Die Europäische Kommission will die Datenschutz-Grundverordnung (DSGVO) reformieren, um ursprünglich insbesondere Unternehmen mit weniger als 750 Beschäftigten zu entlasten. Nach dem ersten Vorschlag vom 21. Mai 2025 wurde nun ein weiterer Entwurf veröffentlicht. Wir erklären, was durch die Anpassung der DSGVO auf Unternehmen zukommen könnte.
In Kürze
- Am 21. Mai 2025 legte die EU-Kommission einen Reformvorschlag vor. Im Mittelpunkt stehen Erleichterungen für KMU und sogenannte Small-Mid-Cap-Unternehmen.
- Anfang November 2025 wurde ein weiterer Entwurf geleakt, der eigentlich erst am 19. November 2025 veröffentlicht werden sollte. Die Änderungen im offiziell veröffentlichten Entwurf sind umfassend, aber weniger einschneidend als zunächst befürchtet.
- Die Vorschläge zur Änderung der DSGVO betreffen teilweise zentrale Definitionen, was zu erneuter Rechtsunsicherheit führen dürfte.
DSGVO-Änderungen des Omnibus IV-Pakets
Kürzlich wurden die Pläne der EU-Kommission zur Änderung der DSGVO bekannt gemacht. Das sogenannte Omnibus IV-Paket ändert neben der DSGVO auch die KI-Verordnung (AI-Act), den Data Act und die E-Privacy Richtlinie. Letztere ist die Grundlage im EU-Recht für Cookie-Banner auf Websites. Die Regelungen zu diesem Thema sollen nach dem veröffentlichten Entwurf Teil der DSGVO werden.
Im Folgenden erklären wir die geplanten Änderungen der DSGVO. Wie schon beim ersten offiziellen Entwurf der EU-Kommission stellt sich die Frage, ob die Reform wirklich eine Entlastung bringt oder zur Erosion von Grundrechten führt.
Hintergrund: Was bedeutet Omnibus?
Omnibus IV ist Teil einer Reihe von Änderungsvorhaben der EU-Kommission zur Reduzierung von Bürokratie in der Europäischen Union. Dadurch sollen insbesondere kleine und mittlere Unternehmen entlastet werden. Während der Omnibus IV insbesondere Änderungen im Bereich der Digitalisierung vornehmen soll, zielen die anderen Omnibus-Pakete auf Vereinfachungen im Bereich Nachhaltigkeit (insbesondere Sorgfaltspflichten), EU-Investitionen, Gemeinsame Agrarpolitik, Verteidigungsbereitschaft und Chemikalien ab.
Geplante Änderungen an der DSGVO
Der Anfang November 2025 zunächst durch einen Leak bekannt geworden Änderungsentwurf geht so deutlich über die ersten Reformvorschläge zur DSGVO hinaus, dass das Magazin Politico ihn bereits mit: „Brussels knifes privacy to feed the AI boom“ betitelte.
Die ursprünglich geplante Abschaffung einer Pflicht zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO) für kleine Unternehmen und eine stärkere Berücksichtigung der KMU bei Verhaltensregeln und Zertifizierungen (Art. 40 und 42 DSGVO) war einer umfassenden Änderung der DSGVO gewichen. Der finale, am 19. November 2025 vorgestellte Entwurf enthält nicht mehr alle der kritischsten Änderungen.
Achtung! Der von vielen Akteuren als lästig empfundene Papierkram wird nicht beseitigt. Eine Reduzierung der Dokumentationsanforderungen wird nur an einzelnen Stellen vorgenommen und geht mit neuen, unbestimmten Rechtsbegriffen einher, die gerichtlicher Klärung bedürfen.
Viele dieser Rechtsbegriffe werden Einschätzungen erfordern, die – Sie ahnen es schon – zu neuem Papierkram führen.
Im Einzelnen sieht der DSGVO-Reformvorschlag folgende Änderungen vor:
Subjektiver Personenbezug
Änderung
Zunächst sieht die Kommission eine Änderung der Definition personenbezogener Daten selbst vor (Art. 4 Nr. 1 DSGVO). Diese wird von einer objektiven zu einer subjektiven Betrachtung hin verschoben. Es soll also nicht mehr von den Daten selbst abhängen, ob eine Person mit ihnen zu identifizieren ist. Vielmehr kommt es auf die Fähigkeiten eines Unternehmens oder jeder anderen Stelle an, eine Person mit den ihr zur Verfügung stehenden Informationen zu identifizieren.
Der Entwurf will damit ein kürzlich ergangenes Urteil des EuGHs (C-413/23) kodifizieren. Zusammengefasst entschied das Gericht, dass ursprünglich personenbezogene Daten, die ein Empfänger in pseudonymisierter Form erhält und die er selbst nicht mehr mit der betroffenen Person in Verbindung bringen kann, für den Empfänger keine personenbezogenen Daten mehr sind.
Der Entwurf geht jedoch deutlich darüber hinaus. Informationen sollen demnach für eine Stelle keine personenbezogenen Daten sein, wenn die Stelle die Person, auf die sich die Informationen beziehen, nicht identifizieren kann. Dabei sind die Mittel zu berücksichtigen, deren Einsatz durch die Stelle vernünftigerweise zu erwarten ist („taking into account the means reasonably likely to be used by that entity“). Die Informationen werden auch nicht zu personenbezogenen Daten für eine Stelle, wenn ein nachgeordneter Empfänger, wie ein Auftragsverarbeiter oder konkret z.B. eine KI, in der Lage ist, die Informationen der betroffenen Person zuzuordnen beziehungsweise erneut zuzuordnen.
Unsere Einschätzung
Kritik findet sich zum einen in der Bedeutung für die betroffenen Personen. Für sie wird es schwierig herauszufinden, ob Informationen für die jeweilige Stelle gerade personenbezogen sind oder nicht. Das wirkt sich vor allem auf die Möglichkeit aus, Betroffenenrechte, wie etwa einen Auskunftsanspruch, wirksam geltend zu machen.
Für Unternehmen führen die Änderungen indes ebenfalls zu schwierigen Herausforderungen. Bereits das Urteil des EuGHs führte in der Praxis zu Verwirrungen, von wem und inwiefern Informationspflichten erfüllt werden müssen oder beispielsweise, ob ein AV-Vertrag (Art. 28 Abs. 3 DSGVO) weiterhin erforderlich sei.
Hinzukommt nun, dass Unternehmen erörtern müssen, welche Mittel zur Identifikation einer Person von ihnen vernünftigerweise erwartet werden können. Eine Entscheidung, die nur im Einzelfall getroffen werden kann, da ein vernünftigerweise zu erwartendes Mittel nicht nur von der Größe und den Ressourcen des jeweiligen Unternehmens abhängt, sondern auch von der Art der Informationen und dem Zugang zu zusätzlichen Informationen, über die die betroffene Person identifiziert werden kann.
Beispiel: In der Praxis ist das besonders relevant, wenn IDs statt Identifizierungsmerkmalen wie Klarnamen verwendet werden. Einzelne Akteure verwenden z.B. im Bereich der Online-Werbung IDs, die einer Person zugeordnet werden können, ohne ihren Namen zu kennen. Mit hinreichendem Aufwand können diese Informationen jedoch zusammengetragen werden, so dass von den Profilen der IDs auf eine natürliche Person geschlossen werden kann. Entscheidend ist dann, ob eine solches Vorgehen vom jeweiligen Unternehmen vernünftigerweise zu erwarten ist.
Eine Orientierungshilfe zur Einordnung schafft potenziell der neue Art. 41a DSGVO. Die Kommission hat die Möglichkeit Durchführungsakte zu erlassen, die Mittel und Kriterien spezifizieren, wann Informationen durch Pseudonymisierung keine personenbezogenen Daten mehr für bestimmte Stellen sind. Dazu müssen der Stand der Technik berücksichtigt und bestimmte Kriterien und Kategorien für die Analyse einer möglichen Re-Identifikation entwickelt werden. Inwiefern eine potenzielle Verordnung das aufgeworfene Problem entschärft, ist zu diesem Zeitpunkt nicht vorherzusehen.
Theoretisch kann für Unternehmen darüber hinaus die Möglichkeit bestehen, bestimmte Identifikationsmerkmale wie Klarnamen, Adresse oder E-Mail-Adresse getrennt von den restlichen Informationen durch einen Dienstleister verarbeiten zu lassen und so dem Anwendungsbereich der DSGVO und der Erfüllung der damit verbundenen Pflichten zu entgehen.
Besondere Kategorien personenbezogener Daten
Änderung
Die zunächst umfassende Änderung von Art. 9 Abs. 1 DSGVO ist nicht mehr vorgesehen. Ursprünglich sollten nur solche personenbezogenen Daten noch als besondere Kategorien gelten, die direkt sensible Daten der betroffenen Person offenbaren.
Geblieben ist unter anderem die Erleichterung zur Verifizierung mit biometrischen Daten. In Art. 9 Abs. 2 lit. l DSGVO ist eine Ausnahme angedacht, die es erlaubt, biometrische Daten zu verarbeiten, wenn sie der alleinigen Kontrolle der betroffenen Person unterliegen.
Unsere Einschätzung
Die Entscheidung der Kommission Art. 9 DSGVO in dieser Form zu beschränken ist zu begrüßen. Die Unwägbarkeiten für Unternehmen aus dem OTC-Urteil des EuGH (C-21/23) bleiben dadurch zwar weiterhin ungelöst. Das Vorliegen besonderer Kategorien personenbezogener Daten auf eine direkte Offenbarung zu beschränken, hätte jedoch Daten aus dem Schutz des Art. 9 Abs. 1 DSGVO ausgeschlossen, aus denen sich z.B. der Gesundheitszustand oder die politische Orientierung einer Person nur ableiten lässt, wie bei Online-Werbung.
Künstliche Intelligenz
Änderung
Der Entwurf der EU-Kommission plant die die Verarbeitung besonderer Kategorien personenbezogener Daten für Anbieter und Betreiber künstlicher Intelligenz einfacher zu machen.
In Art. 9 Abs. 2 lit. k DSGVO soll weiterhin eine neue Ausnahme für künstliche Intelligenz hinzugefügt werden. Sensible Daten dürften dann im Zusammenhang mit dem Betrieb oder der Entwicklung von KI-Systemen verarbeitet werden, soweit weitere Vorgaben eingehalten werden. Zunächst müssen für die Verarbeitung geeignete technische und organisatorische Maßnahmen bestehen, die eine Verarbeitung besonderer Kategorien personenbezogener Daten so weit wie möglich verhindern. Werden trotzdem entsprechende personenbezogen Daten gefunden, müssen sie entfernt werden. Wenn das für den Verantwortlichen jedoch einen unverhältnismäßigen Aufwand bedeutet, muss er verhindern, dass mit Hilfe dieser Daten Ergebnisse produziert werden oder die Daten offengelegt werden.
Für die Definition von KI-Systemen wird dagegen auf die sehr weite Definition des Art. 3 Nr. 1 AI Act zurückgegriffen.
Über die bestehende Ausnahme in Art. 9 Abs. 2 it. g DSGVO wird in der KI-Verordnung in Art. 4a KI-VO die Verarbeitung besonderer Kategorien personenbezogener Daten für BIAS-Erkennung und Korrekturen im Zusammenhang mit Hochrisiko-KI-Systemen ermöglicht.
Des Weiteren schafft der geplante Art. 88c DSGVO ausdrücklich die Möglichkeit, personenbezogene Daten im Zusammenhang mit künstlicher Intelligenz auf Grundlage eines berechtigten Interesses zu verarbeiten (Art. 6 Abs. 1 lit. f DSGVO). Es werden jedoch keine weiteren Ausführungen zur Erforderlichkeit oder der notwendigen Interessenabwägung getroffen. Gerade bei künstlicher Intelligenz ist es für Betroffene schwer, die Folgen der verschiedenen Verarbeitungsschritte abzuschätzen. Das wäre bei einer vollständigen Interessenabwägung weiterhin zu beachten.
Rechtsmissbrauch bei Betroffenenrechten
Änderung
Ein Rechtsmissbrauch bei der Geltendmachung von Auskunftsersuchen wird zurzeit nur selten angenommen. Dem will die Kommission entgegenwirken. Dafür stellt der Entwurf klar, dass der Verantwortliche ein Recht zur Verweigerung einer Anfrage oder zur Übertragung der Kosten auf die betroffene Person hat, wenn diese die durch die DSGVO gewährten Rechte zu einem anderen Zweck als dem Schutz ihrer Daten „missbraucht“ („because the data subject abuses the rights conferred by this regulation for purposes other than the protection of their data“).
Die Beweislast verbleibt beim Verantwortlichen mit der Änderung, dass berechtigte Gründe zur Annahme exzessiver Anträge ausreichen.
Unsere Einschätzung
Problematisch ist diese Änderung vor dem Hintergrund einer Geltendmachung von Auskunftsersuchen zu verschiedenen Zwecken, wenn nicht alle davon dem Schutz ihrer Daten dienen. Auskunftsersuchen haben bereits wegen des Zusammenhangs mit den Verarbeitungen selbst häufig Zwecke, die über den Schutz der eigenen Daten hinausgehen. So werden Auskunftsersuchen gegenüber Arbeitgebern oder Anbietern von Social Media gestellt, um deren Umgang mit den eigenen Daten nachzuvollziehen, so unter Umständen Beweismittel sicherzustellen, die sonst ungleich schwerer zu erlangen wären und daraufhin Rechtsansprüche geltend zu machen. Welche dieser Zwecke noch zum Schutz der eigenen Daten dienen und ab welcher Schwelle ein „Missbrauch“ vorliegt, kann auch unter der beabsichtigten Änderung zu langwierigen Rechtsstreitigkeiten führen und Unternehmen, aber vor allem die Betroffenen, belasten.
Informationspflichten
Änderung
Eine Ausnahme vom Erfordernis einer Datenschutzerklärung soll es geben, wenn
- die Daten in einer klar umschriebenen Beziehung zwischen Verantwortlichem und Betroffenem erhoben wurden,
- die Aktivität nicht datenintensiv ist und
- davon ausgegangen werden kann, dass dem Betroffenen die entsprechenden Informationen aus Art. 13 Abs. 1 lit. a, c DSGVO bereits bekannt sind.
Die Ausnahme kann nicht verwendet werden, wenn der Verantwortliche die Daten an andere Empfänger oder in ein Drittland übermittelt, automatisierte Entscheidungen trifft oder die Verarbeitung zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person führen kann.
Unsere Einschätzung
Welche Verarbeitungen die Ausnahme betrifft, ist schwer festzustellen, da verschiedene Begriffe nicht definiert oder weiter erklärt sind. So ist die genaue Bedeutung von „klar umschriebene Beziehung“ („clear and circumscribed relationship“), wie auch „nicht datenintensiv“ („not data-intensiv“) nicht vorherzusehen. Im Falle von 3. kann regelmäßig nur davon ausgegangen werden, dass der betroffenen Person die erforderlichen Informationen bereits bekannt sind, wenn sie vom Verantwortlichen zur Verfügung gestellt worden sind. Das betrifft insbesondere die Rechtsgrundlage. Erfasst sollen vor allem Geschäfte des alltäglichen Lebens, wie z.B. mit Handwerkern sein, sowie die Verarbeitung personenbezogener Daten in Sportvereinen.
Aufgrund der umfangreichen Rückausnahmen wird die Änderung voraussichtlich keine große Entlastung für Unternehmen bedeuten. Hinzukommt, dass das Vorliegen der Ausnahme im Einklang mit dem Rechenschaftsprinzip aus Art. 5 Abs. 2 DSGVO zumindest in Grenzfällen einer Dokumentation bedürfen sollte.
Meldung von Datenschutzverletzungen
Änderung
Meldungen von Datenschutzverletzungen (Art. 33 DSGVO) sind nur noch in Fällen vorgesehen, in denen die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person führt. Dadurch wird die Schwelle für eine Meldung deutlich erhöht und dem Kriterium einer Meldung an betroffene Personen in Art. 34 Abs. 1 DSGVO angeglichen. Gleichzeitig wird die Frist für eine Meldung von 72 Stunden auf 96 Stunden verlängert.
Zudem sollen Meldungen über einen noch zu schaffenden „Single-Entry Point“ (SEP) möglich sein, wie es auch für Meldungen nach NIS-2 und DORA vorgesehen ist.
Unsere Einschätzung
Die Änderung dürfte zu einer deutlichen Reduzierung gemeldeter Datenschutzverstöße bei den Aufsichtsbehörden führen. Das entlastet sowohl Unternehmen als auch Aufsichtsbehörden, die bisher Datenschutzverletzungen melden bzw. bearbeiten müssen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für betroffene Personen.
Datenschutzfolgenabschätzung
Für Datenschutzfolgeabschätzungen (Art. 35 DSGVO) soll es eine zentrale Liste der Kommission geben, welche Verarbeitungen einer solchen Prüfung bedürfen. Diese Liste ersetzt die bisher existierenden einzelnen Listen der jeweiligen nationalen Aufsichtsbehörden.
Cookie-Banner
Änderung
Bestimmungen zu personenbezogenen Daten in Endgeräten sollen nach den Vorstellungen der Kommission aus Art. 5 Abs. 3 ePrivacy-Richtlinie in die DSGVO umziehen. Vorgaben über nicht-personenbezogene Daten in Endgeräten verbleiben derweil in der ePrivacy-Richtlinie.
Unsere Einschätzung
Während beide Vorschriften nebeneinander existieren würden und deren Vorgaben zur Gestaltung von Cookie-Bannern beachtet werden müssten, gibt es deutliche Unterschiede zwischen den Vorgaben des neuen Art. 88a DSGVO und Art. 5 Abs. 3 e-Privacy-Richtlinie.
Zum einen erfasst Art. 88a DSGVO nicht nur das Speichern von Information im Endgerät des Nutzers oder den Zugang zu solchen Informationen, die sich bereits auf dem Endgerät befinden, sondern die Verarbeitung personenbezogener Daten „auf oder von Endgeräten“ („on or from terminal equipment“). Die Formulierung ist so weit, dass sie auch die Verarbeitung innerhalb von Anwendungen eines Endgeräts betreffen könnte oder jedes personenbezogene Datum, dass vom Endgerät des Nutzers auf den Server eines Dienstleisters übertragen wird.
Die beabsichtigte Regelung bringt jedoch auch neue Ausnahmen mit sich. So würde es in Zukunft leichter, personenbezogene Daten zum Zweck der Reichweitenmessung oder der Sicherheit der angebotenen Dienstleistung zu verarbeiten. Diese treten neben die bekannten Ausnahmen einer ausdrücklichen Anfrage durch die betroffene Person und der Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.
Einwilligungen und Ablehnung zur Verarbeitung personenbezogener Daten unter diesen Regeln sollen mittels einer Single-Click-Lösung möglich sein. Die getroffene Auswahl soll für einen noch festzulegenden Zeitraum bestehen, ohne wiederholte Nachfrage durch den Verantwortlichen.
Die Einwilligung selbst soll für Internetnutzer einfacher werden. Dafür soll es möglich sein, Einwilligungen automatisiert und maschinenlesbar abzugeben. Websites müssen in der Lage sein, diese automatisierten Einwilligungen zu verarbeiten. Des Weiteren werden Anbieter von Webbrowsern, die keine KMU sind, in Art. 88b Abs. 6 DSGVO dazu verpflichtet, technische Möglichkeiten für Nutzer zu schaffen, Einwilligung automatisiert abzugeben oder zu abzulehnen.
Ausblick auf die DSGVO-Reform
Die eingangs gestellte Frage nach Entlastung oder Erosion lässt sich also nicht klar beantworten. Während einige Änderungen zu einer Entlastung durch verringerten Dokumentationsaufwand in der bisherigen Praxis führen können, werden vor allem Änderungen an grundlegenden Definitionen, also der DNA der DSGVO, und für künstliche Intelligenz zu einem unvorhersehbaren Rückgang des Schutzes betroffener Personen führen.
Es wird als sowohl Entlastung als auch Erosion geben. Fraglich ist nur, wie viel wir davon jeweils bekommen.
Die grundlegenden Änderungen an der DSGVO führen neben dem Rückgang des Schutzes betroffener Personen zu Rechtsunsicherheit. Die scheinbaren Entlastungen für Unternehmen werden zumindest in der Anfangsphase mit rechtlichen Unwägbarkeiten verbunden sein, da verschiedene neue Rechtsbegriffe eingeführt werden, die einer Klärung bedürfen. Es wird daher nach jetzigem Stand bei Inkrafttreten der Änderungen eingehender juristischer Analysen bedürfen und zur abschließenden Klärung nicht zuletzt jede Menge Rechtsprechung erfordern.
Man muss hoffen, dass der bisherige Kommissionentwurf im weiteren Gesetzgebungsverfahren einige seiner Schwächen verliert und klare Vorgaben schafft, die den Aufwand für kleine und mittlere Unternehmen tatsächlich verringern, ohne den Grundrechtsschutz für personenbezogene Daten aus Art. 8 Grundrechtecharta zu erodieren.