Sehr geehrte Leserinnen und Leser,

am Jahresende legt die EU-Kommission ein Paket vor, das uns weit über 2026 hinaus begleiten dürfte. Mit dem „Digital-Omnibus“ will Brüssel ein für Praktiker zunehmend unübersichtliches Geflecht aus Digitalvorgaben ordnen und zugleich einzelne Punkte der DSGVO an die Realität der letzten Jahre anpassen.

Die Wahl eines „Omnibus“ ist kein Zufall. Dahinter steht eine Gesetzgebungstechnik, mit der die Kommission mehrere Rechtsakte in einem Schritt anpasst. Viele kleine Stellschrauben, die einzeln kaum tragfähig wären, sollen gemeinsam ein Modernisierungssignal setzen. Entstehen soll kein neues Großgesetz, sondern ein gezieltes Update. Auch ein solches Paket durchläuft jedoch das reguläre Gesetzgebungsverfahren nach Art. 294 AEUV – der AEUV kennt den Begriff „Omnibus“ schlicht nicht. Der Ansatz zielt somit nicht auf eine Verkürzung der üblichen Gesetzgebungswege ab, sondern auf die Bündelung vieler kleiner, aber notwendiger Anpassungen in einem einzigen Schritt.

Hintergrund des Pakets sind die laufenden Digital-Fitness-Initiativen, die Bürokratie abbauen und widersprüchliche Vorgaben harmonisieren sollen. Gerade im Zusammenspiel von DSGVO, KI-Verordnung und Data Act kam es zuletzt zu vielen Punkten, an denen die Praxis ins Stocken geriet. Ob der Omnibus diese Ziele erreicht, wird man sicher unterschiedlich bewerten. Stilistisch überzeugen die Vorschläge kaum: Viele Formulierungen fallen sogar hinter das bestehende Niveau an Klarheit und Verständlichkeit zurück. Hinzu kommen neue, teils systemfremde unbestimmte Rechtsbegriffe. Wer gehofft hat, der Omnibus bringe weniger Interpretationsbedarf, wird feststellen, dass in aktueller Fassung nahezu jeder Änderungsvorschlag eine neue Spielwiese für kreative Auslegung schafft.

Auch inhaltlich liefert der Omnibus nicht den ganz großen Wurf. Deutlich wird das dort, wo zentrale Themen bewusst ausgespart bleiben. So bleibt etwa der Katalog des Art. 9 Abs. 2 DSGVO nahezu unverändert, ebenso die Definition der Gesundheitsdaten. Gerade hier hätte erhebliches Potenzial bestanden, denn die Rechtsprechung der vergangenen Jahre führt in der Praxis zu bemerkenswerten Verrenkungen. Auch eine neue „KI-Rechtsgrundlage“ wirkt eher wie ein politisches Signal als eine fachlich überzeugende Lösung. Ein Durchbruch ist sie jedenfalls nicht.

Erfreulich finde ich dagegen die geplanten Klarstellungen zu Art. 22 DSGVO. Dass automatisierte Entscheidungen „erforderlich“ sein können, obwohl Vertragsschluss oder Durchführung theoretisch auch durch Menschen erfolgen könnten, war nach meiner Auffassung schon jetzt durch Auslegung erreichbar. Nun soll dies ausdrücklich festgeschrieben werden. Genau solche Präzisierungen verhindern Fehlentwicklungen, die sich mit der Zeit von der ursprünglichen Intention des Gesetzgebers entfernen. Wer aufgrund der geplanten Streichung der Formulierung „hat das Recht“ in Art. 22 DSGVO außerdem eine Abkehr von bestehenden Grundprinzipien befürchtet, verkennt die Rechtsprechung des EuGH. Der EuGH hat Art. 22 DSGVO ausdrücklich als Rechtmäßigkeitsnorm und nicht als Betroffenenrecht eingeordnet (vgl. EuGH, Urt. v. 7.12.2023 – C-634/21, Rn. 52 f., 57). Die dogmatischen Leitplanken bleiben unverändert bestehen. Die Streichung würde den Charakter der Vorschrift nicht verändern, sondern der Rechtsprechung folgen und für mehr Verständlichkeit sorgen.

Von einer Aushöhlung des Datenschutzes kann im Übrigen keine Rede sein. Dafür tragen die Änderungen nicht weit genug. Einige der vorgeschlagenen Erleichterungen könnten aber durchaus dabei helfen, bestehende Überforderung abzubauen und den Blick wieder auf die wirklich relevanten Pflichten lenken. Ein Beispiel ist die geplante Fokussierung der Meldepflichten gegenüber den Aufsichtsbehörden auf Vorfälle mit hohem Risiko. Das entlastet Verantwortliche wie Aufsichtsbehörden gleichermaßen. Ebenfalls sinnvoll ist die Verlängerung der Meldefrist auf mindestens 96 Stunden, zumal es sich nicht mehr um eine strikte Höchstfrist handelt und eine spätere Meldung mit Begründung zulässig ist. Solche Anpassungen schwächen kein Datenschutzrecht, sondern schaffen Raum, um wesentliche Risiken einzudämmen. Für eine echte strukturelle Entlastung hätte das Paket jedoch mutiger ausfallen müssen – insbesondere dort, wo die Praxis seit Jahren unter Unklarheiten leidet. Und das betrifft eben weniger etwaige Dokumentationspflichten, sondern eher Bereiche, in denen grundlegende Definitionen oder Pflichten bis heute unscharf oder nicht praktikabel sind.

So oder so dürfte der Digital-Omnibus ein anspruchsvolles Jahr 2026 einläuten. Wir werden prüfen, auslegen und übersetzen müssen, was Brüssel tatsächlich geregelt hat – falls alles wie geplant verläuft. Es stehen beispielsweise noch die Änderungswünsche von Parlament und Rat aus. Diese könnten bestehende Defizite des bisherigen Entwurfs beheben oder aber verschlimmbessern, aber auch verschlimmbessern oder sogar noch das gesamte Paket zu Fall bringen (abrufbar ist der aktuelle Entwurf unter https://ogy.de/Digital-Omnibuspaket-2025, siehe zur DSGVO S. 54–60). Der ambitionierte Plan, das Paket bereits im kommenden Sommer in Kraft treten zu lassen, verlangt in jedem Fall eine schnelle Einigung und flexible Kompromisse vonseiten der EU-Institutionen.

Für den Moment markiert das Paket einen Schlusspunkt zum Jahresende und zugleich den Auftakt für eine Phase, in der wir die Weichenstellungen auch in kommenden Heften des DSB detailliert vorstellen werden. Kommen Sie gut ins neue Jahr – die Themen werden uns auch 2026 nicht ausgehen.

Ihr

Laurenz Strassemeyer

Dieser Beitrag erschien als Editorial in der Ausgabe 12/2025 des Datenschutz-Berater.