Einführung in das digitale Omnibuspaket
Mit dem am 19. November 2025 vorgestellten digitalen Omnibuspaket verfolgt die Europäische Kommission das Ziel, den digitalen Rechtsrahmen der Europäischen Union zu vereinheitlichen, zu vereinfachen und an die technologischen Entwicklungen der letzten Jahre anzupassen. Unternehmen, insbesondere aus den Bereichen Datenverarbeitung, künstliche Intelligenz und digitale Dienstleistungen, sollen künftig effizienter agieren können, ohne durch regulatorische Doppelstrukturen oder widersprüchliche Normen behindert zu werden. Das Paket bringt Änderungen an bestehenden Verordnungen wie dem AI Act und dem Data Act, enthält aber vor allem tiefgreifende Reformvorschläge zur Datenschutzgrundverordnung. Für kleine und mittlere Unternehmen ergibt sich daraus ein besonderer Handlungsbedarf, da viele Prozesse betroffen sind, die alltäglich in der Datenverarbeitung, Kundenkommunikation und Systemsteuerung Anwendung finden.
Reform des AI Act und neue Spielräume für KI-Systeme
Das sogenannte AI Omnibus betrifft in erster Linie die Anpassung der europaweiten Vorschriften für Hochrisiko-KI-Systeme. Der bisherige Pflichtenkatalog wird gelockert und zugleich präzisiert. Besonders relevant ist die Änderung, dass keine generelle Schulungspflicht mehr für Unternehmen besteht. Stattdessen soll mehr Eigenverantwortung gelten, während Marktüberwachungsbehörden erst ab Februar 2027 Sanktionen verhängen dürfen. Diese Übergangsfrist gewährt Anbietern und Betreibern von KI-Systemen ausreichend Zeit, ihre internen Kontroll- und Dokumentationssysteme an die neuen Standards anzupassen. Zudem dürfen KI-Systeme künftig ausnahmsweise sensible personenbezogene Daten verarbeiten, wenn dies notwendig ist, um algorithmische Verzerrungen, sogenannte Bias, zu erkennen und zu vermeiden – vorausgesetzt, der Schutz der betroffenen Personen wird technisch und organisatorisch sichergestellt. Für kleine und mittlere Unternehmen sowie Betreiber spezialisierter technischer Systeme, etwa in Krankenhäusern oder Pflegeeinrichtungen, könnte dies bedeuten, dass innovative KI-Lösungen zur Qualitätsüberwachung und Prozessoptimierung leichter unter vertretbaren rechtlichen Bedingungen eingeführt werden können.
Weiterentwicklungen des Data Act und neue Rahmenbedingungen für Datennutzung
Parallel werden im digitalen Omnibus auch grundlegende Änderungen am Data Act und der Datenökonomie vorgenommen. Ziel ist die Harmonisierung bisher separater Rechtsakte, darunter der Data Governance Act und die Verordnung über den freien Verkehr nicht-personenbezogener Daten. Besonders bedeutsam für Unternehmen ist die Einschränkung des sogenannten B2G-Datenzugriffs. Öffentliche Stellen sollen künftig nur noch in klar definierten Notlagen auf Unternehmensdaten zugreifen dürfen, was die Datensouveränität der Wirtschaft stärkt. Zudem bleiben für ältere Cloud-Verträge bestimmte Ausnahmeregelungen bestehen, was Rechtssicherheit für bereits laufende Geschäftsbeziehungen schafft. Unternehmen müssen sich jedoch darauf einstellen, dass neue Interoperabilitätsanforderungen schrittweise eingeführt werden. Darüber hinaus wird das bislang strenge Regime für Datenvermittlungsdienste flexibilisiert und um eine freiwillige Teilnahme erweitert. Kleine und mittelständische Betriebe, die Datendienste anbieten oder nutzen, profitieren so von einem geringeren administrativen Aufwand bei gleichzeitig größerer Wahlfreiheit hinsichtlich technischer Schnittstellen.
Die DSGVO im Mittelpunkt der Reformen
Die weitreichendsten Vorschläge des digitalen Omnibuspakets gelten der Datenschutzgrundverordnung. Zentraler Gedanke ist die Anpassung an die zunehmende Digitalisierung, insbesondere an den Einsatz von KI-Systemen. Künftig soll die Verarbeitung personenbezogener Daten zu Trainingszwecken von KI-Systemen unter bestimmten Bedingungen auf das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f gestützt werden können. Eine ausdrückliche Einwilligung wäre demnach nicht mehr erforderlich, solange die Interessen der betroffenen Person nicht überwiegen. Damit schafft die Kommission einen klaren Rechtsrahmen, der Innovation fördert und zugleich individuelle Schutzinteressen wahrt. Besonders interessant für datenintensive Unternehmen wie Onlinehändler, Softwareanbieter oder Gesundheitsdienstleister ist, dass auch sensible Datenkategorien nach Artikel 9 Absatz 2 künftig verarbeitet werden dürfen, wenn umfangreiche Sicherungsmaßnahmen greifen. Diese Technikneutralität soll die Entwicklung branchenspezifischer KI-Modelle, etwa für Pflegemanagementsysteme, deutlich erleichtern.
Einen Paradigmenwechsel bringen auch die Neuinterpretationen der Begriffe „personenbezogene Daten“ und „pseudonymisierte Daten“. Entscheidend soll nicht mehr die theoretische Möglichkeit einer Personenidentifizierung sein, sondern die realistische Fähigkeit des Verantwortlichen, dies mit zumutbaren Mitteln zu tun. Die Folge: Viele bisher als personenbezogen eingestuften Datensätze könnten künftig aus dem unmittelbaren Anwendungsbereich der DSGVO herausfallen, was den Umgang mit anonymisierten oder pseudonymisierten Daten im betrieblichen Alltag vereinfacht.
Gerade für kleine Unternehmen und Mittelständler ist bedeutsam, dass Verantwortliche künftig gegen offensichtlich missbräuchliche oder exzessive Auskunftsersuchen vorgehen dürfen, indem sie Gebühren verlangen oder die Anfrage ablehnen können. Dies schützt vor automatisierten oder taktischen Anfragen, die bislang erhebliche Ressourcen gebunden haben. Ferner sollen Datenschutzverletzungen künftig differenzierter bewertet werden: Nur Verstöße mit hohem Risiko müssen innerhalb von 96 Stunden gemeldet werden, was die Reaktionslast vieler Organisationen reduziert. Parallel ist geplant, über einen zentralen digitalen Meldekanal, den sogenannten Single-Entry Point, sämtliche Berichtspflichten aus verschiedenen europäischen Regelwerken zu bündeln. Dieses Konzept des „report once, share many“ soll für Unternehmen erhebliche Vereinfachungen bringen und den Aufwand für Compliance-Abteilungen reduzieren.
Mit Blick auf Transparenz und Verbraucherschutz wird die P2B-Verordnung weitgehend aufgehoben, da ihre Inhalte inzwischen durch neuere Rechtsakte wie den Digital Markets Act und den Digital Services Act ersetzt wurden. Übrig bleiben nur Pflichten zur Einrichtung eines internen Beschwerdesystems und zur Mitteilung bei der Aussetzung von Onlinevermittlungsdiensten, was insbesondere für Plattformbetreiber von Belang ist.
Praktische Auswirkungen und Ausblick
Das digitale Omnibuspaket eröffnet Unternehmen in nahezu allen Branchen neue Gestaltungsspielräume, erfordert aber zugleich eine Überprüfung bestehender Prozesse. Die neuen Bestimmungen fördern Innovation, setzen aber eine bewusste Gestaltung des Datenschutzmanagements voraus. Besonders die Entlastung bei Meldepflichten und Informationspflichten ist für kleinere Betriebe eine Erleichterung, während größere Organisationen ihre Compliance-Systeme vernetzter und technischer ausrichten müssen. Noch befindet sich das Paket im Gesetzgebungsverfahren, und es ist mit Anpassungen in Europäischem Parlament und Rat zu rechnen. Dennoch zeichnet sich schon jetzt ab, dass der europäische Datenschutz zunehmend auf eine risikobasierte, technologieoffene Linie einschwenkt, um die Balance zwischen Innovation und Grundrechtsschutz zu wahren.
Für Unternehmen aller Größenordnungen lohnt sich bereits jetzt eine strategische Vorbereitung. Die Einbindung von Datenschutz- und IT-Fachleuten, die Anpassung interner Richtlinien und eine frühzeitige Digitalstrategie sind entscheidend. Unsere Kanzlei begleitet kleine und mittelständische Unternehmen bei der Prozessoptimierung in der Buchhaltung sowie bei der Digitalisierung von Verwaltungsabläufen. Durch unsere Erfahrung in digitalen Transformationsprojekten unterstützen wir Sie dabei, künftige regulatorische Änderungen nicht als Belastung, sondern als Chance für effizientere und kostensparende Strukturen zu nutzen.
Gerichtsentscheidung lesen
