Shutterstock
Hintergrund
69

Digitaler Omnibus: EU will Digitalgesetze neu ordnen

Florian Bodoky
12.11.2025

Die EU-Kommission will ihr digitales Regelwerk zusammenführen: Mit dem «Digitalen Omnibus» sollen Data Act, DSGVO und AI Act vereinheitlicht und teils grundlegend verändert werden.

Die EU-Kommission will das europäische Digitalrecht in einem sogenannten «digitalen Omnibus» neu ordnen. Davon primär betroffen sind der Data Act, der AI Act und die Datenschutzgrundverordnung (DSGVO). Den Entwurf will die Vizepräsidentin der EU-Kommission, Henna Virkkunen, am 19. November vorlegen. Vier Baustellen stehen im Zentrum: Datenschutz, Datennutzung, Cybersicherheitsmeldungen und der AI Act. Das Portal Netzpolitik.org hat die beiden Entwürfe bereits jetzt veröffentlicht.

Das Wichtigste in Kürze

Zukünftig soll der Data Act eine noch zentralere Rolle übernehmen – drei andere Regelwerke sollen nämlich ein Teil des Data Acts werden und nicht mehr für sich alleine stehen: die Open-Data-Richtlinie, die Verordnung «zum freien Fluss nicht-personenbezogener Daten» und der Data Governance Act. Damit soll verhindert werden, dass gewisse Dinge doppelt reguliert werden oder sich zum Teil gar widersprechen. Gleichzeitig möchte die Kommission die Cookie-Regelung ändern. Sie soll nur noch Teil der DSGVO sein; die alte E-Privacy-Richtlinie soll über die Klippe springen. Zudem soll die Vorratsspeicherung separat geregelt werden – nämlich im Digital Networks Act (DNA)

  • Hintergrund

    Was ist der Digital Networks Act?

    von Florian Bodoky

Das ändert sich in der DSGVO

Im Datenschutzrecht greift der Entwurf ordentlich ein. Erstens soll das «berechtigte Interesse» umgebaut werden – z.B. auch für das Training von KI-Systemen mit personenbezogenen Daten. Wo heute oft deine Einwilligung nötig ist, könnte künftig eine Abwägung zugunsten der Firmen reichen. Heisst zum Beispiel: Firma XYZ hat Interesse daran, die KI für einen besseren Kundenservice zu trainieren – mit deinen Daten. Weil diese aber anonymisiert oder pseudonymisiert sind, wiegt das Interesse der Firma (Service, Effizienz) höher als dein Interesse an der Wahrung deiner Privatsphäre. Auch wenn die Abwägung nachvollziehbar und begründet sein muss, kann sie einfach durch die Firma erfolgen und du kannst nicht generell die Zustimmung verweigern.

Die Kommission will die Opt-in-Pflicht für nicht notwendige Cookies abräumen. Künftig sollen sämtliche DSGVO-Grundlagen als Basis für das Speichern und Auslesen solcher Cookies genügen; Widerspruch muss dann per Opt-out erfolgen. Das heisst: Du wirst freiwilligen Cookies aktiv widersprechen müssen, die Anbieter müssen nicht erst proaktiv nach deiner Erlaubnis fragen. Parallel dazu soll Technik für «maschinenlesbare Präferenzsignale» (also «Do-Not-Track»-Tools) verbindlich werden: Browser oder Betriebssysteme senden deine Entscheidung bezüglich Tracking, Websites müssen sie automatisch berücksichtigen. Medienanbieter (also z.B. Onlineportale von Zeitungen) sollen davon ausgenommen bleiben, um ihre werbefinanzierten Inhalte nicht zu gefährden.

Kommissionsvize Henna Virkunnen will den «digitalen Omnibus» am 19. November vorstellen.
Kommissionsvize Henna Virkunnen will den «digitalen Omnibus» am 19. November vorstellen.
Quelle: nordicevs.no

Artikel 9 DSGVO: «Besonders schützenswert» wären künftig nur Informationen, die sensible Merkmale – etwa Gesundheit, politische Meinung oder sexuelle Orientierung – «direkt offenbaren». Abgeleitete oder nur über «aufwendige intellektuelle Prozesse» erschlossene Sensibilitäten fielen unter die allgemeinen DSGVO-Regeln. Nur genetische und biometrische Daten blieben ausgenommen und weiter streng geschützt.

Beispiel: Wenn du bis jetzt besonders oft Insta-Posts einer Partei gelikt hast, erkennt daraus der Algorithmus eine erhöhte Wahrscheinlichkeit, wie du politisch tickst. Diese Information ist bisher aber besonders geschützt. Mit der neuen Regelung fällt die Info unter die normalen DSGVO-Regeln, da du nicht explizit sagst, welche politische Meinung du hast.

KI zentralisiert, KMU entlastet?

Für die KI-Regulierung plant die Kommission gemäss Entwurf «gezielte Vereinfachungen». Das AI Office war bisher für die Regulierung und Überwachung von KI im Rahmen des AI Acts zuständig. Neu soll es zentrale Zuständigkeiten übernehmen – besonders relevant für sehr grosse Online-Plattformen und Suchmaschinen (VLOPs), die unter DSA-Kriterien mehr als 45 Millionen Nutzerinnen und Nutzer in der EU haben. Zugleich sind Erleichterungen für Unternehmen und klarere Schnittstellen zum Datenschutzrecht vorgesehen. Ebenfalls soll es Sonderregeln für KMU bei Dokumentation und Monitoring geben.

  • Hintergrund

    AI-Act: So will die EU Künstliche Intelligenz in die Schranken weisen

    von Florian Bodoky

Was heisst das? Überschneidungen von AI Act und DSGVO werden vermieden, es soll klar werden, wann der AI Act und wann der DSGVO zum Einsatz kommt. Zudem soll klarer werden, wann welche Behörde zuständig ist. Die Sonderregeln für KMU bedeuten, dass sie weniger Auflagen haben als Grosskonzerne, da sie diese administrativ nicht gleich effizient erfüllen können.

Beispiel: Ein kleines Start-up entwickelt eine KI-getriebene Software, die bei Bewerbungen helfen soll, die passende Person zu finden. Das ist aber ein Hochrisiko-KI-System. Mit der neuen Regelung soll die Risikobewertung durch das Start-up standardisiert werden, die Dokumentationspflicht ist technisch weniger detailliert usw.

Wer drängt, wer bremst – und weshalb

Treibende Kraft ist die EU-Kommission. Eine weitere Befürworterin ist die Deutsche Bundesregierung. Deutschland gilt laut Berichten als einziger Mitgliedstaat, der Änderungen an der DSGVO aktiv befürwortet. Wirtschaftlich argumentiert die Kommission mit weniger Bürokratie, niedrigeren Kosten und mehr Wettbewerbsfähigkeit.

Auf der Gegenseite stehen Datenschutzorganisationen und Einzelpersonen. Etwa Noyb oder Max Schrems warnen vor einem Angriff auf die Privatsphäre: Schwächere Einwilligungsstandards bei Cookies, ein weit gefasstes «berechtigtes Interesse» für KI-Training und enger definierte sensible Daten könnten KI-Konzernen einen «Freibrief» zum Datensaugen verschaffen.

Was hätte das zur Folge?

  • Data Act: Vier Akte verschmelzen im überarbeiteten Data Act; weniger Überschneidungen, mehr Einheitlichkeit.
  • Cookies: Opt-in wird durch ein System ersetzt, das alle DSGVO-Rechtsgrundlagen zulässt; Opt-out für Nutzende, verpflichtende Beachtung «maschineller Präferenzsignale»; Ausnahmen für Medienanbieter.
  • KI-Training: Verarbeitung personenbezogener Daten auf Basis «berechtigten Interesses» möglich; Debatte um Grenzen und Aufsicht verschärft sich.
  • Sensible Daten: Artikel 9 enger gefasst; genetische/biometrische Daten weiter besonders geschützt.
  • KI-Aufsicht: Kompetenzen stärker beim AI Office gebündelt; KMU-Erleichterungen.
  • Cyber-Meldewesen: Meldestrukturen sollen schlanker werden; Details folgen mit dem Entwurf.

Am 19. November 2025 wird der Kommissionsentwurf von Henna Virkkunen vorgestellt. Danach beginnt das reguläre Gesetzgebungsverfahren im Rat und Parlament der EU.

Titelbild: Shutterstock

6 Personen gefällt dieser Artikel

User Avatar
User Avatar
Florian Bodoky
Editor
Florian.Bodoky@digitecgalaxus.ch

Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.

Security
Folge Themen und erhalte Updates zu deinen Interessen
Hintergrund

Interessantes aus der Welt der Produkte, Blicke hinter die Kulissen von Herstellern und Portraits von interessanten Menschen.

Alle anzeigen

Diese Beiträge könnten dich auch interessieren

  • Hintergrund

    AI-Act: So will die EU Künstliche Intelligenz in die Schranken weisen

    von Florian Bodoky

  • Hintergrund

    Was ist der Digital Networks Act?

    von Florian Bodoky

  • Hintergrund

    Einwilligung ohne Kontrolle: Warum Cookie-Banner scheitern

    von Florian Bodoky

9 Kommentare

Avatar
later