von: Antonia Witter
Acht Jahre nach ihrem Inkrafttreten steht die DSGVO erstmals auf dem Prüfstand. Die Europäische Kommission hat Ende 2025 entsprechend ihrem Initiativmonopol eine Reihe von Initiativen vorgestellt, mit denen der bestehende Rechtsrahmen im Daten- und Digitalrecht überprüft und weiterentwickelt werden soll. Im Zentrum stehen dabei zwei Ansätze: der „Digital Omnibus” und der „Digital Fitness Check”.
Was sich genau dahinter verbirgt und ob Unternehmen tatsächlich mit Erleichterungen rechnen können, beleuchten wir in diesem Beitrag.
Einordnung: Zwischen Regulierungsdichte und Reformbedarf
DSGVO, AI-Act, Data Act, DSA, CRA – die Liste europäischer Digitalregulierung ist in den letzten Jahren erheblich gewachsen. Für Unternehmen bedeutet das seit Langem eines: steigende Komplexität und einen erheblichen Umsetzungsaufwand.
Vor diesem Hintergrund überrascht es nicht, dass die Ankündigung der EU-Kommission, den bestehenden Rechtsrahmen vereinfachen zu wollen, im Grundsatz auf Zustimmung stößt. Erklärtes Ziel ist es, bestehende Regelungen besser aufeinander abzustimmen, Vorschriften effizienter zu gestalten und Entlastungen zu schaffen, während gleichzeitig die Innovationsfähigkeit der europäischen Wirtschaft gestärkt werden soll.
Soweit, so gut. Doch wie soll das gelingen?
Digital Omnibus: Erste Schritte zur Vereinfachung
Das digitale Omnibuspaket stellt den ersten legislativen Schritt der Kommission dar, um die gewachsene Struktur des europäischen Datenrechts zu ordnen. Das Paket enthält Änderungen am AI-Act und Data Act; die umfangreichsten und zugleich umstrittensten Anpassungsvorschläge betreffen allerdings die DSGVO.
Der Ansatz ist zweigeteilt:
- Das erste Omnibuspaket, der sog. Digital Omnibus on AI, befasst sich mit dem AI-Act.
- Der Digitale Omnibus sieht hingegen insbesondere Anpassungen in der DSGVO und dem Data Act vor.
Geplante Änderungen im Datenschutzrecht
Laut EU-Kommission sollen die bestehenden Regelungen im Datenschutzrecht besser miteinander verzahnt, zentrale Begriffe angeglichen und überflüssige Überschneidungen beseitigt werden. Dazu gehören auch punktuelle Änderungen der DSGVO, die das Verhältnis zu KI- und datenbezogenen Rechtsakten präzisieren und bestimmte Prozesse erleichtern sollen. Die geplanten Änderungen fokussieren sich dabei vor allem auf zwei Bereiche:
Anwendungsbereich der DSGVO: Klarstellung des Begriffs „personenbezogene Daten“
Ein Schwerpunkt liegt auf der Frage, ab bzw. bis wann Daten als personenbezogene Daten gelten. Nach dem aktuell verfolgten Ansatz möchte die Kommission dies künftig an das Kriterium der Identifizierbarkeit knüpfen. Demnach sollen pseudonymisierte Daten keine personenbezogenen Daten mehr darstellen, wenn der konkrete Verarbeiter keine weitergehenden Informationen besitzt, die entsprechende Rückschlüsse zulassen, z.B., wenn ihm ausschließlich die pseudonymisierten Daten weitergeleitet wurden. Die bloße Existenz solcher Informationen bei anderen soll nicht genügen.
Datennutzung für KI-Systeme
Der Entwurf sieht Neuregelungen zur Datenverarbeitung bei der Nutzung von KI-Anwendungen vor. So soll die Verarbeitung personenbezogener Daten für das Training, die Entwicklung und den Betrieb solcher Systeme unter bestimmten Voraussetzungen stärker auf die Rechtsgrundlage des berechtigten Interesses gestützt werden können (Art. 6 Abs. 1 lit. f DSGVO).
Soweit auch besondere Kategorien personenbezogener Daten verarbeitet werden, um KI zu trainieren oder zu betreiben, soll unter bestimmten Voraussetzungen eine Rechtfertigung gemäß Art. 9 Abs. 2 lit. k, Abs. 5 DSGVO-E möglich sein.
Weitere Änderungen
Daneben sind unter anderem Neustrukturierungen im Zusammenhang mit sog. Cookies, Einschränkungen des datenschutzrechtlichen Auskunftsanspruchs sowie Vereinheitlichungen von Meldepflichten vorgesehen.
Kritik: Entlastung oder neue Unsicherheit?
Die Vorschläge der EU-Kommission stoßen nicht nur auf Zustimmung.
Das Ziel eines praktikableren Datenschutzrechts wird grundsätzlich geteilt. Der Weg dorthin jedoch weniger. So sehen insbesondere Aufsichtsbehörden erhebliche Gefahren für das Schutzniveau des Datenschutzrechts. Weitere zentrale Kritikpunkte betreffen die Frage, ob die vorgeschlagenen Änderungen tatsächlich zu einer Entlastung führen oder im Gegenteil neue Pflichten und Unsicherheiten schaffen. Dabei zeigt sich zugleich ein zentrales Spannungsfeld der aktuellen Reformüberlegungen: der Ausgleich zwischen Innovationsförderung und dem Erhalt eines hohen Datenschutzniveaus.
Das wird besonders deutlich im aktuellen Beschluss des Bundesrates vom 27.03.2026. So wird etwa die geplante Anpassung der Definition personenbezogener Daten kritisch gesehen. Eine stärke Ausrichtung an den tatsächlichen Möglichkeiten der jeweiligen verarbeitenden Stelle könnte in der Praxis zu erheblichen Abgrenzungsschwierigkeiten führen, insbesondere bei arbeitsteiligen Prozessen.
Reformvorschläge
Der Bundesrat präsentiert eine Reihe von Vorschlägen zur Weiterentwicklung der DSGVO, unter anderem:
- Begrenzung des Auskunftsanspruchs: Das Auskunftsrecht nach Art. 15 DSGVO solle auf eine kostenfreie Auskunft alle zwei Jahre beschränkt werden. Zudem wird angeregt, Daten, die die betroffene Person selbst bereitgestellt hat, vom Auskunfts- und Kopieanspruch auszunehmen.
- Mehr Flexibilität für Aufsichtsbehörden: In Art. 58 DSGVO solle die Möglichkeit aufgenommen werden, dass Aufsichtsbehörden Verfahren aus Opportunitätsgründen einstellen können, um ihre Ressourcen gezielt einzusetzen.
- Stärkere Einbindung von Herstellern und Anbietern: Datenschutzrechtliche Pflichten sollen nicht nur beim Anwender liegen. Vielmehr wird gefordert, zentrale Compliance-Anforderungen – insbesondere aus Art. 24 und 25 DSGVO – auch auf Hersteller, Anbieter und Auftragsverarbeiter zu erstrecken.
- Neue Erlaubnistatbestände: Angeregt wird auch die Verarbeitung besonderer Kategorien personenbezogener Daten zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.
Es bleibt abzuwarten, ob die Vorschläge Berücksichtigung finden werden.
Insgesamt zeigt sich: Der angestrebte Entlastungseffekt ist keineswegs unumstritten.
Digital Fitness Check: Reformperspektive
Der Digital Fitness Check soll der zweite Schritt im Rahmen des Vereinfachungs- und Entbürokratisierungsprozesses im EU-Digital- und Datenrecht werden.
Im Fokus stehen dabei insbesondere das Zusammenspiel und die Wechselwirkungen der verschiedenen Vorschriften, ihre Auswirkungen auf Unternehmen, ihre Vereinbarkeit mit Innovation sowie ihre Wirkung auf Grundrechte der EU.
Nächste Schritte
Der Digital Omnibus wurde bereits am 19. November 2025 von der EU-Kommission vorgelegt und befindet sich derzeit im ordentlichen Gesetzgebungsverfahren auf EU-Ebene. Der Vorschlag der Kommission wird aktuell im Europäischen Parlament und im Rat beraten. Eine Verabschiedung ist frühestens Mitte 2026 zu erwarten.
Der Fitness Check soll in einen zweiten Digitalen Omnibus münden. Am 11. März 2026 endete nun erstmal die viermonatige Konsultationsphase. Die Rückmeldungen zeichnen ein recht klares Bild: Viele Unternehmen sehen weniger das Problem in einzelnen Regelungen, sondern vielmehr in deren Zusammenspiel. Insbesondere die Überschneidungen zwischen den Rechtsakten führen in der Praxis zu Doppelstrukturen und Umsetzungsaufwand. Die Stoßrichtung der Reforminitiative dürfte damit klar sein, doch bleibt abzuwarten, wie weit die tatsächlichen Änderungen am Ende gehen werden.
Alles neu?
Vor dem Hintergrund der aktuellen Diskussion zeichnet sich bereits jetzt ab, dass eine grundlegende Neuausrichtung des Datenschutzrechts vorerst nicht zu erwarten ist. Mit dem Digital Omnibus ist weniger Deregulierung vorgesehen als vielmehr eine Neujustierung und Verschiebung bestehender Regulierungsschwerpunkte.
Wie die einzelnen Änderungen letztlich aussehen und welche Auswirkungen sie auf bestehende Prozesse haben werden, bleibt abzuwarten. Klar ist jedoch: Unternehmen sollten die Entwicklungen nicht als bloßes Hintergrundrauschen abtun. Ein genauer Blick lohnt sich, denn schon jetzt zeichnen sich künftige Schwerpunkte ab – insbesondere zwei Themen rücken in den Fokus:
- Neubewertung des Personenbezugs: Künftig könnte stärker darauf abgestellt werden, ob ein Unternehmen tatsächlich über Mittel zur Identifizierung verfügt. In bestimmten Konstellationen könnten Daten somit aus dem Anwendungsbereich der DSGVO herausfallen, was einerseits zu einer Entlastung führen könnte, andererseits jedoch auch einen erhöhten Prüf- und Dokumentationsaufwand nach sich ziehen dürfte.
- Erleichterungen bei der Nutzung von Daten für KI-Anwendungen: Die stärkere Öffnung hin zu berechtigten Interessen als Rechtsgrundlage kann Unternehmen, die KI-Systeme entwickeln, testen oder trainieren, neue Spielräume eröffnen. Gleichzeitig wird dies eine sorgfältige und strukturierte Interessenabwägung sowie technische Schutzmaßnahmen erfordern.
Ein frühzeitiges Verständnis der Reformansätze kann dabei helfen, Entwicklungen richtig einzuordnen und unnötige Anpassungsaufwände zu vermeiden.
Unser Team Datenschutz & Datenrecht unterstützt Sie gerne bei der Einordnung aktueller Entwicklungen und datenschutzrechtlichen Fragen aller Art.
Bildquelle: KI-generiert über Copilot