đź“Ł Neueste Updates
9. März 2026 – Kommission stellt Vereinfachungsplan für den Digital Omnibus vor (zum Aufklappen klicken)
Die Europäische Kommission erklärte, der vorgeschlagene Digital Omnibus solle das digitale Regelwerk der EU vereinfachen und Unternehmen – insbesondere KMU – mindestens 5 Milliarden Euro an Verwaltungskosten ersparen. Der Vorschlag zielt darauf ab, die Rechtssicherheit rund um Datenvorschriften und die KI-Regulierung zu verbessern, die Meldepflichten bei Cybersicherheitsvorfällen zu straffen und die Fristen für Teile des AI Act, einschließlich Hochrisikosystemen, anzupassen. Die Kommission bestätigte zudem, dass sie den digitalen Rahmen im Rahmen eines Digital Fitness Checks überprüft, der zu weiteren Vereinfachungsmaßnahmen führen könnte. Mehr erfahren →
5. Dezember 2025 – EU-Datenschutzbehörden hinterfragen wichtige Änderung am Vorschlag (zum Aufklappen klicken)
Der Europäische Datenschutzausschuss (EDSA), die oberste Datenschutzbehörde der EU, hat den Digital-Omnibus-Vorschlag geprĂĽft und Bedenken geäuĂźert, wie dieser den Begriff „personenbezogene Daten“ neu definiert. Der Vorschlag wĂĽrde die Definition einengen und darauf abstellen, ob eine konkrete Person identifizierbar ist – nicht ob jemand anderes sie identifizieren könnte. Der EDSA hält diese Einschränkung fĂĽr zu weitreichend und möglicherweise unvereinbar mit aktuellen Gerichtsurteilen. Zur vertiefenden Diskussion veranstaltet der Ausschuss am 12. Dezember 2025 eine Stakeholder-Veranstaltung (Diskussionspapier). Dies ist relevant, weil EDSA-Einschätzungen die endgĂĽltige Gesetzgebung maĂźgeblich beeinflussen können. Da die Definition personenbezogener Daten die Grundlage aller Datenschutzvorschriften bildet, könnte dieser Teil des Vorschlags noch ĂĽberarbeitet werden. Mehr erfahren →
Die Europäische Kommission hat am 19. November 2025 ihren Vorschlag für eine Digital-Omnibus-Verordnung veröffentlicht. Für alle, die im Bereich digitale Compliance tätig sind, lohnt sich ein genauer Blick.
Der Vorschlag zielt darauf ab, den europäischen Rechtsrahmen zu vereinfachen und zu modernisieren, indem mehrere zentrale Rechtsakte geändert werden – darunter die DSGVO, die ePrivacy-Richtlinie, der Data Act, NIS2, eIDAS, DORA und die CER-Richtlinie.
Der Text wird sich im Laufe des EU-Gesetzgebungsverfahrens noch weiterentwickeln. Die Richtung ist jedoch vielversprechend, und wir helfen Ihnen dabei, die bevorstehenden Ă„nderungen zu verstehen.
💡 Bevor wir ins Detail gehen, das Wichtigste vorab: Dies ist ein Vorschlag, kein geltendes Recht. Der Text befindet sich in einem frühen Stadium und kann sich im EU-Gesetzgebungsverfahren noch erheblich verändern. Die beschriebenen Grundsätze und Pflichten sind noch nicht in Kraft und nicht durchsetzbar. Bis zur formellen Verabschiedung der Verordnung gilt weiterhin der bestehende Rechtsrahmen – einschließlich der DSGVO und anderer einschlägiger Gesetze – für alle Datenverarbeitungstätigkeiten.
đź“Š Zeitlinie ansehen: Vom Vorschlag zum Gesetz (zum Aufklappen klicken)
Cookie-Einwilligung wird neu gestaltet
Der Vorschlag überführt die Cookie-Regelung der ePrivacy-Richtlinie als neuen Artikel 88a in die DSGVO. Die Einwilligung bleibt die allgemeine Grundlage für das Speichern oder Auslesen von Informationen auf Endgeräten, jedoch mit wichtigen Neuerungen.
- Einwilligungsfreie Ausnahmen hinzugefügt: Eine abschließende Liste umfasst nun die bloße Übertragung, technisch notwendige Cookies, erstanbieterbasierte aggregierte Reichweitenmessung für eigene Dienste sowie die Sicherheit des Dienstes oder Endgeräts.
- Annehmen und Ablehnen per Einzelklick erforderlich: Cookie-Banner müssen beide Optionen gleich leicht zugänglich machen.
- Sechsmonatige Sperrfrist: Websites dürfen Nutzende nach einer Einwilligungsverweigerung mindestens sechs Monate lang nicht erneut fragen – es sei denn, es gibt relevante Änderungen in Ihren Verarbeitungstätigkeiten.
Was sich nicht ändert:
- Einwilligung bleibt zentral: Für Werbung, Profiling, seitenübergreifendes Tracking und Drittanbieter-Analysen ist weiterhin eine Einwilligung erforderlich. Der Vorschlag schwächt diese Anforderungen nicht ab.
Maschinenlesbare Präferenzsignale
Artikel 88b führt etwas Neues ein: maschinenlesbare Präferenzsignale. Gemeint sind Browser-Einstellungen, die Einwilligung oder Widerspruch automatisch übermitteln. Verantwortliche müssen diese Signale berücksichtigen, und Browser-Anbieter werden sie schrittweise unterstützen müssen.
Dies könnte die Art und Weise, wie Einwilligungen im Web eingeholt werden, grundlegend verändern: Bestimmte Entscheidungen würden auf Browser-Ebene vorverlagert, während die Nutzerkontrolle erhalten bleibt.
🍪 Weniger Cookie-Banner in Zukunft?
Das wĂĽrde sich ändern: Wenn Nutzer ihre Datenschutzpräferenzen auf Browser- oder Betriebssystemebene festlegen (z. B. „Kein Tracking“ oder „Nur das Notwendigste“), wĂĽrden Websites diese Einstellung automatisch auslesen und respektieren. Kein Banner erforderlich.
Die Realität? Die meisten Nutzer werden solche Einstellungen nicht sofort vornehmen, sodass Cookie-Banner auf absehbare Zeit Standard bleiben. Mit der Zeit jedoch, wenn immer mehr Besucher Browser-seitige Einstellungen nutzen, werden sie beim Surfen weniger Banner sehen.
Im Hintergrund benötigen Sie weiterhin Einwilligungsmanagementsysteme wie iubenda, um Nutzerentscheidungen korrekt zu verwalten. Das System würde lediglich intelligenter darin, wann ein Banner angezeigt werden muss und wann ein vorhandenes Präferenzsignal ausreicht.
⚠️ Ausnahme für Mediendienstanbieter
Nicht alle müssen diese Signale berücksichtigen. Der Vorschlag befreit Mediendienstanbieter ausdrücklich von der Pflicht, maschinenlesbare Präferenzsignale zu respektieren.
Warum? Die Kommission argumentiert, dass Medienorganisationen für ihre wirtschaftliche Tragfähigkeit auf Werbeeinnahmen angewiesen sind und dass eine unabhängige Presse für Pluralismus und demokratische Debatte unverzichtbar ist. Dies gilt als im öffentlichen Interesse liegend.
In der Praxis bedeutet das: Medienseiten dĂĽrfen auch dann um Einwilligung bitten, wenn ein Nutzer global „Kein Tracking“ eingestellt hat. Diese Sonderregelung gilt nicht fĂĽr andere Websites, Apps oder Online-Dienstleister.
Wichtige DSGVO-Ă„nderungen im Ăśberblick
Der Vorschlag bringt mehrere praktische Ă„nderungen an der DSGVO mit sich:
Personenbezogene Daten und Pseudonymisierung
Die Definition personenbezogener Daten wird eingeengt. Entscheidend ist kĂĽnftig, ob der jeweilige Verantwortliche oder Empfänger ĂĽber Mittel verfĂĽgt, eine Person „vernĂĽnftigerweise“ zu identifizieren. Allein die Tatsache, dass ein Dritter jemanden identifizieren könnte, macht Daten nicht fĂĽr alle automatisch zu personenbezogenen Daten.
Was das bedeutet: Die Kommission kann gemeinsam mit dem Europäischen Datenschutzausschuss (EDSA) Kriterien festlegen, ab wann pseudonymisierte Daten für bestimmte Stellen nicht mehr als personenbezogene Daten gelten.
Auskunftsrecht erhält Schutz vor Missbrauch
Artikel 12 wird dahingehend geändert, dass Verantwortliche Auskunftsersuchen ablehnen oder eine angemessene Gebühr erheben dürfen, wenn diese offensichtlich missbräuchlich sind. Dies betrifft etwa folgende Szenarien:
- Belästigungskampagnen
- Spekulative Schadensersatzforderungen
- „Zahlen Sie, und ich ziehe den Antrag zurĂĽck“ – Modelle
Die Beweislast verbleibt beim Verantwortlichen.
Transparenzausnahmen bei geringem Risiko
Bei risikoarmen, offensichtlichen Situationen (z. B. bei lokalen Handwerkern oder kleinen Vereinen) können Verantwortliche eine erweiterte Ausnahme in Anspruch nehmen, wenn berechtigte Gründe für die Annahme bestehen, dass die betroffenen Personen bereits über die erforderlichen Informationen verfügen.
Vereinheitlichung von DSFAs und Meldepflichten bei Datenpannen
Der EDSA muss EU-weite Listen erstellen, aus denen hervorgeht, welche Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung (DSFA) erfordern oder nicht – samt einheitlicher Vorlage und Methodik. Gleiches gilt für Datenpannenmeldungen bei hohem Risiko: Vorlage und Kriterien sollen durch Durchführungsrechtsakte der Kommission vereinheitlicht werden.
Warum das wichtig ist: Diese Vereinheitlichung könnte die Compliance-Komplexität erheblich reduzieren – insbesondere für Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind.
KI und personenbezogene Daten
Die Erwägungsgründe des Vorschlags stellen klar, dass die Verwendung personenbezogener Daten für das Training, Testen und Validieren von KI-Systemen auf berechtigte Interessen gemäß Artikel 6 Abs. 1 lit. f DSGVO gestützt werden kann. Voraussetzung: ein strikter Abwägungstest sowie angemessene Schutzmaßnahmen.
Erforderliche SchutzmaĂźnahmen umfassen:
- Transparenz ĂĽber die Nutzung fĂĽr KI-Training
- Uneingeschränktes Widerspruchsrecht
- Datenschutzfreundliche Verfahren
- Zusätzliche Schutzmaßnahmen je nach Risikoniveau
Für KI-Trainingsdatensätze, in denen besondere Kategorien personenbezogener Daten nur beiläufig enthalten sind und deren Entfernung unverhältnismäßig aufwendig wäre, wird eine enge Ausnahme eingeführt. In diesen Fällen müssen die Daten streng geschützt werden und dürfen nicht zur Ableitung oder Offenbarung sensibler Informationen genutzt werden. Die üblichen Bedingungen nach Artikel 9 Abs. 2 DSGVO gelten weiterhin, soweit besondere Kategorien tatsächlich verarbeitet werden.
Weitere Ă„nderungen im Ăśberblick
Einheitlicher EU-Meldekanal für Vorfälle
Für die Meldung von Cybersicherheits- und Datenpannenvorfällen wird eine einheitliche EU-Meldestelle eingerichtet. DSGVO-Verantwortliche nutzen diese für Datenpannenmeldungen und vermeiden so Doppelmeldungen nach NIS2, DSGVO, eIDAS, DORA und der CER-Richtlinie.
Der Vorteil: Diese Konsolidierung beseitigt einen echten Schwachpunkt fĂĽr Unternehmen, die mehrere Meldepflichten gleichzeitig erfĂĽllen mĂĽssen.
Anpassungen beim Data Act
Der Data Act wird in mehreren Punkten geändert:
- Stärkerer Schutz von Geschäftsgeheimnissen
- Datenweitergabe von Unternehmen an Behörden (B2G) auf öffentliche Notlagen beschränkt
- Erleichterter Rahmen für bestimmte Cloud-Verträge
- Open-Data-Richtlinie und Data Governance Act werden integriert
Die Platform-to-Business-Verordnung (P2B) wird aufgehoben, da sie durch neuere Plattformregeln weitgehend ĂĽberholt ist.
Was das fĂĽr Ihr Unternehmen bedeutet
Dieser Vorschlag zeigt, wohin die EU-Datenschutzregulierung steuert – und das ist eine Entwicklung, die wir begrüßen.
Mehr Kontrolle fĂĽr Nutzer. Schlankere Anforderungen. Vereinheitlichung, die wirklich hilft. Das sind nicht nur politische Ziele; es sind die Grundlagen, auf denen wir bei iubenda von Anfang an aufgebaut haben.
„Der Digital Omnibus ist noch kein Recht. Und bis dahin gilt die DSGVO- und ePrivacy-Compliance genau so, wie Sie es kennen. Was sich auch unter dem kĂĽnftigen Regime nicht ändern wird, ist die Notwendigkeit einer robusten operativen Ebene, die rechtliche Anforderungen in technische Durchsetzung ĂĽbersetzt. Das ist nach wie vor Ihr CMP. Globale Signale und Automatisierung ersetzen keine CMPs – sie machen sie unverzichtbar, denn jemand muss die BrĂĽcke zwischen abstrakten Rechten und konkretem Code schlagen.“
Giulia Stancampiano, Product Legal Manager Privacy, iubenda
Wir verstehen unsere aktive Mitgestaltung als Verpflichtung, während dieser Vorschlag Form annimmt – damit er in der Praxis für Unternehmen und ihre Kunden gleichermaßen funktioniert.
Das Gesetzgebungsverfahren braucht Zeit, aber wir begleiten Sie bei jedem Schritt und machen aus regulatorischen Ă„nderungen klare, umsetzbare Handlungsempfehlungen.
Häufig gestellte Fragen
Was ist die Digital-Omnibus-Verordnung?
Der Digital Omnibus ist ein Vorschlag der Europäischen Kommission, der mehrere EU-Digitalgesetze – allen voran die DSGVO und die ePrivacy-Richtlinie – ändert und harmonisiert, um Komplexität zu reduzieren, die Kohärenz zu verbessern und veraltete Regelungen zu modernisieren.
Ist die Digital-Omnibus-Verordnung bereits in Kraft?
Nein. Der Digital Omnibus befindet sich noch in einem frühen Stadium des EU-Gesetzgebungsverfahrens und kann vor der Verabschiedung noch erheblich geändert werden. Bis er Gesetz wird, gelten bestehende Regelungen wie die DSGVO unverändert.
Wann wird der Digital Omnibus Gesetz?
Es gibt keinen festen Zeitplan. EU-Gesetzgebungsverfahren dauern in der Regel 12 bis 30 Monate. Nach der Verabschiedung tritt die Verordnung 20 Tage nach ihrer Veröffentlichung in Kraft. Die neuen Pflichten gelten gestaffelt (z. B. 6 Monate für die neuen Cookie-Regelungen, 24 Monate für maschinenlesbare Signale).
Ersetzt der Digital Omnibus die DSGVO?
Nein. Der Digital Omnibus ändert und aktualisiert die DSGVO, ersetzt sie jedoch nicht. Er schlägt Änderungen an bestimmten Artikeln vor, etwa zu Cookie-Einwilligungsregeln und Datenpannenmeldeverfahren.
Welche Änderungen an der Cookie-Einwilligung schlägt der Digital Omnibus vor?
Der Vorschlag würde Ein-Klick-Optionen für Zustimmung und Ablehnung vorschreiben, wiederholte Einwilligungsaufforderungen für mindestens sechs Monate nach einer Ablehnung untersagen und maschinenlesbare Präferenzsignale einführen. Zudem werden die Cookie-Regelungen in die DSGVO überführt (neuer Artikel 88a) und klargestellt, für welche begrenzten Zwecke Ausnahmen vom Einwilligungserfordernis gelten – etwa für erstanbieterbasierte aggregierte Reichweitenmessung und Sicherheit.
Benötige ich unter dem Digital Omnibus noch einen Cookie-Banner?
Ja. Einwilligungsmanagementsysteme bleiben unverzichtbar, um Nutzerentscheidungen zu verwalten, Einwilligungsnachweise zu fĂĽhren und Präferenzen korrekt anzuwenden. Was sich ändern wĂĽrde: Manche Nutzer, die Browser-seitige Präferenzen festgelegt haben, sehen möglicherweise keinen Banner mehr, da das System deren vorhandene Einstellung ausliest. Mediendienstanbieter dĂĽrfen jedoch auch dann um Einwilligung bitten, wenn ein globales „Ablehnen“-Signal gesetzt ist.
Wie wirkt sich der Digital Omnibus auf KI und personenbezogene Daten aus?
Der Vorschlag stellt klar, dass die Verwendung personenbezogener Daten für das Training von KI-Systemen auf berechtigte Interessen gemäß Artikel 6 Abs. 1 lit. f DSGVO gestützt werden kann – vorausgesetzt, strenge Schutzmaßnahmen sind vorhanden: Transparenz, uneingeschränktes Widerspruchsrecht und datenschutzfreundliche Techniken. Dafür wird ein neuer Artikel 88c DSGVO geschaffen.
Muss ich jetzt etwas unternehmen?
Unmittelbarer Handlungsbedarf besteht nicht. Ihre Compliance-Pflichten nach der DSGVO und anderen geltenden Gesetzen bleiben unverändert. Wir empfehlen, die Entwicklung des Vorschlags aufmerksam zu verfolgen – wir halten Sie über alle für Ihre Compliance-Arbeit relevanten Neuerungen auf dem Laufenden.