Digitaler Omnibus: EU-Kommission verteidigt Lockerungen beim Datenschutz
Die EU-Kommission hat umfangreiche Vorschläge zur Neuregelung von Digitalgesetzen vorgelegt. Der sogenannte digitale Omnibus solle die bestehenden Vorschriften für künstliche Intelligenz (KI), Cybersicherheit und Daten vereinfachen, teilte die Brüsseler Behörde am 19. November 2025 mit(öffnet im neuen Fenster) . Damit soll vor allem die Datennutzung für Training und Betrieb von KI-Modellen erleichtert werden.
Die Vorschläge wurden schon vorab bekannt. Das betrifft zum einen die Änderungen am Datengesetz (Data Act) und der Datenschutz-Grundverordnung (DSGVO) , zum anderen die verzögerte Anwendung der KI-Verordnung .
Zudem soll die Zustimmung zum Nutzertracking per Cookie-Banner neu geregelt werden. Außerdem wird eine digitale Identität für Firmen und eine zentrale Anlaufstelle für Cybersicherheitsfälle vorgeschlagen.
Kommission verweist auf Datenschutzausschuss
EU-Justizkommissar Michael McGrath verteidigte auf einer Pressekonferenz(öffnet im neuen Fenster) die Pläne gegen Vorwürfe, den Schutz personenbezogener Daten zugunsten von KI-Firmen zu schwächen. Ein neuer Passus in der DSGVO soll vorsehen, dass personenbezogene Daten ohne Zustimmung der Nutzer für das Training und den Betrieb von KI-Modellen genutzt werden dürfen.
McGrath verwies auf eine Stellungnahme des Europäischen Datenschutzausschusses(öffnet im neuen Fenster) (EDSA) vom Dezember 2024, wonach ein berechtigtes Interesse zur Nutzung der Daten vorliegen könne. Auf Basis dieser Einschätzung scheiterten Verbraucherschützer bereits mit dem Versuch , dem US-Konzern Meta für sein KI-Training einen breiten Zugriff auf Nutzerdaten gerichtlich untersagen zu lassen.
Neue Cookie-Regelung vorgeschlagen
Der vom EDSA vorgeschlagene dreistufige Test findet sich in dem Omnibus-Paket jedoch nicht wieder. So reicht es laut Erwägungsgrund 31 für ein berechtigtes Interesse bereits aus, "wenn die Verarbeitung personenbezogener Daten darauf abzielt, genaue und sichere Ergebnisse für eine vorteilhafte Nutzung zu gewährleisten, beispielsweise um den Zugang zu bestimmten Diensten zu verbessern" . Ein bedingungsloses Recht auf Widerspruch ist jedoch vorgesehen.
Bei der neuen Regelung zu Cookie-Bannern sollen Nutzer die Möglichkeit erhalten, "die Einwilligung auf einfache und verständliche Weise mit einem einzigen Klick oder einem gleichwertigen Mittel zu verweigern" . Im Falle einer Ablehnung darf innerhalb von sechs Monaten keine neue Abfrage erfolgen.
Allerdings sollen Cookies künftig ohne Einwilligung gesetzt werden können, wenn dies für die "Erstellung aggregierter Informationen über die Nutzung eines Onlinedienstes zur Messung der Reichweite dieses Dienstes" erforderlich ist. Auch nicht näher definierte Sicherheitszwecke reichen demnach als Begründung aus, um auf Endgeräte zugreifen zu können.
Dem IT-Branchenverband Bitkom gehen die Vorschläge jedoch nicht weit genug. So sei "eine grundsätzliche Überarbeitung" der DSGVO geboten. "Grundlegende strukturelle Probleme werden nicht konsequent adressiert, wie etwa der hohe Aufwand bei Auskunftsrechten und Auftragsverarbeitung" , teilte der Verband mit(öffnet im neuen Fenster) .
Auch beim AI Act bleibe "umfangreicher Verbesserungsbedarf" . So sei derzeit noch offen, "wie eine sektorgerechte Umsetzung der umfangreichen Vorgaben gelingen kann, also so, dass die Regeln zu den jeweiligen Besonderheiten einzelner Branchen wie Industrie, Gesundheitswesen oder Finanzsektor passen" . Der digitale Omnibus fahre zwar in die richtige Richtung, "bleibt aber nach kurzer Strecke stehen" .