Neben der DSGVO betrifft dies vor allem den DMA, den Data Act, den AI Act, den DGA sowie die ePrivacy– und die NIS-2-Richtlinie bzw. die entsprechende nationale Umsetzung. Mit zwei Gesetzesvorhaben der EU-Kommission, dem „Digitalen Omnibus für KI“ („KI-Omnibus“) und dem „Digitalen Omnibus für den Digitalen Besitzstand“ („Digital Omnibus“), strebt diese insoweit eine Vereinfachung an. Der Digital Omnibus betrifft u.a. das Datenschutz- und ePrivacy-Recht. Da diese Rechtsgebiete in der Praxis bereits eine sehr hohe Relevanz besitzen, gibt dieser Beitrag einen Überblick über die insoweit geplanten Änderungen.
1. Personenbezogene Daten
Zunächst sieht der Digital Omnibus, der aktuell nur als Vorentwurf vorliegt und offiziell erst für den 19.11.2025 zur Veröffentlichung angekündigt ist, eine Änderung bei dem für die DSGVO wesentlichen Begriff der personenbezogenen Daten, einschl. der besonderen Kategorien personenbezogener Daten, vor. So soll zunächst klargestellt werden, dass personenbeziehbare Informationen nicht notwendigerweise personenbezogene Daten für jede datenverarbeitende Stelle sind. Kann eine Stelle eine natürliche Person mit ihren Mitteln nicht identifizieren, sollen Daten für diese Stelle nicht als personenbezogen gelten. Entsprechend soll damit ein relatives Verständnis zum Begriff des personenbezogenes Daten gesetzlich verankert werden. Dies ist nach den hierzu ergangenen Entscheidungen von EuG (Urt. v. 26.04.2023 – T 557/20) und EuGH (Urt. v. 19.10.2016 – C-582/14 –, Urt. v. 09.11.2023 – C-319-22 – sowie Urt. v. 04.09.2025 – C-413/23) konsequent. Gerade zur Absicherung von Datentransfers in Drittländer ohne Angemessenheitsbeschluss (Art. 45 DSGVO) bietet dies bei entsprechender Ausgestaltung deutlich erweiterte Argumentationsspielräume im Rahmen der in solchen Fällen durchzuführenden Transfer Impact Assessments.
Zudem sollen die strengen Anforderungen an die Verarbeitung von besonderen Kategorien personenbezogener Daten (z.B. Religion, Gesundheit, biometrische Daten) nur dann greifen, wenn die verarbeiteten Daten diese Informationen unmittelbar offenlegen. Dies stellt wiederum eine Abkehr von der (strengen) Rechtsprechung des EuGH (Urt. v. 01.08.2022 – C-184/20) dar, wonach de lege lata bereits eine mittelbare Offenlegung entsprechend sensibler Informationen ausreicht, um ein besonderes personenbezogenes Datum zu begründen. Die angedachte Anpassung hilft bspw. in dem Fall, dass ein Unternehmen über seinen Webshop Produkte vertreibt, die (mittelbar) Rückschlüsse auf den Gesundheitszustand eines Käufers zulassen. Konsequent wäre es, dann auch den Tatbestand der Vertragsdurchführung ausdrücklich zur Legitimation der Verarbeitung besonderer Datenkategorien aufzunehmen, was bspw. auch im Versicherungskontext (Lebensversicherung, Kfz-Versicherungen bei auszugleichenden Personenschäden, etc.) bestehende Rechtsunsicherheiten auflösen würde.
Dies gilt umso mehr, als ohnehin weitere Erlaubnistatbestände für die Verarbeitung besonderer Datenkategorien eingeführt werden sollen, dies für die Entwicklung und den Betrieb eines KI-Systems oder eines KI-Modells (offenbar als Korrespondenzvorschrift des heutigen Art. 10 Abs. 5 KI-VO, der im „KI-Omnibus“ zu Streichung vorgesehen ist) sowie für die Verarbeitung biometrischer Daten bei Verwendung entsprechender Authentifizierungsmechanismen.
2. Verarbeitung personenbezogener Daten aus Endeinrichtungen
Weiter sollen in die DSGVO Regelungen zur Verarbeitung von personenbezogenen Daten aus Endeinrichtungen aufgenommen werden, weshalb künftig auch das dahingehende Zusammenspiel mit der ePrivacy-Richtlinie und der jeweiligen nationalem Umsetzungen zu beleuchten sein wird.
Die einwilligungsfreien Verarbeitungen korrespondieren zunächst mit den Umsetzungen von Art. 5 Abs. 3 ePrivacy-RL über § 25 Abs. 2 TDDDG. Hinzukommt allerdings, dass bspw. auch die Erstellung aggregierter Informationen über die Nutzung eines Online-Dienstes zur Messung der Nutzerzahlen dieses Dienstes einwilligungsfrei zulässig sein soll. Dies soll jedenfalls dann gelten, wenn dies vom Verantwortlichen dieses Online-Dienstes ausschließlich für den eigenen Gebrauch durchgeführt wird. Dies würde über die über Privilegierung, die über die aktuelle Fassung des Art. 5 Abs. 3 ePrivacy-RL vermittelt wird, hinausgehen. Entsprechend ist eine korrespondierende Anpassung von Art. 5 Abs. 3 ePrivacy-RL gleichfalls vorgesehen (wenngleich über eine Rückverweisung auf die DSGVO, was bei strenger Lesart bedeuten würde, dass sich diese Ausnahme auf personenbezogene Daten beschränkt und diese damit kaum zielführend sein dürfte).
Ferner soll die Erteilung oder Ablehnung von Einwilligungen in einfacher und verständlicher Weise durch einen Klick möglich sein und die Entscheidung gegen eine Einwilligungserteilung durch den Verantwortlichen zu berücksichtigen sein, weshalb erst nach Ablauf einer bestimmten Zeit erneut nach einer Einwilligung gefragt werden darf. Das kurzzeitig wiederholende Einblenden von Cookie-Bannern gehörte damit der Vergangenheit an.
Zudem sollen Einstelllungen zur Erteilung oder Ablehnung von Einwilligungen sowie zum Widerspruch gegen bestimmte Verarbeitungen durch maschinenlesbare Mittel erklärt werden können, die Verantwortliche dann entsprechend zu berücksichtigen haben. Ein Umgestaltung von Cookie-Bannern und Einwilligungs-/ Widerrufsprozessen wird hierdurch daher unausweichlich werden.
3. Informationspflichten & Betroffenenrechte
Eine weitere Erleichterung soll hinsichtlich der obligatorischen Informationserteilung bei Direkterhebungen geschaffen werden. So soll die Informationserteilung entbehrlich sein, wenn die Daten im Zusammenhang einer klaren und abgegrenzten Beziehung zwischen dem Betroffenen und dem Verantwortlichen erhoben wurden. Allerdings darf es sich nicht um eine datenintensive Tätigkeit handeln, es darf kein Drittlandtransfer erfolgen und es müssen berechtigte Gründe für die Annahme vorliegen, dass der Betroffene bereits über die Informationen zum Verantwortlichen und den Zwecken verfügt.
Zudem soll eine weitere Ausnahme geschaffen werden, unter der Verantwortliche die Umsetzung von Betroffenenrechten verweigern dürfen. Dies namentlich dann, wenn ein Betroffener die Rechte zu anderen Zwecken als zum Schutz seiner Daten geltend macht. In der Praxis dürfte dies allerdings nur schwer nachweisbar sein.
4. Meldung von Datenschutzvorfällen
Auch bei der Meldung von Datenschutzvorfällen sollen bestehende Anforderungen gelockert werden. Zum einen soll eine Meldung an die Aufsicht nunmehr – wie dies auch bei der Meldung an Betroffene der Fall ist – erst bei Annahme eines hohen Risikos durch den Verantwortlichen erforderlich sein. Zudem soll die Meldefrist von 72 auf 96 Stunden verlängert werden, wobei die Meldung künftig über ein einheitliches Meldeformular und über einen einheitlichen Zugangspunkt für die Meldung von Sicherheitsvorfällen erfolgen soll.
5. Datenschutz-Folgenabschätzungen (DSFA)
Bzgl. der Pflicht zur Durchführung von DSFAen sieht der Entwurf vor, dass seitens des Europäischen Datenschutzausschusses (EDSA) White und Black Lists zu erstellen sind, aus denen hervorgeht, welche Verarbeitungen einer DSFA zuzuführen sind und welche nicht. Dies würde die nationalen Listen entfallen lassen und hätte den Vorteil einer einheitlichen Vorgehensweise in den Mitgliedstaaten. Entsprechend ist dieses Ansinnen ausdrücklich zu begrüßen.
6. Aufhebung von Rechtsakten
Schließlich sollen mit dem Digital Omnibus bestehende Rechtsakte, wie bspw. die VO für den freien Verkehr nicht-personenbezogener Daten und der DGA aufgehoben werden, wobei letzterer im Data Act aufgehen soll.
Fazit
Der Digital Omnibus liegt aktuell lediglich als Entwurf vor. Vor allem Deutschland drängt – trotz der bestehenden Datenschutzaffiniät – auf die Umsetzung, um insb. im Bereich KI größere Flexibilität zu schaffen und insgesamt auf die Wirtschaft zuzugehen. Verschiedene Mitgliedstaaten stehen dem Ansinnen allerdings kritisch gegenüber und wollen insb. die DSGVO nicht mehr anfassen. Auch wenn damit die angestrebte schnelle Umsetzung des Digital Package on Simplification noch fraglich erscheint, ist eine Reform des Datenschutzrechts doch sehr wahrscheinlich. Entsprechend empfiehlt es sich, die aktuellen Entwicklungen eng im Blick zu behalten.
Das Wichtigste kurz zusammengefasst
- Die EU plant, die rechtlichen Anforderungen im digitalen Kontext über das sog. „Digital Package on Simplification“ zu vereinfachen. Dies betrifft auch die Anforderungen der DSGVO, was vor allem die Entwicklung von KI vereinfachen soll.
- Gegen die angedachten Anpassungen regt sich allerdings Widerstand bei einzelnen Mitgliedstaaten. Daher bleibt abzuwarten, ob die avisierten Änderungen kommen werden.
- Gleichwohl gilt es die dahingehenden Entwicklungen im Blick zu behalten, zumal diese zu Erleichterungen bei wirtschaftlich relevanten Themen wie Tracking, KI-Nutzung und -Entwicklung sowie internationale Datentransfer führen könnten.
