• 18 views

DSGVO-Update im Digital-Omnibus: Droht die Vereinfachungswelle?

  • November 18, 2025
  • 8 minute read

DSGVO-Update im Digital-Omnibus: Droht die Vereinfachungswelle?

Inhaltsverzeichnis
  1. DSGVO-Update im Digital-Omnibus: Droht die Vereinfachungswelle?
  2. Umfassende Reformen für den Datenschutz kommen auf die Unternehmen zu
  3. Das Omnibusverfahren ein zentrales Instrument für den Einsatz des Datenschutz
  4. Bundesregierung drängt auf DSGVO-Vereinfachung
  5. Stufe 1 – Gezielte DSGVO-Änderungen im Digital-Omnibus
  6. Stufe 2 – Strategische Reformansätze im Digital-Fitness-Check
  7. Praktische Auswirkungen für Unternehmen
  8. Kontroverse: Wirtschaft begrüßt Entlastung, Datenschützer schlagen Alarm
  9. Expertenstimmen: Einheitsanzug vs. Maßschneiderei
  10. Fazit und Ausblick zur Omnibus-Welle
  11. Weiterführende Quellen und Lesetipps

Umfassende Reformen für den Datenschutz kommen auf die Unternehmen zu

Die Datenschutz-Grundverordnung (DSGVO) ist seit ihrer Anwendung im Jahr 2018 das zentrale Regelwerk für den Schutz personenbezogener Daten in Europa. Trotz ihrer fundamentalen Bedeutung hat die Praxis gezeigt, dass insbesondere kleine und mittlere Unternehmen (KMU) sowie Start-ups mit den komplexen Compliance-Anforderungen kämpfen.

Nun steht eine umfassende Reformwelle bevor, die unter dem Namen „Digital-Omnibus“ firmiert und eine spürbare Vereinfachung des digitalen Regelwerks verspricht. Die EU-Kommission reagiert damit auf die wachsende Zersplitterung und Überlappung zahlreicher Digitalgesetze (vom AI Act über den Data Act bis hin zum Cyber Resilience Act).

Dieses Omnibus-Gesetzespaket soll bestehende Vorschriften besser verzahnen, Doppelanforderungen reduzieren und die Umsetzung für Unternehmen und Verwaltungen praktikabler gestalten. 

In diesem Artikel beleuchten wir die aktuellen Gesetzesvorhaben der Europäischen Kommission und die spezifischen Forderungen der Bundesregierung zur Reform der DSGVO im Rahmen des Digital-Omnibus.

Die Leser erfahren, welche konkreten Änderungen in Bezug auf Informationspflichten, Meldepflichten und den Umgang mit missbräuchlichen Anfragen diskutiert werden und welche weitergehenden Vereinfachungsvorschläge für die Zukunft im Raum stehen.

Aktueller Stand: Die EU-Kommission stellt am 19. November 2025 ihre Vorschläge zum „Digital-Omnibus“ vor. Die Bundesregierung hat dazu ein zweistufiges Verfahren zur Verbesserung und Entbürokratisierung der DSGVO veröffentlicht. Die Vorschläge reichen von einer Anpassung der 72-Stunden-Meldepflicht über die Vereinfachung der Informationspflichten bis hin zur Stärkung des risikobasierten Ansatzes.

Expertforce-Datenschutz-Zeitscheine-Omnibus-Verfahren

Das Omnibusverfahren ein zentrales Instrument für den Einsatz des Datenschutz

Die Europäische Kommission hat sich zum Ziel gesetzt, die Datenschutzvorschriften effizienter und zukunftssicherer zu gestalten. Der geplante Digital-Omnibus soll hierfür das zentrale Instrument sein. Anfang 2026 sind im Rahmen dieses Omnibus-Verfahrens bereits weitere digitale Gesetzesinitiativen (z.B. ein Digital Networks Act und die Überarbeitung des Cybersecurity Act) angekündigt. Diese geballte Gesetzgebungsinitiative zeigt den Willen, Europas digitale Souveränität und Wettbewerbsfähigkeit durch eine Modernisierung der Vorschriften zu stärken.

Bundesregierung drängt auf DSGVO-Vereinfachung

Die Bundesregierung hat kürzlich in einem Positionspapier zum „Digital-Omnibus” ihre Forderungen für eine praxisnähere DSGVO bekräftigt. Sie begrüßt zwar die Reformvorschläge der EU-Kommission (Omnibus IV-Paket vom Mai 2025), hält diese jedoch für unzureichend. Stattdessen skizziert sie ein zweistufiges Vorgehen: Zunächst sollen über den Digital-Omnibus kurzfristig gezielte Entlastungen umgesetzt werden, gefolgt von grundsätzlicheren Reformen im kommenden „Digital-Fitness-Check. Ziel ist es, Bürokratie abzubauen, ohne das hohe Datenschutzniveau aus den Augen zu verlieren.

Stufe 1 – Gezielte DSGVO-Änderungen im Digital-Omnibus

Im ersten Schritt schlägt die Bundesregierung eine Reihe konkreter Änderungen vor, um Unternehmen (insbesondere KMU) schnell zu entlasten:

  • Digitale Informationspflichten: Datenschutzhinweise sollen Betroffenen künftig per URL oder QR-Code zugänglich gemacht werden dürfen, anstatt jedes Mal seitenlange Papiererklärungen auszuhändigen. So ließen sich überfrachtete Informationsschreiben entschlacken und nahtlos in digitale Prozesse integrieren – Datenschutz mit einem Klick, sozusagen.

  • Auskunftsrecht bei Missbrauch: Unternehmen sollen offensichtlich unbegründete oder exzessive Auskunftsersuchen ablehnen dürfen. Damit können sie sich gegen Spam-Aktionen oder automatisierte Massenanfragen wehren, ohne berechtigte Anliegen zu ignorieren. Redliche Anfragen würden natürlich weiterhin bedient – die Neuregelung filtert nur diejenigen heraus, die das System vorsätzlich überlasten wollen.

  • Meldepflicht bei Datenpannen: Die strikte 72-Stunden-Frist für Datenschutzverletzungen (Art. 33 DSGVO) soll auf drei Arbeitstage verlängert werden. Hintergrund: Fällt eine Panne etwa auf einen Freitag, müssten Unternehmen nicht mehr zwingend bis Montag melden. Sie gewännen etwas mehr Zeit für eine fundierte Ersteinschätzung, ohne in Verzug zu geraten. Die Bundesregierung betont, dass so Wochenenden und Feiertage einberechnet werden können.

Diese und weitere Vorschläge (z.B. Klarstellung beim Verhältnis von Einwilligung zu anderen Rechtsgrundlagen) sollen möglichst rasch via Digital-Omnibus umgesetzt werden, um „spürbare Entlastungen für KMUs und andere Organisationen” zu erreichen.

Stufe 2 – Strategische Reformansätze im Digital-Fitness-Check

Nach den kurzfristigen Anpassungen drängt Berlin auf einen umfassenderen „Fitness-Check” der DSGVO ab 2026. Im Zentrum stehen dabei strategische Weichenstellungen:

  • Stärkung des risikobasierten Ansatzes: Datenschutz-Anforderungen sollen stärker nach tatsächlichem Risiko bemessen werden. Konkret regt die Regierung an, geringfügige oder nicht-kommerzielle Verarbeitungen von bestimmten Pflichten auszunehmen und insgesamt mehr Verhältnismäßigkeit zu verankern. So würden insbesondere kleine Unternehmen entlastet, ohne das Schutzniveau grundlegend zu gefährden.

  • Klare Definition von „anonymen” Daten: Geplant ist eine rechtliche Klarstellung zur Anonymisierung. Pseudonymisierte Daten könnten unter bestimmten Bedingungen als „praktisch anonym” gelten, wenn der empfangende Verarbeiter keine Mittel zur Re-Identifizierung hat. Damit greift die Bundesregierung ein aktuelles EuGH-Konzept auf: Der Europäische Gerichtshof bestätigte erstmals in der Rechtssache EDPS v. SRB (C‑413/23 P), dass hinreichend stark pseudonymisierte Daten für den ursprünglichen Verantwortlichen personenbezogen bleiben, für einen Empfänger ohne Re-Identifizierungs-Möglichkeit jedoch kein Personenbezug besteht. Anonymisierte Daten fielen dann klar außerhalb der DSGVO, selbst wenn rein theoretisch eine Zusammenführung mit Zusatzwissen denkbar wäre. Diese relative Anonymität würde dringend benötigte Rechtssicherheit schaffen – und Investitionen in Privacy-Tech (z.B. Pseudonymisierungstools) fördern, da Unternehmen wüssten, wann Datenverarbeitung nicht mehr dem strengen DSGVO-Regime unterliegt.

  • Privacy by Design – Hersteller in die Pflicht nehmen: Analog zu KI-Regulierung und Cyber Resilience Act schlägt die Bundesregierung vor, Software-Hersteller und -Anbieter stärker zur Verantwortung zu ziehen. Produkte und Dienste sollen datenschutzkonform ab Werk gestaltet sein. Nicht nur die datenverarbeitenden Firmen, auch die Anbieter der genutzten Plattformen müssten somit Datenschutz gewährleisten. Konkret steht eine Haftungserklärung der Hersteller im Raum, die Datenschutzverstöße durch ihre Produkte mit umfasst. Zudem soll die Verzahnung von Datenschutz und IT-Sicherheit verbessert werden – z.B. durch ein zentrales Meldesystem für Sicherheitsvorfälle, das mit dem Cybersecurity-Meldeportal (ENISA) kompatibel ist. Die Vision: Unternehmen könnten künftig Datenschutzverletzungen, Cyberangriffe und andere Incidents über einen einheitlichen „Single Entry Point” melden, der die Meldung dann an alle zuständigen Stellen verteilt. Doppelmeldungen und redundante Prüfungen würden so entfallen.

Praktische Auswirkungen für Unternehmen

Die vorgeschlagenen Änderungen zielen klar auf Entbürokratisierung und mehr Praxistauglichkeit der DSGVO ab. Sollten sie umgesetzt werden, dürften Datenschutz- und Compliance-Verantwortliche einige spürbare Erleichterungen erleben:

  • Mehr Puffer bei Datenpannen: Die Verlängerung der Meldefrist auf drei Arbeitstage verschafft Unternehmen dringend benötigte Zeit, um Vorfälle sorgfältiger zu prüfen. Bislang musste oft übereilt gemeldet werden, selbst wenn viele Details noch unklar waren. Mit etwas mehr Luft lassen sich Datenlecks erst analysieren und dann melden – ohne gleich einen Verstoß zu riskieren.

  • Digitale Info-Happen statt Papierflut: Die Möglichkeit, Betroffene per Link oder QR-Code auf aktuelle Datenschutzhinweise zu verweisen, wäre ein großer Schritt Richtung Digitaltauglichkeit. Unternehmen könnten ihre Datenschutzinformationen zentral online pflegen, statt bei jedem Formular seitenweise Text beizulegen. Für Nutzer wird der Prozess transparenter und moderner – Datenschutzerklärung abrufbar on demand, wann immer benötigt.

  • Auskunfts-Workflows entlasten: Klare Regeln gegen missbräuchliche Auskunftsverlangen würden Rechtssicherheit schaffen. Unternehmen hätten einen legitimen Weg, sich gegen offensichtlich zweckfremde Massenanfragen zu wehren, anstatt jedes Ersuchen zeitaufwändig zu bearbeiten. Ernsthafte Anfragen Betroffener werden natürlich weiterhin beantwortet – nur „Trittbrettfahrer”, die das System ausreizen, blieben außen vor. Das dürfte Datenschutz-Teams deutlich entlasten und Ressourcen für die wirklich wichtigen Fälle freispielen.

Vorsicht: Bei aller berechtigten Vereinfachung darf die Rechenschaftspflicht (Accountability) nicht unter die Räder kommen. Viele interne Dokumentationen und Nachweise sind nicht bloße Bürokratie, sondern essenziell, um die DSGVO-Compliance zu belegen. Beispielsweise dienen ausführliche Verfahrensbeschreibungen und technische-organisatorische Maßnahme-Dokumentationen intern als Beweis dafür, wie der Datenschutz praktisch umgesetzt wird. Werden solche Nachweise im Eifer des Bürokratieabbaus zu sehr ausgedünnt, verliert das Unternehmen im Ernstfall wichtige Verteidigungsmittel. Bei einer Prüfung durch die Aufsicht oder einem Datenschutzvorfall stünde man schlimmstenfalls ohne schriftliche Belege da, um die Rechtmäßigkeit der Datenverarbeitung ad hoc nachzuweisen. Die Reformbemühungen müssen hier einen Balanceakt schaffen: Vereinfachung ja – aber ohne das Gedächtnis der Compliance zu verlieren. Weniger Papierkrieg darf nicht zu blinden Flecken bei der Nachweispflicht führen, sonst wird es am Ende teurer als die ursprüngliche Bürokratie.

Kontroverse: Wirtschaft begrüßt Entlastung, Datenschützer schlagen Alarm

In der Datenschutz-Community werden die Vorstöße ambivalent aufgenommen. Auf der einen Seite loben viele Unternehmen und Verbände die praxisnahen Korrekturen. Die DSGVO sei bislang oft ein „Einheitsanzug“ für alle gewesen – nun bestehe die Chance, die Regeln passgenauer und risikogerechter zu machen. Die breite Beteiligung an der EU-Konsultation hat gezeigt, dass Industrie und Mitgliedstaaten bereit sind, Überschneidungen abzubauen und den Datenschutz effizienter zu gestalten. Kurzum: Weniger Bürokratie, ohne den Datenschutzwert an sich infrage zu stellen, ist das erklärte Ziel vieler Praktiker.

Andererseits melden sich Bürgerrechtler und Datenschützer mit deutlicher Kritik. Sie warnen davor, bei der Vereinfachung die Grundrechte zu verwässern. So kritisiert etwa der Dachverband European Digital Rights (EDRi) Pläne, die ePrivacy-Richtlinie (Cookie-Regeln) in die DSGVO zu überführen und dort neue Ausnahmen zuzulassen. Nutzer könnten dadurch an Kontrolle über Tracking und Gerätezugriffe verlieren. Besonders heftig fällt die Reaktion der NGO noyb von Max Schrems aus: Die Vielzahl der Änderungen am Datenschutzrecht käme einem „Tod durch tausend Einschnitte“ gleich, so noyb, Max Schrems. Man fürchtet einen schleichenden Substanzverlust der DSGVO zehn Jahre nach ihrem Inkrafttreten.

Konkret steht in der Kritik, dass z.B. das Training von KI-Modellen mit personenbezogenen Daten künftig auf die Rechtsgrundlage „berechtigtes Interesse“ gestützt werden dürfte. Was als Bürokratieabbau gedacht ist, würde hier einen echten Paradigmenwechsel einläuten – bislang braucht es in solchen Fällen meist die ausdrückliche Einwilligung der Betroffenen. Datenschützer sehen darin den Ausverkauf bewährter Prinzipien. Sie laufen Sturm gegen jedes Detail, das das Schutzniveau senken könnte, und appellieren an die EU-Kommission, bei aller Modernisierung den Kern der DSGVO unangetastet zu lassen.

Expertenstimmen: Einheitsanzug vs. Maßschneiderei

Die Vorschläge der Bundesregierung spiegeln teilweise die langjährige Kritik aus der Wirtschaft wider. Unternehmensverbände monieren seit Jahren, die DSGVO sei oft ein starrer „Einheitsanzug”, der allen übergestülpt wird – unabhängig vom Risiko der konkreten Datenverarbeitung. Entsprechend groß war die Zustimmung in der öffentlichen Konsultation zum Digital-Omnibus für einen maßgeschneiderteren Ansatz: Weniger Überschneidungen und weniger Bürokratie standen ganz oben auf der Wunschliste der Teilnehmer. Viele Stakeholder fordern, Doppelregelungen abzubauen, Meldepflichten zu harmonisieren und KMU gezielt zu entlasten.

Expertforce Datenschutz-Omnibus-Verfahren Strategie-2030 EU

Vereinfachungen bedeuten dabei nicht, dass Datenschutz unwichtig wäre – im Gegenteil: Sie sollen die Umsetzung effizienter machen, damit Datenschutz besser gelebt werden kann. Ein praxisnaher, verständlicher Regulierungsrahmen dürfte eher akzeptiert werden als ein überkomplizierter.

Auf der anderen Seite behalten Datenschutzbehörden und Bürgerrechtler die Reformpläne genau im Auge. Sie begrüßen durchaus sinnvolle Klarstellungen, mahnen aber: das Kind nicht mit dem Bade ausschütten! So sieht man den Vorstoß zur Anonymisierung überwiegend positiv. Fachleute aus Wissenschaft und Technik betonen, wie wichtig die neue EuGH-Rechtsprechung zur relativen Anonymität ist. Endlich bestehe Klarheit, dass pseudonymisierte Daten für Verantwortliche ohne Re-Identifizierungs-Möglichkeit als anonym gelten dürfen. Diese Sichtweise – mittlerweile herrschende Meinung dank EuGH – könne Forschung und Dateninnovation voranbringen, solange Missbrauch (etwa die unzulässige Zusammenführung pseudonymer Datensätze zur Identifizierung) streng verboten bleibt. Insgesamt zeichnet sich ab: Technisch sinnvolle Nachjustierungen wie diese finden breite Unterstützung, während bei allem, was das grundlegende Schutzniveau berührt (Auskunftsrechte, KI-Nutzung, Cookies), mit lautstarkem Gegenwind der Zivilgesellschaft zu rechnen ist.

Fazit und Ausblick zur Omnibus-Welle

Der Digital-Omnibus dürfte eine längst fällige Reformwelle für den europäischen Datenschutz einläuten. Im Vordergrund stehen pragmatische Erleichterungen und technische Anpassungen – nicht die Abschaffung bewährter Grundprinzipien. Kurzfristig geht es um mehr Zeit und digitale Prozesse (Meldepflicht, Informationsweitergabe), langfristig um strukturelle Verbesserungen wie einen konsequenten Risikoansatz, Rechtssicherheit bei Anonymisierung und eine Mitverantwortung der Tech-Anbieter. Wichtig ist dabei, dass der rote Faden der Accountability nicht abreißt: Bürokratieabbau ja, aber ohne die Transparenz- und Rechenschaftspflichten aus den Augen zu verlieren. Gelingt dieser Balanceakt, könnte die DSGVO fit gemacht werden für das digitale Jahrzehnt, ohne ihre Seele zu verlieren.

Empfehlung für die Praxis: Datenschutzmanager, betriebliche Datenschutzbeauftragte und Compliance-Verantwortliche sollten die kommenden Änderungen aktiv beobachten – und bereits jetzt interne Prozesse daraufhin abklopfen, wo Vereinfachungen genutzt werden könnten. Etwa: Könnten Sie Ihre Informationspflicht künftig elektronisch erfüllen (Website/QR-Code), anstatt Print-Beilagen zu verteilen? Wie ließe sich der Umgang mit Auskunftsersuchen effizienter gestalten, um auf Serienanfragen vorbereitet zu sein? Es lohnt sich, hier frühzeitig Konzepte zu entwickeln. Gleichzeitig heißt es:

Keine Nachlässigkeit! Weniger Formalitäten entbinden nicht von der Pflicht, Datenschutz sauber umzusetzen und zu dokumentieren. Gerade für KMU kann ein schlankes Datenschutz-Management-System hilfreich sein, um alle notwendigen Nachweise aktuell zu halten und bei neuen Vorgaben schnell anzupassen. Moderne Tools wie VaDok® beispielsweise unterstützen dabei, Dokumentationen effizient und audit-sicher zu führen – so gelingt der Spagat zwischen Entlastung und Compliance. Die Devise lautet: agil bleiben, Prozesse wo möglich verschlanken mit Unterstützung von KI, aber das internationale Datenschutzniveau weiterhin ernst nehmen.

VaDok Compliance und Datenschutz Informationsmanagement

Ausblick: Am 19. November 2025 wird sich zeigen, welche dieser Punkte die EU-Kommission in ihren Gesetzesentwurf zum Digital-Omnibus tatsächlich übernommen hat. Leaks deuten an, dass einige Erleichterungen Realität werden könnten – etwa vereinfachte Meldungen bei geringem Risiko und ein EU-weit einheitliches Meldeportal für Vorfälle.

Parallel werden kontroverse Neuerungen im Raum stehen (Stichwort KI-Datennutzung und Cookie-Ausnahmen, siehe oben). Im Jahr 2026 folgt dann der umfassende Fitness-Check der DSGVO, der möglicherweise noch tiefergreifende Änderungen bringt.

Die große Frage bleibt: Wie weit kann man Bürokratie abbauen, ohne das Datenschutzniveau zu senken? Gelingt es Europa, weiterhin als strenger Hüter der Datenschutzrechte aufzutreten und gleichzeitig die digitale Wirtschaft zu entfesseln?

Klar ist schon jetzt: Die DSGVO von morgen wird anders aussehen als jene von 2018. Es liegt an allen Beteiligten – Gesetzgebern, Aufsichten, Unternehmen und Nutzern – dafür zu sorgen, dass sie effizienter wird, ohne ihren Kernauftrag aus den Augen zu verlieren.

Weiterführende Quellen und Lesetipps

  1. Positionspapier der Bundesregierung (BMI) zum Digital-Omnibus (2025)
    Entwurf zum zweistufigen DSGVO-Reformkonzept
    https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2025/  digital-omnibus-dsgvo.pdf (Hinweis: Noch nicht offiziell veröffentlicht)

  2. EU-Kommission: Digitalstrategie & Digitaler Binnenmarkt
    Überblick über Ziele, Rechtsakte und Strategie der EU bis 2030
    https://digital-strategy.ec.europa.eu/de

  3. Netzpolitik.org – Digitaler Omnibus: EU-Kommission strebt Kahlschlag beim Datenschutz an (6.11.2025)
    Kritischer Bericht mit Bewertung zivilgesellschaftlicher Organisationen
    https://netzpolitik.org/2025/digitaler-omnibus-eu-kommission-strebt-offenbar-kahlschlag-beim-datenschutz-an-update/ 

  4. Reuters – Critics call proposed changes to EU privacy law ‚death by a thousand cuts‘ (10.11.2025)
    Bericht zu den Reaktionen auf DSGVO-Reformpläne
    https://www.reuters.com/technology/

  5. Noyb.eu – Offener Brief von Max Schrems zur DSGVO-Reform (10/2025)
    Stellungnahme der NGO zur Wahrung von Grundrechten im digitalen Raum
    https://noyb.eu/de/eu-commission-about-wreck-core-principles-gdpr 

  6. Datenschutznotizen https://www.datenschutz-notizen.de/eugh-urteil-zur-anonymitaet-von-daten-und-die-folgen-fuer-die-praxis-2656568/#:~:text=1,als%20anonym%2C%20wenn%20er%20nicht

  7. VaDok® Datenschutz-Managementsystem
    Digitale Lösung für DSGVO-Dokumentation und Nachweispflicht
    https://www.vadok.de

Related Tags
You May Also Like
  • 872 views
  • 6 minute read

Effektive IT-Sicherheitsberatung nach DIN SPEC 27076

Professionelle Beratung für IT-Sicherheit gemäß DIN SPEC 27076″ Warum effektive IT-Sicherheitsberatung für kleine und mittelständische Unternehmen wichtig ist Effektive IT-Sicherheitsberatung ist für kleine und mittelständische Unternehmen von großer Bedeutung, da…
View Post