Die EU räumt ihr digitales Regelwerk auf. Ende 2025 veröffentlichte die Europäische Kommission den Digital Omnibus, ein Reformpaket, das DSGVO, AI Act, Datenschutz und Cybersicherheitsregeln gleichzeitig anfasst. Ihr Ziel ist es, Bürokratie abzubauen, mehr Klarheit und Anwendbarkeit zu schaffen und gleichzeitig den Datenschutz nicht zu vernachlässigen.
Die drei wichtigsten Änderungen im Überblick
Einwilligung nur noch, wenn wirklich nötig
Cookie-Banner werden endlich sinnvoll. Cookies für risikofreie Zwecke, etwa das Messen von Besucherzahlen, sollen künftig keine Consent Popups mehr auslösen. Zudem sollen Nutzer ihre Präferenzen zentral im Browser setzen können und Websites müssen diese respektieren (wie z.B. im Global Privacy Control spezifiziert).
Kleinere Unternehmen werden entlastet
Die DSGVO wird klarer, besonders für KMU. Kleinere Unternehmen sollen von der Pflicht zur Führung vollständiger Verarbeitungsverzeichnisse befreit werden. Zusätzlich wird der Begriff „personenbezogene Daten“ präziser gefasst: Daten gelten nur dann als personenbezogen, wenn die jeweilige Organisation die Person mit realistisch verfügbaren Mitteln identifizieren kann. Das schafft Spielraum, vor allem im Umgang mit pseudonymisierten Daten.
96 Stunden und ein einziger Meldepunkt
Meldepflichten werden vereinheitlicht. Wer heute einen Datenschutzvorfall hat, meldet oft mehrfach an verschiedene Behörden. Der Omnibus sieht einen einzigen digitalen Meldepunkt vor. Gleichzeitig wird die Meldefrist von 72 auf 96 Stunden verlängert, und die Pflicht zur Behördenmeldung greift künftig nur noch bei tatsächlich hohem Risiko für Betroffene.
Meine Einschätzung
Die Cookie Vereinfachung begrüsse ich ausdrücklich. Ein Punkt der oft untergeht: Anonyme Statistiken konnten durch Cookie-Banner nie wirklich verhindert werden. Wer auf einen Server zugreift überträgt immer seine IP-Adresse, Log Files werden geschrieben. Die Frage war nie ob gezählt wird, sondern ob eine Person profiliert wird. Beispielsweise die Niederlande haben das schon lange so gehandhabt und Statistik-Cookies ohne Einwilligung erlaubt, solange keine Profile entstehen und Daten nicht an Dritte fliessen. Die EU zieht jetzt nach. Das ist meiner Meinung nach kein Aufweichen des Datenschutzes sondern der Zeit angemessen.
Bei der Befreiung vom Verarbeitungsverzeichnis bin ich anderer Meinung. Jedes Unternehmen sollte wissen wohin seine Daten fliessen, nicht weil es Pflicht ist, sondern weil es die Grundlage für bewussten Datenschutz bildet. Bei PrivacyBee bauen wir das Verzeichnis automatisch auf, basierend auf den tatsächlich genutzten Tools. Keine Dokumentation die verstaubt, sondern eine Übersicht die zeigt was wirklich mit den Daten passiert. Das werden wir weiterverfolgen, unabhängig davon was der Omnibus am Ende vorschreibt.
Die Vereinheitlichung der Meldepflichten ist längst überfällig. Mein Wunsch an die EU wäre hier höchstens, dass die Schnittstelle technisch offen gestaltet wird, damit Compliance Lösungen wie PrivacyBee direkt anbinden können.
Was kommt als nächstes, und wann?
Der Vorschlag durchläuft nun den Trilog, also die Verhandlungen zwischen Europäischer Kommission, Europäischem Parlament und dem Rat der EU. Eine Einigung wird frühestens Mitte 2026 erwartet, wobei erhebliche Änderungen am aktuellen Text als gut möglich gelten. Parallel dazu läuft bis März 2026 der sogenannte „Digital Fitness Check“, eine Konsultation, die den kumulativen Einfluss der gesamten digitalen Gesetzgebung auf die Wettbewerbsfähigkeit der EU untersucht und weitere Vereinfachungen anstossen könnte.
Wann die neuen Regeln tatsächlich in Kraft treten? Optimistische Szenarien rechnen mit einer Verabschiedung Ende 2026 – I don’t believe it –, einem Inkrafttreten frühestens 2027 – glaube ich noch weniger –, und zusätzlichen Übergangsfristen danach. Für die Browser basierten Consent Signale, also die technische Grundlage der neuen Cookie Regeln, sind realistische Schätzungen eher bei 2028 oder noch später angesiedelt, weil Browser Anbieter zuerst gemeinsame Standards entwickeln und ausrollen müssen.
Was ich KMU deshalb rate: Nutzt die aktuelle Diskussion als Anlass, den eigenen Datenschutz zu überprüfen. Nicht aus Angst vor Bussen, sondern weil es die Grundlage für digitales Vertrauen ist. Wer das jetzt aufbaut, ist gut vorbereitet, egal wie der finale Text des Omnibus aussieht.
LegalTech Experte
Datenschutz Anwalt
- Zuletzt aktualisisert: 15. Februar 2026
