Der EU Digital Omnibus: Was SaaS- und Softwareunternehmen jetzt wissen müssen

Der EU Digital Omnibus: Was SaaS- und Softwareunternehmen jetzt wissen müssen

Wie die EU ihr digitales Regelwerk neu ordnet – und was Unternehmen jetzt beachten sollten

SaaS-Anbieter und Softwareunternehmen haben die vergangenenJahre damit verbracht, sich auf den AI Act, den Data Act, den DSA, die NIS2-Richtlinie, DORA oder den Cyber Resilience Act einzustellen. Die Liste derRegelwerke, die den Geschäftsalltag betreffen, wird immer länger. Je nachEinordnung des Dienstes und seines Funktionsumfangs fallen Unternehmen unterunterschiedliche Regelungsbereiche gleichzeitig. Kaum sind erste Compliance-Strukturen aufgebaut, legt die EU-Kommission jetzt mit dem „DigitalOmnibus“ nach.

Welche Auswirkungen hat dieses Gesetzespaket auf die eigene Praxis? Welche Änderungen zeichnen sich ab – und wo bleiben Risiken bestehen?

Dieser Beitrag liefert SaaS-Anbietern undSoftwareunternehmen eine praktische Aufschlüsselung.

Ausgangslage

Das Jahr 2026 ist durch die weitere Konkretisierung undAnwendung zentraler europäischer Digitalregulierung geprägt. Die regulatorische Dichte nimmt damit spürbar zu. Parallel dazu hat die Europäische Kommission den„Digital Omnibus“ zusammen mit zwei flankierenden Initiativen veröffentlicht: der Datenunion-Strategie, die einen einheitlichen europäischen Datenraum fördern soll, sowie der Initiative „European Business Wallet“, die Unternehmen eine standardisierte digitale Identität und vereinfachten Zugang zuBehördenleistungen ermöglichen soll. Diese Vorschläge zielen gemeinsam darauf ab, die Einhaltung der europäischen Datenregulierung durch Unternehmen neu zugestalten und den digitalen Binnenmarkt zu stärken.

Wichtig vorab: Diese Vorschriften sind noch nicht inKraft. Es handelt sich um einen Gesetzesvorschlag. Er muss noch vomEuropäischen Parlament und vom Rat verhandelt und verabschiedet werden.Konkrete Fristen, Standards und Zuständigkeiten sind daher teilweise noch offen.

Gleichzeitig zeigen die Vorschläge deutlich, in welcheRichtung die EU ihr digitales Regelwerk harmonisieren, Doppelregulierungen reduzieren und die Umsetzung für Unternehmen praktikabler gestalten will – ohne das Schutzniveau abzusenken. Sie geben damit bereits einen klaren Hinweis darauf, worauf bei der Produkt- und Compliance-Roadmap zu achten ist.

Was ist der Digital Omnibus?

Der Digital Omnibus ist kein völlig neues Regelwerk mit eigenständigen, unmittelbar geltenden Pflichten. Vielmehr handelt es sich um eine Änderungsverordnung, die darauf abzielt, die zahlreichen bestehendenDigitalverordnungen – wie den AI Act und den Data Act – besser zu verbinden, überschneidende Anforderungen zu reduzieren und die Umsetzung für Unternehmen praktikabler zu gestalten. Es geht also nicht um eine komplett neue inhaltlicheAusrichtung, sondern um technische und organisatorische Vereinfachungen.

Im Fokus der Diskussionen stehen unter anderem die Anpassung von Fristen, die Präzisierung von Pflichten, die Vereinheitlichung zentralerBegriffe, die Abstimmung paralleler Compliance-Anforderungen, sowie dieEntlastungen für kleine und mittlere Unternehmen.

Das Ziel besteht darin, Doppelregulierungen und unverhältnismäßige Belastungen zu vermeiden, ohne dabei den Schutzstandard selbst abzusenken.

Dies ist für SaaS- und Softwareunternehmen von hoher Relevanz, da je nach Einordnung des Dienstes (Hosting-Dienst, Datenverarbeitungsdienst, verbundener Dienst, KI-Anbieter etc.) unterschiedliche Regelungsregime mit teils erheblichen Compliance-Pflichtengreifen.

Die vier zentralen Bereiche für SaaS- undSoftwareunternehmen

Für Anbieter von SaaS-Dienstleistungen sind vierThemenkomplexe von besonderer Relevanz: Datennutzung und Datenzugang,Datenschutz und Einwilligung, Cybersicherheitsmeldungen sowie dieAufsichtsstrukturen im Bereich KI.

I.             Data Act: Klare Regeln für Datenzugang und Cloud-Wechsel

Für SaaS-Anbieter ist der Data Act in zwei Konstellationen besonders relevant.

1.        SaaS als „verbundener Dienst“

Ist ein SaaS-Dienst funktional mit einem vernetzten Produktverknüpft und ermöglicht oder erweitert dessen Nutzung wesentlich, gilt er als„verbundener Dienst“ im Sinne des Data Acts – mit der Folge, dass der Anbieter als Dateninhaber auftritt. Daraus folgt:

·     Nutzern muss ein rechtlich abgesicherter Zugang zu Produkt- und Servicedaten eröffnet werden – einschließlich Echtzeitabruf und technischer Schnittstellen.

·     Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.

·     Der Zugang muss einfach, sicher und unentgeltlich erfolgen.

·      Technische und vertragliche Barrieren dürfen dieWeitergabe nicht behindern.

2.       Schutz von Geschäftsgeheimnissen

Der Digital-Omnibus-Entwurf sieht verstärkte Schutzmechanismen vor: Dateninhaber dürfen die Weitergabe verweigern, wenn einhohes Risiko besteht, dass Betriebs- oder Geschäftsgeheimnisse in Drittstaaten mit unzureichendem Schutzniveau offengelegt werden könnten. Diese Verweigerung bleibt jedoch auf eng begrenzte Ausnahmefälle beschränkt und muss begründet werden.

3.       SaaS als „Datenverarbeitungsdienst“

Die meisten SaaS-Angebote, die Daten speichern, verarbeiten oder in einer Plattformumgebung bereitstellen, gelten gemäß Data Act alsDatenverarbeitungsdienste (Cloud-Dienste). Für SaaS-Anbieter bedeutet dies:

• Die Pflicht, Systeme so auszugestalten, dassKunden ihre Daten in praktikabler Form exportieren und zu einem anderen Dienstüberführen können.
• Wechsel dürfen nicht durch überhöhte Wechselgebühren oder proprietäre Blockadeformate behindert werden.

Der Omnibus-Gesetzesentwurf sieht hier Erleichterungen vor:

• Kleinere Anbieter erhalten längereÜbergangsfristen und können Exit-Verfahren pragmatischer gestalten.
• Es sollen die Wechselpflichten für starkindividualisierte SaaS-Dienste abgemildert werden.

Weitere praktische Instrumente des Digital Omnibus imDatenrecht umfassen:

• Mustervertragsklauseln für Datenzugriff und- nutzung,
• Standardvertragsklauseln fürCloud-Dienstleistungsverträge, sowie
• Verbesserter Zugang zu hochwertigen Datensätzen für das KI-Training.

Hinweis zu den Fristen: Der Data Act gilt seit dem 12. September 2025 unmittelbar in der gesamten EU. Eine wichtige Ausnahme betrifft die sogenannte „Access by Design“-Pflicht: Vernetzte Produkte und verbundene Dienste müssen erst dann standardmäßig so konzipiert sein, dass Produkt dateneinfach, sicher und unentgeltlich für die Nutzenden zugänglich sind, wenn sie nach dem 12. September 2026 neu in den Verkehr gebracht werden. Für bereits bestehende Produkte und Dienste gilt diese Designpflicht nicht rückwirkend.

II.         Cybersicherheit: Ein zentrales Meldeportal für die gesamte EU

Derzeit müssen Unternehmen Sicherheitsvorfälle gemäß DSGVO,NIS-2, DORA oder sektorspezifischen Gesetzen melden und dabei häufig dieselbenInformationen an unterschiedliche Behörden übermitteln.

Der Digital Omnibus schlägt deshalb ein einheitliches digitales europäisches Meldeportal vor. Über dieses sollen Unternehmen künftig sämtliche cybersicherheitsrelevante Vorfälle gebündelt melden können. DasPortal soll auch Zertifizierungsinformationen aus dem Cybersecurity Act integrieren.

Für kleinere Unternehmen (bis 250 Beschäftigte) ist zudem eine Verlängerung der Meldefrist auf 120 Stunden vorgesehen.

Warum das für SaaS-Unternehmen wichtig ist: WerUnternehmenskunden in mehreren EU-Ländern bedient, profitiert erheblich von weniger Fragmentierung und dem Wegfall doppelter Meldepflichten.

III.      DSGVO: gezielte Änderungen für mehr Praxistauglichkeit

Der Kern der DSGVO bleibt unverändert. Der Omnibus-Entwurfzielt jedoch auf Klarstellungen und Vereinfachungen ab:

1.       Modernisierte Cookie-Einwilligung

Die Einwilligungseinstellungen sollen künftig direkt imBrowser oder auf dem Gerät des Nutzers vorgenommen werden können. Das Ziel sind weniger Banner und mehr Nutzerfreundlichkeit.

2.       KI-Training und berechtigtes Interesse

Unter bestimmten Voraussetzungen soll KI-Training auf Art. 6Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestützt werden können, sofern geeignete technische und organisatorische Maßnahmen umgesetzt werden. Ergänzend dazu sollen Leitlinien zu datenschutzfreundlichen Trainingsmethodenveröffentlicht werden.

3.       Vereinfachte Meldepflichten

Datenschutzverletzungen ohne erhebliches Risiko sollen künftig nicht mehr an die Aufsichtsbehörde gemeldet werden müssen, sondern nur noch intern dokumentiert werden. Für Unternehmen mit weniger als 250Beschäftigten und geringem Risiko sollen die Informations- und Meldepflichtenvereinfacht werden.

4.       Einheitliche Auslegung

Für international tätige SaaS-Anbieter besonders relevant:Eine einheitlichere Auslegung der DSGVO in allen Mitgliedstaaten sollRechtsunsicherheiten reduzieren.

IV.     AI Act: Planbarkeit und Risikofokus

Für SaaS- und Softwareunternehmen ist eine maßgeblicheFrage, welche Pflichten für Hochrisiko-KI-Systeme bestehen. Hier hat es imRahmen des Digital-Omnibus-Pakets nun entscheidende politischeWeichenstellungen gegeben. So hat der Rat der Europäischen Union am 13. März2026 seinen Standpunkt zur Straffung bestimmter Vorschriften des AI Act festgelegt. Auch das Europäische Parlament hat einen politischen Kompromisserzielt. In zentralen Punkten stimmen beide Positionen weitgehend überein, sodass im anstehenden Trilog-Verfahren eine schnelle Einigung zu erwarten ist.

1.       Feste Fristen für Hochrisiko-KI-Systeme

Für Unternehmen ist insbesondere die Einführung klarer, verschobener Anwendungsdaten relevant. Der ursprüngliche Kommissionsvorschlag sah vor, dass die Hochrisiko-Pflichten erst greifen, wenn die erforderlichen EU-Standards verfügbar sind, spätestens jedoch 16 Monate nach derenBestätigung. Rat und Parlament haben diesen Ansatz nun durch festeAnwendungsdaten ersetzt:

• 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme und
• 2. August 2028 für Hochrisiko-KI-Systeme, die in regulierte Produkte integriert sind.

Für SaaS-Anbieter, die KI-Funktionalitäten bereitstellen bedeutet das: mehr zeitliche Planbarkeit für die Implementierung von Risikomanagement, technischer Dokumentation, Daten-Governance, Logging-Mechanismen und menschlicher Aufsicht. Die Umsetzungsplanung kann sichnun an konkreten Daten orientieren.

2.       Registrierungspflicht und Risikoeinstufung

Eine weitere praxisrelevante Neuerung ist die neu bzw. wieder eingeführte Registrierungspflicht für Hochrisiko-KI-Systeme in derEU-Datenbank. Diese gilt grundsätzlich für alle Anbieter, die ein System alsHochrisiko-KI einordnen oder einordnen müssen. Neu ist jedoch, dass auchAnbieter, die ihr System nicht als hochriskant einstufen, diese Bewertung künftig formal dokumentieren und begründen müssen – eine rein interneEinschätzung ohne Absicherung genügt nicht mehr.

Für SaaS-Unternehmen mit KI-Funktionalitäten ergibt sich daraus eine zusätzliche Dokumentations- und Begründungspflicht, selbst wenn siedavon ausgehen, nicht unter die Hochrisiko-Kategorie zu fallen. Eine rein interne Bewertung ohne formale Absicherung wird künftig nicht mehr genügen.

3.       Bias-Erkennung: Strengere Anforderungen bei sensiblen Daten

Der Kommissionsvorschlag sah eine neue Rechtsgrundlage für die Verarbeitung sensibler Daten zur Bias-Erkennung und -Korrektur vor. Der Rat hat diesen Vorschlag nachgeschärft und den Grundsatz der strengen Notwendigkeit für die Verarbeitung besonderer Kategorien personenbezogener Daten wiedereingeführt.

Für SaaS-Anbieter, deren KI-Systeme beispielsweise mit HR-oder Gesundheitsdaten arbeiten, erhöht sich dadurch der Aufwand für die datenschutzrechtliche Rechtfertigung des Trainings und der Korrektur vonVerzerrungen.

Weitere relevante Änderungen

• Vereinfachte Dokumentation für KMU und Small-Mid-Caps sowie mildere Sanktionsrahmen bleiben im Entwurf erhalten.
• Die Frist für die Einrichtung nationaler KI-Regulierungs-Sandboxes wird auf den 2. Dezember 2027 verschoben. Das EU-weite Sandbox-Programm unter Leitung des AI Office mit priorisiertem Zugang für Start-ups ist weiterhin geplant.
• Zudem wird die Zuständigkeit des AI Office als zentrale Aufsichtsbehörde über GPAI-Modelle präzisiert. Zugleich werdenAusnahmen präzisiert, in denen nationale Behörden weiterhin zuständig bleiben.
• Vorgesehen sind zudem sektorale Ausnahmeregelungen mit reduziertem Compliance-Aufwand für Produkte, die bereits unter harmonisierte Binnenmarktvorschriften fallen.
• Zusätzlich soll die Kommission Leitlinien bereitstellen, um den administrativen Aufwand für Betreiber und Anbieter von Hochrisiko-KI-Systemen möglichst gering zu halten. Dies könnte insbesondere für SaaS-Anbieter, deren Systeme in regulierten Branchen eingesetzt werden, die Compliance-Planung erleichtern.
• Das Zusammenspiel mit dem Cyber Resilience Act bleibt bestehen. KI-Systeme, die dessen Sicherheitsanforderungen erfüllen, sollen automatisch als IT-sicher gelten.

4.       Rollenabgrenzung bleibt entscheidend

Unabhängig von den Verfahrensänderungen ist für SaaS-Anbieter eine sorgfältige Rollen- und Risikoklassifizierung nach wie vor unverzichtbar. Stellt ein SaaS-Produkt KI-Funktionalitäten bereit, ist dieFrage der Rollenabgrenzung nach dem AI Act von entscheidender Bedeutung. Wer hat die tatsächliche Kontrolle über das KI-System? Wer verantwortet denEinsatz? In unserem Blogbeitrag „Anbieterfiktion“ geben wir einen Überblick über die Rolleneinordnung in typischen SaaS-Konstellationen und worauf zu achten ist, wenn SaaS-gestützte KI-Systeme für Hochrisikozwecke eingesetzt werden.

Wie geht es weiter?

Die Ausschüsse des Europäischen Parlaments haben am 18. März2026 formell über den Kompromiss abgestimmt. Das Plenum hat am 26. März 2026sein Verhandlungsmandat beschlossen. Damit hat das Trilog-Verfahren zwischenParlament, Rat und Kommission begonnen. Angesichts der weitgehendenÜbereinstimmung beider Positionen soll der Trilog noch vor der Sommerpause 2026abgeschlossen werden. Es ist davon auszugehen, dass sich die oben skizziertenEckpunkte im weiteren Gesetzgebungsverfahren nicht grundlegend ändern werden.

Was Unternehmen jetzt konkret tun sollten

Auch wenn der Digital Omnibus noch nicht verabschiedet ist und die bestehenden Pflichten durch diesen weder aufgehoben noch inhaltlich abgeschwächt werden, wird der Umsetzungsaufwand zwar nicht geringer, aber planbarer. Bestehende Pflichten werden zeitlich präzisiert und strukturell klarer gefasst.

Für SaaS- und Softwareanbieter empfehlen sich bereits jetzt folgende Schritte:

1.       SaaS-Dienst klar einordnen: Je nachEinordnung als verbundener Dienst, Datenverarbeitungsdienst, Hosting-Anbieter oder KI-Anbieter bzw. Betreiber bestehen jeweils unterschiedliche Pflichten. Zu dokumentieren ist, welche Rolle das Unternehmen in welchem Kontext einnimmt.

2.       KI-Rollen und Risikoklassifizierung vornehmen: Zu klären ist, ob das Unternehmen als Anbieter, Betreiber oderVerwender eines KI-Systems agiert. Zu dokumentieren sind die Prozesse zurQualitätssicherung, menschlichen Aufsicht und Modellverwaltung. Spätestens 2026müssen belastbare Prozesse für Risikomanagement, Dokumentation undVorfallsmeldungen vorhanden sein.

3.       Interne Compliance-Strukturen aufbauen:Einheitliche Dokumentations- und Meldeverfahren, klare Zuständigkeiten und abgestimmte Risikoanalysen bilden das Fundament. Bestehende Datenschutz-,IT-Sicherheits- und KI-Prozesse sollten so ausgerichtet werden, dass sie mit dem neuen System kompatibel sind.

4.       Omnibus-Verhandlungen aktiv verfolgen:Die zu erwartenden Änderungen sollten in die Compliance-Roadmaps für den AI Actund die NIS2-Richtlinie eingearbeitet werden. Zu evaluieren sind dieAuswirkungen auf Cloud-Verträge und Exit-Regelungen.

5.       Frühzeitig abteilungsübergreifend abstimmen:Eine enge Zusammenarbeit zwischen Legal, IT, Produktentwicklung und Einkäufer möglicht es, regulatorische Anforderungen frühzeitig in Entwicklungsprozesse zu integrieren.

Die bis Ende 2027 bzw. 2028 gewonnene Planbarkeit sollte strategisch genutzt werden. Dabei empfiehlt sich ein stufenweises, ressourcenschonendes Vorgehen mit klarer Priorisierung der Vorgaben, die bereits heute gelten oder kurzfristig anwendbar werden. In vielen Bereichen geht es weniger um neu zu etablierende Prozesse als um die konsequenteUmsetzung bereits bestehender regulatorischer Anforderungen. Ein solchesGrundgerüst ermöglicht es, neue Vorgaben schrittweise zu integrieren, sobald diese verbindlich werden, und verhindert so kostspielige Umstellungen.

Fazit für SaaS- und Softwareunternehmen

Der europäische Rechtsrahmen für SaaS- und Softwareanbieter mit dem Data Act, dem DSA und dem AI Act ist bereits anspruchsvoll und beeinflusst den Betrieb, die Datenarchitektur und Anbieterbeziehungen grundlegend. Der Digital-Omnibus-Entwurf schafft zusätzliche Klarheit, indem erSchnittstellen harmonisiert und Übergangsfristen sowie teilweise Entlastungen vorsieht.

Wichtig: Der Digital Omnibus befindet sich noch imGesetzgebungsverfahren und ist noch nicht verabschiedet. Konkrete Änderungen und deren Reichweite sind derzeit noch offen.

Die strategische Richtung ist jedoch eindeutig: DieEU strebt einen harmonisierten, vorhersehbareren und innovationsfreundlicheren Digitalrechtsrahmen an.

Für SaaS- und Softwareanbieter bedeutet das: Wer jetzt vorausschauend handelt, verschafft sich einen strategischen Vorteil.Interne Compliance-Strukturen sollten so aufgebaut werden, dass sie prüffähig, skalierbar und anpassungsfähig sind. So können neue Vorgaben schrittweise integriert werden, sobald sie verbindlich werden. Wer frühzeitig eintragfähiges Grundgerüst etabliert, vermeidet nicht nur spätere, kostenintensiveUmstellungen, sondern schafft auch Vertrauen bei Kunden und Partnern im europäischen Markt.

‍