Datenschutz Informationssicherheit KI-Compliance Unternehmens-Compliance
Ratgeber

DSGVO-Reform 2026: Was der Digital Omnibus ändert.

Die EU-Kommission plant gezielte Vereinfachungen der DSGVO. Dieser Ratgeber erklärt, was geplant ist, was unverändert bleibt und was Unternehmen jetzt tun sollten.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Was ist der Digital Omnibus?

Das Omnibus-Vereinfachungspaket ist eine Initiative der EU-Kommission, um den Verwaltungsaufwand für Unternehmen quer durch verschiedene Regulierungsbereiche zu reduzieren. Im Datenschutzbereich enthält es Vorschläge, die DSGVO proportionaler zu gestalten: Kleinere Organisationen mit geringem Risikoprofil sollen von bestimmten Dokumentations- und Organisationspflichten entlastet werden, ohne dass das Schutzniveau für Betroffene sinkt.

Im Mittelpunkt stehen drei Bereiche: die Pflicht zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sowie die verpflichtende Bestellung eines Datenschutzbeauftragten. Die vorgeschlagenen Vereinfachungen sollen vor allem kleinen und mittleren Unternehmen zugutekommen, deren Verarbeitungen kein hohes Risikoprofil aufweisen.

Wichtig ist die Einordnung: Die Kommission macht einen Vorschlag. Das ordentliche Gesetzgebungsverfahren erfordert eine Einigung zwischen Europäischem Parlament und Rat der EU. Beide Institutionen können die Vorschläge verändern, ablehnen oder in einzelnen Punkten deutlich schärfer formulieren. Das Ergebnis des Trilogs ist offen.

Hintergrund

Mit einem rechtskräftigen Abschluss des Gesetzgebungsverfahrens ist frühestens 2026, realistischer 2027 zu rechnen. Die geltende DSGVO bleibt bis zum Inkrafttreten einer Neufassung vollständig anwendbar. Aufsichtsbehörden prüfen und sanktionieren auf der Basis des aktuellen Rechts.

Compliance-Maßnahmen sollten nicht auf Basis eines noch nicht verabschiedeten Gesetzes zurückgefahren werden.

Geplante Änderungen

Was der Reformvorschlag im Detail vorsieht.

Art. 30: Verarbeitungsverzeichnis

Derzeit sind alle Verantwortlichen mit mehr als 250 Mitarbeitenden zur vollständigen VVT-Führung verpflichtet, darunter sobald Verarbeitungen nicht nur gelegentlich erfolgen oder Risiken bestehen. Der Reformvorschlag sieht vor, kleinere Organisationen ohne risikoreiche Verarbeitungen teilweise zu entlasten.

  • Vollständige VVT-Pflicht bleibt für Verantwortliche mit hohem Risikoprofil
  • Bis zur Reform gelten die heutigen Schwellenwerte unverändert
  • Das VVT bleibt auch unabhängig von gesetzlichen Pflichten ein sinnvolles Steuerungsinstrument

Art. 35: Folgenabschätzung

Für Verarbeitungen mit geringem Risiko werden vereinfachte Prüfmethoden diskutiert. Ziel ist eine proportionalere Anwendung, ohne den Kernzweck der DSFA zu unterlaufen.

  • Hochrisiko-Verarbeitungen nach Art. 35 Abs. 3 DSGVO bleiben DSFA-pflichtig
  • Neue Technologien, Profiling und systematische Überwachung: Pflicht bleibt
  • Standardisierte Prüfmethoden sollen den Aufwand für Routinefälle reduzieren

Art. 37: Datenschutzbeauftragter

Diskutiert wird eine Anpassung des Schwellenwerts für die verpflichtende Bestellung. Kleinere Organisationen ohne systematische oder risikoreiche Verarbeitungen könnten von der Pflicht befreit werden.

  • Öffentliche Stellen bleiben bestellpflichtig
  • Risikoreiche Kerntätigkeiten: Bestellpflicht bleibt bestehen
  • BDSG-Schwelle von 20 Personen gilt bis zu einer Neuregelung unverändert

Was sich nicht ändert

Die Vereinfachungsvorschläge betreffen Dokumentations- und Organisationspflichten. Die materiellen Grundlagen der DSGVO stehen nicht zur Disposition.

  • Grundprinzipien nach Art. 5: Rechtmäßigkeit, Zweckbindung, Datensparsamkeit
  • Betroffenenrechte: Auskunft, Berichtigung, Löschung, Widerspruch
  • 72-Stunden-Meldepflicht bei Datenpannen (Art. 33)
  • AVV-Pflicht für alle Auftragsverarbeiter (Art. 28)
  • Bußgeldrahmen: bis 20 Mio. Euro oder 4 Prozent Jahresumsatz
Zeitplan

Der Gesetzgebungsprozess im Überblick.

01

Kommissionsvorschlag

Die EU-Kommission hat das Omnibus-Vereinfachungspaket einschließlich der DSGVO-Änderungen vorgelegt. Damit beginnt das formelle Gesetzgebungsverfahren.

02

Parlamentsberatung

Das Europäische Parlament prüft die Vorschläge in den zuständigen Ausschüssen und formuliert Änderungsanträge. Inhaltliche Abweichungen vom Kommissionsvorschlag sind möglich.

03

Ratsposition

Der Rat der EU erarbeitet eine eigene Position. Mitgliedstaaten können Änderungen einbringen, die das Ergebnis wesentlich beeinflussen.

04

Trilog & Inkrafttreten

Parlament, Rat und Kommission einigen sich auf einen gemeinsamen Text. Nach Veröffentlichung im EU-Amtsblatt folgt eine Übergangsfrist. Frühestens 2026, realistischer 2027.

FAQ

Häufige Fragen zur DSGVO-Reform.

Verwandte Themen

Der Digital Omnibus ist ein Gesetzgebungspaket der EU-Kommission zur Reduktion bürokratischer Belastungen. Im Datenschutzbereich plant die Kommission gezielte Vereinfachungen der DSGVO, insbesondere für kleinere und mittlere Unternehmen. Ziel ist es, den Verwaltungsaufwand zu senken, ohne das Schutzniveau für Betroffene zu beeinträchtigen.

Das Gesetzgebungsverfahren ist noch nicht abgeschlossen. Mit einer finalen Einigung zwischen Kommission, Parlament und Rat ist frühestens 2026, realistischer 2027 zu rechnen. Bis dahin gilt die DSGVO in ihrer aktuellen Fassung vollständig und unverändert.

Nein. Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist weiterhin Pflicht. Die vorgeschlagenen Änderungen würden bei Verabschiedung nur bestimmte kleinere Organisationen ohne risikoreiche Verarbeitungen teilweise entlasten. Bis eine Reform rechtskräftig ist, gelten die heutigen Anforderungen unverändert.

Diskutiert wird eine Anpassung des Schwellenwerts für die verpflichtende Bestellung. Kleinere Organisationen ohne systematische oder risikoreiche Verarbeitungen könnten von der Pflicht befreit werden. Die aktuelle BDSG-Schwelle von 20 Personen gilt bis zu einer Neuregelung weiterhin.

Bestehende DSGVO-Compliance sollte nicht auf Basis eines noch nicht verabschiedeten Gesetzes gelockert werden. Sinnvoll ist es, die eigene Dokumentation zu prüfen, Lücken zu schließen und sich auf den aktuellen Anforderungsstand zu bringen. Wer heute gut aufgestellt ist, profitiert automatisch von möglichen Erleichterungen, sobald die Reform in Kraft tritt.

Vorbereitet auf die Reform. Und auf das Recht, das heute gilt.

Wir halten Ihre Datenschutzorganisation auf aktuellem Stand und begleiten Sie durch den Reformprozess.

Kostenloses Erstgespräch buchen