Die EU-Kommission hat am 19.11.2025 ein Paket zur Konsolidierung des digitalen Rechtsrahmens vorgelegt. Dieses besteht aus einem Digitalomnibus zu KI, Cybersicherheit und Daten, einem Digitalomnibus zu DSGVO, ePrivacy-Rahmen und Data Act sowie der Einführung einer EU-Brieftasche für Unternehmen (European Business Wallet). Diese durchaus positiven Vorschläge durchlaufen jetzt das EU-Gesetzgebungsverfahren mit dem EU-Rat und dem EU-Parlament.
Die EU-Kommission hat in der aktuellen Legislaturperiode u.a. die Entbürokratisierung der geltenden EU-Vorschriften zur Leitlinie gemacht. Diesem Ziel versucht sie nun im Bereich Digitalgesetzgebung mit einem weiteren aktuell am 19.11.2025 vorgestellten Vereinfachungspaket (das sog. Omnibus IV Paket) nachzukommen. Nachfolgend finden sich die wichtigsten, ggf. für Kfz-Unternehmen relevanten Punkte:
1. Digital-Omnibus-Paket zu KI, Cybersicherheit und Daten KI-Kompetenz und Schulungsanforderungen (Artikel 4)
Nach Willen der EU-Kommission soll die bisher noch bestehende Pflicht aller KI-Anbieter sowie KI-Verwender entfallen, die KI-Kompetenz ihrer Beschäftigten rechtsverbindlich sicherzustellen.
Stattdessen sollen nach dem Kommissionsvorschlag die Mitgliedstaaten ihre Unternehmen nur noch dazu anregen, KI-Know-how aufzubauen (Leitlinien, Good Practices etc.). Konkrete Schulungspflichten treffen dann nur die Verwender hochriskanter KI-Systeme. Demzufolge wären normale Unternehmen und Verbände meist nur in Ausnahmefällen betroffen. Und auch solche Hochrisikoregeln treten erst nach einer Übergangsfrist von bis zu 16 Monaten in Kraft.
Ausdehnung der Erleichterungen auf Small mid-caps (SMC)
Die im AI-Act vorgesehenen Erleichterungen für KMU (z.B. beim Qualitätsmanagement und der technischen Dokumentation) sollen auch auf eine neu eingeführte Kategorie von Unternehmen, den sog. „Small Mid-Cap-Enterprises“ (SMC), ausgeweitet werden. Danach wäre ein SMC gegeben, wenn es zwischen 250 und 750 Mitarbeiter beschäftigt und entweder einen Jahresumsatz zwischen 50 Mio. € und 150 Mio. €erwirtschaftet oder eine Bilanzsumme zwischen 43 Mio. € und 129 Mio. € aufweist. Mit dieser neuen Klassifizierung will die EU sicherstellen, dass mittelständische Unternehmen nicht zwischen den Regelwerken für KMU und Großunternehmen zerrieben werden.
Cybersicherheit
Die bisher von Unternehmen bei entsprechenden Vorfällen noch getrennt vorzunehmenden Meldungen nach NIS2, DSGVO und DORA möchte das Omnibusgesetz vereinheitlichen. Es will mit der Schaffung einer zentrale Meldestelle (Single Entry Point) für alle Cybersicherheitsvorfälle widersprüchliche Vorgaben und unklare Zuständigkeiten verhindern. Sie soll von der Europäische Agentur für Cybersicherheit (ENISA) betrieben werden und basiert auf der in den EU-Vorschriften (Cyber-Resilience-Act) vorgesehenen Meldeplattform.
2. Digital-Omnibus-Paket zu Daten und DSGVO
Data Act
Mit dem Digital-Omnibus sollen mehrere Verordnungen (Verordnung zum freien Datenfluss (FFDR), der Data Governance Act (DGA) und die Open-Data-Richtlinie (ODD)) in der Data-Act-Verordnung (EU) 2023/2854 gebündelt werden. Dadurch soll ein einheitliches europäisches Datengesetz entstehen, welches bei den Vorgaben aber teils abgeschwächt wird. Entlastungsregeln des Data Acts würden dann künftig nicht nur für KMU, sondern auch für die SMC-Unternehmen (s. o.) gelten.
Insoweit soll der Data Act aber in seiner Grundstruktur bestehen bleiben und beim Prinzip des fairen Datenzugangs bleiben. Gleichzeitig ist es das Ziel, EU-Daten besser vor Zugriffen von außen zu schützen und Datenabflüsse in Drittländer zu verhindern. Aufgrund des künftig beabsichtigten stärkeren Schutz von Geschäftsgeheimnissen bei Daten aus vernetzten Produkten sollen Hersteller leichter besonders sensible Daten zurückhalten können. Dies könnte ggf. das Risiko zur Folge haben, dass Zugangsrechte in der Praxis abgeschwächt werden.
DSGVO
Der Digital-Omnibus stellt klar, dass KI-Trainings unter Nutzung personenbezogener Daten künftig auch auf das „berechtigte Interesse“ (Art. 6 Abs. 1 lit. f DSGVO) des Verwenders gestützt werden können, sofern dies angemessen ist. Diese Änderung soll die Verwendung weniger risikoreicher KI-Anwendungen erleichtern, solange keine speziellere Vorschrift eine Einwilligung verlangt oder die Interessen der Betroffenen – z. B. von Kindern – überwiegen. Außerdem sollen Daten nicht mehr als personenbezogen gelten, wenn eine Person mit vernünftigen Mitteln nicht identifiziert werden kann. Damit werden pseudonymisierte Daten oft nicht mehr als personenbezogen eingestuft, was unkritische Datenverarbeitungen erleichtern soll.
Digitale EU-Brieftasche für Unternehmen (European Business Wallet)
Der Verordnungsvorschlag will schließlich einen einheitlichen digitalen Kanal für die Unternehmensidentität einerseits und Dokumentenaustausch andererseits in der EU schaffen. Ziel des Gesetzesvorschlags ist es, dass sich Unternehmen damit künftig freiwillig digital gegenüber Behörden und anderen Unternehmen ausweisen können. Auch soll es Unternehmen ermöglichen, Unterlagen sicher, grenzüberschreitend und rechtsverbindlich austauschen.
Diese sog. European Business Wallet soll der zentrale Baustein für eine „one-click compliance“ sein.
Eine Einbindung ist über das „Single Digital Gateway“ geplant. Die Vorgaben (z.B. aus NIS2, Cyber Resilience Act, DPP, Nachhaltigkeits- oder Produktpflichten) werden maschinenlesbar und -prüfbar und in standardisierte digitale Compliance-Zertifikate übersetzt (Akzeptanz der Unternehmens-Brieftasche durch Behörden: Spätestens 24 Monate nach Inkrafttreten).
Fazit
Die Gesetzesvorschläge werden dem EU-Parlament und dem EU-Rat zur Annahme vorgelegt und durchlaufen dabei das ordentliche EU-Gesetzgebungsverfahren. Zu erwartende Trilog-Verhandlungen zwischen Parlament, Rat und Kommission werden dann im zweiten Halbjahr 2026 beginnen. Ebenso wurde eine bis zum 11.03.2026 laufende, umfassende Konsultation zum Digitalen Fitness-Check gestartet.
Erfreulich ist im Omnibus-Vorschlag die Klarstellung zu den personenbezogenen Daten und der
Wegfall konkreter Schulungspflichten im AI-Act. Gleiches gilt für die Geltendmachung des „berechtigten Interesse“ i. S. d Art. 6 DSGVO als Rechtsgrundlage für KI-Trainings. Die European Business Wallet bietet Chancen für den Bürokratieabbau, wenn Pflichten nicht nur digitalisiert, sondern wirklich reduziert werden und deren Nutzung einfach und freiwillig bleibt.
Bei den Änderungen am Data Act dürfen Zugangsrechte von Nutzern und Betrieben gegenüber Herstellern nicht abgeschwächt werden, um ein Machtungleichgewicht auf dem Datenmarkt (zur Beibehaltung fairer Wettbewerbsbedingungen) zu verhindern.
Comments are closed.