Aktuelle Entwicklungen zum "Digital Omnibus"-Paket der EU-Kommission
Die EU-Kommission arbeitet derzeit an einem umfassenden "Digital Omnibus"-Paket, das zahlreiche bestehende Regelwerke – darunter die DSGVO, den Data Act, den Data Governance Act, die ePrivacy-Verordnung sowie den AI Act – vereinfachen soll. Ziel ist eine Entlastung von Unternehmen sowie eine stärkere Vereinheitlichung des digitalen Rechtsrahmens. Die ersten geleakten Entwürfe zeigen bereits deutlich in diese Richtung:
Praxisnahe Anpassungen in der DSGVO
Das Auskunftsrecht nach Art 15 DSGVO soll klarer fassen, unter welchen Umständen Verantwortliche übermäßig weitgehende, missbräuchliche oder strategisch motivierte Auskunftsbegehren ablehnen oder hierfür Gebühren verlangen dürfen. Dies soll Unternehmen einen rechtssicheren Umgang mit zunehmend komplexen oder überbreiten Anfragen ermöglichen. Gerade durch den Anstieg an Fällen des Litigation Phishing ist eine solche Klarstellung auch dringend notwendig.
Weiters schlägt die Kommission eine Verlängerung der Meldefrist für Datenpannen nach Art 33 DSGVO von derzeit 72 auf 96 Stunden vor. Eine Meldepflicht soll zudem nur bestehen, wenn der Vorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Damit soll die Belastung sowohl für Unternehmen als auch für Aufsichtsbehörden reduziert werden.
Nach dem vorgeschlagenen neuen Wortlaut des Art 22 DSGVO sollen automatisierte Entscheidungen auch dann auf die Vertragserfüllung gestützt werden können, wenn sie theoretisch auch manuell möglich wären. Dies würde automatisierte Prozesse im Unternehmensalltag spürbar erleichtern und viele offene Fragen rund um die Erforderlichkeit im Sinne der Innovation klären.
Hervorzuheben ist auch der Vorschlag für einen neuen Art 88c DSGVO, der eine spezifische Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Entwicklung und dem Betrieb von KI-Systemen schaffen soll. Die Verarbeitung soll auf berechtigte Interessen gem Art 6 Abs 1 lit f DSGVO gestützt werden können, sofern die Interessen der betroffenen Personen nicht überwiegen und geeignete Schutzmaßnahmen bestehen. Damit entsteht erstmals ein klarer, auf KI zugeschnittener Rechtsrahmen in der DSGVO.
Stärkere Absicherung von Daten und Geschäftsgeheimnissen
Im Kontext des Data Acts greift die Kommission den zunehmenden Bedarf nach einem verbesserten Schutz von Betriebs- und Geschäftsgeheimnissen auf. Der Data Act verpflichtet Unternehmen bislang, Daten – einschließlich vertraulicher Informationen – mit Nutzern und deren ausgewählten Dritten zu teilen. Künftig soll eine Weigerung dann zulässig sein, wenn ein hohes Risiko besteht, dass Geschäftsgeheimnisse in Drittstaaten mit unzureichendem Schutzniveau offengelegt oder missbraucht werden könnten. Dies betrifft auch EU-Unternehmen, die faktisch unter dem Einfluss nicht-europäischer Mutterkonzerne stehen.
Single Entry Point für Incident Reporting
Darüber hinaus soll ein zentrales europäisches Meldesystem eingeführt werden, über das Unternehmen Vorfälle nach DSGVO, NIS-2, DORA und vergleichbaren Vorschriften einheitlich melden können. Ziel ist die Vermeidung von Mehrfachmeldungen und eine deutliche Vereinfachung der Meldepflichten und damit ein erheblicher administrativer Entlastungsschritt. Das ist gerade in Ausnahmesituationen, wie Cyberangriffen, zu begrüßen.
Fazit
Viele der praxisnahen Ansätze decken sich mit den Herausforderungen, die wir auch in unserer täglichen Beratungspraxis sehen. Wie der offizielle Entwurf der Kommission am 19.11.2025 konkret aussehen wird und welche Punkte schließlich im Gesetzgebungsverfahren mit Parlament und Rat bestehen bleiben, bleibt abzuwarten. Die bisherigen Ansätze erscheinen vielversprechend und könnten Unternehmen spürbar entlasten. Wir halten Sie, wie gewohnt, natürlich auf dem Laufenden.