Es geht um nicht weniger als eine Generalüberholung der europäischen Digitalregulierung: Am 19. November will die EU-Kommission einen umfassenden Gesetzesvorschlag vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll laut Kommission Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen.

Vier Regulierungsbereiche stehen im Fokus des umfangreichen Reformvorhabens: der Datenschutz, Regeln für die Datennutzung, der Umgang mit Cybersicherheitsvorfällen und die KI-Verordnung. Daher auch der Begriff Omnibus („für alle“) – er wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zugleich geändert werden. Die Kommission hat ihre zahlreichen Pläne auf zwei getrennte Gesetzesvorschläge aufgeteilt.

Wir veröffentlichen einen Zwischenstand des Gesetzespakets.

Aus vier mach eins: der überarbeitete Data Act

Mit dem ersten „Digital-Omnibus“ plant die EU-Kommission eine umfassende Konsolidierung verschiedener Datengesetze.

Im Zentrum steht hier der vor rund zwei Jahren verabschiedete Data Act, der nach einer Übergangsfrist erst seit September EU-weit anwendbar ist und nun überarbeitet werden soll. Im neuen Data Act sollen gleich drei weitere Gesetze aufgehen: die Open-Data-Richtlinie, die Verordnung über den freien Fluss nicht-personenbezogener Daten und der Data Governance Act.

Die Kommission präsentiert das erste Omnibus-Gesetz als „eine ehrgeizige Liste technischer Änderungen an einem umfangreichen Korpus digitaler Rechtsvorschriften, die den breitesten Bereich digitaler Unternehmen abdecken.“ Ziel sei es, „Unternehmen, öffentlichen Verwaltungen und Bürgern gleichermaßen sofortige Erleichterungen zu verschaffen“.

Kommission will die Datenschutzgrundverordnung aufbohren

Dabei will die Kommission auch die Datenschutzgrundverordnung (DSGVO) aufbohren. Im Fokus stehen hier unter anderem Cookies und pseudonymisierte Daten.

Um der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden zu begegnen, will die Kommission „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.

Konkret bedeutet das: Etwa Browser oder Betriebssysteme sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.

Darüber hinaus will die Kommission Artikel 9 der DSGVO zu besonderen Kategorien von Daten aufbohren. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, die oben genannte Informationen explizit offenbaren. Das bedeutet: Gibt etwa eine Person in einem Auswahlfeld an, welche sexuelle Orientierung sie hat, wäre das weiterhin besonders geschützt. Schließt ein Datenverarbeiter aufgrund vermeintlicher Interessen oder Merkmale auf die mutmaßliche sexuelle Orientierung eines Menschen, würden bisherige Einschränkungen wegfallen.

Zugleich betont die Kommission, dass „der verstärkte Schutz genetischer Daten und biometrischer Daten aufgrund ihrer einzigartigen und spezifischen Merkmale unverändert bleiben sollte“. Auch die Verwendung personenbezogener Daten für das Training von KI-Modellen auf Grundlage des berechtigten Interesses soll nach den Plänen der EU-Kommission künftig grundsätzlich erlaubt sein.

KI-Verordnung soll aufgeweicht werden

Weitergehende Regelungen zum Umgang mit Künstlicher Intelligenz finden sich im zweiten Gesetzespaket zur KI-Verordnung.

Die hier geplanten Änderungen begründet die Kommission damit, dass es bei der KI-Verordnung noch „Herausforderungen bei der Umsetzung“ gebe, „die das wirksame Inkrafttreten wichtiger Bestimmungen gefährden könnten“. Die Kommission schlägt daher „gezielte Vereinfachungsmaßnahmen vor, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung gewährleisten sollen“.

Konkret sieht der zweite Omnibus unter anderem vor, die KI-Aufsicht teilweise bei dem sogenannten AI Office zu bündeln, das direkt bei der Kommission angesiedelt ist. Davon wären vor allem sehr große Online-Plattformen (VLOPS) und Anbieter großer Suchmaschinen betroffen.

VLOPs sind laut dem Digital Services Act (DSA) solche Angebote, die monatlich mehr als 45 Millionen Nutzer:innen in der EU erreichen. Dazu zählen große soziale Netzwerke und Marktplätze wie Facebook, Instagram oder Amazon.

Außerdem will die Kommission es Anbietern und Betreibern von KI-Systemen „erleichtern“, Dateschutzgesetze einzuhalten, wenn sie personenbezogene Daten verarbeiten. Zudem will sie Sonderregeln für kleine und mittlere Unternehmen schaffen, um sie von bestimmten Verpflichtungen etwa bei Dokumentation und Monitoring auszunehmen.

Unklar ist derzeit offenbar noch, ob die weitere Umsetzung der KI-Verordnung in Teilen aufgeschoben wird. Eine solche Verschiebung wäre im Sinne der Bundesregierung. Digitalminister Karsten Wildberger (CDU) wirbt seit Monaten dafür. Als Grund führt der Minister an, dass die technischen Standards noch nicht vorlägen.

Jean-Baptiste Kempf erhält den Europäischen South Tyrol Free Software Award (European SFS Award) 2025. Der Preis für besondere Beiträge zur „Kultur der Freien Software“ wird seit 2023 jährlich auf der South Tyrol Free Software Conference (SFSCon) im NOI Techpark in Bozen, Südtirol, vergeben.

Kempf wird ausgezeichnet für seine Mitentwicklung des VLC Media Players und die Gründung des zugehörigen Vereins und Unternehmens VideoLAN und Videolabs. Der VLC Player ist eine quelloffene Anwendung, die viele Multimedia-Formate abspielen kann.

Die Entwicklung begann als Studenten-Projekt an der École Centrale Paris. Jean-Baptiste Kempf erhielt die Software nach dem Abschluss der Hauptgründer am Leben überführte die Entwicklung später in die beiden oben genannten Organisationen. „Für viele Menschen, die herstellergebundene Betriebssysteme verwendeten, war es die allererste Freie Software, die sie jemals installiert haben“, sagt einer der Laudatoren über das Programm.

Verteidiger der Freien Software

Der Europäische SFS Award ist ein Ableger des SFS Awards, der seit 2004 von der Linux User Group Bozen-Bolzano-Bulsan vergeben wird. Der SFS Award hebt besondere Beiträge zur Einführung Freier Software in der Bozen-Region hervor und ging dieses Jahr an Adrian Kuntner. Der Europäische SFS Award erweitert diesen Wirkraum auf ganz Europa und wird von der Linux User Group Bozen-Bolzano-Bulsan in Zusammenarbeit mit der Free Software Foundation Europe (FSFE) seit 2023 vergeben.

Beide Preise werden auf der SFSCon vergeben, einer internationale Open-Source-Konferenz, die dieses Jahr zum 25. Mal Entwickler*innen, Forschende und Interessierte zusammenbringt. Die SFSCon 2025 dreht sich um Gesundheit, digitale Souveränität, IT-Sicherheit und mehr, immer mit Bezug zu Freier Software. Insgesamt 150 Expert*innen versammeln sich zu Vorträgen und Workshops.

Dieses Jahr sprechen dort unter anderem Karen Sandler, Direktorin der Software Freedom Conservancy, Martin Häuer, der Wissenschaftliche Direktor der deutschen Martin-Luther-Universität und Preisträger Jean-Baptiste Kempf selbst. Zu den Workshops zählen ein Hackathon und die Weiterbelebung von ausrangierten Rechnern, die nicht für ein Windows-11-Update geeignet sind, durch die Installation von Linux-Betriebssystemen.

Die Entwickler der Groupware Zimbra haben aktualisierte Softwarepakete veröffentlicht. Sie schließen gleich mehrere Sicherheitslücken. IT-Verantwortliche sollten die Updates zügig anwenden.

Die Changelogs zu den nun verfügbaren Versionen 10.0.18 und 10.1.13 weisen eine größere Zahl an Sicherheitslücken aus, die darin geschlossen wurden. Für Version 10.0.18 sind das:

• AntiSamy auf Version 1.7.8 aktualisiert und Stored-Cross-Site-Scripting-Lücke entfernt
• Pfadprüfung in die ExportAndDeleteItemsRequest API eingeführt, um unsichere Dateiexporte zu verhindern
• Ein CSRF-Enforcement-Problem in bestimmten Authentifizierungs-Flüssen angegangen
• Lokale File-Inclusion-Schwachstelle ohne vorherige Authentifizierung in RestFilter gelöst
• Nginx-Modul aktualsiiert, um Sicherheitsstandards und Compliance zu folgen

Version 10.1.13 stopft noch mehr Sicherheitslücken, zusätzlich zu den vorgenannten:

• Hartkodierte Flickr-API-Zugangsdaten vom Flickr-Zimlet entfernt und diese zurückgezogen
• Stored Cross-Site-Scripting-Lücke im Zimbra Mail-Client für E-MAils mit PDF-Anhängen korrigiert
• Eingabe- und „null“-Prüfungen im PreAuthServlet ergänzt, um Preisgabe interner Fehler durch fehlformatierte Anfragen zu verhindern
• Ein Admin-Konto-Auflistungsproblem gelöst
• Apache HttpClient-Bibliothek auf Version 4.5.14 aktualisiert

Detailinformationen nicht vorhanden

Genaue Details zu den geschlossenen Sicherheitslücken und die Schwachstelleneinträge (CVE) nennen die Entwickler bislang nicht. Allerdings sind Schwachstellen in Zimbra oftmals Ziel von Angriffen Cyberkrimineller – auch, weil einige Regierungseinrichtungen etwa in der EU mit der Groupware Zimbra arbeiten.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) schätzt den Schweregrad der Schwachstellen jedoch bis hinauf zum CVSS-Wert 9.8, also Risiko „kritisch“ ein. Die Analysten gehen davon aus, dass Angreifer durch die Sicherheitslücken unter anderem auch beliebigen Schadcode ausführen und Sicherheitsmaßnahmen umgehen können.

(dmk)