Von Prof. Dr. Dr. h. c. Christiane Wendehorst,
Was erwartet man von einem Omnibus? Erstens, dass er solide gebaut ist. Zweitens, dass er in der Lage ist, möglichst viele Menschen mitzunehmen. Und drittens, dass er an dem Ziel ankommt, das in großen Leuchtzeichen auf seiner Anzeige steht. Erfüllen die beiden Verordnungsvorschläge, die uns die Kommission am 19.11. präsentiert hat, diese Anforderungen? Zum Teil.
Beginnen wir mit der soliden Bauweise. Eine Überarbeitung von KI-VO und Data Act, die Zusammenfassung etlicher Rechtsakte, eine Lösung für das Cookie-Problem, und dann auch noch die Reform der DS-GVO, die 
man jahrelang verweigert hatte – das sind keine Vorhaben, die man nebenbei aus dem Ärmel schüttelt. Erst Mitte September erfährt aber die Öffentlichkeit, welche Themen überhaupt zur Diskussion stehen, und kann bis 14.10. Stellung nehmen. Sogar Regierungen schaffen es nicht fristgerecht, sondern reichen Input später nach. Schon Anfang November werden Entwürfe geleakt, und knappe zwei Wochen später sind die Vorschläge veröffentlicht – wie viel Reflektion kann hier hineingeflossen sein?
Sehen wir uns die zweite Anforderung an, dass der Omnibus möglichst viele mitnimmt. Sowohl der Diskussionsentwurf der Verfasserin für eine „KI-Datenschutz-VO“ von 2024 als auch die Vorschläge des European Law Institute (ELI) von 2025 haben dies in Bezug auf eine DS-GVO-Reform bewusst getan: Keine einseitigen Erleichterungen im Datenschutz ohne eine entsprechende Erhöhung des Schutzniveaus an anderer Stelle. Vorgeschlagen waren ein dreistufiges Regulierungsregime sowie „rote Linien“ verbotener Datennutzungen zum Ausgleich für Freistellungen bei minimalem Risiko. Das hätte Chancen auf breite Akzeptanz gehabt, wie man an dem ungleichen Duo von Axel Voss und Max Schrems sieht, die die Idee später aufgriffen. Setzt man aber nur die eine Hälfte um, war ein Schrei der Entrüstung vieler Akteure vorprogrammiert.
Und damit wären wir bei der dritten Anforderung, dass der Omnibus sein Ziel „Vereinfachung“ auch erreicht. Die Korrektur von Redaktionsversehen und von Vorschriften, die sich als unsachgemäß herausgestellt haben, trägt sicherlich dazu bei. Darüber hinaus aber wurde das Vereinfachungspotenzial der Maßnahmen bei weitem nicht ausgeschöpft. Eine Kodifikation fast des gesamten Datenwirtschaftsrechts etwa wäre eine Riesen-Chance gewesen, ein kohärentes Regelwerk zu schaffen, das von seinen Anwendern verstanden wird. Leider wird aber nicht einmal das Chaos beseitigt, welches ein redaktionell so fehlerhaftes Gesetz wie der Data Act geschaffen hat.
Allerdings: Bei aller Kritik überwiegt die Erleichterung und Begeisterung, dass die Europäische Kommission den Mut und die Tatkraft besitzt, endlich auch bestehende Regulierung substanziell zu ändern und dabei sogar die DS-GVO nicht auszusparen. Die versäumte Reflektion sowie Einbeziehung von Experten und Stakeholdern werden wir jetzt eben im Gesetzgebungsverfahren nachholen müssen. Denn in einem unterscheiden sich diese Vehikel doch von echten Omnibussen: sie können nicht jede halbe Stunde fahren.
Prof. Dr. Dr. h.c. Christiane Wendehorst, LL.M. (Cambridge), ist Professorin für Zivilrecht und stv. Vorständin des Instituts für Innovation und Digitalisierung im Recht an der Wirtschaftsuniversität Wien