„Digital Omnibus“ der EU-Kommission und Auswirkungen auf die DSGVO

Am 19.11.2025 hat die EU-Kommission einen Entwurf eines „Digital Omnibus“ veröffentlicht. Der „Digital Omnibus“ ist ein EU-Vorschlagspaket zur vereinfachten und harmonisierten Weiterentwicklung des digitalen Rechtsrahmens. Neben der KI-Verordnung und dem Data Act soll auch die DSGVO gezielt angepasst werden. Vorgesehen sind insbesondere Klarstellungen, Vereinfachungen bzw. Entlastungen in Bezug auf Informationspflichten, Datenpannen und Pseudonymisierung sowie präzisere Regeln für z.B. Forschung und KI-Entwicklung. Zugleich soll die Verarbeitung personenbezogener Daten auf bzw. aus Endgeräten (insbesondere Cookies) neu geregelt werden. Ergänzend ist ein Single-Entry-Point für die Meldung von Datenschutzvorfällen bei den Aufsichtsbehörden geplant.

Hier einige Beispiele zu den angedachten Änderungen der DSGVO:

1. Die Definition von personenbezogenen Daten wird präzisiert. Es wird insb. klargestellt, dass Informationen, die sich auf eine natürliche Person beziehen, nicht für jede Stelle automatisch personenbezogene Daten darstellen, nur weil eine andere Stelle diese natürliche Person identifizieren kann. Informationen sollen danach für eine bestimmte Stelle nicht personenbezogen sein, wenn diese Stelle die betreffende natürliche Person nicht identifizieren kann, wobei die vernünftigerweise zu erwartenden Mittel berücksichtigt werden, die dieser Stelle zur Identifizierung zur Verfügung stehen. Diese Klarstellung würde z.B. dazu führen, dass es in vielen Fällen für Verantwortliche einfacher wird, zu argumentieren, dass an Dritte übermittelte pseudonymisierte Daten für diese Dritten keinen Personenbezug aufweisen.
2. Art. 9 Abs. 2 DSGVO soll um zusätzliche Ausnahmetatbestände erweitert werden. So soll etwa die Verarbeitung besonders sensibler personenbezogener Daten für die Entwicklung und den Betrieb von KI-Systemen und KI-Modellen unter bestimmten Voraussetzungen ermöglicht werden.
3. Das Recht, unentgeltliche Mitteilungen und Maßnahmen im Zusammenhang mit geltend gemachten Betroffenenrechten abzulehnen, soll erleichtert werden, insb. mit Blick auf missbräuchliche Auskunftsansprüche i.S.v. Art. 15 DSGVO. In der Praxis wurde das Auskunftsrecht in der Vergangenheit oftmals missbräuchlich bzw. aus eindeutig datenschutzfremden Zwecken ausgeübt. Der Vorschlag des Omnibus-Pakets scheint diese Praxis nun einschränken zu wollen.
4. Der Vorschlag zu einem neuen Art. 13 Abs. 4 DSGVO (Ausnahme bzgl. Informationspflichten) sieht vor, dass Informationspflichten unter bestimmten Umständen bei klar umrissenen und nicht datenintensiven Tätigkeiten ggf. entfallen können, wenn vernünftige Gründe dafür sprechen, dass der betroffenen Person bestimmte Informationen bereits vorliegen. Rückausnahmen sind vorgesehen, z.B. bei automatisierten Entscheidungsfindungen oder bei Übermittlungen von Daten in Drittländer.
5. Das System zur Meldung von Datenschutzvorfällen an Aufsichtsbehörden soll umgestaltet werden. Vorgesehen ist die Einführung eines Single-Entry-Points, über den Verantwortliche einmalig melden können. Auch die Schwelle für meldepflichtige Datenschutzvorfälle soll steigen: Eine Meldung an Aufsichtsbehörden soll nur noch erfolgen, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Zudem soll die Meldefrist auf 96 Stunden verlängert werden.
6. Die (neuen) Art. 88a und 88b DSGVO zielen scheinbar darauf ab, die Verarbeitung von Daten im Zusammenhang mit insb. Cookies auf Endgeräten der Nutzer neu zu regeln. Es soll einen neuen Katalog von Fällen geben, in denen die Verwendung von Cookies (und ähnlichen Technologien) auch ohne Einwilligung zulässig ist (z.B. für Reichweitenmessung). Darüber hinaus soll das Einwilligungsmanagement angepasst werden: Browser oder Betriebssysteme sollen künftig standardisiert an Webseiten übermitteln können, ob Nutzer Cookies (oder ähnliche Technologien) grundsätzlich akzeptieren oder ablehnen.

Das Omnibuspaket wird nun in das Gesetzgebungsverfahren der EU eingebracht. Unternehmen sollten die weiteren Entwicklungen bzw. den Ausgang des Gesetzgebungsverfahrens im Auge behalten und rechtzeitig erforderliche Implementierungsmaßnahmen ergreifen.