Geplante DSGVO-Änderungen: Was Unternehmen jetzt wissen müssen - Digital Omnibus & Omnibus IV

Die Europäische Union plant wichtige Änderungen an der Datenschutz-Grundverordnung (DSGVO). Mit dem sogenannten Digital Omnibus 2025 und dem Omnibus IV sollen die Datenschutzregeln klarer, praxisnäher und für viele Unternehmen deutlich einfacher werden. Die Vorschläge sind noch nicht beschlossen – aber schon jetzt ist klar: Für Unternehmen, Datenschutzbeauftragte und KMU wird sich einiges ändern.

In diesem Beitrag erfahren Sie leicht verständlich, welche Neuerungen geplant sind, warum sie kommen und wie sich Unternehmen vorbereiten können.

Warum wird die DSGVO angepasst?

Seit 2018 gilt die DSGVO in der gesamten EU. Viele Unternehmen – vor allem kleine und mittlere – kämpfen jedoch noch immer mit komplizierten Vorgaben, unklaren Begriffen und hohem bürokratischen Aufwand.

Die EU möchte deshalb:

mehr Klarheit bei zentralen Begriffen schaffen
Bürokratie abbauen, besonders für KMU
Verfahren vereinheitlichen und Meldungen vereinfachen
Datenschutz praxisnäher gestalten, ohne das Schutzniveau zu senken

Für Organisationen bedeutet das: Mehr Rechtssicherheit, weniger Formulare, effizientere Prozesse.

1. Wann gelten Daten als personenbezogen?

Eine wichtige Neuerung

Einer der größten Kritikpunkte der DSGVO war immer die Frage: Wann genau sind Daten wirklich personenbezogen?

Die geplante Änderung schafft Klarheit:

Daten sind nur dann personenbezogen, wenn das jeweils verarbeitende Unternehmen eine Person identifizieren kann.
Es reicht nicht, dass ein anderes Unternehmen die Person identifizieren könnte.
Pseudonymisierte Daten gelten künftig nicht automatisch für alle als personenbezogen.

Auswirkung:
Weniger Unsicherheit bei Datenweitergabe, Kooperationen, Plattformen und Datenräumen.

2. Forschung und Statistik: Weiterverarbeitung automatisch erlaubt

Für wissenschaftliche und statistische Zwecke soll eine wichtige Entlastung kommen:

Weiterverarbeitungen zu Forschungs-, Statistik- oder Archivzwecken gelten automatisch als zweckkompatibel.
Es ist keine zusätzliche Abwägung oder Dokumentation mehr notwendig.

Das schafft Sicherheit für Unternehmen, Forschungsinstitute und Entwickler innovativer Technologien.

3. Datenpannen: Neue Meldepflichten, neue Zeitvorgaben

Die EU plant hier besonders praxisnahe Verbesserungen.

3.1 Meldung nur noch bei „wahrscheinlich hohem Risiko"

Bisher galt: Jede Verletzung des Datenschutzes musste gemeldet werden, wenn ein Risiko besteht.

Neu soll gelten:
Eine Meldung ist nur nötig, wenn ein hohes Risiko wahrscheinlich ist.

Das bedeutet deutlich weniger Meldefälle.

3.2 Neue Frist: 96 Stunden

Die Meldefrist soll von 72 auf 96 Stunden verlängert werden.

3.3 Gemeinsamer Meldepunkt („Single Entry Point")

Meldungen sollen künftig über einen zentralen EU-Meldekanal erfolgen – also nur noch eine Meldung, selbst wenn mehrere Gesetze betroffen sind (z. B. DSGVO, NIS2).

3.4 Einheitliche Vorlagen und Risiko-Listen

EU-weit soll es künftig:

ein gemeinsames Meldeformular
eine Liste von High-Risk-Situationen

geben.

3.5 Dokumentationspflicht bleibt

Wichtig: Auch nicht meldepflichtige Datenpannen müssen intern dokumentiert werden.

4. Datenschutz-Folgenabschätzungen (DPIA): Einheitlicher EU-Standard

Heute herrscht große Unsicherheit darüber, wann eine DPIA verpflichtend ist.

Die EU plant:

eine einheitliche Liste, wann eine DPIA notwendig ist
eine Liste, wann keine DPIA nötig ist
ein EU-weit einheitliches DPIA-Template

Das sorgt für mehr Klarheit, weniger Diskussionen und einheitliche Standards.

5. Weniger Informationspflichten für Unternehmen

In bestimmten einfachen oder wenig risikoreichen Situationen sollen Unternehmen künftig weniger umfangreiche Datenschutzhinweise erstellen müssen.

Besonders profitieren:

KMU
Dienstleister mit klaren, vorhersehbaren Prozessen
Forschungsprojekte, die viele Personen betreffen

6. Neue Cookie-Regeln direkt in der DSGVO

Die bekannten Cookie-Vorgaben aus der ePrivacy-Richtlinie sollen in die DSGVO integriert werden:

Einwilligung nötig, wenn auf Daten im Endgerät zugegriffen wird
Ausnahmen für technische Notwendigkeit, Reichweitenmessung oder Sicherheitszwecke
Pflicht zur Ein-Klick-Ablehnung
Nach Ablehnung: sechs Monate Ruhezeit, bevor erneut gefragt werden darf

Das verbessert die Nutzerfreundlichkeit und schafft klare Regeln für Unternehmen.

7. Weniger Aufwand bei Verzeichnissen von Verarbeitungstätigkeiten

Für KMU und sogenannte „Small Mid-Caps" sollen die Anforderungen an das Verzeichnis nach Art. 30 DSGVO vereinfacht werden.

Erwartete Vorteile:

weniger Pflichtfelder
einfachere Darstellung
geringerer Dokumentationsaufwand

8. Aktueller Stand des Gesetzgebungsverfahrens

Die Entwürfe sind seit dem 19.11.2025 veröffentlicht und werden aktuell im Europäischen Parlament und im EU-Rat beraten.

Die neuen Regeln gelten noch nicht. Es kann noch zu Änderungen kommen.

Was bedeuten die Änderungen für Unternehmen? (Kurzüberblick)

Mehr Klarheit beim Begriff „personenbezogene Daten"
Weniger Bürokratie bei Informationspflichten und Verarbeitungsverzeichnissen
Weniger Meldungen, aber weiterhin interne Dokumentation
Einheitliche EU-Vorgaben bei Datenpannen und DPIAs
Klare und benutzerfreundliche Cookie-Regeln
Mehr Rechtssicherheit für Forschung und Pseudonymisierung

Fazit: Unternehmen sollten sich frühzeitig vorbereiten

Auch wenn die Änderungen noch nicht endgültig beschlossen sind, ist klar:
Die DSGVO wird praxisnäher, klarer und unternehmerfreundlicher.

Wir unterstützen Sie dabei, Ihre Datenschutzorganisation rechtzeitig auf die neuen Anforderungen auszurichten.

Wenn Sie wissen möchten, was die Änderungen für Ihr Unternehmen konkret bedeuten, beraten wir Sie gerne persönlich.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz