Registrierung Login
RegistrierungLogin
Breadcrumb-Navigation
Abo

Aufsatz : Die Reforminitiativen der Europäischen Kommission im Rahmen des „Digital-Omnibus“ – praxisgerechtes Datenschutz– und KI-Recht? : aus der RDV 2/2026, Seite 77 bis 81

Überblick über die geplanten Änderungen: Die Europäische Kommission beabsichtigt im Rahmen einer sogenannten „Digital-Omnibus-Verordnung“ sowie einer „DigitalOmnibus-Verordnung zur KI“ eine Reform verschiedener EU-Regelwerke, insbesondere der DS GVO, der KI-VO und EU-Datenverordnung. Die Entwürfe wurden am 19.11.2025 veröffentlicht und befinden sich derzeit in der Phase der öffentlichen Konsultation sowie der Stellungnahme von Fachgremien und Mitgliedstaaten. Ziel der Reformen ist es, eine kohärente Umsetzung der bestehenden Vorschriften zu fördern, die Zahl der Rechtsvorschriften zu verringern und damit insbesondere die administrative Belastung für Unternehmen, Bürger und Forschungseinrichtungen zu reduzieren. Gleichzeitig sollen Klarstellungen hinsichtlich der Anwendungsbereiche, Ausnahmetatbestände und technischen Anforderungen erfolgen, um Rechtssicherheit sowohl für Verantwortliche als auch für betroffene Personen zu erhöhen.

Andreas JaspersAufsätze
Lesezeit 12 Min.

I. Reform der Grundverordnung (EU 2016/679)

Im Einzelnen sind für die DS‑GVO folgende Anpassungen vor‑ gesehen (COM (2025) 827 final):

1. Neufassung des Begriffs „personenbezogene Daten“ (Art. 4 Nr. 1 DS‑GVO)

Die Definition soll dahingehend abgeändert werden, dass Informationen nicht als personenbezogen gelten, wenn der Verantwortliche die betroffene Person mit den ihm vernünftigerweise zur Verfügung stehenden Mitteln nicht identifizieren kann – unabhängig davon, ob eine andere Stelle theoretisch zur Identifizierung in der Lage wäre. So soll die DS‑GVO keine Anwendung mehr finden, wenn ein Empfänger pseudonymisierter Daten die bei der Pseudonymisierung gebildeten Identifier nicht zugänglich gemacht werden.[1]

2. Anpassung des Grundsatzes der Zweckbindung (Art. 5 Abs. 1 lit. b) DS‑GVO)

Die Weiterverarbeitung personenbezogener Daten zu sta‑ tistischen oder wissenschaftlichen Zwecken soll künftig erleichtert werden, indem diese Weiterverarbeitung als ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f) DS‑GVO gelten soll. Bestimmte Anschlussverarbeitungen sollen zu‑ dem als mit dem ursprünglichen Zweck vereinbar gelten, ohne dass es einer umfassenden Zweckänderungsprüfung nach Art. 6 Abs. 4 DS‑GVO bedarf.

3. Reform der Rechtsgrundlage für KI-Training (Art. 88c DS‑GVO-E)

Mit Art. 88c DS‑GVO-E ist eine ausdrückliche (klarstellende) Regelung geplant, nach der die Verarbeitung personenbezogener Daten für Entwicklung, Training, Test und Validierung von KI-Systemen grundsätzlich auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DS‑GVO) gestützt werden kann. Voraussetzung bleibt eine Interessenabwägung zugunsten des Verantwortlichen sowie die Einhaltung besonderer Transparenz-, Datenminimierungs- und Schutzanforderungen. Uni‑ ons- oder nationale Vorschriften können jedoch gem. Art. 88c DS‑GVO-E eine ausdrückliche Einwilligung vorschreiben.

Zudem sieht der Entwurf einen neuen Ausnahmetatbestand für besondere Kategorien personenbezogener Daten vor (Art. 9 Abs. 2 lit. k) DS‑GVO-E), der unter engen Voraus‑ setzungen die Verarbeitung solcher Daten für Betrieb und Entwicklung von KI-Systemen erlaubt.[2] Dabei sollen sensible Daten in KI-Datensätzen möglichst vermieden, nachträglich entfernt oder zumindest technisch und organisatorisch wirksam gegen unbefugte Nutzung und Weitergabe abgesichert werden.

4. Neuregelungen zu besonderen Kategorien personenbezogener Daten (Art. 9 DS‑GVO)

Nach dem Entwurf soll Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken, indem diese Weiterverarbeitung als überwiegendes berechtigtes Interesse gilt und stets mit dem ursprünglichen Zweck vereinbar ist (Art. 5 Abs. 1 lit. b) DS‑GVO-E). Art. 4 Nr. 38 DS‑GVO-E definiert „wissenschaftliche Forschung“ weit, einschließlich Forschung mit kommerziellem Bezug, solange sie zum Wissenserwerb und gesellschaftlichen Nutzen beiträgt. Informationspflichten nach Art.  13 DS‑GVO-E entfallen, wenn deren Erfüllung unmöglich, unverhältnismäßig oder für die Forschung hinderlich wäre (Art.  13 Abs.  5 DS‑GVO-E). Die Einhaltung von Schutzmaßnahmen nach Art.  89 DS‑GVO-E bleibt Pflicht, Abweichungen von zentralen Rechten betroffener Personen bleiben über nationale Öffnungsklauseln möglich.

5. Anpassungen bei den Betroffenenrechten (Art. 12 ff. DS‑GVO)

Die Regelungen zu Auskunfts- und Informationspflichten werden weiter differenziert ausgestaltet:

  • Auskünfte und Maßnahmen bleiben grundsätzlich unentgeltlich. Bei offensichtlich unbegründeten, exzessiven oder missbräuchlichen Anträgen kann der Verantwortliche jedoch eine angemessene Gebühr verlangen oder die Bearbeitung ablehnen, sofern er die entsprechenden Voraussetzungen nachweist (Art. 12 Abs. 5 DS‑GVO-E). Es genügt, wenn der Verantwortliche plausible Gründe für die Annahme eines exzessiven Antrags darlegt.
  • Informationspflichten bei Datenerhebung sollen in bestimmten Konstellationen eingeschränkt werden können, etwa wenn Daten in klar begrenztem Umfang erhoben werden und davon auszugehen ist, dass der betroffenen Person die wesentlichen Informationen bereits bekannt sind.

6. Änderungen bei der Meldung von Datenschutzverletzungen (Art. 33 DS‑GVO)

Die Meldepflicht gegenüber der Aufsichtsbehörde soll künftig nur noch bei Datenschutzverletzungen bestehen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen begründen. Zudem ist eine Verlängerung der Meldefrist von bislang 72 auf 96 Stunden vorgesehen. Meldungen nach Art. 55 DS‑GVO sollen zukünftig über eine zentrale europäische Stelle – die Agentur der Europäischen Union für Cybersicherheit (ENISA) – erfolgen.

7. Reform der Cookie-Banner-Regulierung; automatisierte Einwilligungsverwaltung im Browser (Art. 88a, 88b DS‑GVO-E)

Die Kommission beabsichtigt, nicht erforderliche CookieBanner zu reduzieren. Die bislang in Art.  5 Abs.  3 Richtlinie 2002/58/EG geregelten und in Deutschland durch § 25 TDDDG umgesetzten Vorgaben zu Cookie-Bannern sollen in die Datenschutz-Grundverordnung überführt werden. Dabei wer‑ den neue Ausnahmen vom Einwilligungserfordernis, etwa für Sicherheitszwecke und eigene Reichweitenmessungen, geschaffen sowie nutzerfreundlichere Ablehnungsmechanismen vorgesehen.[3] Ferner soll ein browserbasiertes, automatisiertes Einwilligungsmodell geschaffen werden, bei dem Nutzer ihre Präferenzen einmalig im Webbrowser festlegen können sollen; diese Entscheidung soll sodann webseitenübergreifend automatisch umgesetzt werden. Anbieter von Webbrowsern (mit Ausnahme von KMU) werden dabei zur Bereitstellung entsprechender technischer Funktionen verpflichtet.

II. Reform der KI-Verordnung (EU 2024/1689)

Die vorgesehenen Anpassungen der KI-Verordnung betreffen insbesondere Arbeitgeber und Betreiber von KI-Systemen (COM (2025) 836 final). Im Überblick ergeben sich folgende zentrale Punkte:

1. KI-Kompetenzen (Art. 4 KI-VO)

Die bislang unmittelbar geltende Verpflichtung aus Art.  4 KI-VO, wonach Arbeitgeber unabhängig von der Risikoklassifizierung Schulungen zu KI bereitzustellen hatten, wird abgeschwächt. Künftig sollen primär die Europäische Kommission und die Mitgliedstaaten Maßnahmen zur Förderung von KI-Kompetenzen ergreifen. Betreiber sollen lediglich „ermutigt“ werden, ein angemessenes Qualifikationsniveau ihrer Beschäftigten sicherzustellen.[4] Für Betreiber von HochrisikoKI-Systemen bleibt jedoch die Pflicht bestehen, im Rahmen der menschlichen Aufsicht sicherzustellen, dass die zuständigen Personen über die erforderlichen Kenntnisse verfügen (Art. 26 KI-VO).

2. Fristverlängerungen für Hochrisiko-KI

Die Anwendbarkeit der Hochrisiko-Vorgaben wird zeitlich an die Bereitstellung unterstützender Maßnahmen – etwa technischer Standards und Leitlinien – geknüpft. Unternehmen sollen die Anforderungen aus Kapitel III erst dann erfüllen müssen, wenn entsprechende Orientierungshilfen vorliegen. Unabhängig davon sollen die Regelungen zu bestimmten Hochrisiko-KI-Systemen gemäß Art. 6 Abs. 2 i.V.m. Anhang III spätestens ab dem 2.12.2027 gelten.

3. Verarbeitung sensibler Daten zur Bias-Kontrolle (Art. 4a KI-VO-E)

Anbieter und Betreiber sämtlicher KI-Systeme erhalten die Möglichkeit, besondere Kategorien sensibler personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen (Bias) zu verarbeiten. Dies ist bisher auf Grundlage des Art. 10 Abs. 5 KI-VO, welcher gestrichen werden soll, unter ein wenig eingeschränkteren Voraussetzungen möglich.

4. Registrierungspflicht

Stuft ein Anbieter ein in Anhang III der KI-VO genanntes KISystem trotz grundsätzlicher Erfassung aufgrund der konkreten Verwendungsart als nicht hochriskant ein, muss er diese Bewertung vor Inbetriebnahme dokumentieren. Während diese Dokumentationspflicht erhalten bleibt, soll die Eintragung in die EU-Datenbank zukünftig entfallen.[5]

5. Neue Zuständigkeiten des „AI Office“

Beruht ein KI-System auf einem General-Purpose-AI-Modell (GPAI) und stammen sowohl Modell als auch System vom selben Anbieter (mit Ausnahme produktbezogener KI nach Anhang I), ist künftig ausschließlich das sogenannte „AI Office“ zuständig, anstelle der nationalen Aufsichtsbehörden. Dies gilt ebenso für KI-Systeme, die sehr große Online-Plattformen oder Suchmaschinen darstellen oder in solche inte‑ griert sind.

6. Erleichterungen für kleine Mid-Caps (SMCs)

Bereits bestehende Privilegierungen für kleine und mittlere Unternehmen – etwa im Hinblick auf Dokumentations‑ pflichten, Qualitätsmanagement, Zugang zu regulatorischen Sandboxes oder die Bemessung von Sanktionen – werden auf kleine Mid-Cap-Unternehmen (250–499 Beschäftigte, 50–100 Mio. Euro Jahresumsatz) ausgeweitet.

III. Reform der EU-Datenverordnung (Data Act) (EU 2023/2854)

In den bestehenden Data Act (DA) sollen zentrale EU-Daten‑ rechtsakte –DGA, Datenverkehrs-VO und PSI-RL – integriert werden, um Redundanzen zu reduzieren und die Regulierung übersichtlicher zu gestalten, wobei der der Kernbestand des Data Act nur punktuell abgeändert wird:[6]

Die Datenzugangsregelungen nach Art.  4 und 5 DA werden präzisiert, insbesondere mit Blick auf den Schutz von Geschäftsgeheimnissen und den drohen‑ den Datenabfluss in Drittländer.

  • Die Pflichten zur Bereitstellung von Unternehmensdaten an öffentliche Stellenwerden auf Fälle eines „öffentlichen Notstands“ beschränkt, während bisherige Zugriffsrechte bei „außergewöhnlicher Notwendigkeit“ entfallen.
  • Cloudverträge werden durch Ausnahmen bei Anbieterwechsel und Interoperabilität für SMEs, SMCs und spezialisierte Dienste flexibilisiert, zudem werden Wechselentgelte schrittweise abgeschafft.
  • Die Vorgaben zu Smart Contracts werden ersatzlos gestrichen, um rechtliche Unsicherheiten und Innovationshemmnisse zu beseitigen.
  • Datenvermittlungsdienste und datenaltruistische Organisationen unterliegen künftig weniger strikten Pflichten. Transparenz- und Meldepflichten werden reduziert und funktionale Trennung ersetzt die bisher vorgeschriebene organisatorische Trennung.
  • Der Europäische Dateninnovationsrat (EDIB) wird inhaltlich gestrafft und in ein neues Kapitel überführt, um Effizienz und Handlungsfähigkeit zu erhöhen.
  • Schließlich regelt der DA-E künftig auch Datenlokalisie‑ rungspflichten, während die Datenverkehrs-VO aufgehoben wird.

IV. Erste Bewertung

1. Innovationsfreundliche Weiterentwicklung des europäischen Digitalrechts

Die Initiative der Europäischen Kommission, den europäischen Rechtsrahmen im Bereich der Digitalisierung im Wege eines „Digital-Omnibus“ weiterzuentwickeln und praktikabler auszugestalten ist zu begrüßen. Die angekün‑ digten Reformen der Datenschutz-Grundverordnung und der KI-Verordnung setzen grundsätzlich wichtige Impulse für mehr Rechtssicherheit, effizientere Verfahren und eine Stärkung der Wettbewerbsfähigkeit des europäischen Standorts.

Entscheidend, dass Vereinfachungen nicht zu strukturellen Inkohärenzen im Normgefüge führen. Datenschutzrecht und KI-Regulierung müssen innovationsfreundlich, technologieneutral und zugleich konsistent ausgestaltet sein. Unternehmen benötigen belastbare und gerichtsfeste Rahmenbedingungen, die Investitionen in datengetriebene Geschäftsmodelle ermöglichen und zugleich langfristige Planungssicherheit gewährleisten.

2. Praxistaugliche Anpassungen der DS‑GVO

a) Definition personenbezogener Daten

Im Bereich der DS‑GVO können präzisierende Klarstellungen – etwa zur Bestimmung personenbezogener Daten – zur Rechtssicherheit beitragen. Dem Vorschlag der EU-Kommis‑ sion zufolge ist die Identifizierbarkeit natürliche Personen nicht generell sondern nur relativ zu verstehen. Allein die Identifizierbarkeit einer betroffenen Person durch einen Dritten führt daher nicht automatisch zu einem Personenbezug. Die DS‑GVO ist damit für den Empfänger pseudonymisierter Daten nicht mehr öffnet, sofern dieser gerade nicht die Identifier erhält. Ein Personenbezug liegt nur noch dann vor, wenn der Datenempfänger die Informationen unter Berücksichtigung der ihr „vernünftigerweise“ zur Verfügung stehenden Mittel infizieren kann. Die Vorschläge der Kommission orientieren sich dabei an der Entscheidung des EuGH[7] zur Weitergabe pseudonymisierter Daten von trotz der Vergangenheit teil zweiten Auslegung des Begriffs Personendaten pseudonymisierte Daten, wonach diese nicht für jeden Empfänger als personenbezogene Daten anzusehen sind.

Die EU-Kommission hat sich vorbehalten, in einem neuen Art.  41a DS‑GVO Durchführungsakte zur Festlegung von Mittel und Kriterien für die „vernünftigerweise zu erwartenden Mittel zur Identifizierung festzulegen. Nach den Erfahrungen bei der Erarbeitung der DS‑GVO dürfte jedoch zu bezweifeln sein, ob EU-Parlament und Rat der Kommission so weitgehende Befugnisse zur Anwendung der DS‑GVO einräumt.

Eine realistische Betrachtung der Identifizierbarkeit aus Sicht des jeweils Verantwortlichen jedoch verhindert damit jedenfalls übermäßige Ausdehnungen des Anwendungsbereichs und schafft praktikable Abgrenzungen für Unternehmen. Ebenso sind Erleichterungen bei formalen Anforderungen und Dokumentationspflichten geeignet, Ressourcen stärker auf substanzielle Datenschutzmaßnahmen zu konzentrieren.

b) Betroffenenrechte

aa) Auskunftsanspruch

Hinsichtlich der Betroffenenrechte ist eine klarere Handhabung offensichtlich unbegründetes oder exzessives Aus‑ kunftsersuchen sinnvoll.[8] Unternehmen sehen sich in der Praxis mit strategischen oder missbräuchlichen Anfragen konfrontiert, die erhebliche personelle und finanzielle Ressourcen binden. Eine rechtssichere Möglichkeit, in solchen Fällen angemessene Gebühren zu erheben oder Anträge abzulehnen, stärkt die Verhältnismäßigkeit und schützt vor Fehlanreizen.

Gleichzeitig sollte das Auskunftsrecht vor dem Hintergrund des Art.  8 EU-Grundrechtecharta als wesentliches Transparenzinstrument unangetastet bleibt. Deshalb sieht der Entwurf der EU-Kommission die Beweislast für das Vorliegen eines offenkundig unbegründeten oder exzessiven Antrags beim Verantwortlichen. Jedoch genügen für die Annahme eines exzessiven Charakters die Darlegung berechtigter Gründe. Damit soll das Ziel erreicht werden, ein ausgewogenes Verhältnis zwischen effektiver Rechtswahrnehmung und praktikabler Unternehmensrealität nachzuschärfen.

In der Rechtspraxis macht der Anspruch auf eine „Kopie der personenbezogenen Daten“ in Art. 15 Abs. 3 S. 1 DS‑GVO große Schwierigkeiten. Nach Entscheidung des EuGH Es ist in der Rechtspraxis nur schwer nachvollziehbar, wo der Unterschied in den vom Antragsteller erbetenen Auskünften liegen soll. Gerade der Begriff der „Kopie“ nach Art.  15 DS‑GVO ist aufgrund einer fehlenden Legaldefinition oder mangels Konkretisierungen in den Erwägungsgründen (ErwG) der DS‑GVO mit immenser Rechtsunsicherheit verbunden, da Verantwortliche derzeit nicht wissen, wie sie einem Antrag auf eine Kopie personenbezogener Daten entsprechen sollen. Hier besteht konkretisierender Regelungsbedarf.

bb) Informationspflichten

Die Informationspflichten gemäß Art. 13 DS‑GVO haben zum Teil einen stark bürokratischen Charakter. Deshalb sieht der Entwurf der EU-Kommission in Art. 13 Abs. 4 eine Ausnahme von den Informationspflichten in Fällen vor, in denen die Daten im Rahmen einer klaren und begrenzten Beziehung zwischen der betroffenen Person und dem Verantwortlichen erhoben werden und der Verantwortliche keine datenintensive Tätigkeit ausübt. Damit sollen – so die Entwurfsbegründung – vor allem kleine Betriebe und Vereine entlastet werden.

Eine nachvollziehbare Rückausnahme bildet Übermittlung von Daten an weitere Empfänger, in ein Drittland oder im Fall einer automatisierten Einzelentscheidung Art.  22 DS‑GVO, da in diesen Fällen die Information Entscheidungsgrundlage Datenweitergabe an den verantwortlichen sein kann.

Eine stärkere Harmonisierung innerhalb der Europäischen Union ist grundsätzlich positiv zu bewerten. Unterschiedliche nationale Sonderregelungen führen in grenzüberschreitend tätigen Unternehmen zu erheblichem Abstimmungsaufwand und Rechtsunsicherheit. Eine kohärentere Ausgestaltung kann Compliance-Prozesse vereinfachen und gleiche Wettbewerbsbedingungen im europäischen Binnenmarkt fördern.

3. KI-Kompetenz als Schlüsselfaktor sichern

Im Hinblick auf die KI-Verordnung ist besonders hervorzuhe‑ ben, dass die Kernpflichten für Hochrisiko-KI-Systeme zwar erhalten bleiben, zugleich aber praxisgerechte Übergangsfristen und unterstützende Maßnahmen vorgesehen sind. Die zeitliche Streckung bestimmter Anforderungen bis zur Verfügbarkeit technischer Standards und Leitlinien erhöht die Planungssicherheit und ermöglicht eine geordnete Implementierung in Unternehmen.

Die vorgesehene Abschwächung der verbindlichen Anfor‑ derungen zur Sicherstellung von KI-Kompetenz (Art. 4 KI-VO) ist jedoch kritisch zu betrachten. Der sachgerechte, sichere und rechtskonforme Einsatz von KI-Systemen hängt maßgeblich von der Qualifikation der verantwortlichen Personen ab.[9] Technische, rechtliche und ethische Fragestellungen greifen bei KI in besonderer Weise ineinander; Fehlanwendungen kön‑ nen nicht nur wirtschaftliche Risiken, sondern auch erhebliche Haftungs- und Reputationsfolgen nach sich ziehen.

Eine bloße „Ermutigung“ zur Förderung von KI-Kompetenzen reicht nicht aus, um ein unionsweit einheitliches und angemessenes Qualifikationsniveau sicherzustellen. Verbindliche Anforderungen schaffen hingegen klare Verantwortlichkeiten, fördern Investitionen in Qualifizierung und unterstützen Unternehmen dabei, interne Governance-Strukturen nachhaltig aufzubauen. Gerade für kleine und mittlere Unternehmen bieten klare Vorgaben und geschulte Belegschaft eine deutlich erhöhte Rechtssicherheit.

V. Fazit

Insgesamt sind die Reformvorschläge ein wichtiger Impuls für eine moderne, wettbewerbsfähige und zugleich verantwortungsvolle Daten- und KI-Regulierung. Ein klarer, harmonisierter und praxistauglicher Rechtsrahmen stärkt das Vertrauen in digitale Technologien und schafft zugleich die notwendigen Freiräume für Investitionen, Innovation und nachhaltiges Wachstum im europäischen Binnenmarkt.

Porträt RA Andreas Jaspers

Andreas Jaspers
ist Geschäftsführer der Gesellschaft
für Datenschutz und Datensicherheit
(GDD) e.V.

[1] Gebehenne/Siebler/Hennemann, Der Digital Omnibus – Grundstruktur, Einordnung und Rahmenbedingungen der Vorschläge der EUKommission für eine Vereinfachung im Datenrecht, EuDIR 2026, 11.

[2] Gebehenne/Siebler/Hennemann, EuDIR 2026, 11, 13.

[3] Gebehenne/Siebler/Hennemann, EuDIR 2026, 11 f.

[4] Gebehenne/Siebler/Hennemann, EuDIR 2026, 11, 16

[5] Gebehenne/Siebler/Hennemann, EuDIR 2026, 11, 16.

[6] Gebehenne/Siebler/Hennemann, EuDIR 2026, 17 f.

[7] EuGH vom 4.9.2025 – C413/23, RDV 2026, S. 39 ff

[8] Siehe auch GDD-Pressemitteilung vom 17.11.2025 zur 49. DAFTA: EU-Digitalge‑ setzgebung: „Omnibus“ im Turbogang, abrufbar unter: https://www.gdd.de/veranstaltungen/49-dafta-eu-digitalgesetzgebung-omnibus-im-turbogang/.

[9] Vgl. hierzu Schwartmann, KI-Kompetenz für alle, Frankfurter Allgemeine vom 4.8.2024, abrufbar unter https://www.faz.net/aktuell/ki-kompetenz-fueralle-19898996.html.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.