Digitaler Omnibus Datenschutz: Was die EU-Pläne für KMU-Compliance bedeuten könnten
- Mit dem Digitalen Omnibus plant die EU-Kommission, das geltende Digitalrecht in Europa zu vereinfachen.
- Die geplanten Gesetzespakete betreffen unter anderem Vorgaben aus der DSGVO und der KI-Verordnung.
- Mögliche Folgen des Reformvorhabens wären längere Fristen für die Meldung von Datenschutzverletzungen, geringere Hürden bei der Nutzung personenbezogener Daten und mehr Freiheiten für Unternehmen beim KI-Einsatz.
- Datenschützer befürchten Nachteile für Betroffene und höhere Haftungsrisiken für Unternehmen.
- KMU sollten die Entwicklungen rund um den Digital-Omnibus im Auge behalten und sich von Experten über notwendige Schritte beraten lassen.
- Item A
- Item B
- Item C
Hintergrund: Was ist der Digitale Omnibus?
In den vergangenen Jahren sind verschiedene Gesetze und Verordnungen in Kraft getreten, die Datenschutz und Cybersicherheit innerhalb der EU stärken sollen. In der Praxis brachten die Vorgaben jedoch vor allem wachsende Komplexität bei Verfahren, Fristen und Pflichten.
Der „Digitale Omnibus “ ist der Versuch der EU-Kommission, das europäische Digitalrecht zu vereinfachen: Am 19. November 2025 stellte die EU-Kommission zwei Gesetzespakete vor, die mehrere bestehende Rechtsakte anpassen und vereinfachen sollen. Dazu gehören die Datenschutzgrundverordnung (DSGVO), die Datenverordnung (Data Act) und die KI-Verordnung (AI Act).
Doch während Brüssel von Bürokratieabbau spricht, warnen über 130 Organisationen vor dem „bislang größten Rückschritt für digitale Grundrechte in der EU-Geschichte“. Für Compliance-Verantwortliche könnte die geplante Reform vor allem Rechtsunsicherheit bedeuten, und das in einer Zeit, in der Planbarkeit unverzichtbar ist.
Was bringt die Reform? Kritische Änderungen für das Compliance-Management
Die geplanten Änderungen umfassen unter anderem angepasste Meldefirsten, vereinfachte Meldeverfahren und Anpassungen bei der Definition personenbezogener Daten und bei der KI-Regulierung. Sie hätten beispielsweise direkte Auswirkungen auf das Verzeichnis von Verarbeitungstätigkeiten (VVT), technische und organisatorische Maßnahmen (TOM) und laufende Zertifizierungen wie die ISO 27001-Zertifizierung.
DSGVO-Meldepflichten
Bei Datenschutzverletzungen sieht der Reformentwurf eine Meldefrist von 96 Stunden statt wie bisher von 72 Stunden vor. Die Pflicht soll außerdem nur noch für Datenpannen mit „hohem Risiko“ gelten. Zusätzlich ist ein Single-Entry-Point geplant, also eine zentrale Meldestelle. Aktuell können je nach Niederlassung verschiedene Aufsichtsbehörden zuständig sein.
Mögliche Folgen: Die bisherige 72-Stunden-Frist zwingt Unternehmen zu klaren Prozessen und schneller Reaktion. Eine Verlängerung der Frist auf 96 Stunden erleichtert es Unternehmen gerade in komplexen Situationen wie Cyberangriffen, ihren Meldepflichten nachzukommen. Jedoch kann die verlängerte Meldefrist in bestimmten Situationen auch dazu führen, dass sich Risiken für betroffene erhöhen, weil Aufsichtsbehörden erst später im Interesse Betroffener tätig werden können.
Mit der Compliance-Plattform von Proliance dokumentieren Sie Datenschutzvorfälle rechtzeitig, nachvollziehbar und rechtssicher.
Personenbezogene Daten
Eine weitere Änderung betrifft die Definition personenbezogener Daten. Der Entwurf stellt klar: Daten gelten künftig nur dann als personenbezogen, wenn Unternehmen die Person dahinter identifizieren können. Ob Dritte wie Datenlieferanten das könnten, soll keine Rolle spielen.
Mögliche Folgen: Für Datenverarbeiter könnte die kommerzielle Nutzung von Daten für Analysen oder für das KI-Training einfacher werden einfacher werden. Datenlieferanten müssen allerdings weiterhin datenschutzrechtliche Anforderungen beachten. Zudem müssen verarbeitende Unternehmen selbst beurteilen und dokumentieren, ob sie eine Person identifizieren können oder nicht. Bei einer Fehleinschätzung würden trotzdem alle DSGVO-Pflichten gelten und KMU müssten ihre VVT entsprechend überarbeiten.
In der Compliance-Plattform von Proliance erstellen Sie Ihr VVT in wenigen Stunden statt Wochen und setzen Anpassungen einfacher um.
KI-Verordnung
Der digitale Omnibus sieht eine Verschiebung der Hochrisiko-KI-Regeln vor, die ursprünglich ab Sommer 2026 greifen und KI-Systeme regulieren sollten, die zum Beispiel Bewerbungsprozesse steuern oder Kreditentscheidungen treffen. Unternehmen müssen weiterhin selbst einschätzen, ob ihre KI-Anwendung als Hochrisiko einzustufen ist.
Mögliche Folgen: Einerseits gewinnen Unternehmen damit mehr Flexibilität und können interne KI-Projekte schneller umsetzen. Andererseits tragen sie das volle Haftungsrisiko, falls sie eine KI-Anwendung fälschlich als nicht hochriskant einstufen.
Außerdem sieht der Vorschlag vor, dass KI-Training und -Betrieb künftig als berechtigtes Interesse im Sinne der DSGVO anerkannt werden können. Das erleichtert Unternehmen zwar die Argumentation bei der Prüfung des berechtigten Interesses im Einzelfall. Trotzdem ist weiterhin eine sorgfältige Abwägung mit den Rechten der betroffenen Personen notwendig, insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten.
Was bedeutet der digitale Omnibus konkret für die Arbeit von KMU?
Sollte der digitale Omnibus verabschiedet werden, kämen auf Compliance-Verantwortliche in Unternehmen in Deutschland zahlreiche Aufgaben zu.
Wie würde sich der Digital-Omnibus auf bestehende Zertifizierungen auswirken?
Wer ein ISMS nach ISO 27001 betreibt, hat die dazugehörigen Maßnahmen auf Basis bestimmter Annahmen über Meldepflichten, Bußgeldrisiken und Betroffenenrechte festgelegt. Würden sich diese Parameter ändern, müssten Unternehmen mit ISMS ihre Risikobewertung anpassen.
Ähnlich verhält es sich mit TISAX®: Der VDA ISA-Katalog enthält ein eigenständiges Datenschutzmodul mit vier Kontrollfragen, die explizit die DSGVO-Compliance prüfen. Wenn sich die DSGVO-Definition personenbezogener Daten oder die Meldepflichten ändern, müssten Unternehmen ihre VVT-Dokumentation anpassen. Der TISAX®-Assessor würde dann prüfen, ob die aktualisierten Prozesse weiterhin den Katalog-Anforderungen entsprechen.
Was bedeutet die Neubewertung des Personenbezugs für KMU?
Ein zentraler Punkt ist die neue, adressatenbezogene Bewertung personenbezogener Daten. Künftig müssten Unternehmen systematisch dokumentieren,
- welche Daten sie verarbeiten, zum Beispiel pseudonymisierte Analysedaten, Cloud-Logs oder Nutzungsstatistiken,
- über welche Identifikationsmittel sie selbst verfügen, etwa Schlüsseldatenbanken oder Zugriff auf Klarnamen, und
- ob eine Re-Identifizierung mit eigenen Mitteln realistisch möglich ist.
Diese Prüfung erfordert eine strukturierte Dokumentation ähnlich wie bei einer Datenschutz-Folgenabschätzung und die Anpassung der VVT.
Übersicht: Was sich konkret durch den digitalen Omnibus ändert
Was KMU jetzt konkret tun können
Noch ist die Reform der Digitalgesetze der EU nicht verabschiedet. Sie können also abwarten und erst reagieren, wenn der Digital-Omnibus Fahrt aufnimmt. Oder Sie setzen schon jetzt Prozesse in Gang, die Sie auf gesetzliche Neuerungen vorbereiten – denn DSGVO, NIS2 und KI-Verordnung haben gezeigt, dass Unternehmen immer wieder mit neuen und angepassten Vorgaben konfrontiert werden.
- Legen Sie Verantwortlichkeiten fest: Definieren Sie, wer in Ihrem Team die Entwicklung rund um Datenschutz und Informationssicherheit beobachtet.
- Bleiben Sie informiert: Nutzen Sie verlässliche Informationsquellen wie Ihren Datenschutzbeauftragten, die Stiftung Datenschutz oder den Newsletter von Proliance, um kein Update zu verpassen.
- Prüfen Sie Compliance-relevante Prozesse: Welche Verarbeitungstätigkeiten basieren auf Rechtsgrundlagen, die sich ändern könnten? Welche TOMs sind auf Meldepflichten oder Datendefinitionen bezogen? Welche KI-Anwendungen im Unternehmen müssten als Hochrisiko neu bewertet werden?
Ausblick: Zwischen Pragmatismus und Prinzipientreue
Die einen sprechen beim Digitalen Omnibus von einer Aufweichung von Datenschutzstandards, die anderen sehen in der geplanten Reform eine Chance für Bürokratieabbau und mehr Wettbewerbsfähigkeit für europäische Unternehmen.
Für Compliance-Verantwortliche bedeutet die Omnibus-Diskussion vor allem Unsicherheit. Genau deshalb ist es wichtig, weder in Aktionismus zu verfallen noch das Thema auf die lange Bank zu schieben. Stattdessen gilt: beobachten, bewerten und bereit machen.
Die kommenden Monate werden zeigen, ob die EU-Kommission ihre Pläne in die Tat umsetzt. Bis dahin gilt: Konzentrieren Sie sich auf Vorgaben, die bereits gelten und arbeiten Sie mit Experten wie Ihrem Datenschutzbeauftragten oder Proliance zusammen, um bei notwendigen Änderungen Ihrer Datenschutzprozesse keine Zeit zu verlieren. Proliance unterstützt Sie zum Beispiel mit KI-Beratung oder mit einer Datenschutzsoftware für zentrale Compliance.
Sie haben noch Fragen? Wir haben die Antworten
Der Digitale Omnibus ist ein EU-Reformpaket zur Vereinfachung des europäischen Digitalrechts, vorgestellt im November 2025 von der EU-Kommission. Zwei Gesetzespakete passen zentrale Rechtsakte an: Datenschutzgrundverordnung DSGVO mit geänderten Meldepflichten und Datendefinitionen, Datenverordnung Data Act für kommerzielle Datennutzung sowie KI-Verordnung AI Act mit verschobenen Hochrisiko-Regeln. Ziel ist Bürokratieabbau und gesteigerte Wettbewerbsfähigkeit. Über 130 Organisationen warnen jedoch vor größtem Rückschritt für digitale Grundrechte. Für KMU bedeutet die Reform Rechtsunsicherheit bei laufenden Compliance-Projekten wie ISO 27001, TISAX® oder NIS2. Proliance informiert über aktuelle Entwicklungen.
Digitaler Omnibus plant Verlängerung der Meldefrist für Datenschutzverletzungen von 72 auf 96 Stunden. Meldepflicht gilt künftig nur noch bei Datenpannen mit hohem Risiko statt für alle Vorfälle. Zusätzlich geplant: Single-Entry-Point als zentrale Meldestelle statt verschiedener Aufsichtsbehörden je nach Niederlassung. Vorteil: Erleichterte Meldung bei komplexen Cyberangriffen durch mehr Zeitpuffer. Nachteil: Erhöhte Risiken für Betroffene durch spätere Aufsichtsbehörden-Reaktion. KMU müssen Incident-Response-Prozesse überprüfen und Dokumentation anpassen. Proliance Data-Breach-Management dokumentiert Datenschutzvorfälle rechtzeitig, nachvollziehbar, rechtssicher.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
