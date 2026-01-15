Nach Jahren verschärfter Regulierung korrigiert die EU ihren Kurs: Das Omnibus-Paket soll Erleichterungen bei KI, Datenschutz und Cloud-Services bringen. Eine Bewertung.

Weniger Digitalregulierung? Die EU-Kommission will mit dem digitalen Omnibus-Paket die Regeln vereinfachen.

Weniger Regulierung durch die EU? Das im November 2025 vorgestellte „Digital Omnibus Package“ verspricht bürokratische Entlastung für Fintechs und Wertpapierfirmen. Doch was steckt wirklich dahinter?

Die Kommission verfolgt mit dem Digitalen Omnibus-Paket das Ziel, die komplexe Digitalregulierung der EU zu straffen und zu vereinheitlichen.

Das Paket besteht aus zwei Verordnungsentwürfen: Dem „Digital Omnibus on AI“, der Erleichterungen bei der praktischen Umsetzung der KI-Verordnung vorschlägt, und dem allgemeinen „Digital Omnibus“. Letzterer sieht gezielte Anpassungen im Datenschutzrecht und bei der Cybersicherheitsregulierung vor.

Profitieren könnten insbesondere Fintechs und Wertpapierfirmen, die auf innovative technologiebasierte Geschäftsmodelle setzen.

Jan C. Knappe ist Rechtsanwalt und Gründungspartner der Münchner Kanzlei für Wirtschafts-, Unternehmens- und Steuerrecht drrp. | Bildquelle: drrp Rechtsanwälte

1. KI-Verordnung: Verschiebung und Entlastung

Die EU-Kommission hat verstanden, dass die KI-Verordnung die globale Wettbewerbsfähigkeit des Standorts EU beeinträchtigt. Daher hat sie mit dem „Digital Omnibus on AI“ einen separaten Verordnungsentwurf nur für diesen Regulierungsbereich entwickelt. Die geplanten Erleichterungen betreffen vor allem die Entwickler und Anbieter von KI-Tools. Nicht nur KMU, sondern auch Small Caps und sogar Mid Caps sollen von reduzierten Compliance-Pflichten profitieren. Das erleichtert auch größeren Häusern die Entwicklung oder den Ausbau KI-basierter Lösungen.

Konkret bedeutet das: Robo-Advisor und KI-gestützte Anlageberatung werden weniger bürokratischen Hürden unterliegen. Außerdem sollen Registrierung und Überwachung der Anbieter nach dem Inverkehrbringen flexibler gestaltet werden. Daneben soll die generelle Schulungspflicht von Mitarbeitern und externen Dienstleistern entfallen.

Für die Anbieter und Verwender von Hochrisiko-KI interessant: Die Pflichten für Hochrisiko-KI-Systeme sollen nicht mehr ab dem 2. August 2026 gelten, sondern erst deutlich später, wobei die Einzelheiten noch nicht feststehen.

Auch Wertpapierfirmen können hiervon profitieren. KI-Tools in ihrem Kerngeschäft dürften zwar in der Regel nicht als Hochrisiko-KI einzustufen sein. Etwas anderes gilt aber für den Einsatz künstlicher Intelligenz im Zusammenhang mit Beschäftigungsverhältnissen – hier ist die Grenze zur Hochrisiko-KI schnell überschritten, und zwar nicht nur im Personalmanagement, sondern auch im Recruitment.

2. DSGVO: Präzisierung und neue Praxisfreundlichkeit

Ein Großteil der weiteren geplanten Änderungen betrifft die Datenschutz-Grundverordnung (DSGVO). Hier die wichtigsten Erleichterungen:

2.1 Pseudonymisierung statt Anonymisierung:

Die geplante Reform der DSGVO sieht ausdrücklich vor, dass pseudonyme Daten nicht als personenbezogen gelten sollen, solange der Verantwortliche nicht über Mittel verfügt, um die betroffenen Personen selbst zu identifizieren.

Für viele datengetriebene Geschäftsmodelle im Finanzbereich (zum Beispiel Marktanalysen, Aggregation anonymisierter Nutzungsdaten) bedeutet dies einen größeren Aktionsradius, weil sie bislang nur auf komplett anonymisierte Daten zurückgreifen dürfen.

2.2 KI-Entwicklung:

In der DSGVO soll ein neuer Artikel 88c eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei der Entwicklung und dem Betrieb von KI-Systemen schaffen, sofern angemessene technische und organisatorische Maßnahmen getroffen werden.

Besonders sensible personenbezogene Daten im Sinne des Artikels 9 DSGVO (wie zum Beispiel Gesundheitsdaten oder Daten zum Sexualleben) sollen künftig unter strengen Auflagen auch ohne Einwilligung der Betroffenen verarbeitet werden dürfen – etwa zum Zwecke der Bias-Erkennung und -Korrektur in KI-Systemen. Das ist insbesondere für Kredit-Scoring, Risikobewertungen oder automatisierte Onboarding-Prozesse relevant.

2.3 Automatisierte Entscheidungen:

Automatisierte Entscheidungen sollen künftig auch dann als vertraglich erforderlich gelten können, wenn die Entscheidung alternativ durch eine menschliche Person hätte getroffen werden können.

Diese Änderung ist für Kredit– und Wertpapierinstitute, aber auch für Fintechs und Regtechs interessant, weil sie einen sicheren Rechtsrahmen für datengetriebene Geschäftsmodelle (zum Beispiel Scoring, Fraud-Detection, algorithmische Risikoprüfung, KI-Tools mit Entscheidungskomponenten) bietet.

2.4 Missbräuchliche Auskunftsansprüche:

Ein häufiges Ärgernis für Finanzdienstleister sind Auskunftsansprüche, die unter dem Deckmantel der datenschutzrechtlichen Betroffenenrechte geltend gemacht werden. Zukünftig lassen sich zweckwidrige oder exzessive Anfragen leichter ablehnen oder kostenpflichtig gestalten.

2.5 Standardisierung der Datenschutz-Folgenabschätzung:

Außerdem ist geplant, EU-weit einheitliche Listen von Verarbeitungsvorgängen zu entwickeln, die eine Datenschutz-Folgenabschätzung (DSFA) erfordern beziehungsweise nicht erfordern. Zusätzlich soll ein Template für die DSFA bereitgestellt werden. Die Umsetzung erfolgt allerdings nachgelagert zum Digitalen Omnibuspaket unter Einbindung des Europäischen Datenschutzausschusses (EDSA).

2.6 ePrivacy:

Teilbereiche der gescheiterten europäischen ePrivacy-Verordnung sollen in den neuen Artikeln 88a und 88b der DSGVO geregelt werden. Betroffen sind Cookie-Regelungen und andere Endgerätezugriffe, bei denen personenbezogene Daten verarbeitet werden.

Kernstück der Neuregelungen ist die Einwilligung des Nutzers. Diese bleibt grundsätzlich weiterhin erforderlich, allerdings soll das browsergestützte Einwilligungsmanagement über standardisierte, maschinenlesbare Mechanismen gestärkt und verbindlich werden. Für die betroffenen Unternehmen wird hierdurch der technische Aufwand für Consent-Management und Dokumentation steigen.

3. Einheitliches Meldesystem und Data Act

3.1 Single Entry Point:

Es ist ein zentrales Meldesystem geplant („Single Entry Point“). Wertpapierinstitute werden sich dabei möglicherweise an das MVP-Portal der Bafin erinnert fühlen – die genaue Ausgestaltung des Single Entry Point steht aber noch nicht fest. Die technische Umsetzung liegt bei der EU-Agentur für Cybersicherheit Enisa.

Ein wesentlicher Vorteil für regulierte Unternehmen zeichnet sich aber bereits ab: Der Single Entry Point soll gleichermaßen für Datenschutzverstöße, Dora-relevante IKT-Vorfälle, NIS2-Sicherheitsvorfälle oder eIDAD- beziehungsweise CER-Vorfälle gelten. Künftig soll eine einzige Meldung an das zentrale Meldesystem ausreichen, um alle diesbezüglichen Meldepflichten zu erfüllen.

3.2 Data Act-Überarbeitung:

Ein weiterer Schwerpunkt der Änderungsvorschläge betrifft den gerade erst in Kraft getretenen EU-Data Act. Entgegen einer verbreiteten Ansicht ist der Data Act für die Finanzindustrie kein Nischenthema, sondern ein strategischer Hebel für datengetriebene Finanzprodukte, insbesondere für Open Banking und Embedded Finance.

Mit der Konsolidierung mehrerer Teilregelungen strebt die Reform eine straffere und verständlichere Regelung für Datenwirtschaft und Datennutzung an. Besonders relevant für Fintechs und Wertpapierfirmen:

Cloud-Switching – also der Wechsel des Cloud-Anbieters – wird erleichtert, insbesondere für maßgeschneiderte Dienste und kleinere Unternehmen. Den Vorteilen für die Nutzer stehen entsprechende Herausforderungen für die Cloud-Anbieter gegenüber.

– also der Wechsel des Cloud-Anbieters – wird erleichtert, insbesondere für maßgeschneiderte Dienste und kleinere Unternehmen. Den Vorteilen für die Nutzer stehen entsprechende Herausforderungen für die Cloud-Anbieter gegenüber. Der Schutz von Geschäftsgeheimnissen gegenüber Datenempfängern und insbesondere gegenüber Drittländern wird gestärkt; die Verpflichtung zur Offenlegung von Unternehmensdaten gegenüber Behörden soll auf eng definierte Ausnahmefälle (zum Beispiel Katastrophenhilfe) beschränkt werden.

gegenüber Datenempfängern und insbesondere gegenüber Drittländern wird gestärkt; die Verpflichtung zur Offenlegung von Unternehmensdaten gegenüber Behörden soll auf eng definierte Ausnahmefälle (zum Beispiel Katastrophenhilfe) beschränkt werden. Von Bedeutung für blockchainbasierte Finanzprodukte: Regulatorische Anforderungen für Smart Contracts sollen entfallen – jedenfalls, soweit sich diese bisher aus dem Data Act ergeben.

In der Praxis dürften Finanzdienstleister mit datenintensiven Geschäftsmodellen profitieren: Die Rechtslage wird klarer, und die Datenverarbeitung wird sich (hoffentlich) einfacher mit Complianceanforderungen und geschäftlichen Interessen in Einklang bringen lassen.

Fazit: Mehr Beinfreiheit – aber wann?

Mit dem Digitalen Omnibuspaket bemüht sich die EU-Kommission erkennbar, die regulatorischen Hürden für innovative Unternehmen zu senken und damit die internationale Wettbewerbsfähigkeit und Attraktivität des Wirtschaftsstandorts EU zu stärken. Aus Sicht der ohnehin schon stark regulierten Finanzbranche ist dieser Ansatz zu begrüßen.

Für datengetriebene Finanzdienstleister, Fintechs und innovative Wertpapierfirmen könnten sich erhebliche Vorteile ergeben: weniger regulatorischer Ballast, mehr Rechtssicherheit, klarere Rahmenbedingungen für KI und Datenverarbeitung.

Natürlich gibt es auch Kritik am Digitalen Omnibuspaket. Insbesondere das möglicherweise niedrigere Schutzniveau für personenbezogene Daten prägt die Diskussion. Der weitere Verlauf des europäischen Gesetzgebungsverfahrens wird spannend.