Der Digital Omnibus ist ein geplantes Paket von Gesetzesänderungen auf EU-Ebene, das die zunehmend komplexe Regulierungslandschaft rund um Daten, künstliche Intelligenz und digitale Verantwortung vereinfachen und straffen soll. Ziel ist es nicht, den Schutz personenbezogener Daten zu schwächen, sondern die Kosten für die Einhaltung der Vorschriften, insbesondere für kleine und mittlere Unternehmen, zu senken und gleichzeitig hohe Sicherheitsstandards zu gewährleisten.

In diesem Artikel erklären wir:

wie sich die Definition personenbezogener Daten ändern könnte und warum dies eine gute Nachricht für kleinere Unternehmen ist,
wenn ein Vorfall als „wahrscheinlich hohes Risiko“ eingestuft wird,
und warum 96 Stunden für die Meldung eines Verstoßes bald zum neuen Standard werden könnten.

Was ist der Digital Omnibus und woher stammt er?

Das Digital Omnibus ist kein einzelnes neues Gesetz, sondern ein Paket koordinierter Änderungen bestehender und zukünftiger Verordnungen, wie beispielsweise der DSGVO, des KI-Gesetzes und des Datenschutzgesetzes. Die Europäische Kommission stellte Folgendes fest:

Die gleichen Begriffe werden in verschiedenen Rechtsakten unterschiedlich definiert
Berichtspflichten werden häufig doppelt erfüllt
und kleine und mittlere Unternehmen sind mit unverhältnismäßig hohen Kosten für die Einhaltung des Gesetzes konfrontiert.

Das Omnibusgesetz soll daher als „gesetzliche Vereinfachung“ dienen – ohne die Grundlagen des Datenschutzes zu revolutionieren, sondern mit einer klaren Korrektur der praktischen Verpflichtungen.

Wie wird sich die Definition von „personenbezogenen Daten“ verändern?

Die wichtigste vorgeschlagene Änderung betrifft die Klarstellung, wann Daten tatsächlich personenbezogene Daten darstellen und wann das Risiko der Identifizierung einer Person lediglich theoretischer Natur ist.

Aktueller Status

Heutzutage werden personenbezogene Daten häufig als Informationen betrachtet, die:

kann möglicherweise zur Identifizierung einer Person führen
selbst wenn der Administrator keine wirklichen Mittel hat, diese Identifizierung vorzunehmen.

In der Praxis führt dies zu folgender Situation:

hochgradig aggregierte Daten,
pseudonymisierte Datensätze,
Technische Daten (z. B. Systemprotokolle)
werden genauso behandelt wie Name, Nachname oder PESEL-Nummer.

Was wird sich ändern?

Der Digital Omnibus geht von einer Verlagerung des Schwerpunkts hin zu realistischen Identifizierungsmöglichkeiten aus, anstatt zu rein hypothetischen.

Das bedeutet Folgendes:

Daten gelten nur dann als personenbezogen, wenn es mit zumutbaren Mitteln möglich ist, sie einer bestimmten Person zuzuordnen
Bei der Bewertung werden der Umfang der Geschäftstätigkeit des Administrators, die verfügbaren Technologien und die Kosten berücksichtigt.

Was bedeutet das für kleinere Unternehmen?

Für KMU bedeutet dies potenziell eine enorme Veränderung:

weniger Dokumentationspflichten
weniger Datenschutz-Folgenabschätzungen (DSFA),
geringeres Risiko von Sanktionen wegen „Überinterpretation“ des Begriffs der personenbezogenen Daten.

Ab wann wird ein Vorfall zu einem „wahrscheinlich hohen Risiko“?

Eines der problematischsten Elemente der DSGVO ist derzeit die Beurteilung des Risikos einer Verletzung der Rechte und Freiheiten natürlicher Personen. In der Praxis wenden viele Verantwortliche folgende Praxis an:

Meldet fast jeden Vorfall „nur für alle Fälle“,
betrachtet das Amt für den Schutz personenbezogener Daten als „Schutzmechanismus“ gegen Vorwürfe der Unterlassung.

Ein neuer Ansatz im Digital Omnibus

Das Änderungspaket soll objektivere Kriterien für die Beurteilung einführen, wann ein Risiko als „wahrscheinlich hoch“ eingestuft wird.

Folgendes ist unter anderem zu berücksichtigen:

Datentyp (reguläre vs. spezielle Kategorien),
Ausmaß des Verstoßes (Anzahl der Betroffenen, Umfang der Daten),
Leichtigkeit der Personenidentifizierung
reale Folgen (Identitätsdiebstahl, finanzielle Verluste, Diskriminierung).

Praktische Auswirkung

Kleinere technische Störungen wie zum Beispiel:

Kurzfristiger Mitarbeiterzugriff auf Daten,
Eine fehlgeleitete E-Mail ohne sensible Daten
wird nicht automatisch als risikoreich eingestuft.

Dies bedeutet weniger „vorsorgliche“ Meldungen und einen rationaleren Umgang mit Verstößen.

Warum könnten 96 Stunden für die Meldung eines Verstoßes zur Norm werden?

Aktuell sieht die DSGVO eine Meldefrist von 72 Stunden ab dem Zeitpunkt der Entdeckung einer Datenschutzverletzung vor. In der Praxis variiert diese Frist:

zu kurz für eine verlässliche Analyse
An Wochenenden und Feiertagen schwer aufrechtzuerhalten
Quelle unvollständiger oder verfrühter Meldungen.

Vorschlag für einen digitalen Omnibus

Der neue Ansatz setzt Folgendes voraus:

Verlängerung der Frist auf 96 Stunden,
Der Schwerpunkt sollte eher auf der Qualität des Berichts als auf seiner Geschwindigkeit liegen.

Was ändert sich dadurch?

Administratoren und Datenschutzbeauftragte:

Sie gewinnen dadurch Zeit für eine fundierte Risikobewertung
Sie werden in der Lage sein, umfassendere technische Informationen zu sammeln
wird die Anzahl der Korrekturen und Ergänzungen nach der Meldung begrenzen.

Für die Aufsichtsbehörden bedeutet dies weniger Informationschaos und eine bessere Qualität der Vorfallsdaten.

Welche Auswirkungen wird der Digital Omnibus auf die Rolle des Administrators und des Datenschutzbeauftragten haben?

Das Änderungspaket schafft die Verantwortung nicht ab, sondern ordnet sie neu.

Datenadministrator:

wird Entscheidungen auf der Grundlage präziserer Kriterien treffen
wird übermäßige Vorsicht reduzieren, die Kosten verursacht
wird größere Rechtssicherheit erlangen.

Datenschutzbeauftragter:

wird sich auf reale Bedrohungen konzentrieren
statt formale Verpflichtungen einfach nur abzuhaken,
wird eher zu einem strategischen Berater als zu einem Hüter der Verfahren werden.

Zusammenfassung – weniger Formalität, mehr Sinn

Der Digitale Omnibus ist ein Signal dafür, dass die EU die Regulierungsmüdigkeit der Unternehmen anerkennt. Änderungen bei der Definition personenbezogener Daten, der Risikobewertung und den Meldefristen könnten realistischerweise Folgendes bewirken:

Compliance-Kosten reduzieren
die Anzahl unnötiger Pflichten reduzieren,
Die Qualität des Datenschutzes verbessern, anstatt ihn nur vorzutäuschen.

Wenn Sie ein Datenverantwortlicher oder Datenschutzbeauftragter sind, lohnt es sich, sich jetzt auf diese Änderungen vorzubereiten und zu analysieren, wie sie sich auf Ihre internen Abläufe und mögliche Verfahren auswirken werden.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

Rechtsstatus ab dem 14. Januar 2026.

Autor/Herausgeber der Reihe:

Mateusz Grosicki

Rechtsanwalt, Partner
+48 506 367 109 | m.grosicki@kglegal.pl

Beitragsaufrufe: 49

Die Anwaltskanzlei Graś i Wspólnicy steht für Professionalität, Erfahrung und Unterstützung.

Digital Omnibus und DSGVO, KI-Gesetz und Datenschutzgesetz – was ändert sich in der Praxis für Unternehmen?

Neueste Beiträge

Entwurf einer Änderung des Gesetzes über das Eigentum an Grundstücken

Sanktionen im KSeF

Der Grundsatz der Lohngleichheit im Arbeitsrecht – Anwendungsbereich, Bedeutung und rechtliche Konsequenzen

Kofinanzierung für die Registrierung von Marken und Geschmacksmustern

Entschädigungsansprüche wegen Wertminderung von Immobilien infolge von Änderungen des kommunalen Raumordnungsplans

Unsere Zyklen

Anwaltskanzlei Warschau
Graś und Partner

Unsere Dienstleistungen

Speisekarte

Kontaktieren Sie uns!