Der digitale Binnenmarkt der EU ist in den vergangenen Jahren stark gewachsen, aber er ist auch immer komplexer geworden. Zwischen DSGVO, AI Act, Data Act, Plattformregulierung und Spezialgesetzen hat sich ein Flickenteppich aus Regeln gebildet, der Unternehmen zunehmend vor praktische und rechtliche Hürden stellt. Genau hier setzt das „Digitale Omnibuspaket“ der Europäischen Kommission an.
Das Paket ist kein neues Einzelgesetz, sondern eine umfassende Überarbeitung und Harmonisierung bestehender Digitalgesetze, um Widersprüche zu beseitigen, Abläufe zu vereinfachen und die Anwendung praxistauglicher zu machen. Kernziele sind:
- weniger Bürokratie,
- klarere Begrifflichkeiten,
- kohärente Abläufe zwischen DSGVO, AI Act und der EU-Datenstrategie sowie
- ein digitaler Rechtsrahmen, der Innovation ermöglicht, ohne Grundrechte aufzuweichen.
Die Kommission versucht, das europäische Digitalrecht fit für die nächsten Jahre zu machen in einer Phase, in der KI-Modelle immer leistungsfähiger werden, Datenvolumen explodieren und gleichzeitig das Vertrauen in digitale Technologien geschützt werden muss.
Anpassungen an der Datenschutz‑Grundverordnung (DSGVO)
Im Rahmen des Digitalen Omnibuspakets sollen zentrale Aspekte der DSGVO einer Überarbeitung unterzogen werden, mit dem erklärten Ziel, Bürokratie- und Berichtspflichten zu reduzieren und zugleich das Regelwerk praxisnäher zu gestalten. Der Entwurf sieht insbesondere vor, die Begriffe „personenbezogene Daten“ und „sensible Daten“ klarer zu definieren und damit – so Kritiker – den Schutzrahmen potenziell zu schwächen. Auch soll die Transparenzpflicht bei komplexen Datenverarbeitungen präzisiert werden: Statt genereller Informationsfluten soll künftig klarer ausgewiesen werden, aus welchen Quellen Daten stammen, zu welchen Zwecken sie genutzt werden und ob sie beim Training von KI-Systemen zum Einsatz kommen. Für Unternehmen attraktiv: Es wird angestrebt, bestimmte Dokumentations- und Meldepflichten risikobasierter zu gestalten, etwa mit erleichterten Anforderungen für KMU oder „Small Mid-Caps“.
Der Datenschutzrahmen bleibt bestehen, wird aber zugunsten einer größeren Flexibilität angepasst. Wichtig ist: Die Balance zwischen datenschutzrechtlichem Schutz und Innovations-/Bürokratieabbau muss gewahrt bleiben, was Datenschützer kritisch sehen.
Änderungen im Rahmen des AI Act (KI-Verordnung)
Das Paket nimmt auch den bereits laufenden Regelungsrahmen zur künstlichen Intelligenz unter die Lupe, mit dem Bestreben, die Umsetzung des AI Act praktikabler zu machen. Laut Angaben der Kommission sollen Melde- und Dokumentationspflichten für KI-Anbieter optimiert werden und Übergangsfristen an die Verfügbarkeit technischer Standards gekoppelt werden. Beispielsweise sieht der Vorschlag vor, dass Hochrisiko-KI-Systeme erst dann verbindlich werden, wenn begleitende Standards und Unterstützungsinstrumente zur Verfügung stehen mit einer maximalen Übergangsfrist von 12 bis 16 Monaten. Der Sommer 2026 scheint damit als Startdatum vom Tisch. Für kleinere Unternehmen sind explizite Erleichterungen vorgesehen. Zugleich bleibt der Charakter des AI Act erhalten: Risikoklasse, Transparenzpflichten, Datenqualität und Rückverfolgbarkeit von KI-Systemen bleiben zentrale Anforderungen. Der Entwurf zeigt also eine Richtung, die Innovation ermöglichen will, ohne das Prinzip eines regulierten KI-Marktes komplett aufzugeben.
EU‑Datenstrategie (Data Union Strategy) bzw. Daten-Rahmen
Ein dritter Kernbereich des Omnibuspakets ist die Datenstrategie der EU: Die Kommission möchte den Zugang zu hochwertigen Daten erleichtern, Datenräume („data spaces“) stärken und eine verlässlichere Grundlage schaffen für datengetriebene Innovationen – insbesondere im Bereich KI. Im Fokus steht dabei:
- Skalierung des Zugriffs auf Daten, u.a. durch Data Labs und Common European Data Spaces;
- Vereinfachung und Harmonisierung der Regeln für Datenteilung und Datenfluss innerhalb der EU;
- Stärkung der internationalen Position Europas beim Datenfluss.
Gleichzeitig werden im Omnibus-Paket bestehende Daten-Regelwerke (z. B. Data Act, Open-Data-Richtlinie, Verordnung über nicht-personenbezogene Daten) konsolidiert. Ziel ist eine „one-stop“ Struktur statt fragmentierter Regelwerke. Das soll nicht nur Unternehmen erleichtern, sondern auch die Datenverfügbarkeit für KI-Trainings verbessern. Gleichwohl wird betont, dass dabei Datenschutz- und Grundrechtsstandards gewahrt bleiben müssen.
Warum sehen Datenschützer das Vorhaben so kritisch?
Regulierung ist eine Reaktion darauf, dass digitale Märkte und Plattformen reale Macht über Menschenleben haben ohne dass sie demokratisch legitimiert wären. Wir brauchen Regeln, weil Geschäftsmodelle, die auf Aufmerksamkeit, Daten und Empörung basieren, systematisch Risiken für Kinder, Jugendliche und Minderheiten erzeugen: Mobbing, sexualisierte Gewalt, radikale Inhalte, Hass …all das skaliert technisch perfekt, aber der Schutz Betroffener bleibt nachgelagert und oft halbherzig.
Plattformen handeln nicht schnell und stringent genug, weil ihr Anreiz falsch gesetzt ist: Moderation kostet Geld, bremst Wachstum und kann in Märkten mit „Winner takes all“-Logik als Wettbewerbsnachteil erscheinen. Solange Bußgelder, Haftungsrisiken und Reputationsschäden nicht höher sind als der Gewinn durch laxen Umgang mit Inhalten, bleibt „Self-Regulation“ in weiten Teilen PR.
Gleichzeitig ist Überregulierung ein echtes und ökonomisches Problem: Wenn Unternehmen für jede Datenverarbeitung, jedes KI-Tool und jeden internationalen Datentransfer hunderte Seiten Dokumentation brauchen, entsteht ein Bürokratie-Monster, das vor allem kleine und mittlere Unternehmen lähmt. Weniger bzw. verständliche Regulierung ist deshalb eine Chance. Die Herausforderung liegt also im Spagat: So viel Regulierung, dass Menschen geschützt werden plus so wenig Komplexität, dass Innovation (in der EU und auch ggü. China und den USA!) nicht erstickt.
Was bedeutet das für´s digitales Marketing?
Das Digitale Omnibuspaket verändert die Art, wie wir Zustimmung im Netz einholen und damit die Grundlage vieler gängiger Marketingpraktiken. Die EU will weg von der heutigen „Banner-Überflutung“, die niemand liest, hin zu einfacheren, zentral gesteuerten Einwilligungen, zum Beispiel direkt im Browser oder im Betriebssystem. Für Unternehmen heißt das: weniger chaotische Cookie-Abfragen, aber auch weniger Spielraum für undurchsichtige Tracking-Tricks.
Gleichzeitig werden die Regeln für Direktmarketing – also auch für Newsletter – europaweit angeglichen. Das heißt nicht automatisch, dass Newsletter verschwinden oder das Double-Opt-In abgeschafft wird. Aber die Mechanismen könnten einfacher, einheitlicher und weniger bürokratisch werden. Für uns im Marketing bedeutet das: Wir müssen sauberer arbeiten, transparenter werden und neue Wege finden, Nutzende nicht mit 20 Pop-ups zu überladen, sondern mit klaren, echten Mehrwert-Angeboten zu überzeugen.
Tracking wird schwieriger, aber nicht unmöglich. Der Fokus verschiebt sich stärker auf First-Party-Daten, vertrauensbasierte Interaktionen und Inhalte, die Menschen freiwillig abonnieren oder teilen. Social Media wird wieder „sozialer“: Inhalte, Community und Dialog statt rein technischer Optimierung. Ein Traum, wenn Content wichtiger wäre als Algorithmus!
Abfahrt bitte…
Digitales Marketing kann nicht allein auf Vertrauen setzen. Es braucht klare Regeln, weil das Netz kein moralischer Raum ist. Wo Menschen interagieren, gibt es immer Akteure, die manipulieren, täuschen oder ausnutzen. Das gilt für Datenhändler genauso wie für politische Akteure, toxische Communities oder organisierte Kriminalität. Ohne Regulierung würde sich die Logik der Plattformen – nämlich maximale Aufmerksamkeit bei minimaler Verantwortung – ungebremst durchsetzen. Und diese Logik gefährdet besonders verletzliche Gruppen wie Kinder, Jugendliche und Minderheiten.
Für seriöse Unternehmen und Agenturen ist Regulierung kein Hindernis, sondern eine Schutzarchitektur, die gleiche Wettbewerbsbedingungen schafft. Sie verhindert, dass diejenigen gewinnen, die am aggressivsten tracken, am häufigsten manipulieren oder am billigsten Datenschutz „umschiffen“. Regulierung sorgt dafür, dass Qualität, Transparenz und Fairness wieder zählen.
Die Fahrtrichtung stimmt also: weniger Fragmentierung, mehr Kohärenz, mehr Nutzerfreundlichkeit. Aber ob ein Omnibus, also ein gebündeltes, beschleunigtes Verfahren, der richtige Weg ist, bleibt fraglich. Der digitale Rechtsrahmen ist heute so vielschichtig, dass vorschnelle Änderungen mehr Schaden anrichten können als Nutzen.
Ohne Vertrauen funktioniert Marketing nicht.
Ohne Regulierung funktioniert das Internet nicht.
Unsere gemeinsame Aufgabe besteht jetzt und künftig darin, beides doppelt intelligent zu verbinden. Das können wir ja.