EU-Digital-Omnibus: Kniefall vor den Tech-Konzernen

„Vereinfachung“ und „Innovationsförderung“ sind die Stichworte, mit denen die EU-Kommission ihr großes Gesetzesvorhaben, den sogenannten Digital-Omnibus, bewirbt. Mit dem will sie Digitalgesetze und KI-Regulatorik konsolidieren und die Datenschutz-Grundverordnung (DSGVO) ändern.

von Dr. Andrea Brieger

Die EU-Kommission möchte ihren Digital-Omnibus schnellstmöglich durch die Gremien bringen – ohne umfangreiche Anhörungen. Im Sommer 2025 sah das noch anders aus. Da startete die EU-Kommission eine Abfrage („Call for Evidence“) bei Unternehmen und Verbänden, um Änderungsbedarf im Bereich Cybersicherheit, Datengovernance und Datenschutz zu erfragen. War hier noch von einer „Weiterentwicklung“ des Datenschutzrechts die Rede, überraschte der vorgelegte Gesetzentwurf mit Neuerungen, die zentrale Elemente der DSGVO betreffen.

Der Entwurf enthält einige gute Ideen, zum Beispiel eine zentrale Meldestelle für Cybervorfälle, eine Vereinfachung der Cookie-Regelungen oder die Reduzierung von Dokumentationspflichten für Unternehmen. Auch die geplante Zusammenfassung verschiedener Digital-Gesetze im neuen Data Act macht Sinn. Daneben gibt es aber Passagen, die der bisherigen Gesetzessystematik komplett widersprechen und dadurch mehr Schaden als Nutzen anrichten würden.

Änderung des Anwendungsbereichs von Datenschutzgesetzen

Datenschutzgesetze gelten nur für personenbezogene Informationen. Was personenbezogene Informationen sind, ist bislang in der DSGVO eindeutig definiert: Ist es objektiv möglich, mit der Information – auch unter Zuhilfenahme von Zusatzinfos – einen Menschen zu identifizieren, dann sind die Datenschutzvorgaben einzuhalten. Ist dies nicht möglich, fällt die Datenverarbeitung nicht unter das Datenschutzrecht.

Im neuen Gesetz wird diese Definition verändert, indem eine subjektive Komponente eingeführt werden soll: Wenn Daten für denjenigen, der sie verarbeiten will, nicht identifizierbar sind, dann gelten sie als „nicht personenbezogen“. Das Datenschutzrecht wäre nicht anwendbar. Die Informationen könnten ohne Einschränkungen weitergegeben, weiterverkauft und zum Beispiel für das Trainieren von KI-Systemen genutzt werden. Eingriffsmöglichkeiten für die betroffenen Personen gäbe es nicht mehr, denn die in der DSGVO verankerten Betroffenenrechte wären auf diese Datenbestände nicht anwendbar: Es gäbe keinen Anspruch auf Auskunft darüber, welche Daten zu welchen Zwecken von einem Unternehmen verarbeitet werden, kein Widerspruchsrecht, keinen Anspruch auf Löschung.

Das ist eine Regelung, die man nur als Freifahrtschein für die ganz großen Tech-Konzerne lesen kann: Meta, Google & Co. verfügen schon jetzt über Unmengen von Detailinformationen zu Nutzern (Nutzerverhalten, Posts in Social Media, Standorte, Bewegungsdaten, Kontakte zu anderen Nutzern etc.), die sie nur zu gern nach Belieben weitergeben, miteinander verknüpfen und auswerten möchten, ohne durch Gesetze dabei reglementiert zu werden.

Der Digital-Omnibus gäbe ihnen dazu die Möglichkeit, sie müssten die Informationen nur in passende kleine „Informationsschnipsel“ zerlegen, um sie aus dem Geltungsbereich der DSGVO herauszubekommen. Die Daten würden jeglichen Schutz verlieren, auch wenn sie zu einem späteren Zeitpunkt oder durch andere Stellen wieder einer Person zugeordnet werden könnten, und könnten ohne gesetzliche Schranken für andere Zwecke genutzt, verkauft, weitergeleitet oder verändert werden.

Alles ist Forschung?

Forschung zu erleichtern, klingt nach einem sinnvollen Ziel. Schon heute sind Forschungsvorhaben unter bestimmten Bedingungen in der DSGVO privilegiert und unterliegen weniger strengen Anforderungen an Transparenzpflichten und Betroffenenrechten. Dies soll ausgebaut werden. Auch hier geht der Digital-Omnibus an das Fundament des Rechtsrahmens, die Legaldefinition. Forschung soll in Zukunft alle Tätigkeiten umfassen, die „Innovation unterstützen“, einen „Beitrag für die Entwicklung des allgemeinen Wissens und Wohlergehens der Gesellschaft“ leisten oder eine „neuartige Anwendung vorhandener Erkenntnisse“ darstellen. Explizit nicht ausgenommen ist, dass Forschung auch einem rein gewerblichen Interesse dienen kann.

Die neue Definition wirft Fragen auf: Was ist dann keine Forschung mehr? Jede Auswertung und Profilbildung von Kunden- und Nutzerverhalten könnte als Forschung klassifiziert werden und in den Genuss von Forschungsprivilegien kommen.

KI ist immer gut?

Künstliche Intelligenz ist in aller Munde, auch in Europa möchte man mit dieser Technologie Wettbewerbsvorteile generieren. Der Digital-Omnibus sieht deshalb einen neuen Erlaubnistatbestand vor: Besonders schützenswerte Daten gem. Art. 9 DSGVO (z. B. Gesundheitsdaten, Informationen zu sexueller Orientierung, religiösen Überzeugungen) dürfen mit KI verarbeitet werden. Damit knüpft das Gesetz die Erlaubnis für die Verarbeitung an die verwendete Technologie, nicht an die mit der Datenverarbeitung verfolgten Zwecke. Das hätte zur Folge, dass Datenverarbeitungen, die ohne KI verboten wären, rechtmäßig erfolgen könnten, wenn sie mit KI-Unterstützung durchgeführt würden.

Politische Dimension einer juristischen Debatte

Der Gesetzesentwurf ist vor allem ein Zugeständnis an die USA und die Interessen ihrer großen Tech-Konzerne. Es liegt nahe, einen Zusammenhang zu dem politischen Druck zu sehen, dem sich die EU durch die US-amerikanische Zollpolitik ausgesetzt sieht. Auch die deutsche Bundesregierung tat sich mit Forderungen nach einer „Vereinfachung“ der Datenschutzgrundverordnung hervor, passenderweise wenige Tage vor der Veröffentlichung des Entwurfs für den Digital-Omnibus.

Im EU-Parlament findet diese Linie unter anderem die Unterstützung der EVP-Fraktion. Dazu passt die Benennung der finnischen Abgeordneten Aura Salla (EVP) als Berichterstatterin für das Digital-Omnibus-Paket im Ausschuss für Industrie, Forschung und Energie (ITRE) des EU-Parlaments. Salla war vor ihrem Einzug ins EU-Parlament Cheflobbyistin von Meta in Brüssel.

Nutznießer der vorgeschlagenen Regelung sind nicht die Bürgerinnen und Bürger, es sind auch nicht die politisch so hochgelobten kleinen und mittleren Unternehmen, die entlastet werden sollen. Alleinige Profiteure wären die großen Tech-Konzerne, die durch die neuen Regelungen ihre geschäftlichen Interessen in Europa noch ungehinderter verfolgen könnten. Eine digitale Souveränität Europas wird man dadurch nicht erreichen. Im Gegenteil: Es besteht das Risiko, dass die Tech-Konzerne ihre Marktmacht weiter ausbauen.

Bei der Bewertung des vorgelegten Gesetzespakets geht es deshalb um mehr als um juristische Spitzfindigkeiten. Datenschutz schützt Menschen, ist wesentlicher Grundrechtsschutz in einer Welt, in der kaum ein Aspekt unseres Lebens noch frei von digitaler Datenverarbeitung ist. Der Schutz der Privatsphäre ist nicht nur für den Einzelnen wichtig, sondern von zentraler Bedeutung für unsere Freiheit. Der Gesetzesentwurf bedroht damit auch unsere demokratischen Institutionen, für die eine sichere und freie Informationsverarbeitung essenziell ist.

Glücklicherweise zeichnen sich erste Widerstände ab: Der Europäische Datenschutzausschuss (EDSA) hat erhebliche Bedenken geäußert und die Einhaltung der Grundrechtsprinzipien aus Art. 8 der EU-Grundrechtecharta angemahnt. Ähnlich äußerte sich im März 2026 auch der Deutsche Bundesrat. Es bleibt zu hoffen, dass diese konstruktiven und kritischen Stimmen viel Unterstützung erfahren und sich durchsetzen werden.

Onlinetipps

Europäische Kommission
Vorschlag für eine Digital-Omnibus-Verordnung
19.11.2025/19.01.2026
www.t1p.de/rzylb

European Data Protection Board
Digitaler Omnibus: EDSA und EDSB unterstützen Vereinfachung und Wettbewerbsfähigkeit und äußern gleichzeitig zentrale Bedenken
11.02.2026
www.t1p.de/ngg4x

Beschluss des Bundesrats
Stellungnahme zur geplanten Digital-Omnibus-Verordnung
Drucksache 34/26
27.03.2026
www.t1p.de/vvt6w