Der digitale Omnibus ist kein Fahrzeug im herkömmlichen Sinne, sondern ein Transportmittel für Gesetze. Die EU-Kommission hat dieses «Gefährt» Ende 2025 vorgestellt und schickt es nun zur «Probefahrt» (ins Gesetzgebungsverfahren). Ihr Ziel ist es, das europäische Digitalrecht zu vereinfachen und die Wettbewerbsfähigkeit zu fördern. Wir gehen der Frage nach, welche potenziellen Auswirkungen dieses Gesetzgebungspacket auf die öffentliche Verwaltung in der Schweiz haben könnte.
von Matthias Plattner und Esther Zysset
Was ist der digitale Omnibus?
Wenn die Leserschaft bei einem Omnibus an einen grossen, gelben Bus mit lauten Fahrgästen und einem ständig hupenden Fahrer denkt, liegt sie in den meisten Fällen richtig. Hier ist jedoch ausnahmsweise etwas anderes gemeint: Beim sogenannten Omnibus-Gesetzgebungsverfahren werden mehrere Änderungsanliegen in einem Gesetzesentwurf vereint und aufeinander abgestimmt. Es ist also eher ein gemeinsames Transportmittel für Gesetze als für Menschen. Um einen solchen Omnibus, den sog. «digitalen Omnibus» der EU-Kommission, geht es hier. Die EU-Kommission will damit Überschneidungen beseitigen, Regelungen vereinfachen und so die Wettbewerbsfähigkeit fördern – ohne gleichzeitig den Grundrechtsschutz zu schwächen. Betroffen davon sind der Data Act, der AI Act und die DSGVO sowie diverse weitere EU-Rechtsakte.
Der digitale Omnibus ist aber noch nicht einsatzbereit und steht noch in der Garage. Der Vorschlag der EU-Kommission ist der erste Schritt im ordentlichen Gesetzgebungsverfahren der EU (Art. 289 i.V.m. 294 AEUV). Nun wird der Omnibus auf die Probefahrt ins EU-Parlament und den EU-Rat geschickt.
Nachfolgend gehen wir der Frage nach, welche der Änderungen einen regulatorischen Anpassungsbedarf im öffentlichen Sektor in der Schweiz mit sich bringen könnten, sollten sie in der vorliegenden Form beschlossen werden.
Hat der digitale Omnibus Auswirkungen auf den öffentlichen Sektor in der Schweiz?
Wer sich mit dem europäischen Recht auskennt, weiss, dass gewisse EU-Rechtsakte auch extraterritorial Anwendung finden können, beispielsweise die DSGVO oder der AI Act. Während dies international tätige Schweizer Unternehmen regelmässig betrifft, sind die Anwendungsfälle im öffentlichen Sektor seltener.
Ein Anpassungsbedarf könnte sich in unserem Land allenfalls dort ergeben, wo sich die Schweiz völkerrechtlich verpflichtet hat, Änderungen im EU-Recht zu übernehmen. Namentlich im Bereich des Schengen-Assoziierungsabkommens («SAA») übernimmt die Schweiz als Schengen-Mitglied Änderungen von EU-Rechtsakten, die zum sog. Schengen-Besitzstand (auch «Schengen-Acquis») gehören. Im Rahmen des digitalen Omnibus könnte es zu Änderungen bei der folgenden Richtlinie kommen:
Richtlinie (EU) 2016/680 (Schengen)
Diese Richtlinie regelt den Schutz natürlicher Personen bei der Bearbeitung personenbezogener Daten durch die Strafverfolgungs- und Strafvollstreckungsbehörden. Sie wird nicht direkt bei den anzupassenden Gesetzen genannt, allerdings hält die EU-Kommission fest, dass auch diese Richtlinie, als «Schwester-Erlass» zur DSGVO, entsprechend den Änderungen der DSGVO angepasst werden soll, um einen kohärenten Datenschutzrahmen zu schaffen (Proposal for Regulation on simplification of the digital legislation, Rz. 43).
Insbesondere die folgenden geplanten Änderungen der DSGVO dürften betroffen sein:
- Präzisierung der Definition personenbezogener Daten sowie Klarstellung des Begriffs der Gesundheitsdaten: beide sollen gegenüber der aktuellen Situation leicht eingeschränkt werden
- Zulässigkeit der Bearbeitung besonderer Kategorien von Personendaten für die Entwicklung und den Betrieb von KI zur Erkennung und Korrektur von Bias
- Änderungen bei der Meldepflicht bei Sicherheitsverletzungen:
- Verlängerung der Meldefrist auf 96 Stunden
- «Single Entry Point-System», wodurch Meldepflichten aus verschiedenen EU-Rechtsakte (NIS2-Richtlinie, DSGVO, DORA etc.) gleichzeitig erfüllt werden können.
- Gesamteuropäisch einheitliche Negativlisten für Bearbeitungen, die keine Datenschutz-Folgenabschätzung erfordern
- Verweigerungsrecht bei offensichtlich zweckwidrigen oder missbräuchlichen Auskunftsbegehren
Die von der EU-Kommission publizierten Dokumente äussern sich nicht über eine allfällige Weiterentwicklung der des Schengen-Besitzstandes. Die EU ist gemäss Art. 7 Abs. 2 SAA verpflichtet, die Schweiz über eine solche Weiterentwicklung zu notifizieren. Ohne eine solche Notifikation seitens der EU ist die Schweiz nicht zu einer Übernahme der Änderungen aus dem einmal strassentüchtigen digitalen Omnibus aufgefordert. Es steht ihr aber natürlich frei, selbständig Gesetzesanpassungen vorzunehmen oder ihr eigenes Datenschutzrecht möglichst einheitlich mit der DSGVO auszulegen, um den rechtsanwendenden Personen die Arbeit zu erleichtern.
Der Omnibus hat damit natürlich nicht die Schweiz zum Ziel, er wird aber ziemlich sicher irgendwo an der Grenze noch einen Halt einlegen. Eine schweizerische Angleichung an die geplanten Änderungen im Datenschutz, entweder via Schengen oder auf informellerem Wege, wird daher auch den öffentlichen Sektor betreffen.
Blogposts direkt in die Inbox erhalten? HIER können Sie sich für unseren Newsletter anmelden.
Bild: Azzedine Rouichi auf Unsplash
