Die Europäische Kommission hat am 19. November 2025 umfangreiche Reformvorschläge für die DSGVO, die KI-Verordnung und weitere EU-Regelwerke veröffentlicht. Der sogenannte „Digital-Omnibus“ soll Rechtssicherheit schaffen, bürokratischen Aufwand reduzieren und gleichzeitig die Grundrechte wahren. Doch was bedeutet das konkret für Unternehmen? Welche Änderungen sind geplant, und wie sollten Sie sich darauf vorbereiten?
Hier kommt ein praxisnaher Überblick über die wichtigsten Reformpunkte und was sie für Ihren Datenschutz-Alltag ab 2026 bedeuten können.
1. Was ist der Digital-Omnibus überhaupt?
Der Digital-Omnibus ist kein einzelnes Gesetz, sondern ein Reformpaket der EU-Kommission, das mehrere bestehende Verordnungen an einem Stück anpasst. Betroffen sind vor allem:
- Die Datenschutz-Grundverordnung (DSGVO)
- Die KI-Verordnung (AI Act)
- Die EU-Datenverordnung
Das erklärte Ziel: bestehende Vorschriften kohärenter machen, Widersprüche beseitigen und die administrative Belastung für Unternehmen, Forschungseinrichtungen und Bürger senken. Gleichzeitig sollen zentrale Schutzstandards nicht aufgeweicht werden.
Wichtig: Die Entwürfe befinden sich derzeit in der Konsultationsphase. Bis eine finale Fassung steht, kann es noch Monate dauern, und einige Punkte werden sich voraussichtlich ändern. Trotzdem lohnt es sich, bereits jetzt zu verstehen, in welche Richtung die Reform geht.
2. Neudefinition „personenbezogene Daten“ – mehr Klarheit bei Pseudonymisierung
Eine der bedeutendsten Änderungen betrifft die Definition personenbezogener Daten (Art. 4 Nr. 1 DSGVO). Nach dem Entwurf sollen Informationen nicht mehr als personenbezogen gelten, wenn der Verantwortliche die betroffene Person mit vernünftigerweise zur Verfügung stehenden Mitteln nicht identifizieren kann – unabhängig davon, ob eine andere Stelle theoretisch dazu in der Lage wäre.
Was heißt das konkret?
Wenn Sie pseudonymisierte Daten empfangen, aber keinen Zugriff auf die Zuordnungstabelle (den „Schlüssel“) haben, würde die DSGVO für diese Daten nicht mehr greifen.
Praxisfolge:
Diese Änderung könnte Datenanalysen, wissenschaftliche Forschung und bestimmte Marketing-Auswertungen deutlich vereinfachen. Gleichzeitig bleibt die Frage, wie „vernünftigerweise zur Verfügung stehende Mittel“ im Einzelfall ausgelegt werden – hier wird es auf die Umsetzung in der Praxis ankommen.
3. Zweckbindung wird gelockert – vor allem für Forschung und Statistik
Der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) ist ein zentraler Pfeiler des Datenschutzes. Die geplante Reform sieht hier Erleichterungen vor:
- Weiterverarbeitung zu wissenschaftlichen oder statistischen Zwecken soll künftig als berechtigtes Interesse gelten (Art. 6 Abs. 1 lit. f DSGVO).
- Bestimmte Anschlussverarbeitungen sollen als mit dem ursprünglichen Zweck vereinbar gelten, ohne dass eine umfassende Zweckänderungsprüfung nach Art. 6 Abs. 4 DSGVO nötig ist.
Was heißt das konkret?
Unternehmen könnten erhobene Daten flexibler für interne Analysen, Optimierungen oder wissenschaftliche Kooperationen nutzen, solange der neue Zweck im Rahmen bleibt.
Wichtig:
„Wissenschaftliche Forschung“ wird im Entwurf bewusst weit definiert und schließt auch kommerzielle Forschung ein, solange sie zum Wissenserwerb und gesellschaftlichen Nutzen beiträgt (Art. 4 Nr. 38 DSGVO-E). Die Details werden entscheidend sein – und auch hier bleibt Raum für Auslegung.
4. KI-Training auf Grundlage berechtigter Interessen – neue Rechtsgrundlage
Mit Art. 88c DSGVO-E plant die Kommission eine ausdrückliche Regelung für das Training von KI-Systemen:
- Die Verarbeitung personenbezogener Daten für Entwicklung, Training, Test und Validierung von KI-Systemen kann grundsätzlich auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden.
- Voraussetzung bleibt eine Interessenabwägung zugunsten des Verantwortlichen sowie die Einhaltung besonderer Transparenz-, Datenminimierungs- und Schutzanforderungen.
Für besondere Kategorien personenbezogener Daten (Art. 9 DSGVO – sensible Daten wie Gesundheitsdaten, biometrische Daten etc.) sieht der Entwurf einen neuen Ausnahmetatbestand vor (Art. 9 Abs. 2 lit. k DSGVO-E):
- Unter engen Voraussetzungen soll die Verarbeitung solcher Daten für KI-Systeme erlaubt sein.
- Sensible Daten sollen möglichst vermieden, nachträglich entfernt oder zumindest technisch und organisatorisch wirksam abgesichert werden.
Was heißt das konkret?
Unternehmen, die KI-Systeme entwickeln oder trainieren, könnten künftig mit mehr Rechtssicherheit arbeiten, wenn sie die Rahmenbedingungen einhalten. Das schließt aber nicht aus, dass nationale Vorschriften strengere Anforderungen stellen, etwa eine ausdrückliche Einwilligung vorschreiben.
Wichtig:
Die konkrete Ausgestaltung – insbesondere bei sensiblen Daten – wird entscheidend sein. Es ist davon auszugehen, dass die Aufsichtsbehörden hier genau hinsehen werden.
5. Betroffenenrechte bleiben, aber mit mehr Spielraum bei der Umsetzung
Die Rechte betroffener Personen (Auskunft, Löschung, Berichtigung etc.) bleiben im Kern bestehen. Allerdings plant die Kommission Anpassungen, die vor allem exzessive oder missbräuchliche Anfragen betreffen:
- Bei offensichtlich unbegründeten, exzessiven oder missbräuchlichen Anträgen kann der Verantwortliche künftig eine angemessene Gebühr verlangen oder die Bearbeitung ablehnen, sofern er die Voraussetzungen nachweisen kann (Art. 12 Abs. 5 DSGVO-E).
- Es genügt, wenn der Verantwortliche plausible Gründe für die Annahme eines exzessiven Antrags darlegt.
Für Informationspflichten bei Datenerhebung sieht der Entwurf Einschränkungsmöglichkeiten vor, etwa wenn Daten in klar begrenztem Umfang erhoben werden und davon auszugehen ist, dass der betroffenen Person die wesentlichen Informationen bereits bekannt sind.
Was heißt das konkret?
Unternehmen erhalten mehr Handlungsspielraum, um sich gegen überzogene Auskunftsersuchen zu wehren. Gleichzeitig bleibt die Beweislast beim Verantwortlichen – wer eine Gebühr verlangt oder einen Antrag ablehnt, muss das plausibel begründen können.
6. Meldepflichten bei Datenpannen werden angepasst
Die Meldepflichten bei Datenschutzverletzungen (Art. 33 DSGVO) sollen praxisfreundlicher werden:
- Meldepflicht gegenüber der Aufsichtsbehörde besteht künftig nur noch bei Datenschutzverletzungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen begründen.
- Die Meldefrist wird von 72 auf 96 Stunden verlängert.
- Meldungen sollen künftig über eine zentrale europäische Stelle erfolgen – die Agentur der Europäischen Union für Cybersicherheit (ENISA).
Was heißt das konkret?
Kleinere Datenpannen, die kein hohes Risiko darstellen, müssten nicht mehr gemeldet werden. Das reduziert den administrativen Aufwand. Gleichzeitig wird die Einschätzung, ob ein „hohes Risiko“ vorliegt, weiterhin eine Frage des Einzelfalls bleiben – und im Zweifel sollte eher gemeldet werden.
7. Cookie-Banner-Reform: Weniger Klicks, mehr Nutzerfreundlichkeit
Ein Punkt, der viele Website-Betreiber betrifft: Die bislang in der ePrivacy-Richtlinie geregelten und in Deutschland durch § 25 TTDSG umgesetzten Vorgaben zu Cookie-Bannern sollen in die DSGVO überführt werden (Art. 88a, 88b DSGVO-E).
Geplant sind:
- Neue Ausnahmen vom Einwilligungserfordernis, etwa für Sicherheitszwecke und eigene Reichweitenmessungen.
- Nutzerfreundliche Ablehnungsmechanismen, die genauso einfach sein müssen wie die Zustimmung.
- Ein browserbasiertes, automatisiertes Einwilligungsmodell: Nutzer können ihre Präferenzen einmalig im Browser festlegen, diese Entscheidung wird dann webseitenübergreifend automatisch umgesetzt.
- Verpflichtung für Webbrowser-Anbieter (mit Ausnahme von KMU), entsprechende technische Funktionen bereitzustellen.
Was heißt das konkret?
Wenn die Reform wie geplant umgesetzt wird, könnten Cookie-Banner deutlich seltener und nutzerfreundlicher werden. Für Website-Betreiber bedeutet das: Weniger nervende Popups, aber gleichzeitig auch Anpassungsbedarf bei bestehenden Consent-Management-Lösungen.
Wichtig:
Bis die browserbasierte Lösung flächendeckend funktioniert, dürfte es noch dauern. In der Übergangszeit müssen Websites weiterhin mit klassischen Cookie-Bannern arbeiten.
8. Was bedeutet das alles für Unternehmen?
Der Digital-Omnibus ist kein Grund zur Panik, aber auch kein Freifahrtschein. Die geplanten Änderungen bringen an vielen Stellen Erleichterungen – etwa bei Pseudonymisierung, Forschungsdaten, KI-Training und Cookie-Bannern. Gleichzeitig bleiben die Grundprinzipien der DSGVO bestehen: Transparenz, Datenminimierung, Rechenschaftspflicht.
Unsere Empfehlung:
- Beobachten Sie die Entwicklung: Die Entwürfe werden noch überarbeitet. Warten Sie nicht bis zur finalen Fassung, sondern halten Sie sich auf dem Laufenden.
- Prüfen Sie Ihre Prozesse: Nutzen Sie die Zeit, um bestehende Datenschutz-Prozesse zu überprüfen und mögliche Anpassungsbedarfe zu identifizieren.
- Dokumentieren Sie sauber: Gerade bei KI-Training, Pseudonymisierung und Zweckänderungen wird es auf belastbare Dokumentation ankommen.
- Holen Sie sich Unterstützung: Wenn Sie unsicher sind, wie die Reformen Ihre Organisation betreffen, sprechen Sie uns an.
9. Wie wir Sie unterstützen können
Als externer Datenschutzbeauftragter begleiten wir Unternehmen bei der Umsetzung aktueller Datenschutz- und Compliance-Anforderungen – auch und gerade bei sich ändernden Rahmenbedingungen.
Wenn Sie wissen möchten, wie sich der Digital-Omnibus konkret auf Ihre Organisation auswirken könnte, oder wenn Sie Unterstützung bei der Anpassung Ihrer Prozesse benötigen, sprechen Sie uns an.
Fazit: Vereinfachung ja, aber mit Bedacht
Der Digital-Omnibus ist ein Versuch, das europäische Datenschutz- und KI-Recht praxistauglicher zu machen, ohne die Grundrechte zu opfern. Ob das gelingt, wird sich in der konkreten Umsetzung zeigen.
Für Unternehmen gilt: Die geplanten Änderungen können Spielräume schaffen. Aber nur, wenn Sie die neuen Regeln kennen, verstehen und rechtssicher umsetzen. Wer jetzt aufmerksam bleibt und seine Prozesse anpasst, ist später im Vorteil.
