Europäische Kommission stellt Entwurf zum Digital-Omnibus vor: Teil 1 „Datenschutzrecht“

Der am 19.11.2025 von der Europäischen Kommission vorgestellte Entwurf zum Digitalen Omnibus strebt eine Vereinfachung der mittlerweile sehr umfangreichen digitalen Gesetzgebung an. Dies soll in weiterer Folge für mehr rechtliche Klarheit sorgen, die Kosten für die Einhaltung der digitalen Gesetzgebung reduzieren und Innovation fördern. Gleichzeitig ist eine Zielsetzung die Wahrung eines hohen Grundrechtsschutz-Niveaus.

Mit dem Omnibus-Paket sollen dabei mehrere bestehende Rechtsmaterien bzw. Rechtsakte im digitalen Bereich angepasst bzw. zusammengeführt werden. Insgesamt bündelt der Digitale Omnibus Änderungen im Datenschutz, Datenwirtschaftsrecht, der KI-Regulierung und Teilen der Cybersicherheitsgesetzgebung. Wir haben den Entwurf zum Digitalen Omnibus durchgearbeitet und stellen die einzelnen betroffenen Rechtsgebiete in einer Artikelserie vor. Nachfolgend geben wir einen Überblick über die wichtigsten Änderungsvorschläge bezüglich der Datenschutz-Grundverordnung (DSGVO) und in den weiteren Teilen der Artikelserie beschäftigen wir uns mit den vorgeschlagenen Änderungen des Data Act sowie der KI-Verordnung (AI Act).

Die markantesten vorgeschlagenen Änderungen im Bereich des Datenschutzes umfassen dabei folgende Punkte:

  1. Definition von „personenbezogenen Daten“ (Art 4 DSGVO)

Es soll festgelegt werden, dass Informationen für eine bestimmte Stelle nicht als personenbezogene Daten gelten, wenn diese Stelle nicht über Mittel verfügt, die vernünftigerweise wahrscheinlich zur Identifizierung der natürlichen Person verwendet werden. Die Information soll dadurch für einen Verantwortlichen nicht allein dadurch zu einer personenbezogenen Information werden, dass ein potenzieller späterer Empfänger über Mittel verfügt, die eine Identifizierung ermöglichen.

  1. Verarbeitung (sensibler) Daten zu KI-Trainings- und Validierungszwecken (Art 88c und Art 9 Abs 2 lit k DSGVO)

Die Verarbeitung personenbezogener Daten für die Entwicklung und den Betrieb von KI-Systemen oder -Modellen kann nach dem Entwurf, soweit angemessen, als berechtigtes Interesse im Sinne von Art 6 Abs 1 lit f DSGVO angesehen werden, vorausgesetzt, die Interessen der betroffenen Person überwiegen nicht und es werden geeignete Schutzmaßnahmen getroffen.

Eine neue Ausnahme vom Verarbeitungsverbot nach Art 9 DSGVO soll zudem für die „residuale“ Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen der Entwicklung und des Betriebs eines KI-Systems oder KI-Modells eingeführt werden (sog. „sensible Daten“. Dazu zählen beispielsweise Gesundheitsdaten, Daten über die religiöse Weltanschauung oder das Sexualleben). Auch hier ist nach dem Entwurf die Implementierung geeigneter organisatorischer und technischer Maßnahmen zur Vermeidung der Erfassung sonstiger sensibler Daten erforderlich.

Werden trotz der Umsetzung solcher Maßnahmen derartige Datenarten identifiziert, müssen sie dem Entwurf nach entfernt werden. Ist die Entfernung mit unverhältnismäßigem Aufwand verbunden, muss der Verantwortliche die Daten wirksam schützen, damit sie nicht zur Erzeugung von Ergebnissen verwendet oder Dritten zugänglich gemacht werden können.

  1. Rechte der betroffenen Person (Art 12 und 15 DSGVO)

Im Entwurf soll zudem klargestellt werden, dass Verantwortliche die Erfüllung eines Auskunftsersuchens (Art 15 DSGVO) verweigern oder eine angemessene Gebühr erheben können, wenn die betroffene Person das Recht missbräuchlich für andere Zwecke als den Datenschutz nutzt (übermäßiger Charakter). Hier ist jedoch zu erwähnen, dass Verantwortliche die Beweislast für die offensichtliche Unbegründetheit oder Exzessivität tragen.

  1. Erleichterungen hinsichtlich der Informationspflichten bei der Direkterhebung (Art 13 DSGVO)

Einschränkungen sind auch bei der Informationspflicht geplant. So soll die Informationspflicht des Verantwortlichen (Art 13 Abs 1-3 DSGVO) etwa dann entfallen, wenn vernünftige Gründe für die Annahme bestehen, dass die betroffene Person die Informationen bereits hat, die Verarbeitung nicht datenintensiv ist und im Rahmen einer klar festgelegten und bestimmten Beziehung stattfindet.

Diese Ausnahme soll ua jedoch nicht gelten, wenn

  • Daten an andere Empfänger übermittelt,
  • in Drittländer übermittelt,
  • automatisierte Entscheidungen getroffen werden,
  • oder die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten darstellt.

Zudem ist ein eigenes Privileg für wissenschaftliche Forschung – ähnlich wie bereits in Art 14 Abs 5 lit b DSGVO vorhanden – geplant.

  1. Automatisierte Entscheidungsfindung (Art 22 DSGVO):

Um mehr Rechtssicherheit zu schaffen, sollte klargestellt werden, dass Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen, grundsätzlich zulässig sind, wenn bestimmte Bedingungen erfüllt sind, die die DSGVO an festlegt. Auch soll klargestellt werden, dass bei der Beurteilung, ob eine Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem für die Verarbeitung Verantwortlichen erforderlich ist, nicht verlangt werden sollte, dass die Entscheidung ausschließlich auf der Grundlage einer automatisierten Verarbeitung getroffen werden kann.

  1. Änderungen bei Datenschutzverletzungen (Art 33 DSGVO)

Die Meldepflicht an die Aufsichtsbehörde soll an die Schwelle der Benachrichtigung der betroffenen Person (Art 34 DSGVO) angeglichen werden und nur dann erforderlich sein, wenn die Verletzung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Frist für die Meldung einer Datenpanne an die Aufsichtsbehörde soll zudem auf 96 Stunden verlängert werden. Darüber hinaus soll die Meldung über einen zentralen Meldepunkt („Single-Entry Point“) abgeben werden, der gemäß der NIS2-Richtlinie eingerichtet wurde.

  1. Datenschutz-Folgenabschätzung (Art 35 DSGVO)

Hinsichtlich Datenschutz-Folgenabschätzungen soll eine einzige EU-weite Liste von Verarbeitungen erstellt werden, die eine DSFA erfordern, sowie eine Liste von Verarbeitungen, für die keine DSFA erforderlich ist. Dies soll zur Harmonisierung beitragen. Der Europäische Datenschutzausschuss (EDSA) soll Vorschläge für diese Listen sowie für eine gemeinsame Vorlage und Methodik zur Durchführung von DSFAs erstellen, welche die die Kommission per Durchführungsrechtsakt annehmen kann.

  1. Regelungen zur Datenverarbeitung auf Endgeräten (ePrivacy und DSGVO)

Der Entwurf schlägt zudem vor, die Regeln für die Speicherung und den Zugriff auf personenbezogene Daten auf Endgeräten (z. B. über Cookies oder ähnliche Technologien) von der ePrivacy-Richtlinie (2002/58/EG) in die DSGVO zu überführen, um die Rechtsunsicherheit und die Einhaltungskosten zu reduzieren und die Überschneidungen zwischen den Regelwerken zu beseitigen.

Ein neuer Artikel 88a soll in die DSGVO eingefügt werden, der die Verarbeitung personenbezogener Daten auf und von Endgeräten regelt. Einwilligungserfordernis: Die Speicherung oder der Zugriff auf personenbezogene Daten auf dem Endgerät einer natürlichen Person soll dabei grundsätzlich zustimmungspflichtig bleiben.

Die Einwilligung soll nicht erforderlich sein, wenn

  • die Verarbeitung zur Übertragung einer elektronischen Kommunikation, zur Bereitstellung eines explizit angeforderten Dienstes,
  • zur Erstellung aggregierter Informationen über die Nutzung eines Onlinedienstes
  • zur Reichweitenmessung für eigene Zwecke des Verantwortlichen oder
  • zur Aufrechterhaltung/Wiederherstellung der Sicherheit erforderlich ist.

Durch den vorgeschlagenen Artikel 88b in der DSGVO will die Kommission die “consent fatigue“, also das Phänomen, dass Personen wegen wiederholter Aufrufe zur Zustimmung irgendwann aus Gewohnheit und Ermüdung nur mehr auf „Akzeptieren“ klicken, durch Cookie-Banner in den Griff bekommen.

Dabei müssen Verantwortliche sicherstellen, dass ihre Online-Schnittstellen es den betroffenen Personen ermöglichen, die Einwilligung zu erteilen oder abzulehnen und das Widerspruchsrecht (Art 21 Abs 2 DSGVO) durch automatisierte und maschinenlesbare Mittel auszuüben. Sofern Betroffene keine Einwilligung erteilen, darf für denselben Zweck für einen Zeitraum von mindestens sechs Monaten keine neue Aufforderung zur Einwilligung erfolgen. Gewisse Ausnahmen sind für Mediendienstanbieter vorgesehen.

 

Wie geht es nun weiter?

 

Die Legislativvorschläge werden laut Kommission nun dem Europäischen Parlament und dem Rat zur Annahme vorgelegt. Die Kommission betonte, dass das vorgestellte Paket nur den ersten Schritt darstellen würden, das EU-Regelwerk für den digitalen Bereich zu vereinfachen und wirksamer zu gestalten. Ebenso sei ein „Digitaler Fitnesscheck“ angedacht, durch den evaluiert werden soll, wie die einzelnen Regelwerke ineinandergreifen und welche Auswirkungen sie auf die Wirtschaft haben.

Hier geht es  zum zweiten Teil unserer Artikelserie zum „Digitalen Omnibus“, in dem wir die vorgeschlagenen Änderungen des Data Act analysieren.

Autorin

Dr. Heidi Scheichenbauer ist als Senior Researcher und Senior Consultant im Research Institute – Digital Human Rights Center tätig und Autorin zahlreicher datenschutzrechtlicher Publikationen.

Dr. Heidi Scheichenbauer
Dr. Heidi ScheichenbauerSenior Researcher und Senior Consultant
Autorin
Wir bieten Consulting mit der gesamten Expertise unserer Forschung. Research Institute