Eine Aushöhlung der DSGVO – oder sinnvolle Anpassungen im EU-Digitalrecht: Die Meinungen zum „Digitalen Omnibus“ gehen weit auseinander. Dieser enthält Vereinfachungen, aber auch weitreichende Änderungen an der DSGVO – und liefert weder aus Sicht von Bürger:innen noch für Unternehmen das, was sie verspricht. Was ist gut, was widerspricht den Zielen und was muss differenziert betrachtet werden?
Das Ziel: Wettbewerbsfähige Unternehmen durch Abbau von Bürokratie
Der Digitale Omnibus wurde am 19.11.2025 veröffentlicht und besteht aus zwei Verordnungsentwürfen. Diese sollen verschiedene digitale Gesetze, unter anderem die KI-Verordnung und die DSGVO, vereinfachen und harmonisieren. Der „Omnibus“ hat zum Ziel, EU-Unternehmen durch die Abschaffung von bürokratischen und zeitaufwendigen Vorgaben wettbewerbsfähiger zu machen und damit KI-Entwicklung und KI-Einsatz zu erleichtern. Im Vorfeld gab es Konsultationen: Über 500 Eingaben von interessierten Personen und Organisationen hat die Europäische Kommission erhalten, schon knapp drei Wochen später waren die umstrittenen Entwürfe fertig.
(Keine) Vereinfachung
Angesichts der Eile konnte die Kommission wohl kaum alle Eingaben analysieren, wie Max Schrems aufzeigt. Bereits das ist problematisch: Die Europäische Kommission hat damit ihre eigenen Grundsätze für gute Rechtsetzung verletzt. Es fehlt eine ausgewogene Folgenabschätzung, insbesondere hinsichtlich der Grundrechte der Bürger:innen. Änderungen an der DSGVO werden vorgeschlagen, die sogar auf der Unternehmensseite auf Unverständnis stoßen: Vage Formulierungen wie „nicht notwendigerweise“ tragen nicht zur Rechtssicherheit bei, die Rechtsprechung des Europäischen Gerichtshofs verkürzt aufzunehmen ebenso wenig.
Andererseits gibt es tatsächlich Bestimmungen in jüngeren Digitalrechtsakten, die vereinfacht oder klargestellt werden müssen. Ein Beispiel sind die verschiedenen Datengesetze, welche die Kommission vorschlägt zusammenzulegen, was zur Kohärenz und einfacheren Lesbarkeit beiträgt und deshalb durchaus im Interesse der Nutzer:innen ist. Ein weiteres Beispiel sind Ungereimtheiten zwischen KI-Verordnung und DSGVO betreffend die Transparenzbestimmungen und Informationspflichten des Betreibers bzw. des Verantwortlichen. Um diese zu harmonisieren, hätte es eine ausführlichere Analyse gebraucht – dieser für Bürger:innen wichtige Bereich bleibt in den Vorschlägen leider unbeachtet.
Unsichtbare Risiken
Vor allem aber muss man sich – besonders aus Sicht der Arbeitnehmer:innen und Bürger:innen fragen: Ist das Ziel des Digitalen Omnibus – wettbewerbsfähige Unternehmen, KI-Entwicklung – wichtiger als die ursprünglichen Ziele von DSGVO und KI-Verordnung; nämlich: Schutz der Grundrechte, Schutz vor Risiken für die Gesundheit und Sicherheit von Menschen? Im Unterschied zu Maschinen, bei deren Fehlfunktion solche Risiken sofort sichtbar werden (zum Beispiel durch einen Arbeitsunfall), sind die Risiken des KI-Einsatzes oft unsichtbar und zeigen sich erst langfristig. Das sind zum Beispiel psychischer Druck, der durch algorithmisches Management entstehen kann, oder die Gefährdung von Kindern durch KI, die Sex-Chats mit ihnen führt. Die langfristigen gesellschaftlichen Auswirkungen der Monopolisierung von Wissen und der fehlenden Sicherheit sind kaum absehbar. Ist es angesichts dessen angemessen und zielführend, die mühsam (und im Fall der KI-Verordnung erst vor zwei Jahren) ausverhandelten Kompromisse wieder aufzumachen – und profitiert die europäische Wirtschaft tatsächlich davon? Sehen wir uns die wichtigsten Vorschläge an.
Gut
Zusammenführen der Datengesetze (Open Data Directive, Free Flow of Non-Personal Data Regulation, Data Governance Act und Data Act): Die Konsolidierung von vier Gesetzen, die sich teilweise überschneiden und teilweise redundant sind, kann insbesondere für KMU zur leichteren Nachvollziehbarkeit und zu besserer Compliance beitragen. Auch die Daten-Governance wird durch die einheitliche Behördenstruktur einfacher.
Alternative zur Cookie-Regelung: Statt dem ungeliebten Cookie-Banner soll das Setzen von Präferenzen direkt am Gerät möglich sein. Die statistische Reichweitenmessung und die Aufrechterhaltung der Sicherheit eines Dienstes bedarf in Zukunft keiner Einwilligung.
Europäische KI-Sandbox: Das AI Office der Kommission bekommt die Zuständigkeit, eine „Regulatory Sandbox“ auf EU-Ebene einzurichten. Unternehmen können darin neue Dienstleistungen und Geschäftsmodelle unter behördlicher Aufsicht und so mit geringeren Risiken ausprobieren. Auch die entsprechenden Einrichtungen der Mitgliedstaaten sollen besser miteinander kooperieren.
Eine gemeinsame europäische Stelle für die Meldung von Vorfällen: Die Meldung von Sicherheits- und Datenschutzvorfällen soll über eine zentrale europäische Stelle erfolgen können – bei den vielen Meldepflichten tatsächlich eine Erleichterung für datenverarbeitende Organisationen.
Fragwürdig
KI-Training mit personenbezogenen Daten als „berechtigtes Interesse“: Die umstrittenste Neuerung macht zum Gesetz, was Unternehmen wie Meta jetzt schon im rechtlichen Graubereich tun: Die von Nutzer:innen oder Kund:innen erhobenen und generierten Daten für das KI-Training zu nutzen soll zum berechtigten Interesse werden. Diese Regelung ist hilfreich für jene Unternehmen, die bereits Zugang zu großen Datenquellen haben – das sind in der Regel nicht europäische Unternehmen.
Pseudonymisierte Daten außerhalb des Anwendungsbereichs der DSGVO: Pseudonymisierte Daten sollen nur dann Pflichten gemäß der DSGVO auslösen, wenn die verarbeitende Stelle tatsächlich die Möglichkeit hat, diese mit einer konkreten Person in Verbindung zu bringen, d. h. wenn sie diese realistischerweise re-identifizieren kann. Das entspricht bereits der Auslegung durch den EuGH. Die neue Formulierung ist allerdings sehr unbestimmt und nicht geeignet, die differenzierte Judikatur abzubilden – weitere Rechtsunsicherheit ist vorprogrammiert.
Keine Pflicht zur Vermittlung von KI-Kompetenz: Die Pflicht der Anbieter und Betreiber, ihren Beschäftigten das Wissen zu vermitteln, das für den sicheren Betrieb und Einsatz von KI erforderlich ist, soll entfallen. Damit würde eine wichtige Maßnahme abgeschafft, die sowohl der Risikominimierung dient als auch Grundlage für produktive KI-Nutzung im Unternehmen ist.
Unterlaufen von neuen Geschäftsmodellen: Die vorgeschlagenen Änderungen der DSGVO haben dort keine Wirkung, wo es nicht in erster Linie um personenbezogene Daten geht: zum Beispiel bei der Weiterverwendung von proprietären Maschinendaten. KI ist nicht nur LLM oder GenAI und Wettbewerbsfähigkeit entsteht nicht nur durch die Entwicklung großer KI-Modelle: In verschiedenen Hoffnungsbereichen wie Umwelttechnologie, Landwirtschaft und Industrie braucht es andere Maßnahmen. Damit hier Daten geteilt werden, braucht es Rechtssicherheit – und Vertrauen, das sollten unter anderem Data Act und Data Governance Act schaffen. Die darin enthaltenen wichtigen Instrumente (u. a. Datenvermittlungsdienste, Datenportabilität und Datenzugang bei vernetzten Geräten) laufen allerdings ins Leere, wenn nun mit der De-facto-Legalisierung bisher illegaler Praktiken neue Geschäftsmodelle kaum Zukunft haben.
Wie geht es besser?
Wenn tatsächlich große europäische KI-Modelle entwickelt werden sollen, gibt es andere Möglichkeiten, als unsere Daten pauschal Unternehmen zu überantworten, die schon im Begriff sind, ihre Monopolstellung abzusichern. Klare Gemeinwohlvorgaben für die Nutzung anstatt privater Verwertung sowie Entwicklung unter der Aufsicht von kompetenten und mit ausreichend Ressourcen ausgestatteten Behörden in der europäischen Sandbox wären eine bessere Möglichkeit.
KI-Kompetenz sollte Pflicht der Organisationen bleiben, die KI einsetzen – das ist wichtig für Risikomanagement und den Schutz der Beschäftigten, aber auch um KI gut und sicher einsetzen zu können. Dennoch brauchen sie Unterstützung durch die EU und die Mitgliedstaaten, z. B. über das AI Office oder die European Digital Innovation Hubs (EDIHs): mit Basisschulungen für KI-Kompetenz, die allen zur Verfügung stehen. Einzelne Unternehmen können entsprechend ihren speziellen Umständen darauf weiterbauen.
Verschiedene vorgeschlagene Vereinfachungen oder Klarstellungen könnten ohne Gesetzesänderung durchgeführt werden, womit eine neuerliche Rechtsunsicherheit vermieden würde. Zum Beispiel durch Guidelines der zuständigen europäischen Behörden, automatisierte Formulare oder Compliance Checker, beispielsweise für die Datenschutz-Folgenabschätzung.
Nützen die neuen Vorschläge europäischen Unternehmen?
Es ist deutlich, dass die Grundrechte der Bürger:innen im Digitalen Omnibus den Nachrang haben. Sind die Nutzen für Unternehmen tatsächlich groß genug, um diese Einschränkungen zu rechtfertigen? Die Antwort ist eindeutig: nein. Abgesehen von einzelnen Aspekten wie der Alternative zur Cookie-Regelung oder der Zusammenführung der Datengesetze können die Vorschläge europäischen Unternehmen nicht die Erleichterung bringen, die sie versprechen.
Die Änderung der DSGVO allein ist schon bedenklich – nicht nur aus Grundrechtsperspektive. Die kombinierte Möglichkeit, pseudonymisierte Daten, berechtigtes Interesse und weitere Ausnahmen für KI-Training zu nutzen, hilft Big Tech, ihre Monopolstellung auszubauen, und nicht europäischen Unternehmen, die den Zugang zu den Daten gar nicht haben. Jede neue oder umformulierte Bestimmung wird zu neuerlichen Diskussionen und Auslegungsproblemen führen – das ist wohl kaum die Vereinfachung, die sich Unternehmen wünschen. Anstatt neue rechtliche Unsicherheiten zu schaffen, Bürger:innen zu gefährden und europäische Werte aufzugeben, sollten andere, bessere Lösungen gefunden werden, die tatsächlich wirken und ein hohes Grundrechtsschutz-Niveau wahren.