EU Digitalpaket 2025: Bürokratieabbau, KI-Innovation und digitale Geldbörsen für Unternehmen
20. November 2025 um 08:00
Teilen:
Die Europäische Kommission hat am 19. November 2025 ihr neues Digitalpaket vorgestellt [1][2]. Das Paket zielt darauf ab, die digitalen Vorschriften der EU zu vereinfachen und Innovationen zu fördern [2], sodass Unternehmen weniger Zeit mit Verwaltungsarbeit und Compliance verbringen und sich stattd
Die Europäische Kommission hat am 19. November 2025 ihr neues Digitalpaket vorgestellt [1][2]. Das Paket zielt darauf ab, die digitalen Vorschriften der EU zu vereinfachen und Innovationen zu fördern [2], sodass Unternehmen weniger Zeit mit Verwaltungsarbeit und Compliance verbringen und sich stattdessen stärker auf Innovation und Wachstum konzentrieren können [3][4].
Die Initiative ist der erste Schritt in der Agenda der Kommission zur Vereinfachung der digitalen Vorschriften [4][58]. Sie folgt der Forderung nach einer klareren, einfacheren und kohärenteren EU-Regulierung, um die europäische Wettbewerbsfähigkeit zu stärken [5][6]. Kommissar Michael McGrath betonte, dass die gezielten Änderungen an der Datenschutz-Grundverordnung (DSGVO) darauf abzielen, die Integrität dieser Regulierung zu wahren und sie gleichzeitig klarer, einfacher und harmonisierter zu gestalten, um den Anforderungen der Interessenträger gerecht zu werden [8].
Das Paket basiert auf drei zentralen Säulen [7]: dem Digitalen Omnibus (Straffung der Regeln für KI, Cybersicherheit und Daten), der Strategie für eine Datenunion (Erschließung hochwertiger Daten für KI) und der Einführung von European Business Wallets (EBW) für eine einzige digitale Unternehmensidentität [7].
1. Der Digitale Omnibus: Vereinfachung des Regelwerks
Der Digitale Omnibus enthält eine Reihe technischer Anpassungen an einer Vielzahl digitaler Rechtsvorschriften, die darauf abzielen, Unternehmen, Verwaltungen und Bürgern sofortige Entlastung zu verschaffen und die Wettbewerbsfähigkeit anzukurbeln [9][6].
Innovationsfreundliche Anpassungen des AI Acts
Die Kommission schlägt gezielte Vereinfachungsmaßnahmen vor, um eine zeitnahe, reibungslose und proportionale Umsetzung der Bestimmungen des KI-Gesetzes (Regulation (EU) 2024/1689) zu gewährleisten [10].
Anwendungsfristen verknüpfen: Der Beginn der Anwendung der Vorschriften für Hochrisiko-KI-Systeme wird an die Verfügbarkeit von Unterstützungsinstrumenten, einschließlich der erforderlichen harmonisierten Standards, geknüpft [11][12]. Die Frist für die Anwendung der Hochrisikoregeln wird auf maximal 16 Monate angepasst, nachdem die Kommission die erforderlichen Standards und Unterstützungsmaßnahmen bestätigt hat [11][12]. Die Regeln für Hochrisiko-KI in sensiblen Bereichen (Anhang III) gelten maximal 16 Monate später; die Regeln für KI, die in Produkten wie Medizinprodukten eingebettet ist (Anhang I), gelten maximal 12 Monate später [13].
Vereinfachungen ausweiten: Bestimmte Erleichterungen, wie vereinfachte technische Dokumentationspflichten, werden von kleinen und mittleren Unternehmen (KMU) auf Small Mid-Caps (SMCs) ausgedehnt [14].
Governance stärken: Die Befugnisse des AI Offices werden ausgeweitet, um eine einheitliche Governance zu gewährleisten [15].
Unterstützung für GPAI: Bereits im Juli 2025 veröffentlichte die Kommission drei wichtige Instrumente zur Unterstützung von Allzweck-KI-Modellen (GPAI), darunter Leitlinien zum Umfang der Verpflichtungen, einen freiwilligen GPAI Code of Practice und eine Vorlage für die öffentliche Zusammenfassung von Trainingsinhalten [16].
Vereinfachung der Cybersicherheitsberichterstattung
Um die Belastung durch mehrfache Meldepflichten zu reduzieren, wird ein Single-Entry-Point (zentraler Meldeeingang) eingeführt [17][18]. Dieser ermöglicht es Unternehmen, einen Vorfall einmal zu melden („report once, share many") und gleichzeitig ihre Meldepflichten unter verschiedenen Rechtsakten zu erfüllen [17][19]. Dadurch soll der Meldeaufwand für einen Großteil der Organisationen halbiert werden, während gleichzeitig die Cybersicherheit durch gestraffte Prozesse verbessert wird [19].
Die Nutzung des Single-Entry-Points ist unter anderem für die NIS2-Richtlinie, die DSGVO (für die Meldung von Datenschutzverletzungen), die DORA-Verordnung, die CER-Richtlinie und die EU-Verordnung über die digitale Identität (EUDIW) vorgeschrieben [20][21]. Die Europäische Agentur für Cybersicherheit (ENISA) wird mit der Entwicklung und Wartung dieses zentralen Meldeeingangs beauftragt [22][23].
Straffung der Daten- und Datenschutzvorschriften
Die Kommission strebt die Konsolidierung der Datenvorschriften in nur zwei Rechtsakten an: der DSGVO und der Data Act[24]. Zu diesem Zweck werden die Bestimmungen der Free Flow of Non-personal Data Regulation (FFDR), des Data Governance Act (DGA) und der Open Data Directive (ODD) in den Data Act integriert oder aufgehoben [25][26][27]. Zudem wird die P2B-Verordnung aufgehoben, da ihre Regelungen weitgehend durch den Digital Markets Act (DMA) und den Digital Services Act (DSA) ersetzt wurden [28][29].
Gezielte DSGVO-Änderungen:
Cookie-Regeln: Die Nutzer erhalten die Möglichkeit, alle Cookies mit einem einzigen Klick ("One click to say yes or no") abzulehnen [30]. Websites müssen diese Ablehnung oder Zustimmung für mindestens sechs Monate respektieren [31]. Nutzer können ihre Präferenzen zentral (z. B. über den Browser) festlegen, was die Online-Erfahrung drastisch vereinfachen soll [32]. Der Rahmen der DSGVO wird auf Cookie-Regeln angewendet, um eine harmonisierte Durchsetzung mit Sanktionen von bis zu 4 % des weltweiten Umsatzes bei Verstößen zu gewährleisten [33][34].
Meldepflicht für Datenpannen: Die Schwelle für die Meldung einer Datenschutzverletzung (Art. 33) an die Aufsichtsbehörde wird angehoben und mit der Schwelle für die Benachrichtigung der betroffenen Person (Art. 34) in Einklang gebracht [35][36]. Eine Meldung ist nur noch erforderlich, wenn die Verletzung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt [35][36]. Die Meldefrist wird auf 96 Stunden verlängert [36][37], und die Meldung an die Aufsichtsbehörde muss über den Single-Entry-Point erfolgen [38].
KI-Training als Berechtigtes Interesse: Die Verarbeitung personenbezogener Daten im Kontext der Entwicklung und des Betriebs eines KI-Systems oder -Modells kann als berechtigtes Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe f der DSGVO angesehen werden [39][40][41]. Dies ist an die Bedingung geknüpft, dass dem Betroffenen ein bedingungsloses Widerspruchsrecht gegen die Erhebung seiner personenbezogenen Daten eingeräumt wird [42].
2. European Business Wallets
Die Kommission hat eine Verordnung zur Einführung der European Business Wallets (EBW) vorgeschlagen [43]. Diese digitalen Tools sollen Geschäftsvorgänge vereinfachen und die Wettbewerbsfähigkeit in der gesamten EU verbessern [44], indem sie den Verwaltungsaufwand für europäische Unternehmen reduzieren [45]. Obwohl Unternehmen nicht zur Nutzung der EBWs verpflichtet sind, müssen die öffentlichen Verwaltungen in der gesamten EU deren Kernfunktionen innerhalb von zwei Jahren nach Annahme der Vorschläge akzeptieren [46].
3. Strategie für die Datenunion: Daten für KI freischalten
Die Strategie für die Datenunion (COM(2025) 835) legt Maßnahmen in drei vorrangigen Bereichen fest: Verbesserung des Datenzugangs für KI, Straffung der Datenvorschriften und Stärkung der globalen Position der EU bei internationalen Datenflüssen [47].
Datenzugang ausweiten: Die Strategie umfasst Initiativen wie Data Labs, die als praktische Drehkreuze Unternehmen und Forschern Zugang zu vielfältigen Datensätzen für KI sowie zu datenbezogenen Dienstleistungen (z. B. technische Infrastruktur, Data Pooling und Data Curation/Labelling) bieten sollen [48][49]. Die Strategie sieht auch Investitionen in die Entwicklung synthetischer Daten vor [50].
Datenvorschriften straffen: Ziel ist es, die Kohärenz zwischen den Datenvorschriften zu stärken, um sicherzustellen, dass der breitere Datenrahmen innovationsfreundlich bleibt [51]. Dies beinhaltet die Einführung der „One click compliance", bei der regulatorische Anforderungen in maschinenprüfbare Token umgewandelt werden, die über die European Business Wallet gespeichert und geteilt werden können [52].
Globale Position stärken: Die Strategie stärkt die Datensouveränität Europas durch einen strategischen Ansatz zur internationalen Datenpolitik, der Maßnahmen zum Schutz sensibler nicht-personenbezogener Daten (Anti-Leakage-Toolbox) beinhaltet [53].
4. Nächste Schritte
Die Legislativvorschläge – der Digitale Omnibus (COM(2025) 837 und COM(2025) 836), die Mitteilung zur Datenunion-Strategie (COM(2025) 835) und die EBW-Verordnung [43] – wurden am 19. November 2025 veröffentlicht [54][55][56]. Sie werden nun dem Europäischen Parlament und dem Rat der EU zur Diskussion und Verhandlung vorgelegt [57].
Parallel dazu hat die Kommission den zweiten Schritt ihrer Vereinfachungsagenda eingeleitet, den Digitalen Fitness Check, eine breit angelegte Konsultation zur Kohärenz und kumulativen Wirkung der digitalen Vorschriften [58][59]. Die Konsultation läuft bis zum 11. März 2026 [59].
Commission proposes European Business Wallets to simplify business operations and enhance competitiveness across the EU | Shaping Europe's digital future (EBW - simplify/enhance competitiveness) (Quelle: Commission proposes European Business Wallets)