Die Europäische Kommission hat am 19. November 2025 ihren Vorschlag für eine Digital-Omnibus-Verordnung veröffentlicht. Für alle, die im Bereich digitale Compliance arbeiten, lohnt sich ein genauer Blick.
Der Vorschlag soll den europäischen Rechtsrahmen vereinfachen und modernisieren, indem mehrere zentrale Gesetze angepasst werden, darunter die Datenschutz-Grundverordnung (DSGVO), die ePrivacy-Richtlinie, der Data Act, NIS2, eIDAS, DORA und CER.
Der Text wird sich weiterentwickeln, während er das EU-Gesetzgebungsverfahren durchläuft. Die Richtung ist jedoch vielversprechend – und wir unterstützen dich dabei, zu verstehen, was auf dich zukommen könnte.
💡 Bevor wir einsteigen, ist eines wichtig: Es handelt sich um einen Vorschlag, nicht um geltendes Recht. Der Text befindet sich in einem frühen Stadium und kann sich im Laufe des EU-Gesetzgebungsverfahrens noch deutlich ändern. Die beschriebenen Grundsätze und Pflichten sind noch nicht in Kraft und noch nicht durchsetzbar. Solange die Verordnung nicht formell angenommen wurde, gilt weiterhin der bestehende Rechtsrahmen (einschließlich DSGVO und anderer einschlägiger Gesetze) für alle Verarbeitungstätigkeiten.
Der Vorschlag überführt die Cookie-Regel der ePrivacy-Richtlinie in die DSGVO als neuen Artikel 88a. Die Einwilligung bleibt die allgemeine Regel für das Speichern oder Auslesen von Informationen auf Endgeräten – wird aber an mehreren Stellen angepasst.
Was gleich bleibt:
Artikel 88b führt etwas Neues ein: maschinenlesbare Präferenzsignale. Stell dir Browsereinstellungen vor, die Einwilligungen oder Widersprüche automatisch kommunizieren. Verantwortliche müssen diese Signale beachten und Browser-Anbieter werden sie nach und nach unterstützen müssen.
Das könnte die Art und Weise, wie Einwilligungen im Web fließen, grundlegend verändern, indem bestimmte Entscheidungen weiter nach oben, auf die Browser-Ebene, verlagert werden – bei gleichbleibender Kontrolle für die Nutzenden.
🍪 Weniger Cookie-Banner in Zukunft?
Das würde sich ändern: Wenn Personen ihre Datenschutz-Präferenzen auf Browser- oder Betriebssystem-Ebene festlegen (etwa „alles Tracking ablehnen“ oder „nur Essenzielles“), würde die Website diese Entscheidung automatisch auslesen und respektieren. Kein Banner nötig.
Realistisch betrachtet werden viele Menschen diese Einstellungen nicht sofort aktiv nutzen. Cookie-Banner bleiben deshalb auf absehbare Zeit Standard. Mit der Zeit jedoch, wenn mehr Besuchende Präferenzen auf Browser-Ebene setzen, werden sie beim Surfen weniger Banner sehen.
Im Hintergrund brauchst du weiterhin Consent-Management-Systeme wie iubenda, um Entscheidungen korrekt zu verarbeiten. Das System würde lediglich intelligenter entscheiden, wann ein Banner angezeigt werden muss und wann ein bereits vorhandenes Präferenzsignal ausreicht.
⚠️ Ausnahme für Medienanbieter
Nicht alle müssen diese Signale respektieren. Der Vorschlag nimmt Medienanbieter ausdrücklich von der Pflicht aus, maschinenlesbare Präferenzsignale zu beachten.
Warum? Die Kommission argumentiert, dass Medienunternehmen für ihre wirtschaftliche Tragfähigkeit auf Werbeeinnahmen angewiesen sind und dass unabhängige Medien für Pluralismus und demokratische Debatten unverzichtbar sind. Dies gilt als Ziel von öffentlichem Interesse.
In der Praxis bedeutet das, dass Nachrichtenseiten auch dann um Einwilligung bitten dürfen, wenn eine Person ein globales „Tracking ablehnen“-Signal gesetzt hat. Diese privilegierte Ausnahme gilt nicht für andere Websites, Apps oder Online-Dienste.
Der Vorschlag bringt mehrere praktische Änderungen an der DSGVO mit sich:
Die Definition personenbezogener Daten wird enger gefasst. Die Schlüsselfrage lautet künftig, ob ein bestimmter Verantwortlicher oder Empfänger über „angemessene“ Mittel verfügt, um eine Person zu identifizieren. Nur weil jemand anderes eine Person identifizieren kann, sind Daten nicht automatisch für alle personenbezogen.
Was das bedeutet: Die Kommission kann gemeinsam mit dem Europäischen Datenschutzausschuss (EDSA) Kriterien festlegen, wann pseudonymisierte Daten für bestimmte Stellen nicht mehr als personenbezogen gelten.
Artikel 12 wird so geändert, dass Verantwortliche Auskunftsanfragen ablehnen oder ein angemessenes Entgelt verlangen dürfen, wenn Anfragen eindeutig missbräuchlich sind. Das betrifft Szenarien wie:
Die Beweislast bleibt beim Verantwortlichen.
In offensichtlichen Situationen mit geringem Risiko (zum Beispiel lokale Handwerksbetriebe oder kleine Vereine) können Verantwortliche in größerem Umfang auf eine Ausnahme zurückgreifen, wenn es vernünftige Gründe gibt anzunehmen, dass die betroffenen Personen die erforderlichen Informationen bereits haben.
Der Europäische Datenschutzausschuss soll EU-weite Listen der Verarbeitungstätigkeiten vorlegen, die eine Datenschutz-Folgenabschätzung (DSFA) erfordern oder nicht. Außerdem wird eine einheitliche Vorlage und Methodik vorgesehen. Gleiches gilt für Meldungen von Datenschutzverletzungen mit hohem Risiko: eine Standardvorlage und Kriterien, die die Kommission in Durchführungsrechtsakte umsetzen wird.
Warum das wichtig ist: Diese Standardisierung kann die Compliance-Komplexität reduzieren – besonders für Organisationen, die in mehreren Mitgliedstaaten aktiv sind.
In den Erwägungsgründen des Vorschlags wird klargestellt, dass sich die Verwendung personenbezogener Daten zum Training, Testen und Validieren von KI-Systemen auf das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f stützen kann. Voraussetzung ist eine strenge Interessenabwägung und der Einsatz geeigneter Schutzmaßnahmen.
Erforderliche Schutzmaßnahmen sind unter anderem:
Außerdem wird eine enge Ausnahme für das zufällige Vorhandensein besonderer Kategorien personenbezogener Daten in KI-Trainingsdaten eingeführt, wenn deren Entfernung unverhältnismäßig wäre. In diesen Fällen müssen die Daten besonders geschützt werden und dürfen nicht dafür genutzt werden, sensible Informationen abzuleiten oder offenzulegen. Wenn die Verarbeitung besonderer Kategorien tatsächlich erforderlich ist, gelten weiterhin die Rechtsgrundlagen des Artikels 9 Absatz 2.
Es wird eine zentrale EU-Meldestelle für Cybersecurity-Vorfälle und Datenschutzvorfälle geschaffen. Verantwortliche nach der DSGVO sollen sie für Meldungen von Datenschutzverletzungen nutzen, um doppelte Meldungen nach NIS2, DSGVO, eIDAS, DORA und CER zu vermeiden.
Der Vorteil: Diese Bündelung adressiert einen realen Pain-Point für Organisationen, die mit mehreren Meldepflichten umgehen müssen.
Der Data Act wird in mehreren Punkten geändert:
Die Platform-to-Business-Verordnung (P2B) wird aufgehoben, da sie weitgehend durch neuere Plattformregeln ersetzt wurde.
Der Vorschlag zeigt, wohin sich die EU-Datenschutzregulierung entwickelt – und diese Richtung begrüßen wir.
Mehr Kontrolle für Nutzende. Vereinfachte Anforderungen. Standardisierung, die wirklich hilft. Das sind nicht nur politische Ziele, sondern auch das Fundament dessen, was wir bei iubenda seit Beginn aufbauen.
„Der Digital Omnibus ist noch kein Gesetz. Und bis es so weit ist, bleibt die DSGVO- und ePrivacy-Compliance genau so, wie du sie kennst. Was sich auch im zukünftigen Regime nicht ändern wird, ist die Notwendigkeit einer soliden operativen Ebene, die rechtliche Anforderungen technisch durchsetzt. Das ist weiterhin die Aufgabe deines CMP. Globale Signale und Automatisierung ersetzen CMPs nicht – sie machen sie unverzichtbar, weil jemand weiterhin die Lücke zwischen abstrakten Rechten und konkretem Code schließen muss.“
Giulia Stancampiano, Product Legal Manager Privacy, iubenda
Wir möchten eine aktive Rolle spielen, während sich dieser Vorschlag weiterentwickelt, und dazu beitragen, dass er in der Praxis sowohl für Unternehmen als auch für betroffene Personen funktioniert.
Der Gesetzgebungsprozess braucht Zeit – aber wir begleiten dich auf diesem Weg und übersetzen regulatorische Veränderungen in klare, umsetzbare Empfehlungen.
Was ist die Digital-Omnibus-Verordnung?
Der Digital Omnibus ist ein Vorschlag der Europäischen Kommission, der mehrere EU-Digitalgesetze – insbesondere die DSGVO und die ePrivacy-Richtlinie – ändert und harmonisiert, um Komplexität zu reduzieren, die Kohärenz zu verbessern und veraltete Vorschriften zu modernisieren.
Ist die Digital-Omnibus-Verordnung bereits in Kraft?
Nein. Der Digital Omnibus ist noch ein Vorschlag in einer frühen Phase des EU-Gesetzgebungsverfahrens und kann vor der Annahme noch wesentlich geändert werden. Solange er kein Gesetz ist, gelten weiterhin bestehende Regelwerke wie die DSGVO.
Wann wird die Digital-Omnibus-Verordnung Gesetz?
Es gibt keinen festen Zeitplan. EU-Gesetzgebungsverfahren dauern in der Regel zwischen 12 und 30 Monaten. Nach der Annahme tritt die Verordnung 20 Tage nach der Veröffentlichung in Kraft. Die neuen Pflichten gelten gestaffelt (z. B. 6 Monate für die neuen Cookie-Regeln, 24 Monate für maschinenlesbare Signale).
Ersetzt die Digital-Omnibus-Verordnung die DSGVO?
Nein. Der Digital Omnibus ersetzt die DSGVO nicht, sondern ändert und aktualisiert sie. Vorgeschlagen werden Anpassungen an einzelnen Artikeln, zum Beispiel bei den Cookie-Einwilligungsregeln und den Verfahren zur Meldung von Datenschutzverletzungen.
Welche Änderungen beim Cookie-Consent schlägt der Digital Omnibus vor?
Der Vorschlag verlangt Ein-Klick-Optionen für Annehmen und Ablehnen, verbietet wiederholte Einwilligungsanfragen für mindestens sechs Monate nach einer Ablehnung und führt maschinenlesbare Präferenzsignale ein. Außerdem werden die Cookie-Regeln in die DSGVO (neuer Artikel 88a) verschoben und es wird klargestellt, für welche begrenzten Zwecke Ausnahmen von der Einwilligung gelten können – etwa für aggregierte Audience-Messung durch First-Party-Dienste und Sicherheitszwecke.
Brauche ich unter dem Digital Omnibus weiterhin ein Cookie-Banner?
Ja. Consent-Management-Systeme bleiben entscheidend, um Entscheidungen der Nutzenden zu erfassen, Einwilligungen zu dokumentieren und Präferenzen korrekt anzuwenden. Was sich ändern würde: Einige Personen, die Browser-Präferenzen gesetzt haben, sehen möglicherweise kein Banner mehr, weil das System ihre bestehende Präferenz ausliest. Medienanbieter dürfen allerdings weiterhin um Einwilligung bitten, selbst wenn ein globales „Ablehnen“-Signal vorliegt.
Wie wirkt sich der Digital Omnibus auf KI und personenbezogene Daten aus?
Der Vorschlag stellt klar, dass sich die Verwendung personenbezogener Daten zum Training von KI-Systemen auf das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f stützen kann, sofern strenge Schutzmaßnahmen greifen: Transparenz, ein bedingungsloses Widerspruchsrecht und datenschutzfreundliche Techniken. Dafür wird ein neuer Artikel 88c DSGVO geschaffen.
Muss ich jetzt schon etwas unternehmen?
Es sind derzeit keine sofortigen Maßnahmen erforderlich. Deine Compliance-Pflichten nach der DSGVO und anderen geltenden Gesetzen bleiben unverändert. Wir empfehlen dir, die weitere Entwicklung zu verfolgen – und wir informieren dich über alle Änderungen, die deine Compliance-Arbeit betreffen.