EU Digital-Omnibus – Was die größte DSGVO-Reform für KMU bedeutet
Der EU Digital-Omnibus ist die größte Reform der DSGVO seit 2018. Am 19. November 2025 hat die EU-Kommission ein umfassendes Gesetzespaket vorgelegt, das nicht nur die Datenschutzgrundverordnung modernisieren, sondern auch NIS2, den AI Act und andere Digital-Verordnungen besser verzahnen soll. Die EU spricht von „Vereinfachung" – doch was bedeutet das konkret für dein Unternehmen? Die Realität: Es gibt einzelne Erleichterungen wie einen Single-Entry-Point für Vorfallsmeldungen oder eine höhere Schwelle für Datenpannen-Meldungen. Gleichzeitig steigt aber das Tempo regulatorischer Änderungen insgesamt. NIS2 ist aktiv, der AI Act tritt phasenweise in Kraft, der Cyber Resilience Act kommt 2026. Das eigentliche Problem ist nicht eine einzelne Verordnung – sondern die Frage, ob dein Compliance-System flexibel genug ist, um mit diesem Tempo Schritt zu halten. In diesem Artikel erfährst du, was sich konkret ändert, warum „Vereinfachung" nicht automatisch weniger Arbeit bedeutet und welche Strategie du jetzt brauchst, um regulatorischen Änderungen nicht hinterherzulaufen.
Was ist der EU Digital-Omnibus?
Der Digital-Omnibus ist ein Gesetzespaket der EU-Kommission, das am 19. November 2025 veröffentlicht wurde. „Omnibus" bedeutet wörtlich „für alle" – und genau das ist das Konzept: Statt einzelne Gesetze separat zu ändern, bündelt die EU-Kommission Anpassungen an mehreren Verordnungen in einem Paket.
Das Digital-Omnibus-Paket besteht aus zwei Hauptteilen:
Digital-Omnibus (Data & Cybersecurity)
Dieser Teil betrifft Änderungen an:
- DSGVO (General Data Protection Regulation): Definition von personenbezogenen Daten, Meldepflichten bei Datenpannen, Cookie-Banner-Reform
- NIS2-Richtlinie (Network and Information Security): Cybersecurity-Meldepflichten
- Data Act: Regelungen zu Datenzugang und Cloud-Switching
- ePrivacy-Richtlinie: Cookie- und Tracking-Regelungen
Digital-Omnibus und AI
Dieser Teil betrifft Anpassungen am AI Act:
- Verzögerung der Anwendung von High-Risk-AI-Verpflichtungen
- Erleichterungen für kleine und mittlere Unternehmen (KMU)
- Klarstellungen zur Interaktion mit anderen EU-Gesetzen
Wichtig: Der Digital-Omnibus ist aktuell ein Vorschlag. Er muss noch durch Trilogue-Verhandlungen zwischen EU-Kommission, Parlament und Rat. Experten rechnen mit einem Inkrafttreten Mitte 2026, möglicherweise auch später.
Was ändert sich konkret?
Die EU-Kommission verspricht „Vereinfachung" – doch was bedeutet das in der Praxis? Hier sind die wichtigsten Änderungen im Überblick:
Single-Entry-Point für Vorfallsmeldungen
Eine zentrale Anlaufstelle für alle Meldungen
Künftig soll eine zentrale Meldestelle für Cybersecurity-Incidents ausreichen. Bisher musst du bei einem Vorfall mehrere Meldungen parallel absetzen – an die Datenschutzbehörde (DSGVO), an die zuständige NIS2-Stelle, möglicherweise auch unter DORA (Digital Operational Resilience Act) oder CER (Critical Entities Resilience). Der Digital-Omnibus schlägt vor, diese Meldungen zu bündeln.
Weniger Formulare, gleiche Komplexität
Die Meldepflichten selbst bleiben bestehen. Du musst weiterhin bewerten, ob ein Vorfall meldepflichtig ist, und die gleichen Informationen bereitstellen. Der Unterschied: Du reichst sie an einer zentralen Stelle ein, statt mehrere Formulare auszufüllen. Das spart Zeit – ändert aber nichts an der Komplexität der Bewertung.
Höhere Schwelle für Datenpannen-Meldungen
Nur noch „hohes Risiko" ist meldepflichtig
Bisher musst du Datenpannen an die Aufsichtsbehörde melden, wenn sie ein „Risiko" für die Rechte und Freiheiten betroffener Personen darstellen. Der Digital-Omnibus hebt diese Schwelle auf „hohes Risiko" an – die gleiche Schwelle, die aktuell für die Benachrichtigung der Betroffenen gilt.
Die Arbeit verschiebt sich zur Risikobewertung
Die Anzahl der Meldungen an Behörden wird sinken. Aber: Du musst weiterhin innerhalb von 72 Stunden bewerten, ob ein „hohes Risiko" vorliegt. Diese Bewertung erfordert Fachwissen und Dokumentation. Die Arbeit verschiebt sich von der Meldung zur Risikobewertung.
Erleichterungen für Kleinstunternehmen
Kein VVT mehr für Unternehmen unter 10 Mitarbeitern
Unternehmen mit weniger als 10 Mitarbeitern müssen künftig kein Verarbeitungsverzeichnis (VVT) mehr führen – sofern die Datenverarbeitung „kein Risiko" für die Rechte und Freiheiten natürlicher Personen birgt.
Hilft Kleinstunternehmen – für die meisten KMU ändert sich nichts
Diese Regelung hilft Kleinstunternehmen wie Einzelpraxen oder kleinen Handwerksbetrieben. Für die meisten KMU mit 10+ Mitarbeitern ändert sich nichts. Und selbst für Kleinstunternehmen bleibt die Frage: Wie stellst du fest, ob deine Verarbeitung „kein Risiko" birgt? Ohne Dokumentation wird das schwer zu belegen sein.
KI und Pseudonymisierung
Pseudonymisierte Daten für KI-Training leichter nutzbar
Die Nutzung pseudonymisierter Daten für KI-Training wird erleichtert. Der Digital-Omnibus kodifiziert ein Urteil des Europäischen Gerichtshofs (EuGH): Daten gelten als nicht-personenbezogen, wenn der Empfänger „vernünftigerweise keine Mittel" hat, um Personen zu re-identifizieren.
Die Verantwortung bleibt beim Verantwortlichen
Das ist relevant für Unternehmen, die mit großen Datenmengen arbeiten und KI-Modelle trainieren wollen. Aber: Die Verantwortung für die Pseudonymisierung bleibt beim ursprünglichen Verantwortlichen. Du musst nachweisen, dass eine Re-Identifizierung für den Empfänger praktisch unmöglich ist. Das erfordert eine saubere Datenstrategie und technische Maßnahmen.
Cookie-Banner-Reform
Browser-basierte Einstellungen statt Banner-Chaos
Die ePrivacy-Regelungen werden in die DSGVO integriert. Nutzer sollen ihre Cookie-Präferenzen zentral im Browser speichern können. Websites müssten dann nicht mehr für jede Seite einzelne Banner anzeigen.
Bessere User Experience – aber technische Anpassungen nötig
Die User Experience wird besser – langfristig. Kurzfristig bedeutet es für Website-Betreiber technische Anpassungen: Die Implementierung muss Browser-basierte Einstellungen respektieren können. Die genaue technische Umsetzung wird erst in den nächsten Monaten klarer.
Warum „Vereinfachung" nicht einfacher macht
Die EU-Kommission spricht von „Vereinfachung". Schaut man genauer hin, sieht man: Es gibt mehr Klarheit bei bestimmten Definitionen. Das ist gut. Aber gleichzeitig kommen neue Anforderungen hinzu:
- NIS2 ist seit Dezember 2025 ohne Übergangsfrist aktiv
- Der AI Act tritt phasenweise in Kraft (mit möglichen Verzögerungen durch den Digital-Omnibus on AI)
- Der Cyber Resilience Act bringt ab 2026 neue Meldepflichten für Hersteller von Produkten mit digitalen Elementen
- Und jetzt wird die DSGVO reformiert
Das Tempo regulatorischer Änderungen wird schneller, nicht langsamer.
Hier liegt der Denkfehler vieler Unternehmen: Sie behandeln jede neue Verordnung als separates Projekt.
- Für DSGVO ein Excel-Sheet
- Für NIS2 ein anderes Excel-Sheet
- Für den AI Act vielleicht ein Word-Dokument
- Für den Digital-Omnibus nochmal was Neues?
Das funktioniert nicht mehr. Nicht bei diesem Tempo.
Was du stattdessen brauchst: Flexible Compliance-Architektur
Statt jede Verordnung isoliert zu behandeln, brauchst du ein System, das sich an regulatorische Änderungen anpassen kann. Das bedeutet konkret:
Modulare Systeme
Dein ISMS (Informationssicherheitsmanagementsystem) muss so aufgebaut sein, dass neue Anforderungen sich integrieren lassen. Ohne dass du alles neu aufsetzen musst.
So könnte das aussehen
Wenn der Digital-Omnibus die Meldepflichten ändert, sollte dein Incident-Response-Prozess so dokumentiert sein, dass du nur die Meldeschwellen anpassen musst – nicht den gesamten Prozess neu schreiben.
Zentrale Plattformen statt Excel-Chaos
Dokumentation in einem zentralen System, wo Änderungen an einer Stelle sich überall durchziehen. Statt 15 verschiedenen Excel-Tabellen, die niemand mehr aktualisiert.
Der Vorteil in der Praxis
Wenn du deine Verarbeitungstätigkeiten in einem zentralen System führst, kannst du schnell filtern: „Welche Verarbeitungen sind von der neuen Pseudonymisierungs-Regelung betroffen?" Mit Excel-Sheets wird das zur Detektivarbeit.
Anpassungsfähige Dokumentation
Richtlinien und Verfahrensanweisungen, die sich weiterentwickeln lassen. Modular aufgebaut, nicht in starren Word-Dokumenten zementiert.
Konkret umgesetzt
Deine Datenschutz-Richtlinie sollte auf grundlegende Prinzipien verweisen (z. B. „hohes Risiko erfordert Meldung") und nicht spezifische Formulierungen aus der DSGVO 2018 fest verankern. So kannst du bei Änderungen nur die relevanten Abschnitte anpassen.
Agile Anpassungsfähigkeit
Du musst heute nicht alle Details des Digital-Omnibus umsetzen. Der Text wird sich in den Trilogue-Verhandlungen noch ändern. Aber dein System muss darauf vorbereitet sein, Änderungen aufzunehmen.
Wie das funktioniert
Wenn du heute schon eine Risikobewertungs-Matrix für Datenpannen hast, musst du bei Inkrafttreten des Digital-Omnibus nur die Schwellenwerte anpassen – nicht den gesamten Prozess neu erfinden.
Zeitplan: Wann tritt der Digital-Omnibus in Kraft?
Der Digital-Omnibus muss noch durch Trilogue-Verhandlungen zwischen EU-Kommission, Parlament und Rat. Experten rechnen mit einem Inkrafttreten Mitte 2026, möglicherweise auch später.
Viele der vorgeschlagenen Änderungen staffeln wiederum die Umsetzungsfristen anderer Gesetze. Beispiel AI Act:
- High-Risk-AI-Systeme (Annex III): Frühestens 6 Monate nach Verfügbarkeit von Standards, spätestens Dezember 2027
- High-Risk-AI-Systeme in regulierten Produkten (Annex I): Frühestens 12 Monate nach Verfügbarkeit von Standards, spätestens August 2028
Wichtig: Auch wenn einzelne Fristen verschoben werden – das Gesamttempo bleibt hoch.
Was du jetzt tun solltest
Der Digital-Omnibus wird kommen. Wann genau und in welcher finalen Form, ist noch offen. Aber die Botschaft ist klar: Compliance wird nicht einfacher. Nur schneller.
Die Frage ist nicht: „Bin ich Digital-Omnibus-konform?"
Die Frage ist: „Ist mein System flexibel genug, um mit regulatorischen Änderungen Schritt zu halten?"
Bringe deine Compliance-Dokumentation auf Vordermann
- Ist dein Verarbeitungsverzeichnis aktuell und zentral gepflegt?
- Sind deine Richtlinien modular aufgebaut oder fest zementiert?
- Hast du alle Dienstleister im Blick und dokumentiert?
- Ist deine Incident-Response-Dokumentation bereit für die nächste Audit-Welle?
Brauchst du Unterstützung bei der Umsetzung?
Die regulatorische Landschaft wird komplexer, nicht einfacher. Wir helfen dir, dein Compliance-System so aufzubauen, dass es mit regulatorischen Änderungen Schritt hält – ohne dass du bei jeder Reform bei Null anfangen musst.
Lass uns deine Dokumentation gemeinsam durchgehen. Wir schauen, wo du nachschärfen musst, damit du bei der nächsten regulatorischen Änderung nicht in Zeitnot gerätst.
Kontaktiere uns für ein unverbindliches Gespräch
Quellen & weiterführende Links
Offizielle Dokumente
- EU-Kommission: Digital Omnibus Regulation Proposal (19. November 2025)
- Vollständiger Entwurf COM(2025) 837
Analysen & Kommentare
- IAPP: Analysis of key changes
- noyb: Critical analysis report (Version 2)
- White & Case: What changes lie ahead for the Data Act, GDPR and AI Act
Verwandte Knowledge-Base-Artikel
- NIS2 – Grundlagen für KMU
- Die KI-Verordnung 2025: Anforderungen und Auswirkungen auf Unternehmen
- Was ist ein ISMS (Informationssicherheitsmanagementsystem)?
- Verzeichnis der Verarbeitungstätigkeiten – Alles was du wissen musst
Aktualisierungshinweis
Dieser Artikel basiert auf dem Entwurf der EU-Kommission vom 19. November 2025. Da der Digital-Omnibus noch durch Trilogue-Verhandlungen muss, können sich Details ändern.
