Digital Omnibus: EU plant größte Datenschutz-Reform seit der DSGVO

Die größte Überarbeitung des europäischen Datenschutzrechts seit 2018 steht bevor. Der Grund: Das Digital Omnibus-Paket der EU-Kommission, das mehrere Gesetze gleichzeitig ändern will. Für Website-Betreiber bedeutet das tiefgreifende Veränderungen – von weniger Cookie-Bannern bis zu neuen Regeln für Datenpannen. Doch die Reform ist hoch umstritten, nicht zuletzt wegen einer deutschen Initiative zur Neudefinition personenbezogener Daten.

Während die EU an neuen Regeln für Datenpannen arbeitet, bleibt die lückenlose Dokumentation Ihrer aktuellen Datenverarbeitung nach Art. 30 DSGVO zwingend erforderlich. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung macht Ihre Datenschutz-Dokumentation rechtssicher und kinderleicht. Verarbeitungsverzeichnis in unter einer Stunde erstellen

Deutscher Vorstoß entfacht Streit um Pseudonymisierung

Ein geleaktes Dokument vom 10. März 2026 entfachte die Ebette: Die deutsche Bundesregierung, unterstützt von Dänemark, will die Definition personenbezogener Daten in der DSGVO ändern. Konkret geht es um pseudonymisierte Daten, bei denen direkte Identifikatoren wie Namen durch Codes ersetzt sind.

Bisher gelten diese grundsätzlich als personenbezogen. Der deutsche Vorschlag sieht einen relativen Test vor: Wenn ein Website-Betreiber keine realistischen technischen Mittel oder Anreize hat, die Daten wieder einer Person zuzuordnen, sollen sie aus dem Geltungsbereich der DSGVO fallen. Datenschützer laufen Sturm. Sie warnen vor riesigen Schlupflöchern für Verhaltens-Tracking und Analysen. Für Unternehmen könnte sich der Aufwand für Nutzeranalysen jedoch verringern.

Ende des Cookie-Banner-Wahnsinns in Sicht?

Die sichtbarste Änderung für Nutzer und Betreiber betrifft die Einwilligung. Das Omnibus-Paket will die Cookie-Regeln aus der ePrivacy-Richtlinie in die DSGVO integrieren. Das Ziel: Der allgegenwärtigen Cookie-Banner-Müdigkeit ein Ende setzen.

Geplant ist ein verpflichtendes System für maschinenlesbare Privatsphäre-Signale auf Browser- oder Betriebssystemebene. Websites müssten diese automatisch beachten. Zudem soll es eine Ein-Klick-Ablehnung geben und eine sechsmonatige Sperrfrist, nach der Nutzer nicht erneut um Einwilligung gebeten werden dürfen. Für einfache, nicht-intrusive Analyse-Tools der ersten Partei (First-Party) sind Ausnahmen vorgesehen. Die EU-Kommission rechnet mit jährlichen Einsparungen von über 800 Millionen Euro für europäische Unternehmen.

Vereinfachte Meldepflicht bei Datenpannen

Ein weiterer Entlastungspunkt betrifft die Meldung von Sicherheitsvorfällen. Bisher kann ein einziger Vorfall mehrere, sich überschneidende Meldepflichten nach DSGVO, NIS2-Richtlinie und anderen Vorschriften auslösen.

Das Omnibus-Paket plant eine zentrale EU-Meldestelle bei der EU-Agentur für Cybersicherheit (ENISA). Betreiber müssten nur noch eine umfassende Meldung abgeben, die automatisch an alle zuständigen nationalen Behörden weitergeleitet wird. Die Meldefrist würde von 72 auf 96 Stunden verlängert. Zudem müssten nur noch Verstöße gemeldet werden, die ein hohes Risiko für die Rechte und Freiheiten von Personen bedeuten – Bagatellen entfielen.

Neue EU-Gesetze zur Cybersicherheit verschärfen die Anforderungen an Unternehmen massiv, doch viele Betriebe sind auf professionelle Angriffe noch nicht vorbereitet. Dieser kostenlose Experten-Report enthüllt effektive Strategien, wie Sie Ihre IT-Sicherheit ohne Budget-Explosion nachhaltig stärken. Cyber Security Strategien für Unternehmen entdecken

Trotz Reform: Aktuelle Prüfungen laufen weiter

Während die Reform Zukunftsmusik ist, dürfen Unternehmen ihre laufenden Compliance-Pflichten nicht vernachlässigen. Der Europäische Datenschutzausschuss (EDPB) hat für 2026 Transparenz zum Schwerpunktthema für koordinierte Durchsetzungsmaßnahmen erklärt.

Datenschutzbehörden in ganz Europa prüfen derzeit synchron, wie Online-Unternehmen ihre Datenverarbeitung gegenüber Nutzern erklären. Im Fokus stehen Datenschutzerklärungen und Cookie-Hinweise. Sie müssen präzise, in einfacher Sprache verfasst und leicht zugänglich sein. Generische Texte, die den tatsächlichen Technologie-Stack – wie neu hinzugefügte Chatbots oder Tracking-Pixel – nicht korrekt abbilden, werden rigoros geahndet.

Ausblick: Warten auf den politischen Kompromiss

Der Abschluss der öffentlichen Konsultation am 11. März war ein wichtiger Schritt. Doch der finale Text des Digital Omnibus hängt maßgeblich vom Ausgang der laufenden EU-Ratsverhandlungen ab – insbesondere vom deutschen Vorstoß. Beobachter rechnen damit, dass der Gesetzgebungsprozess das gesamte Jahr 2026 andauert. Wichtige Teile könnten Ende 2026 oder 2027 in Kraft treten.

Rechtsexperten raten Unternehmen dringend, nicht voreilig Datensätze umzukategorisieren oder bestehende Schutzmaßnahmen abzubauen. Die Priorität sollte sein, die aktuellen Transparenz-Prüfungen zu bestehen und die technische Infrastruktur für künftige Anforderungen wie Browser-Signale und zentrale Störungsmeldung vorzubereiten. Die Reform kommt, aber die Bewährungsprobe läuft schon jetzt.