Am 19. November 2025 hat die EU-Kommission ihren sogenannten „Digital Omnibus“ vorgestellt. Der englische Titel des englischen Gesetzgebungsvorschlags enthält als Zielstellung die Worte „„as regards the simplification of the digital legislative framework“, also eine Vereinfach des Rechtsrahmens für Digitales. Dafür sind die Überarbeitung und teilweise auch Außerkraftsetzung einer Reihe von Rechtsakten vorgesehen.

Besondere Beachtung aus dem Blickwinkel der betrieblichen Altersversorgung verdienen Vorschläge zur DORA-Verordnung sowie zur KI-Verordnung. Der Änderungsvorschlag zur DORA-Verordnung ist verzahnt mit einem weiteren Reformvorschlag für die NIS 2-Richtlinie zur Stärkung der Cybersicherheit und Informationssicherheit von kritischen Infrastrukturen. Dort vorgesehen ist die Schaffung eines europaweiten „Single Entry Points“ für die Meldung kritischer IT-Vorfälle, angesiedelt bei der europäischen Cyber-Sicherheits-Agentur ENISA. Durch einen Normverweis in Artikel 19 der DORA-Verordnung soll dies künftig auch für Finanzunternehmen und damit auch für EbAV gelten (Artikel 8 des Digital Omnibus zur Änderung der DORA-Verordnung). Nationale Aufsichtsbehörden würden dadurch künftig über IKT-Vorfälle durch die ENISA informiert, und nicht mehr durch Finanzunternehmen. Der erst vor Kurzem etablierte Meldeweg der DORA-Verordnung würde grundlegend geändert. Derzeit sind deutsche Finanzunternehmen verpflichtet, die BaFin über einen neues „Fachverfahren“ auf der Melde- und Veröffentlichungsplattform (MVP) zu informieren. Die BaFin als nationale Aufsichtsbehörde übernimmt die Weiterleitung an die europäischen Aufsichtsbehörden. ENISA ist nach den aktuellen Vorschriften beteiligt an Abstimmungsprozessen, u.a. im Rahmen der Entwicklung technischer Regulierungsstandards (Art. 18 Abs. 3 und 4 DORA-VO) und an gemeinsamen Bewertungsverfahren über Vorfallsmeldungen (Art. 19 Abs. 7 DORA-VO).

PensionsEurope, unterstützt von der aba, hatte im Oktober 2025 in ihrer Antwort auf einen „Call for Evidence“ der EU-Kommission von einer solchen Reform explizit abgeraten. Zwar hatte PensionsEurope in der Stellungnahme die Vereinfachungen von Vorfallsmeldungen empfohlen. Es wurde aber explizit klargestellt, dass dies nicht als Befürwortung einer zentralisierten EU-Meldeplattform zu verstehen ist. Ein EU-weiter Single Entry Point werde keine Vereinfachung bringen, sondern vielmehr Kosten und Komplexität erhöhen, bereits etablierte Kommunikationskanäle mit den zuständigen nationalen Behörden stören und zu neuen Risiken (Verzögerungen und Fragmentierung) führen. Diese Haltung werden die aba und PensionsEurope in dem nunmehr beginnenden Gesetzgebungsverfahren weiter vertreten.

Eine bedeutsame geplante Änderung der KI-Verordnung ist die Verschiebung des Stichtags für das Wirksamwerden der Regelungen über sog. Hochrisiko-Anwendungen gem. Anhang III der KI-Verordnung vom 2. August 2026 auf den 2. Januar 2027. Weitere Inhalte des Digital Omnibus sind Vorschläge zur vereinfachten Anwendung der erst seit dem 12. September 2025 anzuwendenden Datenverordnung (Data Act) (diese regelt den Zugang und die Nutzung von (Kunden-)Daten aus der Benutzung vernetzter Geräte, also Gebrauchsgüter wie Fitness-Tracker oder „smarte“ Haushaltsgeräte) sowie bei der Datenschutzgrundverordnung.

Ausblick

Mit den vorgeschlagenen Änderungen stößt die EU-Kommission bei vielen Rechtsvorschriften eine Reformdiskussion zu einem frühen Zeitpunkt an: teilweise erst kurz nach dem Datum der Anwendbarkeit oder deutlich vor dem Stichtag einer im Rechtsakt angelegten Überprüfungsklausel. Im Falle der DORA-Verordnung endet die Evaluationsfrist erst am 18. Januar 2028 (Art. 58 DORA-VO). Dieses Reformtempo birgt neben Risiken auch Chancen. Denn ungeachtet der Tatsache, dass aba und PensionsEurope wie im Falle der DORA-Verordnung die vorgeschlagenen Inhalte des Digital Omnibus ablehnen, schafft er nun die Gelegenheit, der EU-Kommission auch andere, aus Sicht der betrieblichen Altersversorgung dringlichere Reform- und Vereinfachungsvorschläge zu unterbreiten. Eine entsprechende Bestandsaufnahme hat bei PensionsEurope bereits begonnen. Eine Rückmeldung im Rahmen des „post adoption feedback“ ist in Arbeit und soll bis zum 9. Februar 2026 abgegeben werden.