Als der „Digital Omnibus“ Mitte November publik wurde, herrschte Aufruhr in der Datenschutz-
Community: „EU-Kommission will DSGVO und KI-Regulierung schleifen.“, „Das größte
Weihnachtsgeschenk, das sich Big Tech hätte wünschen können.“, „Kahlschlag im Datenschutz?“
Achtung, der „Digital Omnibus“ rollt! Wenn europäische Gesetzgebung ein Software-Update
wäre, dann ist dieses Paket kein kleiner Sicherheits-Patch – sondern ein komplettes System-
Upgrade mit möglichem Paradigmenwechsel. Europa galt lange als Weltmeister der
Digitalregulierung. Kaum ein Kontinent hat in den vergangenen zehn Jahren so viele
technologiebezogene Gesetze verabschiedet wie die EU – von der Datenschutz-
Grundverordnung über die KI-Verordnung bis hin zum Data Act. Nun kommt die überraschende
Kehrtwende: Mit dem Digital Omnibus will die Europäische Kommission ihr eigenes Regelwerk
entschlacken. Weniger Bürokratie, mehr Tempo, höhere Wettbewerbsfähigkeit und
Harmonisierung digitaler Regelwerke. Die Frage ist nur: Handelt es sich um ein überfälliges
Update – oder um ein stilles Downgrade des europäischen Datenschutzniveaus?
Am 19. November 2025 präsentierte die Kommission ein Reformpaket, das tief in die Architektur
der europäischen Digitalregulierung eingreift. Offiziell geht es um „Simplification“. Inoffiziell ist
es Ausdruck eines politischen Stimmungswandels: Der viel zitierte Draghi-Report hatte Europa
zuvor attestiert, sich in regulatorischer Detailverliebtheit zu verlieren und damit im globalen
Wettbewerb an Geschwindigkeit einzubüßen. Der Digital Omnibus ist die legislative Antwort auf
diese Diagnose.
Kein Abriss, sondern Justierung
Das neue Omnibus-Paket besteht aus zwei Verordnungen: der allgemeinen Digital-Omnibus-
Verordnung und dem „Digital Omnibus on AI“. Dabei geht es nicht um die Abschaffung
bestehender Gesetze, sondern um punktuelle Anpassungen – vergleichbar mit einem EUArtikelgesetz.
Betroffen sind unter anderem die DSGVO, NIS-2, DORA und die KI-Verordnung.
Im Zentrum steht die DSGVO. Künftig entscheidet der Gesetzgeber, ob eine Person mit
vertretbarem Aufwand identifizierbar ist – der bisherige, relative Anonymisierungsansatz des
EuGH wird damit gesetzlich verankert. Für Forschung, KI-Training und datengetriebene
Geschäftsmodelle ist das ein echter Befreiungsschlag; Datenschützer befürchten hingegen eine
Aufweichung des hohen Schutzniveaus. Besonders sensibel: Daten können für einen
Auftragsverarbeiter als anonym gelten, selbst wenn Dritte sie theoretisch reidentifizieren könnten.
Stille Revolution bei Datenschutzverletzungen
Praktisch relevant: Datenschutzverletzungen müssen künftig nur noch bei hohem Risiko
gemeldet werden, die Frist verlängert sich auf 96 Stunden, und Doppelmeldungen bei anderen
Datenschutzbehörden auf Ebene der Bundesländer oder EU-Mitgliedstaaten über das One-Stop-
Shop-System entfallen. Das entlastet Unternehmen spürbar.
Außerdem schafft die Omnibus-Neuregelung mehr Rechtssicherheit bei missbräuchlichen oder
massenhaften Auskunftsersuchen: Auskünfte mit offensichtlich datenschutzfremdem Zweck
oder missbräuchlichen Motiven dürfen verweigert oder gebührenpflichtig gemacht werden.
Schließlich werden zudem die Anforderungen an die Informationspflichten abgesenkt.
Weniger überzeugend erscheint die Neuordnung der Cookie-Regeln: Ein browserbasiertes,
maschinenlesbares Einwilligungssignal klingt modern, ist technisch jedoch noch Zukunftsmusik.
KI, Mittelstand und Wettbewerbsfokus
Auch die KI-Regulierung wird angepasst: Pflichten für Hochrisiko-Anwendungen greifen später,
bis harmonisierte Standards vorliegen. Midcap-Unternehmen profitieren von reduzierten
Dokumentationspflichten. Zudem bündelt ein zentrales AI Office die Aufsicht über General
Purpose AI.
Was ändert sich?
Der Digital Omnibus justiert viele Stellschrauben, ohne das Regelwerk abzureißen: Daten gelten
nur als personenbezogen, sofern identifizierbar, Meldungen erfolgen nur bei hohem Risiko,
Informationspflichten werden pragmatischer gestaltet. Hochrisiko-KI-Regeln greifen später, die
Nutzung von Daten für Forschung und KI-Training wird erleichtert, Aufsicht zentralisiert. Ziel ist
ein weniger komplizierter, aber rechtssicherer digitaler Alltag.
Paradigmenwechsel oder politischer Realismus?
Wird die DSGVO „abgewickelt“? Nein. Eine radikale Demontage ist nicht zu erkennen.
Fest steht: Der Digital Omnibus ist mehr als ein technisches Update – er ist ein politisches
Signal. Europas Digitalrecht wird neu programmiert, nicht radikal, aber spürbar. Unternehmen
sollten genau hinschauen, denn wer nur auf Entlastung hofft, könnte neue Risiken übersehen. In
den kommenden Jahren wird sich zeigen, ob der Omnibus den digitalen Dschungel der EU lichter
macht oder die aktuelle Komplexität fortbestehen bleibt.