Bürokratieabbau klingt gut — bis man liest, was genau abgebaut werden soll. Ende 2025 hat die Europäische Kommission einen Entwurf vorgelegt, der unter dem Namen “Digitaler Omnibus” mehrere zentrale Digitalgesetze gleichzeitig ändern soll: die DSGVO, den Data Act, den AI Act. Die offizielle Begründung: weniger Bürokratie, mehr Innovation, stärkere Wettbewerbsfähigkeit gegenüber den USA und China.
Das klingt vernünftig. Das Problem beginnt bei den Details. Denn was die Kommission als “Vereinfachung” bezeichnet, liest sich bei genauerer Betrachtung wie ein Wunschzettel der großen Tech-Konzerne. Und wer in einer Schule Verantwortung für den Datenschutz von Kindern trägt, sollte sehr genau hinschauen.
Dieser Artikel analysiert, was der Digitale Omnibus konkret plant, was Datenschutzbehörden, NOYB und Rechtsexperten dazu sagen — und warum Schulen sich nicht auf Gesetzgeber verlassen sollten, sondern auf ihre eigene Infrastruktur.
Was ist der “Digitale Omnibus”?
Der Begriff “Omnibus” kommt aus der Gesetzgebungstechnik: Ein einziges Gesetz ändert mehrere bestehende Gesetze gleichzeitig. Im Fall des Digitalen Omnibus betrifft das mindestens drei zentrale EU-Verordnungen:
DSGVO
Änderungen an Definitionen, Rechtsgrundlagen für die Verarbeitung, Regeln für pseudonymisierte Daten und die Pflichten für kleine Unternehmen.
AI Act
Lockerungen bei KI-Trainingsdaten, erweiterte Ausnahmen für “Forschungszwecke” und mögliche Abschwächung von Transparenzpflichten.
Data Act
Vereinfachung von Datenzugangsrechten und Anpassungen bei der Interoperabilität zwischen Plattformen.
Die EU-Kommission unter Ursula von der Leyen hat die “Wettbewerbsfähigkeit” Europas zum zentralen Narrativ erhoben. Der Draghi-Bericht von 2024, der massive Investitionen und Deregulierung forderte, lieferte die intellektuelle Munition. Der Digitale Omnibus ist die legislative Umsetzung dieser Agenda.
Zeitplan
Der Kommissionsentwurf wurde Ende 2025 vorgelegt. Das Europäische Parlament und der Rat der EU beraten voraussichtlich 2026/2027. Bis zum Inkrafttreten vergehen erfahrungsgemäß 12 bis 24 Monate nach der finalen Abstimmung. Die Richtung wird jedoch jetzt festgelegt.
Was die Kritiker sagen — NOYB, EDSA, EDSB
Die Reaktionen auf die durchgesickerten Entwürfe und veröffentlichten Vorschläge waren ungewöhnlich scharf. Drei Stimmen sind besonders relevant:
NOYB (Max Schrems)
Die Datenschutzorganisation NOYB (“None of Your Business”), gegründet von Max Schrems, hat die Omnibus-Vorschläge in mehreren Analysen zerlegt. Ihre Kernkritik:
- Die Ausweitung des “berechtigten Interesses” als Rechtsgrundlage ermöglicht es Unternehmen, personenbezogene Daten ohne Einwilligung zu verarbeiten — auch für Zwecke wie KI-Training und personalisierte Werbung.
- Pseudonymisierte Daten sollen einen Sonderstatus erhalten, der sie praktisch von den Schutzpflichten der DSGVO ausnimmt. NOYB warnt: Die Grenze zwischen pseudonymisiert und anonym wird verwischt.
- Kleine Unternehmen sollen von Dokumentationspflichten befreit werden — was in der Praxis bedeutet, dass Verantwortlichkeit für Datenschutzverstöße schwerer nachzuweisen ist.
EDSA & EDSB — Die “Roten Linien”
Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben in einer gemeinsamen Stellungnahme beispiellos deutliche Warnungen ausgesprochen. Sie definieren explizit “rote Linien”, die nicht überschritten werden dürfen:
- Kein Aufweichen des Kinderdatenschutzes: Der besondere Schutz von Minderjährigen (Art. 8 DSGVO, Erwägungsgrund 38) darf nicht durch erweiterte Verarbeitungsgrundlagen ausgehöhlt werden.
- Kein pauschales “berechtigtes Interesse” für KI: Die Verwendung personenbezogener Daten für das Training von KI-Modellen darf nicht pauschal als berechtigtes Interesse deklariert werden.
- Beibehaltung der Einwilligungspflicht: Für sensible Daten — einschließlich biometrischer Daten und Daten von Kindern — muss die informierte Einwilligung die zentrale Rechtsgrundlage bleiben.
- Pseudonymisierung ist kein Freifahrtschein: Pseudonymisierte Daten bleiben personenbezogene Daten und müssen dem vollen Schutz der DSGVO unterliegen.
Die Schärfe dieser Stellungnahmen ist bemerkenswert. EDSA und EDSB sind keine Aktivistengruppen, sondern die offiziellen Aufsichtsbehörden der EU. Wenn diese Institutionen von “roten Linien” sprechen, ist das das regulatorische Äquivalent eines Feueralarms.
Weitere kritische Stimmen
- Bundesbeauftragte für Datenschutz (BfDI): Hat vor einer “schleichenden Erosion” des europäischen Datenschutzniveaus gewarnt.
- Digitalcourage e.V.: Kritisiert den Einfluss von Industrielobbyisten auf den Entwurfsprozess und fordert Transparenz über alle Konsultationen.
- Europäische Verbraucherschutzorganisationen (BEUC): Warnen, dass die Vereinfachung primär Unternehmen nutzt, nicht Verbrauchern.
Die konkreten Risiken für Schulen
Was abstrakt nach Brüsseler Gesetzgebung klingt, hat für Schulen sehr reale Konsequenzen. Drei Szenarien verdeutlichen, was passieren könnte:
Szenario 1: Schulfotos als KI-Trainingsdaten
Eine Schule nutzt eine Cloud-basierte Fotoplattform eines US-Anbieters. Der Anbieter aktualisiert seine Nutzungsbedingungen und erklärt, dass hochgeladene Fotos zur “Verbesserung von KI-Modellen” verwendet werden dürfen.
Aktuell: Die DSGVO verlangt eine explizite Einwilligung, insbesondere bei Kinderfotos. Die Schule kann widersprechen.
Nach dem Omnibus: Wenn “berechtigtes Interesse” als Rechtsgrundlage für KI-Training anerkannt wird, könnte der Anbieter argumentieren, dass keine gesonderte Einwilligung nötig ist. Der Widerspruch der Schule wäre rechtlich schwächer. Gesichtsbilder von Sechsjährigen fließen in ein Modell, das niemand kontrolliert.
Szenario 2: Pseudonymisierung als Schlupfloch
Ein Anbieter behauptet, Schulfotos seien “pseudonymisiert”, weil die Dateinamen durch zufällige IDs ersetzt wurden. Die Gesichter auf den Fotos sind weiterhin erkennbar.
Aktuell: Pseudonymisierte Daten bleiben personenbezogene Daten. Alle DSGVO-Pflichten gelten weiterhin.
Nach dem Omnibus: Wenn pseudonymisierte Daten gelockerte Anforderungen erhalten, könnte diese Argumentation reichen. Die Pflichten des Anbieters wären reduziert — trotz erkennbarer Kindergesichter auf den Fotos.
Szenario 3: Consent-Umgehung durch erweiterte Rechtsgrundlagen
Ein EdTech-Anbieter möchte Nutzungsdaten aus Schul-Apps auswerten, um ein neues Produkt zu entwickeln. Eltern haben nur der Nutzung der App zugestimmt, nicht der Auswertung.
Aktuell: Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) verhindert die Weiterverarbeitung für neue Zwecke ohne erneute Einwilligung.
Nach dem Omnibus: Mit erweiterten “kompatiblen Zwecken” und dem Argument des “berechtigten Interesses” könnte eine Weiterverarbeitung ohne erneute Einwilligung möglich werden. Die informationelle Selbstbestimmung der Eltern wird schleichend entwertet.
Wichtig: Keine Panikmache, aber Realismus
Diese Szenarien sind keine Verschwörungstheorien. Sie basieren auf den tatsächlichen Entwurfstexten, den Analysen von NOYB und den Warnungen der offiziellen EU-Datenschutzbehörden. Ob und in welcher Form sie Realität werden, hängt vom parlamentarischen Verfahren ab. Aber die Richtung ist klar — und das Risiko ist real.
Warum Cloud-Abhängigkeit zum Risiko wird
Schulen, die ihre Fotos und Schülerdaten bei Cloud-Anbietern speichern, sind regulatorischen Änderungen auf doppelte Weise ausgesetzt:
1. Regulatorische Volatilität
Die rechtliche Grundlage, auf der ein Cloud-Anbieter heute operiert, kann sich morgen ändern. Was heute eine Einwilligung erfordert, könnte morgen unter “berechtigtes Interesse” fallen. Schulen haben darauf keinen Einfluss. Sie sind Passagiere in einem Bus, dessen Fahrer gerade wechselt.
2. Einseitige AGB-Änderungen
Cloud-Anbieter ändern ihre Nutzungsbedingungen regelmäßig. Google hat seine Datenschutzrichtlinie seit 2009 über 40 Mal aktualisiert. Microsoft hat die Nutzungsbedingungen für Office 365 Education mehrfach erweitert. Wenn der Omnibus neue Rechtsgrundlagen schafft, werden Anbieter diese sofort in ihre AGBs integrieren.
3. Lock-in und mangelnde Alternativen
Wer einmal bei Google Workspace for Education oder Microsoft 365 ist, wechselt nicht einfach. Die Daten sind verteilt, die Prozesse eingeschliffen, die Migration ist teuer. Cloud-Lock-in bedeutet: Wenn die Regeln sich ändern, kann die Schule nicht schnell genug reagieren. Sie sitzt fest.
4. Intransparente Datenflüsse
Bei großen Cloud-Anbietern ist es oft unklar, welche Unterauftragnehmer Zugriff auf Daten haben, in welchen Rechenzentren Daten tatsächlich verarbeitet werden und welche internen Systeme auf die Daten zugreifen. Ein deutsches Hosting auf dedizierten Servern eliminiert diese Unsicherheit.
Das Grundproblem ist nicht der Cloud-Anbieter selbst. Es ist die Abhängigkeit. Wer von der Compliance eines Drittanbieters abhängt, erbt automatisch dessen regulatorische Risiken. Und wenn die Regulierung lockerer wird, hat der Anbieter weniger Pflichten — aber die Schule nicht weniger Verantwortung gegenüber den Eltern.
Die Antwort — Technologische Autarkie
Die strategisch klügste Reaktion auf regulatorische Unsicherheit ist nicht das Abwarten, sondern die Entkopplung. Wer mehr tut als das Gesetz verlangt, muss sich keine Sorgen machen, wenn das Gesetz aufgeweicht wird.
Das Prinzip heißt: Freiwillige Maximalrestriktion. Nicht das gesetzliche Minimum einhalten, sondern das technisch mögliche Maximum an Datenschutz umsetzen — unabhängig davon, was das Gesetz gerade fordert.
Was technologische Autarkie konkret bedeutet:
Self-Hosted Infrastruktur
Die gesamte Plattform — Datenbank, Authentifizierung, Dateispeicher — läuft auf eigenen Servern. Kein Cloud-Anbieter hat Zugriff auf die Daten. Keine geteilte Infrastruktur, keine Mehrmandantenfähigkeit mit fremden Kunden.
Deutsche Server (Hetzner)
Alle Daten liegen auf Servern der Hetzner Online GmbH in Nürnberg und Gunzenhausen. Deutscher Firmensitz, deutsches Recht, kein CLOUD Act, kein FISA. Punkt.
Open-Source-Stack (Supabase)
Die Datenbank und Backend-Infrastruktur basiert auf Self-Hosted Supabase (PostgreSQL). Open Source bedeutet: Der Code ist überprüfbar. Keine versteckten Hintertüren, keine proprietären Datenverarbeitungen im Hintergrund.
Kein Tracking, keine Werbung, keine Drittanbieter-SDKs
Keine Analytics-Skripte von Google. Kein Facebook Pixel. Keine Werbe-IDs. Keine Daten, die an Dritte fließen — nicht, weil es verboten wäre, sondern weil es falsch wäre.
Keine Datennutzung für eigene Zwecke
KinderAlbum nutzt die gespeicherten Fotos und Daten ausschließlich für den Zweck, für den sie hochgeladen wurden: das sichere Teilen mit berechtigten Eltern. Kein KI-Training, keine Produktentwicklung auf Basis von Nutzerdaten, keine “Insights”.
Der entscheidende Punkt: Diese Maßnahmen sind architektonische Entscheidungen, keine rechtlichen Pflichten. Sie können nicht durch eine Gesetzesänderung aufgehoben werden. Selbst wenn der Digitale Omnibus jede einzelne Schutzvorschrift der DSGVO streichen würde (was nicht passieren wird), wäre eine self-hosted Plattform auf deutschen Servern genauso sicher wie vorher. Die Daten verlassen den Server nicht, weil die Architektur es nicht erlaubt — nicht, weil das Gesetz es verbietet.
Was Schulen jetzt tun sollten
Sie müssen nicht auf den Ausgang des Omnibus-Verfahrens warten. Die folgenden Maßnahmen schützen Ihre Schule unabhängig davon, was in Brüssel entschieden wird:
Bestandsaufnahme: Wo liegen Ihre Daten?
Listen Sie alle digitalen Dienste auf, die Schülerdaten verarbeiten. Fragen Sie konkret: Wer ist der Anbieter? Wo stehen die Server? Gibt es Unterauftragsverarbeiter in Drittstaaten? Wer hat Zugriff auf die Daten?
AGB und Datenschutzrichtlinien prüfen
Lesen Sie die aktuellen Nutzungsbedingungen Ihrer Cloud-Dienste. Achten Sie auf Formulierungen wie “zur Verbesserung unserer Dienste”, “zu Forschungszwecken” oder “auf Basis berechtigter Interessen”. Diese Formulierungen sind Warnsignale.
AVV auf Vollständigkeit prüfen
Jeder Dienst, der personenbezogene Schülerdaten verarbeitet, braucht eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO. Fehlt diese, ist die Nutzung rechtswidrig — auch ohne Omnibus. Details dazu in unserem DSGVO-Guide für Schulfotos.
Einwilligungen aktualisieren
Stellen Sie sicher, dass Ihre Einwilligungsformulare den Zweck der Datenverarbeitung konkret benennen. “Fotos für den internen Schulgebrauch” ist zu vage. “Fotos werden auf der Plattform XY gespeichert und können von eingeloggten Eltern eingesehen werden” ist besser.
Auf Self-Hosting-Lösungen umstellen
Für Fotos und sensible Schülerdaten gibt es keinen triftigen Grund, einen US-Cloud-Anbieter zu nutzen. Plattformen wie KinderAlbum bieten die gleiche Funktionalität auf deutschen Servern — ohne Abhängigkeit von Drittanbietern.
Datenschutzbeauftragte einbeziehen
Informieren Sie Ihren schulischen Datenschutzbeauftragten über die geplanten Omnibus-Änderungen. Nutzen Sie die Stellungnahmen von EDSA und NOYB als Grundlage für eine interne Risikoanalyse.
Eltern informieren
Transparenz schafft Vertrauen. Informieren Sie Eltern proaktiv darüber, wo und wie die Daten ihrer Kinder gespeichert werden. Erklären Sie, warum Sie sich für eine bestimmte Plattform entschieden haben — und welche Sie bewusst nicht nutzen.
Fazit: Datenschutz ist keine Verordnung — es ist eine Architekturentscheidung
Der Digitale Omnibus zeigt eines deutlich: Gesetze ändern sich. Lobbys gewinnen. Kompromisse verwässern. Wer den Datenschutz von Kindern auf die Stabilität einer EU-Verordnung stützt, baut auf Sand.
Die bessere Strategie ist architektonisch. Self-Hosting auf deutschen Servern. Open-Source-Infrastruktur. Keine Tracker. Keine Werbung. Keine Datenflüsse an Dritte. Nicht, weil das Gesetz es so will — sondern weil es richtig ist.
Schulen, die heute in technologische Unabhängigkeit investieren, sind gegen jede regulatorische Wetterlage geschützt. Egal, ob der Omnibus kommt, geändert wird oder scheitert. Egal, welche Lobby sich in Brüssel durchsetzt. Die Daten bleiben da, wo sie hingehören: unter der Kontrolle der Schule — und nirgendwo sonst.
Das Prinzip in einem Satz:
“Wenn die Architektur den Datenschutz erzwingt, ist die Gesetzeslage irrelevant.”
Datenschutz, der nicht von Gesetzen abhängt
KinderAlbum speichert alle Fotos und Daten ausschließlich auf Hetzner-Servern in Deutschland. Self-Hosted, Open Source, kein Tracking. Architektur, die den Datenschutz erzwingt — unabhängig davon, was in Brüssel entschieden wird.
Häufig gestellte Fragen zum Digitalen Omnibus
Was ist der "Digitale Omnibus" der EU?
Der "Digitale Omnibus" (offiziell: Omnibus-Verordnung zur Vereinfachung und Digitalisierung) ist ein Gesetzespaket der EU-Kommission, das mehrere bestehende Verordnungen gleichzeitig ändern soll -- darunter die DSGVO, den Data Act und den AI Act. Ziel ist laut Kommission der Abbau von Bürokratie und die Stärkung der Wettbewerbsfähigkeit. Kritiker sehen darin eine Aufweichung fundamentaler Datenschutzrechte.
Wird die DSGVO durch den Digitalen Omnibus abgeschafft?
Nein, die DSGVO wird nicht abgeschafft. Der Omnibus ändert gezielt einzelne Artikel und Definitionen. Das Problem: Selbst kleine Änderungen an Kernbegriffen wie 'berechtigtes Interesse' oder 'pseudonymisierte Daten' können die Schutzwirkung der gesamten Verordnung drastisch verändern. Die DSGVO bleibt bestehen, aber ihre Zähne könnten stumpfer werden.
Was bedeutet die Ausweitung des 'berechtigten Interesses' für Schulen?
Wenn 'berechtigtes Interesse' (Art. 6 Abs. 1 lit. f DSGVO) als Rechtsgrundlage ausgeweitet wird, könnten Cloud-Anbieter argumentieren, dass die Nutzung von Schuldaten für eigene Zwecke -- etwa KI-Training oder Produktverbesserung -- rechtlich gedeckt ist. Für Schulen bedeutet das: Die Einwilligung der Eltern könnte theoretisch durch das Geschäftsinteresse des Anbieters überstimmt werden.
Können Cloud-Anbieter Schulfotos für KI-Training nutzen?
Nach aktuellem Recht ist dies ohne explizite Einwilligung unzulässig, insbesondere bei Kinderfotos (Art. 8 DSGVO, Erwägungsgrund 38). Der Digitale Omnibus könnte jedoch Ausnahmen schaffen, die eine Verarbeitung auf Basis 'berechtigter Interessen' oder 'statistischer Zwecke' ermöglichen. Bei Self-Hosting ist dieses Risiko ausgeschlossen, da kein Drittanbieter Zugriff auf die Daten hat.
Was sagen EDSA und EDSB zum Digitalen Omnibus?
Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben in einer gemeinsamen Stellungnahme klare 'rote Linien' formuliert. Sie warnen vor der Aufweichung des Schutzes personenbezogener Daten, insbesondere bei Kindern, und lehnen die pauschale Ausweitung des berechtigten Interesses ab. Beide Gremien fordern, dass der besondere Schutz von Minderjährigen nicht verhandelbar sein darf.
Was ist Self-Hosting und warum schützt es vor regulatorischen Änderungen?
Self-Hosting bedeutet, dass die gesamte Software-Infrastruktur auf eigenen oder dedizierten Servern betrieben wird -- nicht bei einem Cloud-Anbieter wie Google, Microsoft oder AWS. Da kein Drittanbieter Zugriff auf die Daten hat, sind Änderungen an dessen Nutzungsbedingungen oder an der Rechtsgrundlage für Datenverarbeitung irrelevant. Die Schule behält die volle Kontrolle, unabhängig davon, was in Brüssel beschlossen wird.
Wann tritt der Digitale Omnibus in Kraft?
Der Entwurf wurde Ende 2025 von der EU-Kommission vorgelegt. Das Gesetzgebungsverfahren im Europäischen Parlament und Rat läuft voraussichtlich bis 2026/2027. Erfahrungsgemäß können sich Änderungen im Trilog-Verfahren noch erheblich verschieben. Schulen sollten jedoch nicht auf den Ausgang warten, sondern jetzt ihre Infrastruktur zukunftssicher aufstellen.
Wie kann sich eine Schule vor zukünftigen DSGVO-Änderungen schützen?
Der wirksamste Schutz ist technologische Unabhängigkeit: Self-Hosting auf deutschen Servern, keine Abhängigkeit von US-Cloud-Anbietern, keine Tracker, keine Werbung, keine Datenweitergabe an Dritte. Wer mehr tut als das Gesetz verlangt, muss sich keine Sorgen machen, wenn das Gesetz aufgeweicht wird. Plattformen wie KinderAlbum setzen dieses Prinzip bereits um.