Da EU-Kommissionen den 19. november 2025 præsenterede sin Digital Omnibus-pakke, blev den solgt som en “nødvendig forenkling” af EU’s digitale regelsæt. Mindre bureaukrati. Bedre konkurrenceevne. Lettere vilkår for små virksomheder. Men bag de venlige formuleringer gemmer sig noget langt mere dramatisk, advarer en voksende gruppe af retseksperter og digitale rettigheds-organisationer: Digital Omnibus er ikke bare administrativ trimning — den er et fundamentalt angreb på de regler, der skulle beskytte europæerne mod tech-giganternes datahunger og algoritmernes uigennemsigtighed.

“Hvis Digital Omnibus vedtages, vil det være den mest betydningsfulde og ekstraordinære tilbagerulning af digitale rettigheder i en generation,” konkluderer Ada Lovelace Institute i sin analyse. “EU vil stå med dårligere beskyttelse af persondata end eksempelvis Californien på visse områder.”

Max Schrems, grundlægger af NOYB og arkitekten bag de juridiske sejre, der væltede Privacy Shield og Safe Harbor, er endnu mere direkte: “Dette er det største angreb på europæernes digitale rettigheder i årevis. Når Kommissionen hævder, at den ‘opretholder de højeste standarder’, er det ganske enkelt forkert. Den foreslår at underminere dem.” NOYB ern en europæisk nonprofit-organisation for databeskyttelse grundlagt i 2027. NOYB står for None Of Your Business – Det rager ikke dig.

Hvad Digital Omnibus faktisk ændrer

Digital Omnibus består af to lovforslag: ét der ændrer GDPR, ePrivacy-direktivet, Data Act og cybersikkerhedsregler — og ét der ændrer AI Act. Tilsammen udgør de den mest omfattende revision af EU’s digitale lovgivning siden GDPR trådte i kraft i 2018.

De mest kontroversielle ændringer omfatter en ændret definition af “persondata”, der ifølge kritikere vil gøre det lettere for virksomheder at behandle data uden samtykke, en udvidet brug af “legitim interesse” som grundlag for at træne AI-modeller på europæernes data, en udskydelse af AI Act’s højrisiko-krav med op til 16 måneder, fjernelse af registreringskrav for visse AI-systemer, og en sammensmeltning af ePrivacy-reglerne ind i GDPR, hvilket ifølge European Digital Rights (EDRi) vil svække beskyttelsen mod tracking.

“Digital Omnibus river AI Act fra hinanden og underminerer dens centrale beskyttelser, herunder tilsyns- og gennemsigtighedsmekanismer,” skriver EDRi. “De, der fremstiller eller sælger AI-systemer, vil kunne undtage sig selv fra fundamentale regler og forvandle EU’s flagskibslovgivning til et ‘carte blanche’ for højrisiko-algoritmiske teknologier.”

GDPR under pres: “Man kan også afskaffe demokratier meget effektivt”

Professor Hannah Ruschemeier fra Universität Osnabrück, en af Tysklands førende databeskyttelsesforskere, har analyseret de foreslåede ændringer til GDPR’s kernebestemmelser. Hendes konklusion er nedslående.

“Siden Draghi-rapporten har begrebet konkurrenceevne og effektivitet været den tilsyneladende drivkraft bag al europæisk regulering,” skriver Ruschemeier. “Men effektivitet i sig selv er ikke en meningsfuld værdi — man kan også afskaffe demokratier meget effektivt.”

Hendes kritik retter sig særligt mod ændringerne i definitionen af “persondata” og indsnævringen af de særlige kategorier under artikel 9. “De foreslåede ændringer angriber grundlæggende definitioner, der har eksisteret i årtier og er dybt forankret i charteret om grundlæggende rettigheder samt EU-Domstolens praksis,” påpeger hun.

I praksis vil ændringerne betyde, at en virksomhed kan behandle pseudonymiserede data uden at følge GDPR’s regler, så længe virksomheden selv ikke kan re-identificere personerne — også selvom en tredjepart, som dataene videregives til, sagtens kan. “Forslaget deler ansvaret mellem forskellige enheder og knytter sandsynligheden for reidentifikation til den pågældende dataansvarlige,” forklarer Ruschemeier. Det åbner for, at data kan flyde frit mellem aktører, så længe hver enkelt led kan hævde, at de ikke selv kan identificere personerne.

AI Act: Fra beskyttelse til “carte blanche”

AI Act blev vedtaget i 2024 som verdens første omfattende AI-lovgivning. Den klassificerer AI-systemer efter risiko og stiller særligt strenge krav til “højrisiko”-systemer — dem, der bruges til rekruttering, kreditvurdering, uddannelse, retshåndhævelse og andre områder, hvor algoritmer kan påvirke menneskers liv afgørende.

Digital Omnibus foreslår at udskyde disse højrisiko-krav. For AI-systemer omfattet af Annex III (blandt andet HR-screening og kreditvurdering) udskydes deadline fra 2. august 2026 til seks måneder efter, at relevante standarder og støtteværktøjer er tilgængelige — dog senest 2. december 2027. For AI-systemer integreret i regulerede produkter udskydes deadline til august 2028.

Samtidig fjernes krav om, at udbydere af AI-systemer, der selv vurderer, at de ikke er højrisiko, skal registrere deres systemer i EU’s database. Det var ellers den eneste sikkerhedsmekanisme, der skulle forhindre, at virksomheder selv definerer sig ud af reguleringen.

“Kommissionens såkaldte forenklingsforslag vil slippe usikre AI-systemer løs i EU, som vil true offentlig sikkerhed og grundlæggende rettigheder,” advarer Merve Hickok, præsident for Center for AI and Digital Policy. “De nuværende rapporteringskrav i artikel 6 er det absolutte minimum for AI-ansvarlighed og gennemsigtighed.”

“Legitim interesse”: En trojansk hest for AI-træning

Et af de mest kontroversielle elementer i Digital Omnibus er udvidelsen af “legitim interesse” som juridisk grundlag for at behandle persondata til AI-udvikling og -drift. I dag kræver GDPR som hovedregel samtykke til at behandle persondata. “Legitim interesse” er en undtagelse, der skal fortolkes snævert.

Digital Omnibus vil gøre det langt lettere at bruge denne undtagelse til AI-træning. Forslaget tillader endda, at følsomme persondata (sundhedsdata, politiske holdninger, seksuel orientering) kan forblive i træningsdatasæt, hvis det ville kræve en “uforholdsmæssig indsats” at fjerne dem.

“Forslaget forvandler legitim interesse til en langt lettere vej for AI-træning, end GDPR nogensinde havde til hensigt,” skriver Itxaso Domínguez de Olazábal fra EDRi. “Det tillader også såkaldt følsomme data at forblive i træningsdatasæt, når som helst fjernelse betegnes som uforholdsmæssig.”

I praksis vil det betyde, at store sprogmodeller som ChatGPT og Claude — der er trænet på enorme mængder data skrabet fra internettet — vil kunne behandle europæernes data lovligt, uden at de enkelte borgere nogensinde ved det eller har mulighed for at gøre indsigelse.

Max Schrems er barsk i sin vurdering: “Kunstig intelligens er muligvis en af de mest indflydelsesrige og farlige teknologier for vores demokrati og samfund. Alligevel har fortællingen om et ‘AI-kapløb’ fået politikere til at kaste selv de beskyttelser ud af vinduet, der netop skulle beskytte os mod at få alle vores data ind i en stor, ugennemsigtig algoritme.“

Hvem vinder på “forenkling”?

Kommissionen har gentagne gange argumenteret for, at Digital Omnibus primært skal hjælpe små og mellemstore europæiske virksomheder. Men ifølge NOYB og andre kritikere er der meget lidt i forslagene, der reelt letter byrden for gennemsnitlige europæiske SMV’er.

“De fleste artikler bliver mere komplekse, uklare og ulogiske,” skriver NOYB i sin analyse. “I stedet for at arbejde på at reducere behovet for papirarbejde — som er hovedproblemet for europæiske virksomheder — introducerer Kommissionen juridiske smuthuller, som kun store virksomheder og store advokatfirmaer vil kunne udnytte.“

Agustín Reyna, generaldirektør for den europæiske forbrugerorganisation BEUC, er enig: “Forbrugerne blev lovet forenkling for at støtte den europæiske økonomi, og alligevel kan Kommissionens forslag kun læses som deregulering næsten udelukkende til fordel for Big Tech.”

Ada Lovelace Institute går videre: “Kommissionen undlader at være transparent om, at de overvældende begunstigede af disse ændringer vil være store, ikke-europæiske teknologivirksomheder. Ændringernes konsekvenser vil legitimere eksisterende ulovlig AI-træningspraksis og massiv ikke-samtykkebaseret datahandel.”

Den proceduremæssige genvej

Lige så bekymrende som indholdet er processen. Digital Omnibus følger en “fast track”-procedure, der springer mange af de normale sikkerhedsmekanismer over.

“Omnibus-processen omgår de sædvanlige konsekvensanalyser og høringer, der kræves for lovforslag,” påpeger Francine Cunningham, direktør for regulering og offentlige anliggender hos Bird & Bird. “Nogle af de love, der ændres, blev først vedtaget for nylig og er i visse tilfælde ikke engang fuldt implementeret endnu. MEP’er kan derfor være tilbageholdende med at ændre love, de kun lige har debatteret og vedtaget.”

Professor Alberto Alemanno fra HEC Paris, som har analyseret lovligheden af omnibus-lovgivning under EU-ret, advarer om, at den systematiske brug af omnibus-teknikken til at gennemføre substantielle politiske ændringer “fundamentalt ændrer den proceduremæssige arkitektur, hvorigennem reguleringsændringer sker.”

Electronic Frontier Foundation opsummerer problemet: “Den nye digitale pakke går videre med tyndere evidens, end en substantiel strukturel reform ville kræve, og overtræder grundlæggende Better Regulation-principper som sammenhæng og proportionalitet. Resultatet er det modsatte af ‘simpelt’.”

Hvad er reelt forsvarlig forenkling?

Kritikerne er ikke imod forenkling som sådan. Der er bred enighed om, at EU’s digitale regelsæt er komplekst og til tider overlappende. Et AI-system kan i dag være omfattet af både GDPR’s datakrav, AI Act’s højrisikoregime, DSA’s gennemsigtighedsregler og NIS2’s cybersikkerhedskrav — uden klar vejledning om, hvordan konflikter skal fortolkes.

Men der er en afgørende forskel på at harmonisere definitioner, samle rapporteringsprocedurer og fjerne reelle overlap på den ene side — og på at udvande beskyttelser, udvide undtagelser og udskyde ikrafttræden på den anden.

Der er faktisk ét element i Digital Omnibus, som selv kritikerne anerkender som ægte forenkling: kravet om, at online interfaces skal respektere automatiserede samtykke-signaler — såkaldte “privacy signals”. Det ville give brugere mulighed for automatisk at afvise tracking på tværs af alle websites i stedet for at klikke sig igennem cookie-popups på hver enkelt side.

“Privacy signals viser, hvordan en rettighedscentreret tilgang ser ud,” skriver Domínguez de Olazábal. “Det får resten af pakken til at skille sig ud af de forkerte grunde, fordi de andre ændringer svækker beskyttelsen og udvider rummet for aktører, der allerede former det digitale økosystem til deres fordel.“

Fra ASTA til Digital Omnibus: Hvad står på spil?

For at forstå, hvad Digital Omnibus betyder i praksis, er det værd at vende tilbage til cases som ASTA — den algoritme, der i danske kommuner rangerede sygedagpengemodtagere i risikokategorier uden at hverken borgere eller sagsbehandlere kunne forklare hvorfor.

ASTA illustrerede præcis de problemer, AI Act skulle løse: uigennemsigtige algoritmer, manglende dokumentation, ingen mulighed for at klage over automatiserede vurderinger. Men hvis Digital Omnibus vedtages, risikerer vi at få flere ASTA’er — ikke færre.

Når højrisiko-krav udskydes, registreringspligter fjernes, og virksomheder selv får lov at vurdere, om deres systemer er højrisiko, forsvinder de kontrolmekanismer, der skulle forhindre, at algoritmer træffer beslutninger om menneskers liv uden tilsyn.

Og når GDPR’s definition af persondata udvandes, og legitim interesse udvides til AI-træning, bliver det endnu sværere for borgere at vide, hvordan deres data bruges — og at gøre indsigelse.

Et ideologisk valg

Digital Omnibus er i sidste ende ikke bare et spørgsmål om teknisk regulering. Det er et ideologisk valg om, hvilken digital fremtid Europa vil have.

Som Hannah Ruschemeier formulerer det: “Hvis vi virkelig har til hensigt at bygge en distinkt europæisk model, må denne differentiering forfølges med konsekvens og beslutsomhed. Vores normative styrke kommer ikke fra at konkurrere på skala, men fra evnen til at skitsere en troværdig og autonom vej, hvor rettigheder, gennemsigtighed og ansvarlighed ikke er hindringer for udvikling, men en integreret del af den.“

For den borger, der sidder i en dansk kommune uden at kunne få svar på, hvorfor en algoritme har placeret hende i en risikokategori — og for den lille startup, der drukner i compliance-krav, mens tech-giganterne får nye smuthuller — er det ikke et abstrakt spørgsmål.

Det er spørgsmålet om, hvorvidt Europa fortsat vil være verdens førende rettigheds- og demokratimodel på det digitale område — eller om “forenkling” bliver den trojanske hest, der lukker Big Tech ind i det europæiske demokratis maskinrum.