Die EU-Kommission stellte am 19. November 2025 ein umfassendes Gesetzespaket zur Vereinfachung von Regeln, Harmonisierung überlappender Gesetze und dem Bürokratieabbau vor. Die neue Verordnung 2025/837 trägt den Namen „Digital-Omnibus“.
Vier Regulierungsbereiche sind hauptsächlich betroffen:
- der Datenschutz DS-GVO
- Regeln für die Datennutzung ePrivacy
- der Umgang mit Cybersicherheitsvorfällen NIS2
- KI-Verordnung
Die umfangreichen Pläne wurden von der Kommission in zwei Gesetzesvorschläge aufgeteilt:
Folgende Änderungen sollen in der DS-GVO vorgenommen werden
- Art. 4 Abs 1
Anpassung der grundlegenden Definition des Personenbezugs. Würde der Bezug zu einer Person ohne weiter Informationen nicht möglich sein, würde das den Ausschluss der Anwendbarkeit der DS-GVO bedeuten.
- Art. 13 bis Art. 15
Einschränkung der betroffenen Rechte. Anträge auf Auskünfte, Berichtigung oder Löschung der personenbezogenen Daten könnten somit abgelehnt werden, wenn sie scheinbar missbräuchlich gestellt werden. Unternehmen müssten somit nur den Anträgen nachgehen, wenn sie den Datenschutzzweck dienen.
- Art. 6 Abs 1 lit. f
Hierbei dürften sich KI-Anbieter auf die Rechtsgrundlage des berechtigten Interesses berufen dürfen, wenn sie personenbezogene Daten zum Training von KI nutzen. Es wäre somit kein Opt-in mehr nötig. Nur ein aktiver Widerspruch/ Opt-out verhindert nachträglich das Einverständnis.
- Art. 33 und Art. 34
Datenpannen müssten erst an die Aufsichtsbehörden gemeldet werden, wenn für persönliche Rechte und Freiheiten der betroffenen Person ein „hohes Risiko“ satt einem „Risiko“ bestünde.
Änderungen für Cookie-Regelungen
Die ePrivacy Richtlinie soll teilweise in die DS-GVO integriert werden. Dafür würde die DS-GVO um den Art. 88a erweitert werden. Dieser beinhaltet, dass Tracking Cookies mit einem Klick abgelehnt werden können. Zudem soll eine automatische Ablehnung von Cookie über Browsereinstellungen, Apps und Betriebssystem möglich sein.
Anpassungen in der KI Verordnung
Die Umsetzungsfristen für KI-Systeme sollen dynamischer gestaltet werden – insbesondere für Hochrisiko-KI-Systemen. Demnach sollen die Fristen erst greifen, wenn konkrete Spezifikationen und Verhaltensleitlinien der EU-Kommission vorliegen. Allerdings gelten nicht für jede Hochrisiko-KI die gleichen Fristen.
Quellen
https://www.heise.de/hintergrund/Wie-der-Digital-Omnibus-die-EU-Datenschutz-und-KI-Regulierung-aendern-soll-11072105.html?seite=all
https://netzpolitik.org/2025/digitaler-omnibus-eu-kommission-will-datenschutzgrundverordnung-und-ki-regulierung-schleifen/
https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-10-november-2025-650