Im November 2025 stellte die Europäische Kommission ein digitales Omnibus-Paket vor, das darauf abzielt, die Cybersicherheits-Compliance für europäische Unternehmen zu vereinfachen.
In einer Reihe von Frequently Asked Questions (FAQs) erklärte die Kommission, dass das übergeordnete Ziel des digitalen Pakets darin besteht, „die technologische Wettbewerbsfähigkeit zu stärken und EU-Unternehmen Kosten zu sparen, indem Regeln vereinfacht, Verfahren gestrafft, One-Stop-Lösungen angeboten sowie Überschneidungen und veraltete Vorschriften beseitigt werden.“
Zu den zentralen Elementen des digitalen Pakets der Europäischen Kommission gehören:
- ein Vorschlag, alle Datenvorschriften in zwei Gesetzen zusammenzuführen: dem Data Act und der Datenschutz-Grundverordnung (DSGVO)
- ein Plan zur Vereinfachung der Meldung von Cybersicherheitsvorfällen
- ein Vorschlag zur Änderung des AI Act
Das digitale Paket umfasst außerdem eine Strategie der Europäischen Datenunion sowie European Business Wallets. Laut Kommission soll die Strategie der Europäischen Datenunion „hochwertige Daten für KI erschließen“, während European Business Wallets „Unternehmen eine einheitliche digitale Identität bieten sollen, um Bürokratie zu vereinfachen und Geschäfte innerhalb der EU-Mitgliedstaaten zu erleichtern.“ Darüber hinaus enthält das Paket eine öffentliche Konsultation zum sogenannten „Digital Fitness Check“.
Im Folgenden finden Sie eine Übersicht über die wichtigsten Elemente des digitalen Pakets und darüber, wie die Vorschläge Daten, Cybersicherheit sowie Änderungen am AI Act betreffen.
Die Kommission erklärte, dass das digitale Paket den Datenzugang verbessern soll, indem Datenvorschriften für europäische Unternehmen vereinfacht werden. Dazu gehören:
- gezielte Ausnahmen von bestimmten Cloud-Wechsel-Regeln des Data Act für kleine und mittlere Unternehmen (KMU) sowie kleine Mid-Cap-Unternehmen (SMCs)
- die Abschaffung der verpflichtenden Registrierung und Kennzeichnung für Anbieter von Datenvermittlungsdiensten
- eine vereinfachte Weitergabe von Daten
- die Bündelung von Vorschriften für Daten des öffentlichen Sektors
- eine Einschränkung und Klarstellung des Umfangs von Regelungen zur Datenweitergabe zwischen Unternehmen und Behörden, um sicherzustellen, dass Regierungen in Notfällen (z. B. Naturkatastrophen oder Pandemien) ausreichend Daten zur Verfügung haben
Wie sich das digitale Paket der Europäischen Kommission auf DSGVO- und Cookie-Regeln auswirkt
Das neue digitale Paket würde laut Kommission Änderungen an der DSGVO vornehmen, „um rechtliche Klarheit zu schaffen und den Compliance-Aufwand für Unternehmen zu reduzieren.“
Zum Beispiel schlägt die Kommission vor:
- die Definition personenbezogener Daten zu präzisieren, bei gleichzeitigem Erhalt des höchsten Schutzniveaus
- die Entwicklung und Nutzung verantwortungsvoller KI-Lösungen zu fördern, indem rechtliche Klarheit bei der Nutzung personenbezogener Daten für KI geschaffen wird
- bestimmte Pflichten für Unternehmen und Organisationen zu vereinfachen – etwa durch Klarstellung, wann eine Datenschutz-Folgenabschätzung (DPIA) erforderlich ist und wann sowie wie Aufsichtsbehörden über Datenschutzverletzungen informiert werden müssen
Darüber hinaus sollen Cookie-Regeln modernisiert werden. Die Änderungen würden die Anzahl der Cookie-Banner reduzieren, die Nutzern angezeigt werden, und damit sogenannte Cookie-Banner-Müdigkeit verringern.
„Nutzer behalten weiterhin die Kontrolle darüber, wer auf ihre Geräte zugreifen kann – mit Ein-Klick-Einwilligungen und zentralen Einstellungen für ihre Präferenzen bei der Datenweitergabe und -verarbeitung“, erklärte die Kommission in den FAQs. Laut Schätzung der Kommission könnten Unternehmen dadurch jährlich mehr als 800 Millionen Euro einsparen.
Im Einklang mit den DSGVO-Schutzbestimmungen könnten Verstöße gegen die Rechte von Nutzern mit Geldbußen von bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens geahndet werden.
Wie sich das digitale Paket der Europäischen Kommission auf den AI Act auswirkt
Die Kommission betonte, dass Leitlinien und Unterstützung für die ordnungsgemäße Umsetzung des AI Act entscheidend sind. Im Rahmen dieser Initiative wird der Zeitplan für die Anwendung der Vorschriften für Hochrisiko-KI-Systeme auf maximal 16 Monate angepasst. Die Regeln würden erst gelten, sobald die Kommission bestätigt, dass die erforderlichen Standards und Unterstützungsinstrumente verfügbar sind.
Die Kommission schlägt außerdem Änderungen am AI Act vor, die:
- Anforderungen an technische Dokumentation vereinfachen
- die Befugnisse des AI Office stärken und die Aufsicht über KI-Systeme auf Basis von General-Purpose-AI-Modellen zentralisieren, um Fragmentierung in der Governance zu reduzieren
- die Aufsicht über KI, die in großen Online-Plattformen und Suchmaschinen integriert ist, auf Ebene der Kommission bündeln, indem diese Aufgabe dem AI Office übertragen wird
Zudem schlägt die Kommission vor, Anbietern und Nutzern zu erlauben, besondere Kategorien personenbezogener Daten zu verarbeiten, um Verzerrungen (Bias) zu erkennen und zu korrigieren – unter angemessenen Schutzmaßnahmen. Darüber hinaus sollen Compliance-Maßnahmen erweitert werden, damit mehr Innovatoren regulatorische Sandboxes nutzen können, darunter eine Sandbox auf EU-Ebene sowie mehr Tests unter realen Bedingungen.
Wie vereinfacht das digitale Paket der EU-Kommission die Meldung von Cybersicherheitsvorfällen?
Derzeit verpflichten zahlreiche Gesetze Unternehmen dazu, Cybersicherheitsvorfälle zu melden, darunter die DSGVO, die NIS2-Richtlinie sowie der Digital Operational Resilience Act (DORA).
Künftig würde das digitale Paket die Meldung von Cybersicherheitsvorfällen über eine zentrale Schnittstelle vereinfachen, über die Unternehmen alle Meldepflichten erfüllen können. „Die Schnittstelle wird mit robusten Sicherheitsmechanismen entwickelt und umfassend getestet, um Zuverlässigkeit und Wirksamkeit sicherzustellen“, erklärte die Kommission.
Was ist die Strategie der Europäischen Datenunion?
Eine neu eingeführte Strategie der Europäischen Datenunion soll mehr hochwertige Daten für KI verfügbar machen. Ein Beispiel dafür ist die Einrichtung von Data Labs. Die Kommission beschreibt Data Labs als spezialisierte Einrichtungen, die Unternehmen – einschließlich KMU – und Forschern Zugang zu vielfältigen Datensätzen für KI ermöglichen.
Diese Strategie soll außerdem eine rechtliche Beratungsstelle zum Data Act sowie Leitlinien und Vorlagen einführen, um Unternehmen bei der Einhaltung von Datenvorschriften zu unterstützen.
Ein weiterer Bestandteil der Strategie der Europäischen Datenunion ist die Stärkung der europäischen Datensouveränität durch einen strategischen Ansatz für internationale Datenpolitik. Dazu gehören ein Anti-Leakage-Instrumentarium, Maßnahmen zum Schutz sensibler nicht personenbezogener Daten sowie Leitlinien zur Bewertung einer fairen Behandlung von EU-Daten im Ausland.
Was sind European Business Wallets?
European Business Wallets sollen es europäischen Unternehmen jeder Größe erleichtern, sicher mit anderen Unternehmen oder öffentlichen Verwaltungen innerhalb der EU zu interagieren und zu kommunizieren – über ein einheitliches digitales Instrument.
Um den administrativen Aufwand zu reduzieren, ermöglichen European Business Wallets Unternehmen die Digitalisierung von Prozessen und Interaktionen, die bisher häufig persönlich abgewickelt werden. Beispielsweise können Unternehmen Dokumente digital signieren, mit Zeitstempeln versehen und versiegeln sowie verifizierte Dokumente sicher erstellen, speichern und austauschen.
Wie geht es weiter?
Die digitalen Omnibus-Gesetzesvorschläge gehen nun zur Verabschiedung an das Europäische Parlament und den Rat.
Als nächsten Schritt hatte die Kommission außerdem eine Konsultation zum Digital Fitness Check gestartet, die bis zum 11. März 2026 lief. „Der Fitness Check wird prüfen, wie gut das Regelwerk sein Ziel der Wettbewerbsfähigkeit erfüllt und die Kohärenz sowie die kumulativen Auswirkungen der digitalen Vorschriften der EU bewerten“, erklärte die Kommission.
DSGVO-Compliance-Anforderungen | NAVEX
