Zum Hauptinhalt springen

Die EU kündigt ein Paket zur Vereinfachung digitaler und datenbezogener Regeln an.

05/12/2025
Lasse Peters

Teile des AI Act verschieben sich

Am 20. November 2025 hat die Europäische Kommission ein umfangreiches Vereinfachungspaket vorgestellt, das viele schon länger erwartet hatten. Intern spricht man häufig vom „Digital Omnibus“. Der Name wirkt etwas technisch, aber im Kern geht es darum, die wachsende Zahl an Vorgaben rund um digitale und datengetriebene Themen übersichtlicher zu machen. Ziel ist, Dopplungen zu reduzieren und die Wettbewerbsfähigkeit in Europa zu stärken. Für IT-Entscheider, CTOs, CISOs und Security Manager bleibt das nicht theoretisch. Es sind Veränderungen, die sich ziemlich direkt auf Roadmaps, Budgets und Compliance-Prozesse auswirken.

Das Paket berührt gleichzeitig mehrere zentrale Rechtsrahmen, darunter den EU AI Act, die DSGVO, die NIS2-Richtlinie und DORA. Dazu kommen Anpassungen der Cookie-Regeln und eine stärkere Zusammenführung der Datenrechtslandschaft rund um den Data Act. Außerdem startet die Kommission eine Data Union Strategy, mit der der Zugang zu hochwertigen Daten für KI verbessert werden soll.

Man fragt sich unweigerlich, was genau dahintersteckt, was sich konkret ändert und wie Unternehmen am besten reagieren.

Warum die Kommission vereinfachen will

Seit einigen Jahren wächst der digitale Rechtsrahmen der EU sehr schnell. Neue Gesetze sollen Innovation sicherer machen, Grundrechte schützen und die Cyber-Resilienz erhöhen. Gleichzeitig entstehen Überlappungen, unterschiedliche Definitionen und parallele Meldepflichten. Viele Unternehmen empfinden genau das als zunehmend belastend. Die Kommission greift damit eine häufig formulierte Kritik auf, nämlich dass komplexe und teilweise redundante Regulierung Investitionen hemmt und Europas Wettbewerbsfähigkeit schwächt. Diese Diagnose tauchte zuletzt im Draghi-Report sehr deutlich auf und hat ganz offensichtlich die Vereinfachungsagenda beschleunigt.

Der Digital Omnibus ist eines von mehreren Vorhaben, die verschiedene Bereiche der Regulierung auf mögliche Verschlankung prüfen. Gerade im Digitalbereich ist das politisch sensibel, weil hier Schutzinteressen und Innovationsdruck stärker aufeinanderprallen als anderswo.

Für die Praxis bedeutet das kein Zurückdrehen der Regulierungen. Die EU versucht vielmehr, Regeln kompatibler und konsistenter zu gestalten und Fristen so zu setzen, dass Unternehmen realistischer planen können. Für viele dürfte das einerseits entlastend sein, andererseits braucht es dafür eine Anpassung der eigenen Governance-Strukturen.

Was im Digital Omnibus enthalten ist

Die Kommission hebt mehrere weitreichende Änderungen hervor, darunter:

  • Eine Verzögerung bei den Bestimmungen zum hohen Risiko von KI im KI-Gesetz
  • Ein einheitlicher Meldeweg für Cybersicherheitsvorfälle
  • Eine Reform der DSGVO zur Schaffung eines innovationsfreundlicheren Rahmens
  • Modernisierte Cookie-Regeln
  • Konsolidierung mehrerer Datenregelungen im Rahmen des Datenrechts

Diese Maßnahmen sind miteinander verknüpft und wirken sich auf die gesamte Kette aus, von der Datenverarbeitung und dem Sicherheitsmanagement bis hin zur KI-Entwicklung und den betrieblichen Arbeitsabläufen.

AI Act: Verzögerung der Hochrisiko-Regeln und Folgen

Am deutlichsten fällt die Verschiebung der Hochrisiko-Regeln im AI Act auf. Bis zu 16 Monate sollen Unternehmen mehr Zeit bekommen. Die Kommission begründet das damit, dass harmonisierte Standards, Leitlinien und Hilfsinstrumente für die Umsetzung noch fehlen.

Für viele Unternehmen dürfte das zunächst Erleichterung bringen. Besonders in Bereichen wie Identity-Prozessen, Fraud Detection, HR-Screening, OT-Überwachung oder medizinischen und finanziellen Anwendungen. Die zusätzliche Zeit erleichtert es, Modelle sauber zu evaluieren, Datenpipelines zu stabilisieren, Dokumentation aufzubauen und Lieferketten auf AI-Compliance zu überprüfen.

Dies ist jedoch keine Einladung, eine Pause einzulegen. Unternehmen, die KI skalieren, sollten die Pufferzeit nutzen, um sich auf Hochrisiko-Pflichten vorzubereiten, darunter:

  • Klare Systemklassifizierung
  • Risiko- und Folgenabschätzungen
  • Schulung zur Datenverwaltung
  • Protokollierung und Überwachung
  • Menschliche Überwachungsprozesse

Diejenigen, die diese Grundlagen jetzt schaffen, werden deutlich weniger Reibungsverluste haben, sobald die Verpflichtungen vollständig in Kraft treten.

Strategisch gesehen zeigt die Verzögerung auch, dass die EU ehrgeizig, aber pragmatisch ist. Sie ist bereit, Zeitpläne anzupassen, wenn das Ökosystem und die Standards noch nicht bereit sind. Dies macht die Regulierungsplanung flexibler, erhöht aber auch die Notwendigkeit einer szenariobasierten Planung anstelle von starren, terminorientierten Ansätzen.

DSGVO, NIS2 und DORA: weniger Reibung im Datenschutz und Reporting

DSGVO-Reform mit mehr Spielraum

Die Kommission plant mehrere Anpassungen der DSGVO. Unter anderem sollen Schwellenwerte und Fristen im Data-Breach-Notification-Regime verändert werden. Auch Definitionen wie die personenbezogener Daten sollen präzisiert werden. Außerdem sind Ausnahmen und Klarstellungen vorgesehen, die die Entwicklung und den Betrieb von KI-Systemen erleichtern.

Für Datenschutz- und Security-Teams könnte das mehr operativen Spielraum bedeuten. Meldepflichten würden weniger schematisch und stärker risikobasiert. Dadurch können Kapazitäten auf Fälle gelenkt werden, bei denen tatsächlich Schaden entstanden ist. Gleichzeitig müssen Unternehmen Entscheidungen künftig sauber dokumentieren, um die neue Flexibilität nachvollziehbar zu machen.

Für KI-Projekte ist besonders relevant, dass die DSGVO klarer fassen soll, wie KI-taugliche Datenverarbeitung rechtssicher möglich ist. Das verringert das Risiko, dass Use Cases wegen unsicherer Rechtsinterpretationen steckenbleiben.

Einheitliches Incident Reporting

Geplant ist außerdem ein zentraler Meldepunkt für Cybersecurity-Vorfälle. Statt Meldungen nach NIS2, DSGVO und DORA getrennt einzureichen, soll es einen einheitlichen Mechanismus geben. Die Kommission könnte hierfür auf der Plattform aufbauen, die bereits für den Cyber Resilience Act entwickelt wird.

Für Unternehmen ist das ein spürbarer Effizienzgewinn. Wer einmal einen Vorfall unter Zeitdruck melden musste, kennt die Herausforderung, verschiedene Fristen und Formate sauber einzuhalten. Ein zentraler Kanal reduziert Komplexität und kann die Qualität der Meldungen erhöhen, weil einheitliche Felder und Taxonomien genutzt werden.

Damit verbunden ist jedoch ein Umbau der eigenen Reporting-Workflows. Viele Organisationen haben NIS2, DSGVO und DORA in getrennte Compliance-Strukturen überführt. Künftig wird ein integriertes Modell erforderlich sein, einschließlich gemeinsamer Register, abgestimmter Severity-Kriterien und klarer Verantwortlichkeiten.

Datenrecht, Cookies und die Data Union Strategy

Konsolidierung im Data Act

Die Kommission möchte mehrere bestehende Datenregime im Data Act bündeln, darunter die Free Flow of Data Regulation, den Data Governance Act und die Open Data Directive. Anschließend sollen die Vorschriften besser aufeinander abgestimmt und verschlankt werden.

Für Unternehmen entsteht dadurch vor allem eine Governance-Erleichterung. Heute müssen je nach Datentyp verschiedene Rechtsquellen parallel berücksichtigt werden. Eine stärkere Bündelung macht Datenstrategien konsistenter, vor allem für Firmen, die Daten über Ländergrenzen hinweg nutzen.

Modernisierte Cookie-Regeln

Die EU möchte außerdem die Zahl der Cookie-Banner reduzieren und Präferenzen stärker über Browser steuern. Für Digital-Teams vereinfacht das einiges, da weniger Banner die Nutzererfahrung verbessern und den Aufwand im Consent-Management reduzieren. Die Verantwortung für sauberes Tracking bleibt aber bestehen.

Dies ist ein praktischer Schritt für digitale Teams: Weniger Banner verbessern die Benutzererfahrung, erhöhen die Konversionsraten und verringern den operativen Aufwand für das Einwilligungsmanagement. Die Verantwortung für die ordnungsgemäße Nachverfolgung und Zweckbindung bleibt jedoch unverändert bestehen.

Data Union Strategy

Zusätzlich startet die Kommission eine Data Union Strategy, die hochwertige Daten für KI leichter verfügbar machen soll. Vorgesehen sind unter anderem ein Data-Act-Helpdesk und Maßnahmen zur Stärkung der europäischen Datensouveränität, etwa der Schutz sensibler nicht personenbezogener Daten und Regeln zum Umgang mit EU-Daten außerhalb Europas.

Damit setzt die EU ein klares Zeichen, ein leistungsfähiges KI-Ökosystem aufzubauen. Gerade für Industrie, kritische Infrastrukturen und den Mittelstand könnte ein breiterer Zugang zu qualitativ hochwertigen Daten entscheidend sein, um KI-Projekte aus der Pilotphase in den realen Betrieb zu überführen.

Was Unternehmen jetzt tun sollten

Auch wenn das Paket noch durch Konsultation, Parlament und Rat muss, lohnt sich eine frühe Vorbereitung.

  1. Übergreifende Gap-Analyse starten.
    AI Act, DSGVO, NIS2 und DORA gemeinsam betrachten und prüfen, wo definitorische Unterschiede, Doppelanforderungen oder künftige Zusammenführungen relevant werden.
  2. Incident Reporting zusammenführen.
    Wenn ein zentraler Meldepunkt kommt, braucht es ein gemeinsames Incident-Register, harmonisierte Severity-Skalen und klare Zuständigkeiten.
  3. KI-Governance beschleunigen.
    Die Verzögerung des AI Act schafft Zeit, aber kein Aussetzen. Modellinventare, Klassifizierungen, Monitoring und Dokumentation sollten jetzt aufgebaut werden.
  4. Datenstrategie anpassen.
    Wenn sich Data-Regime stärker vereinen, ist es sinnvoll, Datenflüsse und Zugriffsrechte neu zu kartieren. Das kann langfristig Kosten senken.
  5. Marketing- und Produktteams auf neue Cookie-Regeln vorbereiten.
    Consent-Tools prüfen und überlegen, wie schnell Browser-Präferenzmodelle unterstützt werden können.

Fazit

Das Digital-Omnibus-Paket und die Verschiebung der AI-Act-Teile markieren eine erkennbare Kurskorrektur. Weniger parallele Regeln, mehr Konsistenz und realistischere Zeitrahmen. Anforderungen verschwinden dadurch nicht, sie rücken nur enger zusammen und werden stärker risikobasiert. Das schafft Freiräume für Innovation, besonders im KI-Bereich, verlangt aber gleichzeitig eine Anpassung der Governance.

Damovo kann Unternehmen dabei unterstützen, sei es bei der Bewertung der betroffenen Regulatorik, der Überführung bestehender Compliance-Programme in ein integriertes Modell, beim Aufbau eines einheitlichen Incident-Reportings oder bei der Umsetzung von KI- und Datenschutzanforderungen. So entsteht nicht nur Rechtssicherheit, sondern auch Tempo für Digital- und KI-Projekte.

Sprechen Sie mit unseren Experten
Treten Sie der Damovo-E-Mail-Liste mit über 10.000 Mitgliedern bei, um die neuesten Erkenntnisse und exklusive Inhalte zu erhalten.
Jetzt abonnieren