0036

20. Januar 2026

Legal Roadmap 2026: Digital Omnibus – Änderungen an den europäischen Digitalgesetzen

Zurück zur Startseite

In den vergangenen Jahren hat die EU zahlreiche Gesetze zur Digitalisierung erlassen, darunter die DSGVO, den AI Act, den Data Act, die NIS-2-Richtlinie, den Cyber Resilience Act (CRA), DORA, den Digital Services Act (DSA), den Digital Markets Act (DMA) und eIDAS 2.0. Ziel all dieser Regelungen ist es, einen einheitlichen Rahmen für die Förderung vertrauenswürdiger Technologien und faire Wettbewerbsbedingungen zu schaffen. In der Praxis zeigen sich jedoch Überschneidungen, inkonsistente Definitionen und eine fragmentierte Durchsetzung, was Unternehmen die Umsetzung erschwert.

Vor diesem Hintergrund hat die EU-Kommission im November 2025 das Gesetzespaket „Digital Omnibus“ vorgestellt, das die bestehenden Regelungen vereinfachen, präzisieren und harmonisieren soll.

Was müssen Unternehmen jetzt beachten?

Das Digital-Omnibus-Paket sieht gezielte Anpassungen in mehreren zentralen Rechtsakten vor:

Änderungen am AI Act

Der AI Act verfolgt einen risikobasierten Ansatz. Hochrisiko-KI-Systeme sind verboten, während risikobehaftete Systeme einem strengen Risikomanagement sowie Dokumentations- und Überwachungspflichten unterliegen. Für den Einsatz von KI-Systemen gelten Transparenzregeln. Diese Anforderungen stehen zum Teil in Konkurrenz oder sogar im Widerspruch zu Regelungen anderer europäischer Digitalgesetze. Die Digital Omnibus Initiative schlägt daher gezielte Änderungen vor, etwa die Lockerung der Pflicht zur KI-Kompetenz, sodass Organisationen mehr Eigenverantwortung erhalten. Für bestimmte interne KI-Systeme soll die Registrierungspflicht entfallen, und KMU erhalten Erleichterungen bei der Umsetzung der Vorschriften. Die Umsetzung der Vorschriften soll für bestehende Systeme teilweise verschoben werden, um den Unternehmen mehr Zeit zur Anpassung zu geben.

Änderungen am Data Act

Der Data Act zielt darauf ab, die Datenportabilität zu fördern. Nutzer erhalten Rechte auf Zugriff und Weitergabe von Daten, die durch die Nutzung ihrer Produkte und Dienste generiert werden. Es gelten weitreichende Transparenzvorgaben, Interoperabilitätspflichten, um die Bindung an bestimmte Anbieter zu verringern, sowie Vorgaben für Fairness in B2B-Verträgen. Die kumulative Wirkung dieser Regelungen ist komplex, da sich Transparenz- und Zugangsverpflichtungen überschneiden und Unsicherheiten hinsichtlich Geschäftsgeheimnissen bestehen. Die Digital Omnibus Initiative konsolidiert die Regeln für den Zugang zu und die Wiederverwendung von Daten des öffentlichen Sektors und regelt die Cloud-Wechselpflichten für individuell anpassbare Cloud-Dienste neu. Schutzmaßnahmen bei Datenübermittlungen in Drittländer werden klarer definiert. Im Vorschlag fehlen jedoch praktische Lösungen für datenschutzrechtliche Implikationen der Datenportabilität in Konstellationen, in denen die berechtigten Nutzer im Sinne des Data Act von den betroffenen Personen im Sinne der DSGVO abweichen, etwa bei Flottenfahrzeugen oder smarten Konferenzsystemen.

Änderungen an der DSGVO

Die DSGVO bleibt der zentrale Pfeiler des Datenschutzes in der EU, ist aber in der Anwendung mit anderen Gesetzen oft unklar. Die Digital Omnibus Initiative will Definitionen und Kernkonzepte wie Pseudonymisierung und biometrische Daten anpassen und mehr Flexibilität für KI schaffen, etwa durch Ausnahmen für die Entwicklung und den Betrieb von KI auf Basis berechtigter Interessen. Es soll neue Ausnahmen für sensible Daten in KI-Datensätzen und von der pauschalen Einwilligungspflicht für Endgerätezugriffe (etwa durch Cookies auf Websites) geben. Die Meldung von Datensicherheitsverletzungen soll durch ein zentrales EU-Portal vereinfacht, die Meldefrist verlängert und die Schwelle für meldepflichtige Vorfälle angehoben werden. Die Harmonisierung der Datenschutz-Folgenabschätzungen innerhalb der EU wird angestrebt. Wichtig insbesondere für Arbeitgeber ist der Vorschlag, dass Antworten auf Auskunftsanfragen, die datenschutzfremden Zwecke dienen, verweigert werden dürfen. Aktuell wird das Auskunftsrecht massenhaft von ehemaligen Arbeitnehmern vordringlich für monetäre Interessen und zur Verschiebung von Beweislastregeln missbraucht. Diese und weitere Änderungen der DSGVO sind ein Versuch, den hohen Compliance-Aufwand zu minimieren und Mechanismen einzuführen, die Innovation und Effizienz fördern.

Änderungen im Bereich der Cybersicherheit

Im Bereich Cybersicherheit erweitern die NIS-2-Richtlinie bzw. deren nationale Umsetzungsgesetze und der Cyber Resilience Act die Anforderungen und Meldepflichten für viele Sektoren. Die Digital Omnibus Initiative schlägt ein zentrales EU-Portal für Sicherheitsvorfälle vor, die dann auch für Datensicherheitsverletzungen nach DSGVO (siehe vorstehend) sowie, Meldungen nach DORA, eIDAS-Verordnung und gemäß CER-Richtlinie genutzt werden können soll. Auf diese Weise möchte man Doppelmeldungen und Verwirrung vermeiden. Gleichzeitig soll die Koordination zwischen verschiedenen Rechtsakten und Behörden verbessert werden, sodass Organisationen künftig effizienter agieren können. Zu weiteren Details siehe Legal Roadmap 2026 – Data, Digitale Resilienz und Cybersicherheit.

Welche Chancen und/oder Risiken entstehen für Unternehmen?

Das Ziel der Digital Omnibus Initiative ist es, Überschneidungen zwischen den europäischen Digitalgesetzen zu beseitigen, präzise Anpassungen vorzunehmen und die Berichterstattung sowie Terminologie zu harmonisieren. Auch der bislang hohe und fragmentierte Compliance-Aufwand soll spürbar reduziert werden. Die Herausforderung besteht darin, Vereinfachung zu erreichen, ohne Grundrechte und Vertrauen zu schwächen.

Was sollten Unternehmen jetzt konkret tun?

Unternehmen sollten ihre Governance-Strukturen prüfen und sich auf die geplanten Änderungen vorbereiten, um von der angestrebten Vereinfachung zu profitieren. Wer die Chance nutzt, interne Prozesse zu vereinfachen, wird im europäischen und internationalen Kontext gut aufgestellt sein.

Insbesondere empfiehlt sich:

  • eine Bestandsaufnahme der betroffenen Digitalgesetze und Prozesse,
  • die Überprüfung von KI-, Daten- und Cybersicherheits-Governance,
  • die frühzeitige Anpassung interner Richtlinien und Zuständigkeiten,
  • die Nutzung der geplanten Vereinfachungen zur Effizienzsteigerung.

Lesen Sie mehr

0100
Germany: Further Judgment on Non-Material Damages for Loss of Control over Personal Data
In its judgment of May 13, 2025 (case number VI ZR 186/22), the German Federal Court of Justice (Bundesgerichtshof – “BGH”) continued its case law on the compensability of non-material damages under Article 82 GDPR, in particular with regard to whether the mere loss of control over personal data was sufficient for a claim for damages.
0100
EU Data Act Update - German Draft for Data Act Implementation Bill
As of 12 September 2025, most of the obligations of the EU Data Act (DA) will come into force. While the Data Act is directly applicable in all EU Member States, it leaves the enforcement of the obligations established to the Member States.
0100
DORA Penalty Regimes
This briefing looks at one specific aspect of these frameworks: administrative penalties.

Kontakt

Jan Meents
Jan Geert Meents
Partner
bb
Hanna Lütkens
Partner
Lucas Blum
Counsel