EU-Digitalgesetze : Der Digitale Omnibus – Versuch einer Einordnung

Selten hat schon der Leak eines EU-Gesetzgebungsvorschlags so viele Emotionen ausgelöst wie der des Digitalen Omnibus. Die Rede war von einem „Point of no Return“ und dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“ (Edri) oder dem Vorhaben der Kommission, „die Kernprinzipien der DSGVO zu zerstören“ (Noyb). Die größte Aufregung hat sich offenbar mittlerweile gelegt, sodass die Zeit gekommen ist, die beiden Omnibusvorschläge vom 19. November einer nüchternen Betrachtung zu unterziehen.

Änderungen der KI-VO

Der Digitale Omnibus zu KI schiebt vor allem die Geltung zentraler Vorschriften der KI-Verordnung (KI-VO) zu Hochrisiko-Systemen zeitlich hinaus. Darin liegt weniger das oft behauptete Nachgeben gegenüber Big Tech und Trump. Vielmehr musste man Konsequenzen daraus ziehen, dass es nicht gelungen war, rechtzeitig harmonisierte Standards bereitzustellen, an denen sich die (auch europäische!) Industrie hätte orientieren können. Ein gewisses Entgegenkommen gegenüber den großen Anbietern generativer KI-Systeme ist es natürlich, wenn auch die Pflicht zur maschinenlesbaren Kennzeichnung für auf dem Markt befindliche Systeme um ein Jahr hinausgeschoben wird. Aber: Wer in diesen Maßnahmen nur ein Einknicken gegenüber dem Silicon Valley erblickt, hat es offenbar heimlich schon aufgegeben, dass wir in Europa auch KI-Systeme entwickeln.

Im Übrigen sind die Änderungen der KI-VO nicht besonders einschneidend. Überfällig war es etwa, die Regelung zur Verarbeitung besonderer Kategorien personenbezogener Daten zu verallgemeinern, denn das Verhindern von Bias und Diskriminierung ist generell wichtig, nicht bloß bei Hochrisiko-KI. Auch die Abschwächung der Regelung zur KI-Kompetenz ist ein richtiger Schritt, denn bislang war unklar, weshalb beim Einsatz von KI abweichende Organisationspflichten bestehen sollen als beim Einsatz anderer Technologien oder überhaupt bei jedweder unternehmerischen Tätigkeit – und für Hochrisiko-KI gelten ohnehin schärfere Vorschriften.

Zusammenlegung von Rechtsakten des Datenwirtschaftsrechts

Im eigentlichen Digitalen Omnibus wird zunächst der löbliche Versuch unternommen, den bestehenden Wildwuchs an datenbezogenen Rechtsakten zu beseitigen und den Rechtsbestand zu konsolidieren. Dass ein Data Act (DA) nahezu ohne jegliche wechselseitige Bezugnahme neben einem Data Governance Act (DGA) steht, dass sich zentrale Regelungen zu offenen Daten des öffentlichen Sektors teilweise in der Open Data Directive (ODD) und teilweise im DGA finden, oder dass die Regelungen der alten Free Flow of Data Regulation (FFDR) weitergelten, obgleich sie weitgehend überholt und überlagert worden sind, ist kaum erklärbar. Diese Rechtsakte zusammenzulegen ist daher ein überfälliger Schritt.

Irritierend ist aber, dass bei einer so weitreichenden Maßnahme nicht ein völlig neuer Rechtsakt konzipiert wird, der von Grund auf neu und in sich konsistent strukturiert ist. Stattdessen werden die verbleibenden Regelungen aus DGA, ODD und FFDR in den DA notdürftig eingefügt, was unbefriedigend ist. Dies vor allem deswegen, weil der DA ein handwerklich denkbar schlecht gemachter Rechtsakt ist, den man gesichtswahrend hätte ersetzen können. Die Einfügung führt auch zu kuriosen Erscheinungen wie einem Art. 32ab, der notwendig wurde, weil man mit Art. 32z nicht auskam. Bleibt zu hoffen, dass der europäische Gesetzgeber das geschaffene Stückwerk alsbald durch einen kodifizierenden Rechtsakt ersetzen wird.

Änderungen in der DSGVO

Das größte Augenmerk der Öffentlichkeit lag bislang auf den Änderungen der DSGVO. Vorweg: Die Verfasserin selbst setzt sich für ein stärker risikobasiertes Konzept ein und hat Ende 2024 einen Diskussionsentwurf für eine KI-Datenschutz-VO veröffentlicht, der ein dreistufiges Regulierungsregime vorgesehen hätte: besserer Schutz bei hohem Risiko, Entlastung bei niedrigem Risiko, und im Übrigen die Weitergeltung der DSGVO mit Adaptierungen an neue Technologien. Zusätzlich sollten „rote Linien“ verbotener Datennutzungen gezogen werden, in die nicht einfach per Klick eingewilligt werden kann. Diesen Grundgedanken hat das European Law Institute (ELI) in seinen Vorschlägen von Oktober 2025 weiterentwickelt. Im Omnibus wurden davon nur einzelne Punkte aufgegriffen, die alle in Richtung Entlastung und KI-Förderung gehen.

Die wohl kritischste Maßnahme ist eine Präzisierung des Begriffs „personenbezogene Daten“. Im Einklang mit der SRB-Entscheidung des EuGH von September 2025 wird klargestellt, dass der Begriff relativ in Bezug auf einen potenziellen Verantwortlichen oder Auftragsverarbeiter zu verstehen ist – kann der konkrete Akteur den Personenbezug nicht herstellen, sind die Daten für ihn nicht-personenbezogene Daten. Dies liegt, wie gesagt, vollkommen auf der Linie der SRB-Entscheidung und bewegt sich im Rahmen des derzeit bereits geltenden Wortlauts der DSGVO. Kritisch ist die Maßnahme aber vor allem deswegen, weil sie enorme und vielleicht noch nicht in allen Aspekten reflektierte Auswirkungen hat und weil dem EuGH eine Ausdifferenzierung seiner Auffassung abgeschnitten wird. Man wird auch nachdenken müssen, ob nicht etwas mehr Kreativität erforderlich ist, zum Beispiel was Datensicherheitserfordernisse und Weitergabe-Beschränkungen bei pseudonymisierten, künftig aber quasi als „relativ anonym“ zu behandelnden Daten anbelangt.

Für einen Aufschrei der Entrüstung haben auch vorgeschlagene Änderungen zu besonders sensiblen Kategorien personenbezogener Daten gesorgt. Dabei geht es vor allem darum, sicherzustellen, dass KI-Training in Europa möglich ist, obgleich es sich kaum vermeiden lässt, dass sich in den Trainingsdaten einige von Art. 9 erfasste Daten finden. In diesem Zusammenhang ist daran zu erinnern, dass durch die Rechtsprechung des EuGH der Kreis der sensiblen Datenkategorien extrem weit gezogen worden ist und auch alle Daten erfassen soll, aus denen sich indirekt sensible Merkmale – etwa der Gesundheitszustand – erschließen lassen. Das aber betrifft einen großen Teil sehr alltäglicher Daten, der sich kaum zuverlässig abgrenzen lässt.

Die übrigen Änderungen sind in Wahrheit nicht besonders spektakulär und schreiben überwiegend nur fest, was sich bei einer Auslegung der derzeit geltenden Fassung der DSGVO auch schon vertreten ließe. Etwa: dass das Trainieren von KI ein berechtigtes Interesse darstellen kann (wobei es beim Erfordernis einer Interessenabwägung bleibt); dass automatisierte Entscheidungen im vertraglichen Kontext auch dann zulässig sind, wenn man die Verträge theoretisch auch anders schließen könnte; oder dass missbräuchliche Auskunftsverlangen, bei denen es nicht um Datenschutz, sondern beispielsweise um das Ausforschen der Gegenpartei in einer vermögensrechtlichen Streitigkeit geht, nicht erfüllt werden müssen.

Integration und Neufassung der Cookie-Regelungen

Der Omnibus versucht auch, lästige Cookie-Banner zu reduzieren, und zwar durch zweierlei Maßnahmen. Erstens, indem bestimmte Zwecke – konkret statistische Reichweitenmessung durch den Diensteanbieter selbst und Aufrechterhaltung der Sicherheit eines Dienstes – neben den jetzt schon in der E-Privacy-Richtlinie genannten Zwecken für zulässig erklärt werden, das heißt bei ihnen bedarf das Setzen von Cookies keiner Einwilligung mehr. Zweitens sollen betroffene Personen durch verschiedene Instrumente davor bewahrt werden, ständig neue Anfragen zur Einwilligung zu erhalten, und sie sollen ihre Präferenzen in automatisierter Form ausdrücken können. Insgesamt halte ich die Maßnahmen für vernünftig – und Details lassen sich nachjustieren.

Bewertung und Schlussfolgerung

Insgesamt sollte man im Omnibus eine Chance sehen, nachdem wir jahrelang beobachten mussten, wie Rechtsakt auf Rechtsakt gehäuft wird, ohne dass sich jemand um deren Abstimmung kümmert oder den Mut besitzt, Regelungen auch wieder zu streichen und konsequent europäische Interessen zu vertreten. Dies ist nämlich zurzeit nicht überall gewährleistet, vor allem nicht durch die DSGVO. Diese trifft kleine und mittlere Unternehmen weitaus härter als große, und europäische Unternehmen weitaus härter als drittstaatliche. Letzteres liegt daran, dass wir EU-Recht innerhalb der EU viel besser durchsetzen können, aber auch am Regelungskonzept selbst.

So hat der Europäische Datenschutzausschuss erst vor knapp einem Jahr in Bezug auf große KI-Modelle feststellen müssen, dass – egal wie ein Modell trainiert wurde – es in der EU bedenkenlos vertrieben und verwendet werden kann, wenn das Modell zumindest im trainierten Endzustand anonym ist. Heißt im Klartext: Große US-amerikanische oder chinesische Modelle haben potenziell eine Bestandsgarantie, aber in der EU können neue Modelle kaum entwickelt werden, weil die Unsicherheit in Bezug auf Rechtsgrundlage und sensible Datenkategorien zu groß ist – und genau darauf, das zu ändern, zielt der Omnibus ab.

Wo bei den Vorschlägen Nachbesserungsbedarf besteht, muss man im Gesetzgebungsverfahren auf Nachbesserung dringen. Aber Blockadehaltung gegenüber einer überfälligen Maßnahme der Vereinfachung hilft vielleicht großen Playern aus Drittstaaten und der Beratungsindustrie, nur sicher nicht denjenigen, um deren Rechte es hier eigentlich geht.

Christiane Wendehorst ist Professorin für Zivilrecht an der Universität Wien und stellvertretende Vorständin des Instituts für Digitalisierung und Recht. Zudem ist sie wissenschaftliche Direktorin des European Law Institute.