Am 19. November 2025 hat die Europäische Kommission den sogenannten Digitalen Omnibus vorgestellt – ein umfassendes Gesetzespaket, das die Regulierung in Europa vereinfachen und harmonisieren soll. Ziel ist es, bestehende Vorschriften, wie etwa die Datenschutz-Grundverordnung (DSGVO), den Data Act und die KI-Verordnung – gezielt zu vereinfachen und besser aufeinander abzustimmen. Dieser Artikel stellt die wichtigsten geplanten Änderungen der DSGVO und der KI-Verordnung vor.

Warum der Digitale Omnibus?

Seit Inkrafttreten der DSGVO im Jahr 2018 hat sich gezeigt, dass insbesondere kleinere Unternehmen und Organisationen mit geringem Risiko unverhältnismäßig stark belastet werden. Zudem werden im Bereich der datengetriebenen Wirtschaft und der künstlichen Intelligenz (KI) zunehmend Befürchtungen laut, die EU könnte durch Überregulierung wirtschaftlich ins Hintertreffen geraten. Der Digitale Omnibus soll diesbezüglich durch gezielte Anpassungen und Klarstellungen Abhilfe schaffen.

Die geplanten Änderungen der DSGVO

Die Änderungen sehen unter anderem eine präzisere Definition personenbezogener Daten vor: Informationen gelten für eine bestimmte Stelle nicht als personenbezogen, wenn diese die betreffende natürliche Person nicht identifizieren kann, wobei die Mittel berücksichtigt werden, die dieser Stelle vernünftigerweise zur Verfügung stehen.

Zudem soll klargestellt werden, wann die Nutzung personenbezogener Daten für die Entwicklung und Nutzung von KI auf die Rechtsgrundlage des „berechtigten Interesses“ gestützt werden kann. Für die Verarbeitung besonderer Kategorien personenbezogener Daten in diesem Zusammenhang soll eine neue Rechtsgrundlage geschaffen werden, für die strenge Schutzmaßnahmen gelten sollen.

Unternehmen sollen künftig Auskunftsanfragen ablehnen oder Gebühren erheben dürfen, wenn diese offensichtlich zweckwidrig genutzt werden. Für bestimmte einfache Verarbeitungen sollen die Transparenzpflichten vereinfacht werden.

Auch bei Datenschutzverletzungen sind Änderungen vorgesehen. Dem Entwurf zufolge wäre eine Meldung nur noch bei hohem Risiko und innerhalb von 92 Stunden erforderlich. Zudem soll ein zentrales Portal für Meldungen nach verschiedenen Rechtsakten geschaffen werden.

Anpassungen der KI-Verordnung

Auch die KI-Verordnung soll punktuell angepasst werden. Verpflichtungen für Hochrisiko-KI-Systeme sollen nach dem Entwurf erst dann gelten, wenn entsprechende Standards verfügbar sind. Es sind Übergangsfristen von sechs bis zwölf Monaten vorgesehen.

Die Pflicht, für ausreichende KI-Kompetenzen innerhalb der Organisation zu sorgen, wird deutlich abgeschwächt.

Außerdem soll die Verarbeitung sensibler personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen (Bias) erlaubt werden, sofern bestimmte Schutzmaßnahmen eingehalten werden.

Fazit

Die Richtung ist klar: Harmonisierung, weniger Bürokratie und mehr Rechtssicherheit. Unternehmen sind gut beraten, die Entwicklungen aufmerksam zu verfolgen. Sie sollten mit Anpassungen jedoch zunächst abwarten, da der Entwurf im Europäischen Parlament noch beraten wird und sich noch ändern kann.

Die EU-Kommission geht offenbar davon aus, dass das Gesetzespaket zügig verabschiedet wird – zumindest vor dem Sommer 2026. Ob und in welcher Form dies letztlich gelingt, ist derzeit jedoch noch offen.