Digital Omnibus Package: Der große „Reparatur-Patch" für das EU-Digitalrecht

Zusammenfassung

Am 19. November 2025 hat die Europäische Kommission das lang erwartete Digital Omnibus Package vorgestellt. Das Ziel: Die zentralen Bausteine des europäischen Digitalrechts (Data Act, DSGVO, AI Act, NIS2, DORA, eIDAS, CER) zu entflechten, zu vereinfachen und besser zu verzahnen.

Die Kernpunkte versprechen echte Entlastung:

• Ein einheitlicher Meldekanal („Single Entry Point") für Sicherheitsvorfälle und Datenpannen.
• Die Bündelung verschiedener Daten-Regularien direkt im Data Act.
• Gezielte Anpassungen der DSGVO (u. a. pragmatischere Meldefristen, Klarstellungen bei Pseudonymisierung).
• Erleichterungen im AI Act für KMU und vereinfachte Konformitätsbewertungen.

Kritiker warnen zwar vor einer Aufweichung des Schutzniveaus, doch aus Wirtschaftsperspektive ist das Paket der notwendige Schritt, um die Compliance-Last handhabbar zu machen.

Analyse und Bewertung

Management-Perspektive: Konsolidierung statt Revolution

Das Digital Omnibus ist kein neues Gesetz, sondern ein massives „Refactoring" des bestehenden Rechtsrahmens.

Keine neuen Pflichten, sondern Anpassung: Die Herausforderung liegt nicht in neuen Hürden, sondern darin, bestehende Governance-Strukturen (ISMS, Datenschutz, AI-Compliance) so umzubauen, dass sie die Vereinfachungen auch nutzen können.

Meldewesen als Effizienzhebel: Der geplante Single Entry Point beendet hoffentlich das Chaos der Mehrfachmeldungen (z.B. ein Vorfall, der gleichzeitig an BSI, Landesdatenschützer und BaFin gemeldet werden musste). Das spart Ressourcen, erfordert aber zentralisierte Prozesse.

Rechtssicherheit: Die Harmonisierung von Definitionen (was genau ist ein „High Impact"-Vorfall über alle Gesetze hinweg?) reduziert juristische Grauzonen.

Technische und Governance-Perspektive

Für IT- und Compliance-Abteilungen bedeutet das Omnibus Aufräumarbeit, im positiven Sinne.

Data Act als Zentrum: Die Bündelung von Free Flow of Data und Open Data im Data Act schafft eine zentrale "Wahrheit" für Datennutzung, Trade Secrets und B2G-Zugriffe.

DSGVO-Update: Die Verlängerung der Meldefristen für Datenschutzverletzungen (Vorschlag: 96 statt 72 Stunden bei bestimmten Risiken) und die Integration der Cookie-Regeln direkt in die Verordnung erleichtern das operative Tagesgeschäft.

Unified Reporting: SIEM-, Ticket- und GRC-Systeme müssen angepasst werden. Statt verschiedener Formulare für NIS2, DORA und DSGVO wird ein harmonisierter Datensatz ("Golden Record" des Vorfalls) benötigt.

Risikoeinschätzung: Mittel (da „nur" Anpassung), aber hoher Koordinationsbedarf. Priorität: P2 (Monitoring), P1 (sobald finale Texte vorliegen).

Handlungsempfehlungen

1. Sofort (0 bis 30 Tage)

Monitoring aufsetzen: Verfolgen Sie den Gesetzgebungsprozess. Da es ein Kommissionsvorschlag ist, können Parlament und Rat noch Details ändern.

Impact-Analyse: Identifizieren Sie, wo Ihre aktuellen Projekte (Cloud-Migration, KI-Einführung) unter den bisherigen, strengeren Regeln leiden. Hier könnten sich durch das Omnibus Chancen ergeben.

Schnittstellen-Check: Zeichnen Sie eine Karte Ihrer aktuellen Meldewege. Wo melden Sie doppelt? Das ist Ihr Potenzial für den künftigen Single Entry Point.

2. Kurzfristig (1 bis 3 Monate)

Datenstrategie harmonisieren: Prüfen Sie, ob Ihre Data Governance (nach Data Act) konsistent ist. Klären Sie Regeln für Datenteilung und den Schutz von Geschäftsgeheimnissen neu.

Vorbereitung Datenschutz: Passen Sie DPIA-Vorlagen und Incident-Response-Pläne gedanklich an. Planen Sie Flexibilität ein, um auf die neuen Fristen (z. B. 96h) umschalten zu können, sobald das Gesetz greift.

Synergien nutzen: Legen Sie die Projektteams von NIS2 und AI Act zusammen. Das Omnibus bestätigt, dass diese Themen nicht isoliert betrachtet werden dürfen.

3. Strategisch (3 bis 12 Monate)

Das "Super-ISMS": Entwerfen Sie ein integriertes Compliance-Framework. Das Ziel: Ein zentrales Governance-Dach für Data Act, DSGVO, AI Act, NIS2 und DORA. Weg von Silo-Lösungen!

Architektur: Treffen Sie IT-Entscheidungen im Hinblick auf Interoperabilität. Die im Data Act verschärften Cloud-Switching-Regeln werden durch das Omnibus zementiert, Vendor Lock-in wird zum Compliance-Risiko.

Schulung: Entwickeln Sie ein Schulungskonzept, das Mitarbeitern nicht einzelne Gesetze erklärt, sondern den Lebenszyklus von Daten (Erhebung -> Schutz -> KI-Nutzung -> Vorfall -> Löschung) als ganzheitlichen Prozess vermittelt.

Zusatzinformationen

Status: Vorschlag der Kommission (Nov 2025). Verhandlungen im Trilog (Rat, Parlament, Kommission) stehen an.

Schwerpunkte: Datenräume, Datenschutz-Vereinfachung, KI-KMU-Entlastung, harmonisiertes Meldewesen.

Chancen vs. Risiken: Große Chance auf weniger Bürokratie, aber Risiko einer Übergangsphase, in der altes und neues Recht parallel interpretiert werden müssen („Rechtsunsicherheit im Übergang").