Kommission geht davon aus, dass der DSA and DMA insoweit einen umfassenden Regelungsrahmen bieten.80 Dies soll zur Vereinfachung beitragen und die Kohärenz erhöhen.81

2. Stärkung des Schutzes von Geschäftsgeheimnissen

Im Weiteren möchte die Kommission den Schutz von Geschäftsgeheimnissen im Rahmen des Data Acts erhöhen.82 Dies soll insbesondere “durch die Einführung eines zusätzlichen Rechtsgrundes für Dateninhaber, die Offenlegung von Geschäftsgeheimnissen zu verweigern”, erreicht werden (Art. 1 Nr. 3 f. Omnibus-VO-KI-E).83 Dieser soll für den Fall greifen, dass eine Offenlegung gegenüber dem Nutzer ein hohen Risiko einer rechtswidrigen Handlung hinsichtlich einer Einrichtung, welche aus einem Drittland84 mit einem schwächeren oder nicht gleichwertigen Schutz wie in der EU stammt oder unter Kontrolle solcher Einrichtungen steht, beinhaltet (Art. 1 Nr. 3 f. Omnibus-VO-KI-E).85

Falls diese Regelung tatsächlich so in Kraft treten sollte, bleibt abzuwarten, welche Auswirkungen dies in Bezug auf Tochtergesellschaften von Mutterkonzernen in solchen Drittländern in der Praxis haben wird.

3. Einschränkung der Möglichkeit von Behörden, Daten von Unternehmen einzufordern

Die derzeit nach Art. 14 Data Act vorgesehene Möglichkeit von Behörden, Daten für die Erfüllung ihrer Aufgaben im öffentlichen Interesse von Dateninhabern herauszuverlangen, soll eingeschränkt werden (Art. 1 Nr. 7 Omnibus-VO-KI-E).86 Anstatt wie derzeit soll hierfür eine “außergewöhnliche Notwendigkeit” nicht mehr ausreichen und dies nur noch im Falle eines “öffentlichen Notstands” möglich sein (Art. 1 Nr. 7 Omnibus-VO-KI-E).87 Ziel des Kommissionsvorschlags ist es hierbei insbesondere “die technischen, administrativen und rechtlichen Herausforderungen” für Unternehmen zu reduzieren.88

4. Ausnahmen von Vorgaben zum Wechsel zwischen Datenverarbeitungsdiensten

Außerdem möchte die Kommission Ausnahmen von Vorgaben zum Wechsel zwischen Datenverarbeitungsdiensten nach Kapitel VI des Data Acts, exklusive der Abschaffung von Wechselentgelten nach Art. 29 Data Act, und zur parallelen Nutzung nach Art. 34 Data Act einführen (Art. 1 Nr. 15 Omnibus-VO-KI-E).

Dieses Kapitel zielt in erster Linie darauf ab, Kunden einen Wechsel zu erleichtern. Die vorgeschlagene Ausnahme soll für “Datenverarbeitungsdienste [gelten], bei denen die meisten Merkmale und Funktionen des Datenverarbeitungsdienstes vom Anbieter an die spezifischen Bedürfnisse des Kunden angepasst wurden, wenn die Erbringung dieser Dienste auf einem Vertrag beruht, der [bis zum] 12. September 2025 geschlossen wurde.” (Art. 1 Nr. 15 Omnibus-VO-KI-E) Es gibt hierbei “um Dienste, die nicht standardmäßig erbracht werden und die auf die Bedürfnisse eines Kunden zugeschnitten sind, um eine maßgeschneiderte Lösung zu bieten (. . .)”.89 Anbieter solcher Dienste müssten bis zu diesem Zeitpunkt abgeschlossene Verträge demnach nicht vor deren Ablauf ändern (Art. 1 Nr. 15 Omnibus-VO-KI-E). Die Kommission möchte dadurch “zusätzliche Kosten und Verwaltungsaufwand (. . .) vermeiden”.90

Darüber hinaus soll es Anbietern von Datenverarbeitungsdiensten möglich sein, sofern es sich nicht um Infrastructure as a Service (IaaS)-Dienste ohne Zugang zu auf den Infrastrukturelementen gespeicherten Betriebsdiensten, Software und Anwendungen nach Art. 30 Abs. 1 Data Act handelt, in einen befristeten Vertrag über deren Erbringung “verhältnismäßige Sanktionen bei vorzeitiger Kündigung auf[zu]nehmen”. (Art. 1 Nr. 15 Omnibus-VO-KI-E).

Zusätzlich möchte die Kommission für den Fall, dass KMU oder kleine Midcap-Unternehmen Anbieter von solchen Datenverarbeitungsdiensten sind, welche nicht unter Art. 30 Abs. 1 Data Act fallen, die Vorgaben zum Wechsel zwischen Datenverarbeitungsdiensten nach Kapitel VI des Data Acts, exklusive der Abschaffung von Wechselentgelten nach Art. 29 Data Act, und Art. 34 Data Act nicht gelten, “wenn die Erbringung dieser Dienste auf einem Vertrag beruht, der [bis zum] 12. September 2025 geschlossen wurde.” (Art. 1 Nr. 15 Omnibus-VO-KI-E) Solche Verträge müssten demnach ebenfalls vor deren Ablauf nicht geändert werden (Art. 1 Nr. 15 Omnibus-VO-KI-E).

5. Zwischenergebnis

Auch bezüglich des Datenrechts lässt sich festhalten, dass es sich bei den für die Privatwirtschaft generell wichtigsten Regelungen grundsätzlich eher um punktuelle als um grundlegende Änderungen handelt. Die Reduzierung der Anzahl der Rechtsakte und Konsolidierung von Vorschriften in diesem Bereich ist prinzipiell zu begrüßen. Gleiches gilt für bestimmte Vorschläge, wie etwa die Einschränkung der Möglichkeit, von Behörden Daten von Unternehmen einzufordern. Allerdings erscheint es fraglich, dass die Anpassungsvorschlage in diesem Bereich flächendeckend zu wesentlichen Entlastungen für privatwirtschaftliche Unternehmen führen.

V. Reformvorschläge zur KI-Verordnung (KI-VO)

Für die Reformierung der KI-VO hat die Kommission einen Vorschlag für eine eigene Digital-Omnibus-Verordnung zur KI vorgelegt. Bemerkenswert ist hierbei, dass die KI-VO erst am 12.7.2024 im Gesetzesblatt der EU veröffentlicht worden war und nunmehr bereits reformiert werden soll. Eine Übersicht der wichtigsten Reformvorschläge der Kommission aus einer branchenübergreifenden Unternehmenssicht ist nachfolgend zu finden:

1. Erleichterungen für KMU und kleine Midcap-Unternehmen

Die KI-VO sieht bereits jetzt an mehreren Stellen Erleichterungen für KMU vor, was auch für die explizit genannten Start-up-Unternehmen gilt.91 Die Kommission möchte dies weiter ausbauen.

Nach der Kommission sollen zukünftig auch für sog. “kleine Midcap-Unternehmen” Erleichterungen gelten (Art. 1 Nr. 1 und 3 Omnibus-VO-KI-E). Insoweit wird auf die Nr. 2 des Anhangs der Empfehlung (EU) 2025/1099 der Kommission verwiesen, wonach es sich hierbei um Unternehmen handelt, “die weniger als 750 Personen beschäftigen und die einen Jahresumsatz von höchstens 150 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 129 Mio. Euro beläuft.”

Im Einzelnen möchte die Kommission insbesondere die derzeit vorgesehenen Erleichterungen in der KI-VO erweitern. Dies umfasst etwa, dass

• die vorhandenen Erleichterungen zur technischen Dokumentation und der Einrichtung eines Qualitätsmanagementsystems nicht mehr nur für KMU, sondern auch für kleine Midcaps sowie Vereinfachungen der Vorgaben für bestimmte Elemente des Qualitätsmanagementsystems neben Kleinstunternehmen nunmehr auch für KMU gelten sollen; (Art. 1 Nr. 8 f. und 21 Omnibus-VO-KI-E),
• beim Aufstellen von Verhaltenskodizes und der Erarbeitung von Leitlinien nicht mehr nur die Bedürfnisse von KMU, sondern auch die von kleinen Midcaps berücksichtigt werden sollen; (Art. 1 Nr. 27 f. Omnibus-VO-KI-E) und
• Privilegien bei der Verhängung von Sanktionen, welche potenziell zu niedrigeren Bußgeldern führen können,92 zukünftig neben KMU auch kleinen Midcaps zugutekommen sollen (Art. 1 Nr. 29 Omnibus-VO-KI-E).

Auch wenn diese Vorschläge für betroffene Unternehmen Vorteile mit sich bringen können, würde es zu weit gehen, davon zu sprechen, dass sie im Vergleich zur jetzigen KI-VO zu umfassenden Entlastungen beim Compliance-Aufwand von KMU und kleinen Midcaps führen.

Sowohl der Rat als auch die zuständigen Ausschüsse des Europäischen Parlaments (“Ausschüsse des Parlaments”) haben bisher ebenfalls ihre Bereitschaft signalisiert, (weitere) Erleichterungen für KMU und kleine Midcap-Unternehmen umzusetzen.93

2. KI-Kompetenz (AI Literacy)

Die KI-VO enthält derzeit unter Art. 4 KI-VO die Vorgabe für alle Anbieter und Betreiber von KI-Systemen sicherzustellen, dass “ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen (. . .)”.

Diese verbindliche und für eine Vielzahl von Unternehmen seit dem 2.2.2025 geltende Vorgabe (Art. 113 Abs. 3 a) KI-VO) soll nach der Kommission zukünftig keine verbindliche Pflicht mehr sein (Art. 1 Nr. 4 Omnibus-VO-KI-E).94 Die Kommission begründet dies insbesondere damit, dass die derzeit vorgesehene pauschale Verpflichtung nicht zur “Erreichung des mit der Bestimmung verfolgten Ziels” wirksam sei.95 Gleichzeitig spricht die Kommission aber davon, dass “KI-Kompetenz unabhängig von regulatorischen Verpflichtungen und möglichen Sanktionen eine strategische Priorität sein” sollte.96

Nachdem es in jedem Fall sinnvoll erscheint, dass Unternehmen relevante Mitarbeitende hinsichtlich des Betriebs und Nutzung von KI-Systemen schulen, erscheint es zweifelhaft, ob dieser Vorschlag ultimativ zu tatsächlichen Aufwandsentlastungen für Unternehmen führt.

Der Rat hat bereits seine grundsätzliche Zustimmung zu diesem Vorschlag signalisiert (Art. 1 Nr. 4 Omnibus-VO-KI-E-Rat). Demgegenüber möchten die Ausschüsse des Parlaments zwar nicht die Verbindlichkeit der Vorgabe abschaffen, zeigen aber ihre Bereitschaft, den konkreten Inhalt der Vorgabe abzuschwächen (Art. 1 Nr. 4 Omnibus-VO-KI-E-Parl).

3. Stärkung der Zuständigkeit des Büros für Künstliche Intelligenz (KI-Büro) hinsichtlich der Durchsetzung der KI-VO

Außerdem möchte die Kommission die Zuständigkeiten des bei ihr angesiedelten KI-Büros stärken.97 “[M]it Ausnahme von KI-Systemen im Zusammenhang mit Produkten, die unter die in Anhang I [der KI-VO] aufgeführten Harmonisierungsrechtsvorschriften der Union fallen”, soll das KI-Büro ausschließlich für die Beaufsichtigung und Durchsetzung in Bezug auf KI-Systeme zuständig sein, welche auf einem KI-Modell mit allgemeinem Verwendungszweck beruhen, sofern das Modell und System von demselben Anbieter entwickelt wurden (Art. 1 Nr. 25 b) Omnibus-VO-KI-E). Außerdem soll das KI-Büro zukünftig auch ausschließlich für die Beaufsichtigung und Durchsetzung der KI-VO in Bezug auf KI-Systeme zuständig sein, die eine sehr große Online-Plattform oder sehr große Online-Suchmaschine bilden oder die darin integriert sind (Art. 1 Nr. 25 b) Omnibus-VO-KI-E). Mit der letztgenannten Änderung möchte die Kommission insbesondere eine Kohärenz zu ihren Aufsichts- und Durchsetzungsbefugnisse nach dem DSA herstellen.98

Auch wenn es grundsätzlich durchaus Vorzüge hat, wenn sich ein Unternehmen nur mit einer Behörde auseinandersetzen muss, wäre abzuwarten, ob die Auswirkungen dieser Änderungen für betroffene Unternehmen letztlich vor- oder nachteilig sein würden.

Sowohl der Rat als auch die Ausschüsse des Parlaments scheinen hiermit prinzipiell einverstanden zu sein, wobei sie allerdings jeweils gewisse Änderungen vorschlagen (Art. 1 Nr. 25 b) Omnibus-VO-KI-E-Rat und Parl). Für das vorgenannte Szenario, wonach das KI-Modell und -System von demselben Anbieter entwickelt wurden, möchten beide etwa keine Zuständigkeit des KI-Büros für Hochrisiko-KI-Systeme nach Ziffer 2 des Annex III zu kritischen Infrastrukturen sowie der Rat unter anderem auch Strafverfolgungs- und Grenzschutzbehörden ausnehmen (Art. 1 Nr. 25 b) Omnibus-VO-KI-E-Rat und Parl). Gleichzeitig möchten beide, dass das KI-Büro auch dann zuständig ist, wenn die Anbieter des KI-Modells und -Systems aus derselben Unternehmensgruppe stammen (Art. 1 Nr. 25 b) Omnibus-VO-KI-E-Rat und Parl). Im Übrigen möchten die Ausschüsse des Parlaments keine exklusive Zuständigkeit des KI-Büros für sehr große Online-Plattformen oder sehr große Online-Suchmaschinen (Art. 1 Nr. 25 b) Omnibus-VO-KI-E-Parl). In diesen Fällen soll auch die nationale Behörde an der Hauptniederlassung des Anbieters tätig werden können, falls das KI-Büro für denselben Verstoß noch kein Verfahren initiiert hat (Art. 1 Nr. 25 b) Omnibus-VO-KI-E-Parl).

4. Anpassung der Übergangsfristen zur Geltung von Vorgaben der KI-VO

Im Weiteren möchte die Kommission bisher für Teile und bestimmte Vorgaben der KI-VO vorgesehene Umsetzungsfristen ändern.99

Insoweit möchte sie insbesondere die Übergangsfristen für die Geltung der umfassenden Anforderungen für Hochrisiko-KI-Systeme anpassen (Art. 1 Nr. 31 a) Omnibus-VO-KI-E).100 Nach Art. 113 Abs. 2 und 3 c) KI-VO gilt derzeit insoweit für Hochrisiko-KI-Systeme nach Art. 6 Abs. 2 und Anhang III KI-VO die allgemeine Übergangsfrist bis zum 2.8.2026 und für solche nach Art. 6 Abs. 1 und Anhang I KI-VO eine Frist bis zum 2.8.2027.101

Die Kommission möchte nunmehr bei Art. 113 Abs. 3 KI-VO einen Buchstaben d) ergänzen, wonach die Geltung der Vorgaben für Hochrisiko-KI-Systeme zunächst von der Annahme eines Beschlusses durch die Kommission abhängig gemacht werden, der bestätigt, “dass geeignete Maßnahmen zur Unterstützung der Einhaltung” dieser Vorgaben nach dem Kapitel 3 der KI-VO vorliegen (Art. 1 Nr. 31 a) Omnibus-VO-KI-E). Sechs bzw. zwölf Monate nach der Annahme dieses Beschlusses würden die Vorgaben dann jeweils für Hochrisiko-KI-Systeme nach Art. 6 Abs. 2 und Anhang III KI-VO bzw. solche nach Art. 6 Abs. 1 und Anhang I KI-VO gelten (Art. 1 Nr. 31 a) Omnibus-VO-KI-E). Diese Vorgaben würden aber auch jeweils dann anfangen zu gelten, sofern bis zum 2.12.2027 bzw. 2.8.2028 kein solcher Beschluss angenommen worden wäre (Art. 1 Nr. 31 a) Omnibus-VO-KI-E). Gleichzeitig sollen die entsprechenden KI-VO-Vorgaben für Betreiber von Hochrisiko-KI-Systemen, welche ihre Systeme vor den vorgenannten Daten in Verkehr gebracht oder in Betrieb genommen haben, nur dann gelten, “wenn diese Systeme danach in ihrer Konzeption erheblich verändert wurden.” (Art. 1 Nr. 30 a) Omnibus-VO-KI-E)

Gerade in Anbetracht des umfassenden Pflichtenkreises für Hochrisiko-KI-Systeme erscheint es im Sinne der Rechtssicherheit sinnvoll, dass zunächst geeignete Maßnahmen zur Unterstützung der Einhaltung dieser Vorgaben vorliegen, bevor Unternehmen sie erfüllen müssen. Aufgrund der weitreichenden und vielfältigen Pflichten sollten Unternehmen aber trotzdem keine Zeit verlieren, um insoweit notwendige Strukturen aufzubauen.

Sowohl der Rat als auch die Ausschüsse des Parlaments sind offen für die Verlängerung der Übergangsfristen in Bezug auf Hochrisiko-KI-Systeme (Art. 1 Nr. 31 Omnibus-VO-KI-E-Rat und Parl). Allerdings möchten beide, dass insoweit ausschließlich die im vorletzten Absatz genannten von der Kommission vorgeschlagenen festen Fristen zum 2.12.2027 bzw. 2.8.2028 gelten (Art. 1 Nr. 31 Omnibus-VO-KI-E-Rat und Parl).

5. Anpassungen hinsichtlich der Wechselwirkung mit anderen Gesetzen

Wie vorstehend unter Ziffer I. 2. dargelegt, ist einer der wesentlichen Kritikpunkte, dass die digitalen Rechtsakte der EU nicht angemessen aufeinander abgestimmt wurden. Zu diesem Aspekt schlägt die Kommission bezüglich der KI-VO insbesondere vor, eine neue Rechtsgrundlage für die Verarbeitung besondere Kategorien personenbezogener Daten “zur Erkennung und Korrektur von Verzerrungen” unter bestimmten Bedingungen vorzusehen. (Art. 1 Nr. 5 Omnibus-VO-KI-E) Der Rat als auch die Ausschüsse des Parlaments stimmen damit grundsätzlich überein, wollen aber teilweise etwas strengere Bedingungen vorsehen (Art. 1 Nr. 5 Omnibus-VO-KI-E-Rat und Parl).

Im Weiteren sollen Vereinheitlichungen zwischen der KI-VO und EU-Harmonisierungsrechtsvorschriften hinsichtlich der Beantragung von Konformitätsbewertungsstellen auf Notifizierung bei einer notifizierenden Behörde ergänzt werden (Art. 1 Nr. 10 f. Omnibus-VO-KI-E).

Weitere Kohärenzmaßnahmen sind etwa die Ergänzung von Verweisen auf die Definitionen für KMU und kleine Midcaps (Art. 1 Nr. 3 Omnibus-VO-KI-E) oder die vorstehend unter Ziffer V. 3. erwähnte Abzielung auf eine Kohärenz zu Aufsichts- und Durchsetzungsbefugnisse nach dem DSA.102 Wie bereits vorstehend erwähnt, bestehen insoweit auch grundsätzliche Übereinstimmungen mit dem Rat und den Ausschüssen des Parlaments (Art. 1 Nr. 3 a) Omnibus-VO-KI-E-Rat und Art. 1 Nr. 25 b) Omnibus-VO-KI-E-Rat und Parl).103

Neben den legislativen Maßnahmen arbeitet die Kommission daran, weitere Leitlinien zu erstellen, deren Schwerpunkt auf praktischen Anleitungen “für die Anwendung der KI-Verordnung parallel zu anderen EU-Rechtsvorschriften” liegen soll.104

6. Zwischenergebnis

Die von der Kommission vorgeschlagenen Anpassungen der KI-VO stellen keine strukturelle Änderung oder gar Abkehr von der KI-VO105 dar. Gerade für betroffene Midcap-Unternehmen können die nunmehr vorgeschlagenen Erleichterungen jedoch durchaus hilfreich sein. Für größere Unternehmen beinhalten die vorgeschlagenen Änderungen der KI-VO grundsätzlich keine signifikante Reduzierung ihrer Compliance-Pflichten, obgleich der Kommissionvorschlag auch für sie bestimmte Entlastungen enthält. Im Übrigen wird es spannend sein, inwieweit die Durchsetzungs- und Sanktionierungspraxis zwischen dem KI-Büro und den nationalen Behörden potenziell divergiert und es demnach ein Vor- oder Nachteil sein könnte, von welcher Behörde ein Unternehmen beaufsichtigt wird.

Die vorgenannte Anpassung der Übergangsfristen für Hochrisiko-KI-Systeme ist aus den besagten Gründen als sinnvoll zu erachten. Unternehmen sollte mehr Zeit zum Aufbau ihrer Compliance-Strukturen gewährt werden. Gleichzeitig erzeugt dieser Vorschlag erheblichen Druck hinsichtlich des legislativen Trilog-Verfahrens, weil die Vorgaben der KI-VO vom Grundsatz her nach Art. 113 Abs. 1 KI-VO eigentlich bereits am 2.8.2026 gelten werden. Wenn man die übliche Dauer von Trilog-Verfahren betrachtet, erscheint es äußerst ambitioniert, dass eine KI-VO-Reform tatsächlich noch vor dem vorgenannten Datum in Kraft treten soll. Allerdings wurden vom Rat und den zuständigen Ausschüssen bereits Mitte März 2026 eigene Entwürfe zur Digital-Omnibus-Verordnung zur KI veröffentlicht,106 was darauf hindeutet, dass sie grundsätzlich ebenfalls gewillt sind, die KI-VO-Reform im Rahmen dieses ambitionierten Zeitplans zu realisieren.

VI. Fazit und Ausblick

Die Reformvorschläge der Kommission zu digitalen Rechtsakten in der EU betreffen eine ganze Reihe von Vorschriften. Es wäre auch durchaus zu erwarten, dass die Umsetzung aller Vorschläge insgesamt zu einer nicht unerheblichen Reduzierung des Compliance-Aufwands für viele Unternehmen führen würden. Gleichzeitig zielen die Vorschläge prinzipiell nicht darauf ab, die allgemeinen Strukturen und Grundsätze wesentlicher digitaler Rechtsakte zu ändern oder den Grundrechtsschutz von EU-Bürgern auszuhöhlen. Anders lautende Kritik ist insofern unbegründet.

Im Rahmen des Trilog-Gesetzgebungsverfahrens präsentieren das Europäische Parlament und der Europäische Rat ihre eigenen Reformvorschläge. Die bisher verfügbaren Entwürfe dieser Institutionen deuten darauf hin, dass sie die Reform und auch viele Kommissionsvorschläge grundsätzlich begrüßen.107 Gleichzeitig enthalten die Entwürfe allerdings unter anderem auch eine erhebliche Anzahl von konkreten Änderungen der Kommissionsvorschläge.108 Es erscheint demnach wahrscheinlich, dass sich die EU-Institutionen am Ende auf ein Reformwerk einigen können, welches dann aber wohl in mehrfacher Hinsicht von den Kommissionsentwürfen abweichen wird. Auch wenn die Kommission einige Vorschläge zur Erhöhung der Kohärenz zwischen den unterschiedlichen digitalen Rechtsakten gemacht hat, wäre es zu begrüßen, wenn dieser zentrale Aspekt in der finalen Reform noch konsequenter umgesetzt werden würde.

Ein interessanter Aspekt ist hierbei, dass die EU-Insitutionen etwa auch Übergangsfristen bei der KI-VO ändern möchten, welche bereits in weniger als sechs Monaten ablaufen (siehe vorstehend Ziffer V. 4. und 6.). Dies führt zu einem erheblichen Zeitdruck hinsichtlich des Abschlusses des erfahrungsgemäß oftmals recht langwierigen Trilog-Gesetzgebungsverfahrens in Bezug auf die Digital-Omnibus-Verordnung zur KI, welche zuerst verabschiedet werden könnte. Gerade auch in Anbetracht der wesentlichen Anzahl an betroffenen Rechtsakten und -vorgaben wäre ein baldiger Abschluss des legislativen Verfahrens nicht nur hinsichtlich der Digital-Omnibus-Verordnung zur KI im Sinne der Rechtssicherheit für Unternehmen aber in jedem Fall wünschenswert.

---