Was die Kommission tatsächlich vorgeschlagen hat

Am 19. November 2025 hat die Europäische Kommission den Digital Omnibus veröffentlicht, ein Paket, das die DSGVO zusammen mit den ePrivacy-Regeln, dem Data Act und weiterem Digitalrecht ändern würde. Es ist der erste ernsthafte Versuch, die DSGVO seit ihrem Inkrafttreten im Mai 2018 zu überarbeiten. Erklärtes Ziel ist die Vereinfachung: weniger Verwaltungspflichten für weniger riskante Verarbeitungen, klarere Definitionen und eine zentrale Stelle für die Meldung von Vorfällen über mehrere EU-Rechtsakte hinweg.

Mehrere Änderungen sind für ein eigentümergeführtes Unternehmen von Bedeutung. Die Pflicht zur Bestellung eines Datenschutzbeauftragten würde enger gefasst, sodass weniger Unternehmen zur Benennung verpflichtet wären. Die Definition personenbezogener Daten würde geklärt, mit besonderem Augenmerk auf pseudonymisierte Daten, sodass Informationen für ein Unternehmen ohne zumutbare Mittel zur Identifizierung der betroffenen Person möglicherweise nicht als personenbezogen gelten. Die Befreiung von der Führung eines Verarbeitungsverzeichnisses würde für größere Belegschaften gelten, und die Meldung von Verletzungen würde von einem 72-Stunden- auf ein 96-Stunden-Fenster verschoben und nur dann greifen, wenn das Risiko für die Betroffenen hoch ist.

Warum dies ein Vorschlag und kein Gesetz ist

Nichts davon ist in Kraft. Der Digital Omnibus ist ein Verordnungsentwurf, der in das ordentliche Gesetzgebungsverfahren der EU eingetreten ist. Das bedeutet, dass er vom Europäischen Parlament und vom Rat der Europäischen Union verhandelt und vereinbart werden muss, bevor er verabschiedet werden kann. Texte, die in dieses Verfahren eintreten, werden regelmäßig geändert, und Teile dieses Textes werden bereits überarbeitet. Nach dem derzeitigen Zeitplan ist mit einer endgültigen Verabschiedung frühestens Ende 2026 oder 2027 zu rechnen, und neue Pflichten hätten dann ihre eigenen Übergangsfristen.

Die Reform ist auch bei den Stellen umstritten, die den Datenschutz beaufsichtigen. In einer gemeinsamen Stellungnahme vom 11. Februar 2026 begrüßten der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte einen Teil der Vereinfachung, darunter die leichtere Meldepflicht, lehnten jedoch die engere Definition personenbezogener Daten entschieden ab sowie die Befugnis, die sie der Kommission geben würde, per Durchführungsrechtsakt zu bestimmen, was nach einer Pseudonymisierung als personenbezogen gilt. Diese Meinungsverschiedenheit ist ein deutliches Zeichen dafür, dass der endgültige Wortlaut noch nicht feststeht.

Was ein Eigentümer jetzt tun sollte

Der Fehler lässt sich in beide Richtungen leicht begehen. Der eine besteht darin, die Reform vollständig zu ignorieren und unvorbereitet zu sein, wenn sich die Pflichten schließlich ändern. Der andere, kostspieligere, besteht darin, jetzt auf der Grundlage eines Vorschlags den eigenen Datenschutz abzubauen: einen Datenschutzbeauftragten abzuziehen, Verzeichnisse zu löschen oder Meldeverfahren zu lockern, während die geltende DSGVO weiterhin voll in Kraft und voll durchsetzbar ist. Bis zur Verabschiedung gelten die heutigen Regeln uneingeschränkt, und die Aufsichtsbehörden können weiterhin auf ihrer Grundlage handeln.

Die besonnene Antwort lautet, den Vorgang zu verfolgen und vorausschauend zu planen, nicht danach zu handeln. Halten Sie fest, welche Ihrer heutigen Pflichten sich erleichtern würden, falls der Vorschlag im Wesentlichen in seiner jetzigen Form angenommen wird, und wo die Änderung tatsächlich realen Aufwand oder reales Risiko für Ihr Unternehmen senken würde. Behalten Sie Ihre derzeitige Compliance bei, beobachten Sie die Phasen in Parlament und Rat sowie die Stellungnahmen der Aufsicht, und seien Sie bereit, rasch zu handeln, sobald ein endgültiger Text und seine Übergangsfristen bekannt sind. Disziplinierte Bereitschaft kostet wenig. Ein verfrühter Abbau setzt Sie aus für einen Vorteil, den es noch nicht gibt.