Der Digital Omnibus

Am 19. November 2025 hat die Europäische Kommission den Vorschlag für den sogenannten „Digitalen Omnibus“ vorgestellt, ein umfassendes Reformpaket, das zahlreiche bestehende Digitalrechtsakte gleichzeitig überarbeiten soll. Ziel dieses Entwurfs ist es, das europäische Digitalrecht zu vereinheitlichen, Doppelregelungen zu vermeiden und Verfahren für Unternehmen wie Aufsichtsbehörden zu vereinfachen. Von den geplanten Änderungen betroffen sind unter anderem die Datenschutzgrundverordnung (DSGVO), der Data Act, Teile der e-Privacy-Regelungen, der Bereich der Cybersicherheit sowie der AI Act für Künstliche Intelligenz. Die Kommission verbindet mit dem Vorschlag die Erwartung, Bürokratie abzubauen und klarere, harmonisierte Strukturen zu schaffen.

In diesem Beitrag konzentrieren wir uns ausschließlich auf die datenschutzrelevanten Änderungen, die sich insbesondere auf die DSGVO und angrenzende Bereiche beziehen.

Ein vorgesehener Schwerpunkt betrifft die Frage, wann pseudonymisierte Daten als personenbezogen gelten. Der Digital Omnibus schlägt vor, dass solche Daten für den ursprünglichen Verantwortlichen weiterhin personenbezogen bleiben, beim Empfänger jedoch als anonym eingestuft werden können, wenn eine Re-Identifizierung faktisch ausgeschlossen ist und keine zusätzlichen Hintergrundinformationen vorliegen. Diese Anpassung würde bedeuten, dass Datenübermittlungen in der Praxis häufiger als nicht personenbezogen gelten könnten, was auf Empfängerseite den Anwendungsbereich der DSGVO verkleinern würde. Der Ansatz des relativen Personenbezugs ergibt sich aus aktueller EuGH-Rechtsprechung (C-413/23 P). 

Eine weitere Änderung betrifft das Auskunftsrecht nach Art. 15 DSGVO. Künftig sollen Verantwortliche Auskunftsersuchen ablehnen können, wenn Betroffene ihre Rechte offensichtlich zweckwidrig oder missbräuchlich geltend machen. Dies könnte Unternehmen entlasten, birgt jedoch das Risiko, dass berechtigte Anfragen vorschnell als „missbräuchlich“ eingeordnet werden.

Zur Vereinheitlichung der Aufsicht soll der Europäische Datenschutzausschuss (EDSA) künftig verbindliche EU-weite Vorlagen und Methoden für Datenschutz-Folgenabschätzungen  entwickeln, um ein einheitlicheres Vorgehen in allen Mitgliedstaaten sicherzustellen. Darüber hinaus möchte die Kommission klarstellen, dass automatisierte Entscheidungen zulässig sind, wenn sie auf Gesetz, Vertrag oder Einwilligung beruhen – selbst dann, wenn eine menschliche Entscheidung theoretisch möglich wäre.

Die Meldefrist bei schweren Datenschutzverletzungen soll von 72 auf 96 Stunden verlängert werden und ein zentrales Meldeportal für Vorfälle nach DSGVO, NIS2 und DORA soll das Berichtswesen vereinfachen.

Auch im Bereich der wissenschaftlichen Forschung sind Erleichterungen vorgesehen. Weiterverarbeitungen zu Forschungszwecken sollen grundsätzlich als zweckkompatibel gelten, und Informationspflichten können entfallen, wenn ihre Erfüllung unmöglich oder unverhältnismäßig wäre.

Darüber hinaus plant der Digital Omnibus eine Modernisierung der Cookie-Regeln, um die Nutzererfahrung im Web zu verbessern. Cookie-Banner sollen seltener erscheinen, etwa indem eine abgelehnte Einwilligung erst nach sechs Monaten erneut abgefragt werden darf. Gleichzeitig sollen Einwilligungen einfacher erteilt werden können – etwa per Ein-Klick-Mechanismus – und zentrale Einstellungen im Browser oder im Betriebssystem sollen es ermöglichen, Cookie-Präferenzen dauerhaft zu speichern, ohne sie auf jeder Webseite neu setzen zu müssen.

Für sensible Daten, die bei der Entwicklung oder beim Testen von KI-Systemen eine Rolle spielen, führt der Vorschlag eine neue Rechtsgrundlage ein (Art. 9 Abs. 2 lit. k DSGVO). Diese Ausnahme soll eng begrenzt sein und nur gelten, wenn ausreichende Schutzmaßnahmen bestehen, die eine unnötige Erhebung sensibler Daten verhindern. Darüber hinaus stellt die Kommission klar, dass die Entwicklung und der Betrieb von KI-Systemen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 lit. f DSGVO anerkannt werden können, sofern die Interessen der Betroffenen nicht überwiegen. Für biometrische Verfahren, wie Gesichtserkennung oder Fingerabdruck-Authentifizierung schafft der Vorschlag eine zusätzliche Ausnahme: Solche Methoden sollen zulässig sein, wenn die biometrischen Daten vollständig unter der Kontrolle der betroffenen Person bleiben und nicht an Dritte übertragen werden.

Abschließend lässt sich festhalten, dass der Digital Omnibus eine der umfangreichsten Reformen des europäischen Datenschutz- und Digitalrechts seit Einführung der DSGVO darstellen könnte. Während die Kommission die geplanten Änderungen als Vereinfachung und Modernisierung präsentiert, werden einzelne Regelungen bereits kritisch diskutiert. Datenschutz- und Verbraucherorganisationen äußern Bedenken, dass die Anpassungen zu einer Absenkung des Schutzniveaus führen könnten. Ob und in welcher Form die Vorschläge letztlich umgesetzt werden, bleibt jedoch offen.

Autorin: Cansu Muti (Senior Associate)