Die Europäische Kommission hat im November ein umfangreiches Änderungspaket zu bestehenden digitalen Rechtsvorschriften präsentiert. Der Vorschlag trägt den Titel „Digital-Omnibus-Verordnung“ und umfasst Anpassungen in Bereichen wie Datenschutz, künstlicher Intelligenz und Cookie-Regeln. Ziel sei es laut Kommission, die Einhaltung bestehender Vorschriften für Unternehmen kostengünstiger zu gestalten und Abläufe zu vereinfachen.
Der Entwurf sieht mehrere Änderungen an der Datenschutz-Grundverordnung (DSGVO), der KI-Verordnung (KI-VO) sowie an den Regelungen zur Nutzung von Cookies vor. Die Vorschläge sollen den Verwaltungsaufwand reduzieren und bestimmte technische Verfahren vereinheitlichen.
Änderungen im Datenschutzrecht
Die vorgesehenen Anpassungen betreffen unter anderem den Umgang mit pseudonymisierten Daten. Laut Kommission können sogenannte „relative personenbezogene Daten“ für den Empfänger anonym bleiben, während sie für den Verantwortlichen weiterhin personenbezogen sind. Dies soll neue Nutzungsmöglichkeiten eröffnen, aber gleichzeitig Fragen der Re-Identifizierbarkeit berühren.
Geplant ist außerdem eine Verlängerung der Meldefrist für sogenannte Hochrisiko-Verstöße von 72 auf 96 Stunden. Zudem sollen Vorfälle nach NIS2, DSGVO und dem Digital Operational Resilience Act künftig an eine gemeinsame Meldestelle übermittelt werden können. Dadurch sollen parallele Meldewege entfallen.
Automatisierte Entscheidungen und Auskunftsrechte
Automatisierte Entscheidungen sollen dem Entwurf zufolge zulässig sein, wenn sie auf einer Einwilligung, einem geschlossenen Vertrag oder einer gesetzlichen Grundlage beruhen. Dies soll auch dann gelten, wenn eine Entscheidung durch eine Person möglich wäre. Die Kommission rechnet laut Vorlage damit, dass diese Regelung in der weiteren Diskussion besondere Aufmerksamkeit erhalten wird.
Unternehmen sollen künftig mehr Gründe vorbringen können, wenn sie Auskunftsbegehren ablehnen möchten, etwa wenn Betroffene ihre Rechte zweckwidrig nutzen. Damit soll der Aufwand für die Bearbeitung solcher Anfragen sinken. Für die interne Dokumentation können standardisierte Vorlagen genutzt werden.
DPIA-Vorlagen und Forschungszwecke
Für Datenschutzfolgeabschätzungen (DSFA) plant die Kommission einheitliche Vorlagen und Methodiken. Diese sollen den Prozess strukturieren und die Umsetzung standardisieren. Zusätzlich sollen Folge-Verarbeitungen für wissenschaftliche Zwecke grundsätzlich als zweckkompatibel gelten; bestimmte Informationspflichten könnten damit entfallen.
Vorgaben zur KI-Verordnung
Der Entwurf enthält ebenfalls Änderungen an der EU-KI-Verordnung. Für Systeme mit hohem Risiko sollen die Umsetzungsfristen verlängert werden, bis einheitliche Standards vorliegen. Maximal ist eine Verlängerung um 16 Monate vorgesehen. Anbieter von Hochrisiko-Systemen sollen dadurch mehr Zeit für die Umsetzung der Vorgaben erhalten.
Zudem sieht die Kommission neue Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen von KI-Entwicklung und -Tests vor. Dazu zählt auch das „berechtigte Interesse“ als mögliche Grundlage. Weitere Vorschläge betreffen die biometrische Verifizierung: Diese soll zulässig sein, wenn die jeweiligen Daten vollständig unter der Kontrolle der Nutzer stehen.
Regelungen für kleine und mittelständische Unternehmen
Für kleine und mittelständische Unternehmen plant der Entwurf zusätzliche Entlastungen. Vorgesehen sind Vereinfachungen bei der Dokumentation, erleichterter Zugang zu Testumgebungen („Sandboxen“) sowie längere Fristen für die Umsetzung einzelner Vorgaben.
Neue Cookie-Regeln
Ein weiteres Element des Digital-Omnibus betrifft die Cookie-Vorschriften. Webseiten sollen Nutzer nur alle sechs Monate erneut um Zustimmung bitten dürfen, wenn zuvor eine Zustimmung oder Ablehnung erfolgt ist. Zudem sollen Ein-Klick-Verfahren und zentrale Zustimmungsverwaltungen die Handhabung vereinfachen.
Darüber hinaus sollen erweiterte Ausnahmen gelten, darunter für bestimmte aggregierte Messdaten. Die Kommission erwartet, dass sich dadurch der Umfang wiederkehrender Banner reduzieren lässt.
Weiterer Ablauf
Der Vorschlag befindet sich jetzt auf dem Weg zum Europäischen Parlament und zum Rat der EU. Eine Entscheidung wird laut aktuellem Stand frühestens 2026 oder 2027 erwartet. Bis zum endgültigen Rechtsakt können weitere Anpassungen vorgenommen werden.
In der Quelle wird darauf hingewiesen, dass offen bleibt, welche Änderungen in der finalen Fassung enthalten sein werden. Die öffentliche Diskussion über die möglichen Auswirkungen des Digital-Omnibus hat bereits begonnen. Unternehmen wird nahegelegt, sich frühzeitig mit den vorgeschlagenen Änderungen zu befassen und potenzielle Auswirkungen auf interne Strukturen zu prüfen.