Die EU-DSGVO wurde am 25.5.2016 erlassen und feiert damit heute ihren zehnjährigen Geburtstag. Verbindlich anwendbar für unter anderem Unternehmen mit Sitz in den EU/EWR-Mitgliedstaaten ist sie aber erst seit dem 25.5.2018. Fast ein Jahrzehnt nach dem Erlass der EU-DSGVO hat die EU-Kommission am 19.11.2025 ihr neues Gesetzespaket «Digital Omnibus» vorgestellt. Es soll zahlreiche bestehende Digitalgesetze – unter anderem DSGVO, Data Act, ePrivacy-Regeln, AI Act und Cybersecurity-Vorgaben – vereinfachen, bündeln und anpassen. Hierbei handelt es sich allerdings um Vorschläge, die derzeit noch im Europäischen Parlament und Rat diskutiert werden. Erfahren Sie in diesem Artikel mehr zu den angestrebten Änderungen.

Im vorgeschlagenen neuen Gesetzespaket «Digital Omnibus» geht es vor allem um Vereinfachung und Entlastung der DSGVO, nicht um eine komplette Abschaffung oder Neufassung.

Die im neuen Gesetzespaket «Digital Omnibus» geplanten Änderungen stellen einen strukturellen Eingriff in die Digitalgesetzgebung der EU/EWR-Ebene dar, also das Datenschutz (DSGVO) und das Datenrecht (Data Act, Data Governance Act), e-Privacy-Regeln (Cookie- und Tracking-Vorgabe), KI-Verordnung (AI Act) und das Cybersecurity-Recht (NIS2, Cybersecurity Act).

Die vorgeschlagenen Änderungen zielen vor allem auf eine Vereinfachung und Entlastung für kleine und mittlere Unternehmen, die Förderung von Innovation und Wettbewerbsfähigkeit sowie die Stärkung der Kohärenz.

Wichtigste Änderungen

Die wichtigsten Änderungen umfassen:

• Klarere Kriterien bei der Definition von personenbezogenen Daten: Der Entwurf enthält Änderungen an Begriffen und Abgrenzungen, damit klarer wird, wann Daten überhaupt als personenbezogen gelten.
• Anpassung des Rechts auf Auskunft: Der Vorschlag enthält eine Präzisierung, wann ein Auskunftsbegehren als missbräuchlich gilt. Ziel ist es, den Aufwand für Unternehmen im Zusammenhang mit massenhaften oder zweckfremden Anfragen zu reduzieren.
• Einheitlichere Regeln für Datenschutz-Folgenabschätzungen: Vorgesehen sind EU-weit besser harmonisierte Vorgaben, damit die Pflichten in den Mitgliedstaaten ähnlicher werden.
• Weniger doppelte Meldepflichten bei Datenpannen: Bei Incident-Reporting soll es weniger Überschneidungen zwischen DSGVO, NIS2 und anderen Regeln geben; genannt werden auch ein gemeinsamer Meldeweg und teils längere Fristen.
• Mehr Spielraum für Forschung und KI: Die Kommission will bestimmte Datenverarbeitungen für Entwicklung und Betrieb von KI rechtlich leichter handhabbar machen.
• Anpassungen bei Cookies und Tracking: Auch die ePrivacy-Regeln rund um Einwilligungen und Tracking sollen vereinfacht werden, damit Nutzer weniger Einwilligungsbanner sehen und Regeln konsistenter werden.

Es ist noch unklar, ob und wann die oben genannten neuen Regelungen in Kraft treten. Noch handelt es sich nur um Vorschläge. Wenn Sie in Kraft treten, könnte dies aber bereits 2026 der Fall sein, spätestens 2027.

Insbesondere im Zusammenhang mit den Änderungen zur DSGVO gibt es kritische Stimmen, die hervorheben, dass Rechtsmittel wie das Auskunftsbegehren betroffener Personen geschwächt werden. Dies erscheint den Befürwortern der Änderungen aber wenig nachvollziehbar, da der damit verbundene bürokratische Aufwand bislang als vergleichsweise gering gilt.

Resümee

Digital Omnibus soll eine Chance sein, Datenschutz, KI und Cybersecurity in einer gemeinsamen, zukunftsfähigen Struktur zu denken.

Wie genau die Vorschläge umgesetzt werden, steht aktuell noch nicht fest. Auch bleibt abzuwarten, ob Massnahmen bei der derzeitigen unsicheren Planungslage bereits zielführend sind.

Falls Sie Fragen dazu haben, wie Sie aktuelle Vorgaben in Ihrem Unternehmen umsetzen oder wie wir Sie sonst noch im Bereich Datenschutz unterstützen können, dürfen Sie sich gerne vertrauensvoll an uns wenden. Nehmen Sie Kontakt auf und vereinbaren ein unverbindliches Gespräch mit uns.