Omnibus ohne Fahrplan: Die EU baut ihr Digitalrecht um

Wer Omnibus hört, denkt zuerst an Fahrplan, Haltestelle und Ticketkauf. Ursprünglich bedeutet das lateinische Wort jedoch „für alle“. Werden Gesetzesvorgaben im Omnibusverfahren zur Abstimmung gebracht, wurden mehrere Änderungsanliegen, mit oder ohne thematischen Zusammenhang, in einem Gesetzentwurf vereint. Die finale Entscheidung für oder gegen die geplanten Änderungen erfolgt dann „für alle“ gemeinsam.

Die EU-Kommission hat im Rahmen ihrer Simplifizierungsagenda ein Gesetzpaket angekündigt, welches das digitale Rahmenwerk auf europäischer Ebene betrifft: Die durch vielfältige Digitalrechtsakte für Unternehmen zunehmend komplexer gewordene Regelungslage soll vereinfacht und harmonisiert werden. Im November wurde der Verordnungsvorschlag der Kommission für den Digitalen Omnibus, welcher auf Kohärenz und Kostenersparnis zielen soll, veröffentlicht.

Als erster Teil des Digitalen Pakets der EU soll der Vorschlag zum Digitalen Omnibus eine Reihe von Verordnungen und Richtlinien zu Daten, Cybersecurity und Datenschutzregeln verändern. Weitere Punkte des Pakets umfassen eine Anpassung der KI-Verordnung, aber auch die ebenfalls am 19.11.2025 von der Kommission vorgestellte „Data Union Strategy“.

Überlappende Regelungen, widersprüchliche Vorgaben und parallele Prozesse soll der Vorschlag für die Digitale Omnibus Verordnung auflösen. So überführt der Änderungsvorschlag den Data Governance Act, die Open Data Richtlinie sowie die Richtlinie zum freien Verkehr nicht-personenbezogener Daten in einen neuen, restrukturierten Data Act. Alle Regelungen zur besseren Zugänglichkeit und Nutzbarmachung von Daten sollen in einer einzigen Verordnung konsolidiert werden.

Die Verordnung zur Förderung von Fairness und Transparenz für Online-Vermittlungsdienste soll dagegen gänzlich aufgehoben werden. Nur geringe Anpassungen werden dagegen für die ePrivacy-Richtlinie, welche auch als Cookie-Richtlinie bekannt ist, und die sog. CER-Richtlinie, welche in Deutschland erst noch im KRITIS-Dachgesetz zur nationalen Umsetzung kommen muss, vorgeschlagen.

Die geplanten Anpassungen an der NIS-2-Richtlinie dienen der Einrichtung eines sogenannten Single-Entry-Points für verschiedene Meldepflichten von Unternehmen. Dies betrifft Sicherheitsvorfälle gemäß § 32 BSIG, die sogenannte Meldung IKT-bezogener Vorfälle gemäß Art. 19 DORA-VO und beispielsweise auch die Meldung von Datenschutzverletzungen gemäß Art. 33 DSGVO. Zusammengefasst: Künftig können Unternehmen ihre Meldepflichten im Bereich "Digitales und Daten" an nur noch einer Stelle erfüllen und die ENISA wird diese dann an die zuständige Behörde übermitteln.

Neben der durch den Single-Entry-Point veränderten Meldeprozessgestaltung sieht der Verordnungsentwurf weitere Anpassungen an der Verordnung (EU) 2016/679 – der Datenschutzgrundverordnung – vor. Der sogenannte "Draghi-Report" ist ein Wirtschaftsbericht, der im September 2024 veröffentlicht wurde. In diesem Bericht wird eine Agenda für die Europäische Union vorgeschlagen, die darauf abzielt, die Wettbewerbsfähigkeit des Kontinents zu sichern. Die Kommission hat erkannt, dass es Defizite am Status quo gibt. Um diesen entgegenzuwirken, sind Änderungen im Datenschutzrecht geplant. Diese sollen den Umgang mit personenbezogenen Daten erleichtern. 

Dies umfasst unter anderem folgende Punkte:

• eine praxisnähere Definition des Personenbezugs hinsichtlich der Identifizierbarkeit der Betroffenen (Art. 4 Nr. 1 DSGVO)
• die Ergänzung notwendiger Definition aus dem technischen Bereich für Begriffe wie ‚web browser‘ oder ‚media service provider‘ (Art. 4 DSGVO)
• die Ergänzung eines Erlaubnistatbestands für die Verarbeitung besonderer Kategorien personenbezogener Daten im Kontext der Entwicklung und des Betriebs von KI-Systemen (Art. 9 Abs. 2 DSGVO)
• die Ergänzung eines spezifischen Erlaubnistatbestands für die Verwendung von erforderlichen biometrischen Daten für Zwecke der Verifikation (Art. 9 Abs. 2 DSGVO)
• die Ergänzung der Möglichkeit des Verantwortlichen die Umsetzung von Betroffenenanfragen zu verweigern, welche missbräuchlich für andere Zwecke als dem Schutz der eigenen Daten gestellt werden (Art. 12 Abs. 5 DSGVO)
• die Ergänzung weiterer Ausnahmen von den Informationspflichten für bestimmte Verarbeitungssituationen (Art. 13 DSGVO)
• die Verlängerung der Meldefrist von Datenschutzvorfällen auf 96 Stunden und die Reduzierung der Meldepflicht auf Vorfälle mit hohem Risiko (Art. 33 Abs. 1 DSGVO)
• die Reduzierung der Vorgaben für das Auslesen und Speichern nicht-notwendiger Cookies
• die Schaffung der Voraussetzungen für klarere Durchführungsbestimmungen bei der Bestimmung von Pseudonymität und Anonymität
• die Privilegierungen der Datenverarbeitungen im Kontext der Entwicklung und des Betriebs von KI-Systemen als berechtigtes Interesse unter bestimmten Vorgaben

Es ist außerdem vorgesehen, dass der Europäische Datenschutzausschuss (EDSA), welcher aus den Leitern der nationalen Aufsichtsbehörden besteht (vgl. Art. 68 DSGVO), ein gemeinsames Template für die Meldung von Datenschutzpannen und sowie Vorgaben zu Risikobewertung bei Datenschutzvorfällen erarbeiten. Außerdem sollen die Muss-Listen für Datenschutzfolgenabschätzungen nicht mehr von den einzelnen Aufsichtsbehörden geführt werden, sondern der Ausschuss soll eine allgemeingültige Liste erarbeiten, sowie ein Template und eine Methode für die Durchführung (Art. 35 Abs. 4 bis 6 DSGVO).

Daneben finden sich im Entwurf redaktionelle Änderungen sowie klarstellende Anpassungen am ursprünglichen Verordnungstext.

Der veröffentlichte Entwurf ist von der Harmonisierung der DSGVO mit den übrigen Rechtsakten zu Daten und Digitalem geprägt. Die zusätzlichen Anforderungen an den EDSA sollen auch nationale Unterschiede in der Anwendung der Verordnung verringern. Größere Änderungen zielen darauf ab, dem technischen Fortschritt Rechnung zu tragen und punktuell juristische Weiterentwicklungen aus der Rechtsprechung zu normieren.