Digital Omnibus & KI-Gesetz: Die wichtigsten Änderungen im Überblick

Mit dem Digital Omnibus hat die Europäische Kommission im November 2025 das Kernstück ihrer neuen Digitalstrategie präsentiert. Dieser Vorstoß bündelt und harmonisiert zentrale Regelwerke wie die DSGVO, den Data Act, den AI Act und die ePrivacy-Richtlinien.

Das klare Ziel: Weniger Bürokratie für dein Unternehmen. Statt eines Flickenteppichs an Einzelvorschriften sollen vereinheitlichte Regeln deine Compliance-Kosten senken und Hürden – insbesondere für Start-ups und KMU – abbauen. Der Digital Omnibus reagiert auf die zunehmende Komplexität der Regulierung und schafft praxisnahe Erleichterungen in den Bereichen Künstliche Intelligenz, Datenschutz und Cybersicherheit, ohne das hohe europäische Schutzniveau zu gefährden.

Du profitierst künftig von klareren Vorgaben, etwa bei KI-Training, Hochrisiko-Klassifizierungen oder Web-Browser-Pflichten. Im Mittelpunkt stehen zwei Reformstränge: gezielte Anpassungen am KI-Gesetz und eine umfassende Konsolidierung des Rechtsrahmens durch den Digital Omnibus.

1. Wesentliche Änderungen zur Verbesserung des KI-Gesetzes

Die Änderungen am KI-Gesetz betreffen vor allem die Umsetzungspraxis. Im Kern des Digital Omnibus stehen die KI-VO (KI-Verordnung) und der AI Act als zentrale europäische Rechtsvorschriften für Künstliche Intelligenz, die wesentliche neue Regelungen für die Entwicklung, Anwendung und Kontrolle von KI-Systemen einführen. Das Regelwerk bleibt in seiner Grundstruktur erhalten, wird aber gezielt flexibilisiert und stärker an die wirtschaftliche Realität angepasst. Besonders kleine und wachsende Unternehmen sowie KI-Anbieter, die Hochrisiko-KI-Systeme entwickeln oder betreiben, werden durch die neuen Vorschriften in diesen Bereichen adressiert. Es gelten künftig spezifische Anforderungen an Compliance, Meldepflichten und Cybersicherheit für KI-Anbieter und Hochrisiko-KI-Systeme, um die Sicherheit und Transparenz im Bereich der Künstlichen Intelligenz zu erhöhen.

Erweiterung auf kleine mittelständische Unternehmen (SMCs)

Bislang sah das KI-Gesetz explizite Erleichterungen nur für klassische KMU vor. Nun werden diese Privilegien auf kleine mittelständische Unternehmen (SMCs) ausgeweitet. Die neuen Regelungen kommen dabei insbesondere auch Start-ups zugute, indem sie den regulatorischen Aufwand und die Bürokratie reduzieren. Damit wird anerkannt, dass auch Unternehmen oberhalb der KMU-Schwelle häufig vergleichbaren administrativen Belastungen ausgesetzt sind. Für dich bedeutet das insbesondere weniger Bürokratie bei technischer Dokumentation und eine stärkere Berücksichtigung der wirtschaftlichen Leistungsfähigkeit bei Sanktionen.

Förderung von KI-Kompetenzen

Ein zentraler Systemwechsel betrifft die Verantwortung für KI-Kompetenzen. Während bisher Anbieter und Betreiber von KI-Systemen verpflichtet waren, für entsprechende Schulungen zu sorgen, liegt diese Aufgabe künftig vorrangig bei der EU-Kommission und den Mitgliedstaaten. Damit wird die individuelle Compliance-Last reduziert und stärker auf öffentliche Förder- und Bildungsstrukturen gesetzt.

Verarbeitung besonderer Kategorien personenbezogener Daten

Neu ist eine ausdrückliche Rechtsgrundlage, die es dir erlaubt, besondere Kategorien personenbezogener Daten (z. B. Gesundheits- oder biometrische Daten) zu verarbeiten, sofern dies zwingend erforderlich ist, um Bias und Diskriminierungen in KI-Systemen zu erkennen und zu korrigieren. Diese Öffnung ist eng an strenge Voraussetzungen geknüpft, etwa an technische Schutzmaßnahmen, Dokumentationspflichten und eine Zweckbindung.

Zudem präzisiert der Digital Omnibus die Definition personenbezogener Daten, insbesondere im Hinblick auf die Re-Identifizierung von pseudonymisierten Daten. Damit wird klargestellt, unter welchen Bedingungen pseudonymisierte Daten weiterhin als personenbezogen gelten, insbesondere wenn eine Re-Identifizierung durch Dritte technisch oder organisatorisch möglich ist.

Flexibilität bei der Überwachung nach dem Inverkehrbringen

Der bislang verpflichtende harmonisierte Überwachungsplan nach dem Inverkehrbringen entfällt. Stattdessen erhältst du mehr Gestaltungsspielraum, solange du die Überwachung angemessen in deine technische Dokumentation integrierst. Ergänzend stellt die Kommission Leitlinien bereit, die dir Orientierung bieten, ohne starre Vorgaben zu machen.

Reduzierung des Registrierungsaufwands

Nicht jedes KI-System, das formal in einem Hochrisikobereich eingesetzt wird, stellt tatsächlich ein hohes Risiko dar. Für solche Fälle entfällt künftig die Pflicht zur Registrierung in der EU-Datenbank, sofern du nachvollziehbar dokumentierst, warum dein System kein erhebliches Risiko für Grundrechte, Sicherheit oder Gesundheit aufweist.

Zentralisierung der Aufsicht

Für besonders relevante KI-Systeme – etwa solche auf Basis von Allzweck-KI-Modellen oder eingebettet in sehr große Online-Plattformen – übernimmt künftig das KI-Amt die zentrale Aufsicht. Ziel ist eine einheitliche Durchsetzung und die Vermeidung divergierender nationaler Entscheidungen.

KI-Regulierungs-Sandkästen

Die bestehenden KI-Sandkästen werden deutlich ausgebaut. Ab 2028 wird zusätzlich ein EU-weiter KI-Regulierungssandkasten eingerichtet, der grenzüberschreitende Tests ermöglicht. Gerade für innovative Unternehmen entsteht dadurch ein geschützter Raum, um neue Systeme unter realen Bedingungen zu erproben.

Harmonisierung, Technik und Übergangsfristen

Schließlich werden neue Mechanismen eingeführt, die das Inkrafttreten bestimmter Pflichten an die Verfügbarkeit harmonisierter Normen und Leitlinien koppeln. Ergänzt wird dies durch technische Klarstellungen, neue Begriffsdefinitionen und verlängerte Übergangsfristen, die dir mehr Planungssicherheit geben.

KI-Gesetz – bisherige und neue Regelung

Bisherige Regelung	Neue Regelung
Erleichterungen nur für KMU	Ausweitung der Privilegien auf kleine mittelständische Unternehmen (SMCs)
KI-Kompetenzen primär Pflicht von Anbietern und Nutzern	Verantwortung liegt bei Kommission und Mitgliedstaaten
Verarbeitung besonderer Daten nur sehr eingeschränkt	Zulässig zur Bias-Erkennung unter strengen Bedingungen
Verpflichtender harmonisierter Überwachungsplan	Flexible Überwachung, gestützt auf Leitlinien
Registrierung aller Systeme in Hochrisikobereichen	Keine Registrierung bei nachweislich geringem Risiko
Nationale Aufsicht für die meisten Systeme	Zentrale Aufsicht durch das KI-Amt für bestimmte Systeme
Nationale KI-Sandkästen	Erweiterte Nutzung plus EU-weiter Sandkasten ab 2028

2. Digital Omnibus und wesentliche Änderungen

Der Digital Omnibus geht deutlich über das KI-Gesetz hinaus. Er verfolgt einen horizontalen Ansatz, indem er zahlreiche bestehende Digitalrechtsakte zusammenführt, vereinfacht oder aufhebt. Zu den wichtigsten betroffenen Rechtsakten zählen der Data Act, die ePrivacy-Regeln, die Cookie-Regeln, Regelungen zur Cybersicherheit sowie die European Business Wallets. Darüber hinaus fördert der Digital Omnibus den Free Flow of Non-Personal Data, um den Datenaustausch und Innovation innerhalb Europas zu erleichtern.

Die geplanten Änderungen sehen eine Verschiebung bestimmter ePrivacy-Regeln in die DSGVO vor, um die Compliance für Unternehmen zu vereinfachen. Zudem werden die Meldepflichten für Datenschutz- und Cybersicherheitsvorfälle zentralisiert und ein europäisches Meldeportal eingeführt, was die administrative Entlastung und Effizienz steigert. Die neuen Regelungen zielen außerdem darauf ab, die Zahl der Cookie-Banner auf Websites zu reduzieren und neue Anforderungen an die User Experience einzuführen, um manipulative Designs (‚dark patterns‘) zu verhindern.

Ziel ist ein kohärenter, verständlicher und innovationsfreundlicher Rechtsrahmen für Daten, Datenschutz und digitale Dienste.

Vereinfachung und Konsolidierung

Mehrere bislang eigenständige Regelwerke – darunter DSGVO, ePrivacy, Datengesetz, Data Governance Act und Open-Data-Richtlinie – werden inhaltlich besser verzahnt. Der Digital Omnibus vereinheitlicht und vereinfacht die Digitalrechtslandschaft in Europa, indem verschiedene europäische Digitalrechts-Rahmen und Regelungen zusammengeführt und angepasst werden, um mehr Rechtssicherheit und Effizienz zu schaffen. Veraltete oder redundante Rechtsakte werden vollständig aufgehoben. Für dich reduziert sich dadurch die Zahl paralleler Pflichten und Auslegungsfragen.

Zentrale Anlaufstelle für Vorfallmeldungen

Ein wesentlicher Praxisgewinn ist die Einführung einer einheitlichen Meldeschnittstelle für Sicherheits- und Datenschutzvorfälle. Der Digital Omnibus zentralisiert die Meldepflichten für Cybersicherheitsvorfälle und sieht ein zentrales europäisches Meldeportal vor, das von der EU-Kommission eingerichtet wird, um den Meldeprozess für Unternehmen zu vereinfachen und Doppelmeldungen zu vermeiden. Anstatt mehrere Behörden parallel informieren zu müssen, meldest du Vorfälle künftig zentral. Die technische Umsetzung und der Betrieb liegen bei der ENISA.

Änderungen im Datengesetz

Das Datengesetz wird um neue Kapitel ergänzt. Dazu zählen eine freiwillige Registrierung von Datenvermittlungsdiensten, ein EU-weites Verbot von Datenlokalisierungsanforderungen sowie vereinfachte Regeln für die Weiterverwendung öffentlicher Daten. Im Rahmen des Digital Omnibus fördert der Data Act zudem den Free Flow of Non-Personal Data innerhalb der EU, um den grenzüberschreitenden und sektorübergreifenden Austausch von Daten zu erleichtern und datengesteuerte Geschäftsmodelle sowie Innovationen zu unterstützen. Gleichzeitig wird der Schutz von Geschäftsgeheimnissen deutlich gestärkt, insbesondere bei Datenübermittlungen an Drittländer.

Anpassungen der DSGVO

Die DSGVO wird nicht neu geschrieben, aber gezielt präzisiert. Im Rahmen des Digital Omnibus für KI und Digital Omnibus Überblick über die wesentlichen Änderungen ist vorgesehen, bestimmte ePrivacy-Regeln zu integrieren, um die Definition und den Schutz personenbezogener Daten, insbesondere pseudonymisierter Daten, weiter zu präzisieren. Begriffe wie „personenbezogene Daten“ werden klarer gefasst, Meldefristen für Datenschutzverletzungen verlängert und Datenschutz-Folgenabschätzungen stärker harmonisiert. Hinzu kommen neue Ausnahmen, etwa für KI-Entwicklung und biometrische Identitätsprüfungen.

Neuer Europäischer Ausschuss für Dateninnovation (EDIB)

Mit dem EDIB entsteht ein neues Koordinierungsgremium, das die Durchsetzung des Datenrechts vereinheitlicht und die Entwicklung europäischer Datenräume vorantreibt. Damit erhält die Datenpolitik erstmals eine zentrale strategische Steuerungsebene.

Entlastungen für KMU und SMCs

Auch im Digital Omnibus werden bestehende Ausnahmen gezielt auf SMCs ausgeweitet. Das betrifft insbesondere Pflichten im Datenschutz- und Datenrecht sowie Unterstützungsangebote bei der Umsetzung. Ein zentrales Ziel des Digital Omnibus für KI und Digital Omnibus Überblick über die wesentlichen Änderungen ist die Entlastung von Unternehmen und Start-ups, indem bürokratische und regulatorische Verpflichtungen vereinfacht und abgebaut werden.

Internationale Datenübermittlung und Cookie-Regelungen

Schließlich werden Schutzmechanismen bei internationalen Datenübermittlungen gestärkt und gleichzeitig die Einwilligungsmüdigkeit der Nutzer adressiert. Die neuen Cookie-Regeln und ePrivacy-Regeln im Rahmen des Digital Omnibus zielen darauf ab, die Zahl der Cookie-Banner auf Websites zu reduzieren, indem klar definiert wird, wann eine Einwilligung erforderlich ist. Maschinenlesbare Einwilligungen und längere Gültigkeit von Ablehnungen sollen Cookie-Banner spürbar reduzieren. Website-Betreiber und Browser müssen künftig harmonisierte Standards für Einwilligungssignale umsetzen, um die EU-weite Einhaltung der Vorschriften zu gewährleisten. Zudem enthalten die neuen Vorschriften Anforderungen an die User Experience, um manipulative Designs (‚dark patterns‘) bei Einwilligungen zu verhindern.

Digital Omnibus – bisherige und neue Regelung

Bisherige Regelung	Neue Regelung
Vielzahl einzelner Digitalrechtsakte	Konsolidierter und gestraffter Rechtsrahmen
Mehrfache Vorfallmeldungen an verschiedene Behörden	Zentrale Meldestelle über eine Schnittstelle
Strenge Datenlokalisierung in einzelnen Mitgliedstaaten	Verbot von Datenlokalisierung innerhalb der EU
Uneinheitliche DSGVO-Auslegung und Verfahren	Harmonisierung von Definitionen, Fristen und DSFA
Kein zentrales Gremium für Datenpolitik	Einführung des Europäischen Ausschusses für Dateninnovation
Begrenzte Ausnahmen nur für KMU	Erweiterte Entlastungen auch für SMCs
Fragmentierte Cookie- und Einwilligungsregeln	Maschinenlesbare Einwilligungen und weniger Banner

Fazit

Sowohl die Anpassungen am KI-Gesetz als auch der Digital Omnibus markieren einen klaren Kurswechsel: Weg von rein formaler Regulierung, hin zu mehr Umsetzbarkeit, Effizienz und Entlastung für Unternehmen. Die Reformvorschläge der Kommission zielen darauf ab, die Digitalregulierung zu vereinfachen, überlappende Vorschriften zu konsolidieren und die Berichtsprozesse zu verschlanken, um die operative Effizienz zu steigern. Für dich bedeutet das weniger Bürokratie, mehr Rechtssicherheit und bessere Rahmenbedingungen für Innovation – ohne Abstriche beim Schutz von Grundrechten und Daten. Unternehmen, die sich frühzeitig auf die neuen Vorgaben des Digital Omnibus für KI und den Digital Omnibus Überblick über die wesentlichen Änderungen einstellen, profitieren von geringeren Compliance-Kosten und einer verbesserten operativen Effizienz.

Quellen:

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0836

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0837

FAQ: Häufige Fragen zum Digital Omnibus

Was ist der Digital Omnibus genau?

Der Digital Omnibus ist ein EU-Rechtspaket, das mehrere bestehende und neue Digitalgesetze (u. a. DSGVO, AI Act, Data Act, ePrivacy) bündelt und vereinfacht. Ziel ist es, Bürokratie abzubauen, Überschneidungen zu reduzieren und einen einheitlicheren Rechtsrahmen für Unternehmen in der EU zu schaffen.
Wann treten die Änderungen in Kraft?

Die Vorschläge zum Digital Omnibus wurden im November 2025 vorgestellt. Nach Abschluss des europäischen Gesetzgebungsverfahrens ist mit einem Inkrafttreten in den Folgejahren zu rechnen – in der Regel begleitet von Übergangsfristen für Unternehmen.
Profitieren nur Start-ups vom Digital Omnibus?

Nein. Der Digital Omnibus erweitert die bisherigen Erleichterungen für KMU auch auf sogenannte SMCs (Small Mid-Caps). Damit profitieren insbesondere wachsende mittelständische Unternehmen, die bislang häufig unter besonders hoher regulatorischer Last standen.
Muss ich mein KI-System noch registrieren?

Nicht zwingend. Wenn ein KI-System zwar formal als Hochrisiko-System gilt, aber nachweislich kein erhebliches Risiko darstellt, kann die Registrierungspflicht entfallen.

Voraussetzung ist eine saubere Dokumentation, die belegt, warum das tatsächliche Risiko gering ist.

Weitere relevante Themen & Deep Dives

Was ist der EU AI Act? Das Fundament verstehen: Bevor du die Änderungen durch den Omnibus anwendest, solltest du die Basis-Regeln und Risikoklassen des KI-Gesetzes kennen.
CSRD & ESRS: Nachhaltigkeitsberichtspflicht mit Omnibus-Erleichterungen Nicht nur digital, auch nachhaltig wird entbürokratisiert: Erfahre, wie die neuen Omnibus-Regeln deine Berichtspflichten im ESG-Bereich verschlanken.
Navigieren durch DORA (Digital Operational Resilience Act) Die andere Seite der Medaille: Während der AI Act die KI regelt, sorgt DORA für die Sicherheit deiner IT-Systeme im Finanzsektor. Ein Muss für digitale Resilienz.
HinSchG: Die Rolle der internen Meldestelle Stichwort „Zentrale Meldeportale“: Der Digital Omnibus zentralisiert Meldungen. Lerne hier, wie du deine internen Kanäle (Whistleblowing) rechtssicher aufstellst.
Was ist die EU-Taxonomie? Der grüne Kompass: Verstehe, wie die EU nachhaltige Investitionen klassifiziert und wie dies mit deiner digitalen Strategie zusammenspielt.