Am 19.11.2025 hat die Europäische Kommission das sog. DIGITAL OMNIBUS PACKAGE vorgestellt. Sie verfolgt damit das Ziel, die komplexe Digitalregulierung der EU zu straffen und zu vereinheitlichen, um Unternehmen und Behörden zu entlasten.
Das Digitale Omnibuspaket besteht aus zwei Verordnungen: Dem „Digital Omnibus on AI“, der Erleichterungen bei der praktischen Umsetzung der KI-VO vorsieht, und dem allgemeinen „Digital Omnibus“. Letzterer sieht gezielte Anpassungen im Datenschutzrecht und bei der Cybersicherheitsregulierung vor. Wir geben nachfolgend einen kurzen Überblick.
1. DSGVO: Präzisierung und neue Praxisfreundlichkeit
Ein Großteil der geplanten Änderungen betrifft die Datenschutz-Grundverordnung (DSGVO).
Pseudonyme Daten: Die geplante Reform der DSGVO sieht ausdrücklich vor, dass pseudonyme Daten nicht als personenbezogen gelten sollen, solange der Verantwortliche nicht über Mittel verfügt, um die betroffenen Personen selbst zu identifizieren. Für viele datengetriebene Geschäftsmodelle im Finanzbereich (z. B. Marktanalysen, Aggregation anonymisierter Nutzungsdaten) bedeutet dies einen größeren Aktionsradius.
KI-Entwicklung: In der DSGVO soll ein neuer Art. 88c eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei der Entwicklung und dem Betrieb von KI-Systemen schaffen, sofern angemessene technische und organisatorische Maßnahmen getroffen werden.
Sensible Daten: Besonders sensible personenbezogene Daten im Sinne des Art. 9 DSGVO (wie z.B. Gesundheitsdaten oder Daten zum Sexualleben) dürfen künftig unter strengen Auflagen auch ohne Einwilligung der Betroffenen verarbeitet werden – etwa zum Zwecke der Bias-Erkennung und -Korrektur in KI-Systemen. Das ist insbesondere für Kredit-Scoring, Risikobewertungen oder automatisierte Onboarding-Prozesse relevant. Trotz dieser Erleichterung wird der Schutz sensibler Daten eine Compliance-Herausforderung bleiben, weil die fehlende Einwilligung der Betroffenen durch besondere Lösch- und Schutzpflichten aufgewogen werden soll.
Automatisierte Entscheidungen: Automatisierten Entscheidungen sollen künftig auch dann als vertraglich erforderlich gelten können, wenn die Entscheidung alternativ durch eine menschliche Person hätte getroffen werden können. Diese Änderung ist für Kredit- und Wertpapierinstitute, aber auch für FinTechs und RegTechs interessant, weil sie einen sicheren Rechtsrahmen für datengetriebene Geschäftsmodelle (z.B. Scoring, Fraud-Detection, algorithmische Risikoprüfung, KI-Tools mit Entscheidungskomponenten) bietet.
Missbräuchliche Auskunftsbegehren: Ein häufiges Ärgernis für Finanzdienstleister sind Auskunftsansprüche, die unter dem Deckmantel der datenschutzrechtlichen Betroffenenrechte geltend gemacht werden. Zukünftig lassen sich zweckwidrige oder exzessive Anfragen leichter ablehnen oder kostenpflichtig gestalten.
Einheitliche Meldung von Datenschutzverstößen und IKT-Vorfällen: Es ist ein zentrales Meldesystem geplant („Single Entry Point“). Wertpapierinstitute werden sich dabei möglicherweise an das MVP-Portal der BaFin erinnert fühlen; die genaue Ausgestaltung des Single Entry Point steht aber noch nicht fest. Die technische Umsetzung liegt bei der EU-Agentur für Cybersicherheit ENISA.
Ein wesentlicher Vorteil für regulierte Unternehmen zeichnet sich aber bereits ab: Der Single Entry Point soll gleichermaßen für Datenschutzverstöße, DORA-relevante IKT-Vorfälle, NIS2-Sicherheitsvorfälle oder eIDAD- bzw. CER-Vorfälle gelten. Künftig soll eine einzige Meldung an das zentrale Meldesystem ausreichen, um alle diesbezüglichen Meldepflichten zu erfüllen.
Standardisierung der Datenschutz-Folgenabschätzung: Außerdem ist geplant, EU-weit einheitliche Listen von Verarbeitungsvorgängen zu entwickeln, die eine Datenschutz-Folgenabschätzung (DSFA) erfordern bzw. nicht erfordern. Zusätzlich soll ein Template für die DSFA bereitgestellt werden. Die Umsetzung erfolgt allerdings nachgelagert zum Digitalen Omnibuspaket unter Einbindung des Europäischen Datenschutzausschusses (EDSA).
ePrivacy: Teilbereiche der gescheiterten europäischen ePrivacy-Verordnung sollen in den neuen Artikeln 88a und 88b der DSGVO geregelt werden. Betroffen sind Cookie-Regelungen und andere Endgerätezugriffe, bei denen personenbezogene Daten verarbeitet werden. Kernstück der Neuregelungen ist die Einwilligung des Nutzers. Diese bleibt grundsätzlich weiterhin erforderlich, allerdings soll das browsergestützte Einwilligungsmanagement über standardisierte, maschinenlesbare Mechanismen gestärkt und verbindlich werden. Für die betroffenen Unternehmen wird hierdurch der technische Aufwand für Consent-Management und Dokumentation steigen.
2. Datenwirtschaft und Cloud-Strategien: Der überarbeitete Data Act
Gerade erst in Kraft, wird der Data Act schon wieder umfassend überarbeitet. Mit der Konsolidierung mehrerer Teilregelungen strebt die Reform eine straffere und verständlichere Regelung für Datenwirtschaft und Datennutzung an. Besonders relevant für FinTechs und Wertpapierfirmen:
- Der Schutz von Geschäftsgeheimnissen gegenüber Datenempfängern und insbesondere gegenüber Drittländern wird gestärkt.
- Die Verpflichtung zur Offenlegung von Unternehmensdaten gegenüber Behörden soll auf eng definierte Ausnahmefälle (z. B. Katastrophenhilfe) beschränkt werden.
- Von Bedeutung für Blockchainbasierte Finanzprodukte: Regulatorische Anforderungen für Smart Contracts sollen entfallen – jedenfalls, soweit sich diese bisher aus dem europäischen Data Act ergeben.
- Cloud-Switching – also der Wechsel des Cloud-Anbieters – wird erleichtert, insbesondere für maßgeschneiderte Dienste und kleinere Unternehmen. Den Vorteilen für die Nutzer stehen entsprechende Herausforderungen für die Cloud-Anbieter gegenüber.
In der Praxis dürften Finanzdienstleister mit datenintensiven Geschäftsmodellen profitieren: Die Rechtslage wird klarer, und die Datenverarbeitung wird sich (hoffentlich) einfacher mit Complianceanforderungen und geschäftlichen Interessen in Einklang bringen lassen.
3. KI-Verordnung: Verschiebung und Entlastung
Auch die europäische KI-Verordnung wird im Rahmen des Omnibuspakets überarbeitet – mit erkennbaren Entlastungen:
- Die Pflichten für Hochrisiko-KI-Systeme sollen nicht mehr ab dem 02.08.2025 gelten, sondern erst deutlich später, wobei die Einzelheiten noch nicht feststehen. Das verschafft Unternehmen mehr Zeit für Planung und Umsetzung.
- Nicht nur KMU, sondern auch Small Caps und sogar Mid Caps sollen von reduzierten Dokumentations- und Bußgeldpflichten profitieren. Das erleichtert auch größeren FinTechs die Entwicklung oder den Ausbau KI-basierter Lösungen.
- Die Überwachung der Anbieter nach dem Inverkehrbringen wird flexibler; sehr große Plattformen unterliegen künftig zentralisierter Aufsicht.
4. Zusammenfassung und Ausblick:
Mit dem Digitalen Omnibuspaket bemüht sich die EU-Kommission erkennbar, die regulatorischen Hürden für innovative Unternehmen zu senken und damit die internationale Wettbewerbsfähigkeit und Attraktivität des Wirtschaftsstandorts EU zu stärken. Aus Sicht der ohnehin schon stark regulierten Finanzbranche ist dieser Ansatz zu begrüßen. Für datengetriebene Finanzdienstleister, FinTechs und Wertpapierfirmen könnten sich erhebliche Vorteile ergeben: weniger regulatorischer Ballast, mehr Rechtssicherheit, klarere Rahmenbedingungen für KI und Datenverarbeitung.
Natürlich gibt es auch Kritik am Digitalen Omnibuspaket. Insbesondere das möglicherweise niedrigere Schutzniveau für personenbezogenen Daten prägt die Diskussion. Es ist daher abzuwarten, wann das Digitale Omnibuspaket das europäische Gesetzgebungsverfahren durchlaufen haben wird, und welche Änderungen es in der Zwischenzeit noch erfahren wird. Die Kanzlei drrp wird Sie unterrichtet halten.
