Zurück zur Übersicht
27.11.2025 Fachbeitrag

Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?

Update Datenschutz Nr. 223

Mit dem Vorschlag für einen „Digital Omnibus“ greift die Europäische Kommission erstmals unmittelbar in den Regelungsbestand der DSGVO ein (wir berichteten In Datenschutzupdate Nr. 219 und Nr. 221). Ziel ist es, ausgewählte Bestimmungen zu präzisieren, an benachbarte Rechtsakte wie den Data Act und den AI Act anzupassen und zugleich Umsetzungsaufwand für Unternehmen zu reduzieren. Besonders bedeutsam sind dabei Änderungen an den zentralen Begrifflichkeiten der Verordnung sowie neue Öffnungsklauseln für das Training von KI-Systemen. Diese Eingriffe betreffen die praktische Anwendung der DSGVO in fundamentaler Weise und werfen zugleich Fragen nach Reichweite, Vereinbarkeit und möglichen Auswirkungen auf das bestehende Datenschutzniveau auf. Der folgende Beitrag analysiert die geplanten Anpassungen im Detail und zeigt die daraus resultierenden Umsetzungsanforderungen für Verantwortliche und Auftragsverarbeiter auf.

I. Hintergrund: Der Digital-Omnibus der EU-Kommission

Der Digital-Omnibus ist die Antwort der EU-Kommission auf die wachsende Unübersichtlichkeit des europäischen Digitalrechts. In den vergangenen Jahren ist eine Reihe neuer Regelwerke in Kraft getreten, die inhaltlich eng miteinander verbunden sind, aber häufig unterschiedliche Begriffe, Verfahren und Fristen verwenden. Für Unternehmen und Behörden führt dies in der Praxis zu Doppelprüfungen, parallelen Meldepflichten und Unsicherheiten an den Schnittstellen zwischen Data Act, AI Act, DSGVO, ePrivacy und Cybersicherheitsrecht.

Um diese Brüche zu verringern, hat die Kommission im Sommer 2025 ein Verfahren zur Vereinfachung gestartet und Rückmeldungen aus Verwaltung, Wirtschaft und Verbänden eingeholt. Auf dieser Grundlage wurden nun erste Entwürfe für einen „Digital Omnibus“ vorgelegt. Ziel ist es, bestehende Vorschriften besser aufeinander abzustimmen, Begriffe zu vereinheitlichen und unnötige Überschneidungen zu entfernen. Dazu zählen auch punktuelle Anpassungen der DSGVO, die das Zusammenspiel mit KI- und Datenregulierung klarer fassen und bestimmte Abläufe vereinfachen sollen.

II. Geplante Änderungen der DSGVO durch den Omnibus

1. Begriff der „personenbezogenen Daten“ gem. Art. 4 Nr. 1 DSGVO

Der Digital-Omnibus präzisiert erstmals unmittelbar den Begriff „personenbezogene Daten“ als zentralen Anknüpfungspunkt der DSGVO. Die vorgeschlagene Ergänzung zu Art. 4 Nr. 1 stellt klar, dass pseudonymisierte Daten für den Datenempfänger nicht allein deshalb personenbezogen sind, weil sie für den Verantwortlichen Personenbezug haben. Entscheidend soll künftig ausschließlich sein, ob der konkrete Dateninhaber über Mittel verfügt, die „vernünftigerweise wahrscheinlich“ zu einer Identifikation führen würden.

Diese Formulierung knüpft zwar an die EuGH-Rechtsprechung an, verschiebt den Maßstab aber erkennbar in Richtung einer engeren, adressatenbezogenen Betrachtung. Erwägungsgrund 25 betont ausdrücklich, dass das Vorhandensein zusätzlicher Informationen bei Dritten die Daten nicht automatisch für alle Beteiligten zu personenbezogenen Daten macht. Dies bedeutet in der Praxis eine deutliche Stärkung pseudonymisierter und kontextabhängig „identifikationsarmer“ Datenverarbeitung, denn wer selbst keine realistische Möglichkeit zur Re-Identifizierung hat, fällt grundsätzlich nicht mehr unter die DSGVO. Auch das Risiko einer späteren Weitergabe an eine Stelle, die über entsprechende Zusatzinformationen verfügt, ändert daran für den ursprünglichen Verarbeiter nichts. Die Kommission verweist auf die EuGH-Linie, wonach ein Identifikationsrisiko dann nicht „vernünftigerweise wahrscheinlich“ ist, wenn es faktisch bedeutungslos wäre oder einen unverhältnismäßigen Aufwand erfordern würde. Ergänzend hierzu soll ein neuer Art. 41a DSGVO die Kommission verpflichten, technische Standards zu definieren, die die Wiederherstellung des Personenbezugs so weit wie möglich ausschließen. Praktisch erweitert sich damit der Spielraum für datenverarbeitende Stellen erheblich. Dieselbe Datei kann künftig für Unternehmen A Personenbezug haben, während sie für Unternehmen B mangels technischer oder organisatorischer Identifizierungswege als nicht-personenbezogene Information gilt. Gerade für KI-Provider, Cloud-Dienstleister oder Datenintermediäre bedeutet dies eine spürbare Ausweitung datenschutzfreier Verarbeitungszonen.

2. Berechtigtes Interesse als Grundlage für KI-Training (Art. 6 Abs. 1 lit. f DSGVO)

In den Erwägungsgründen 27 und 28 stellt die Kommission klar, dass das Training, Testen und Validieren von KI-Systemen und Modellen mit personenbezogenen Daten einschließlich großer generativer Modelle wie LLMs grundsätzlich auf ein berechtigtes Interesse an der Verarbeitung nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Die Kommission betont, dass KI-Systeme in allen Phasen ihres Lebenszyklus regelmäßig auf große Datenmengen angewiesen sind und dass dieses Traning in vielen Fällen gesellschaftliche Vorteile mit sich bringt, etwa durch Bias-Erkennung, höhere Sicherheit oder verbesserte Barrierefreiheit. Damit wird eine Rechtsgrundlage etabliert, auf die Anbieter sich künftig systematisch berufen können, ohne auf Einwilligungen angewiesen zu sein. Allerdings bleibt das bekannte Dreistufenmodell des Art. 6 Abs. 1 lit. f unberührt: Die Interessenabwägung muss weiterhin durchgeführt und dokumentiert werden und sämtliche Grundsätze der DSGVO gelten fort. Der Entwurf schärft jedoch bei den Anforderungen an diese Abwägung nach. Verantwortliche müssen insbesondere berücksichtigen, ob das KI-Training für Betroffene oder für die Allgemeinheit Nutzen stiftet, ob die Verarbeitung ihren vernünftigen Erwartungen entspricht und welche konkreten Schutzmechanismen eingesetzt werden, um Risiken wie Datenlecks, Regurgitation oder unbeabsichtigte memorisierte Inhalte zu verhindern. Die Kommission nennt ausdrücklich Maßnahmen wie verstärkte Transparenz, Datenminimierung, ein unbedingtes Widerspruchsrecht oder die Berücksichtigung technischer Signale, die die Nutzung der Daten zu Trainingszwecken ausschließen sollen.

3. Neue Öffnung für besondere Kategorien im KI-Kontext (Art. 9 Abs. 2 lit. k und Abs. 5)

Neben der allgemeinen Rechtsgrundlage im Bereich des Art. 6 erweitert der Entwurf auch die Möglichkeiten zur Verarbeitung besonderer Kategorien personenbezogener Daten im Zusammenhang mit KI. Der neu eingefügte Art. 9 Abs. 2 lit. k erlaubt eine residuale Verarbeitung sensibler Daten im Training, Test oder Betrieb von KI-Systemen, sofern der Verantwortliche wirksame technische und organisatorische Maßnahmen trifft, um die Erhebung und Verarbeitung solcher Daten „so weit wie irgend möglich“ (Art. 9 Abs. 5) zu vermeiden. Diese Öffnung ist bewusst eng begrenzt: Sie greift ausschließlich dann, wenn sensible Daten nicht absichtlich verarbeitet werden, sondern lediglich unvermeidbare Einschlüsse darstellen, die sich auch mit hohen Qualitätssicherungsstandards nie vollständig ausschließen lassen. Art. 9 Abs. 5 schreibt den Verantwortlichen vor, solche Daten aktiv zu identifizieren und zu entfernen, sobald sie entdeckt werden. Nur wenn die Entfernung unverhältnismäßigen Aufwand erfordert – etwa, weil das Entfernen aus einem bereits trainierten Modell eine vollständige Rekonstruktion notwendig machen würde – darf ausnahmsweise von einer Entfernung abgesehen werden. In diesem Fall müssen die Daten jedoch so geschützt werden, dass sie weder zur Erzeugung von Modell-Outputs genutzt noch offengelegt oder anderweitig zugänglich werden können. Der zugehörige Erwägungsgrund 29 zeigt, dass die Kommission die technische Realität moderner KI-Systeme anerkennt, da auch bei starker Vorfilterung Reste sensibler Daten im Trainingsmaterial verbleiben können oder im KI-Modell gespeichert werden. Gleichzeitig betont der Entwurf, dass diese Ausnahme strikt auf Fälle beschränkt ist, in denen die sensiblen Daten für den Zweck nicht erforderlich sind. Sobald besondere Kategorien für das KI-Training gezielt genutzt werden sollen – etwa um Bias zu erkennen oder Repräsentativität zu verbessern – gelten weiterhin die klassischen Ausnahmen des Art. 9 Abs. 2 lit. a–j DSGVO.

4. Weitere DSGVO-Änderungen (Kurzüberblick)

Neben diesen Kernbereichen nimmt der Omnibus mehrere weitere präzisierende Anpassungen vor. Die Definition der Gesundheitsdaten wird konkretisiert und darauf beschränkt, dass der Gesundheitsstatus unmittelbar erkennbar sein muss. Damit soll verhindert werden, dass bloße Ableitungen oder Wahrscheinlichkeiten automatisch unter Art. 9 fallen. Außerdem sollen die Regelungen zur Meldung von Datenschutzverletzungen harmonisiert werden. Meldepflichten bestehen nur noch bei hohem Risiko, die Frist verlängert sich auf 96 Stunden und Mehrfachmeldungen unter DSGVO, NIS2 und DORA sollen durch ein gemeinsames Meldeverfahren ersetzt werden. Schließlich werden mehrere Bestimmungen terminologisch an bestehende Digitalgesetze angepasst, insbesondere an den AI Act sowie an technische Definitionen aus DMA und eIDAS.

III. Kritik und offene Rechtsfragen

Die vorgeschlagenen Änderungen der DSGVO stoßen in Politik, Wirtschaft und Datenschutzpraxis auf geteilte Meinungen. Während die Kommission die Anpassungen als technische Klarstellungen versteht, sehen viele Beobachter darin materielle Verschiebungen, die praktische und dogmatische Fragen aufwerfen. Ein Schwerpunkt der Kritik betrifft die neue Auslegung des Personenbezugs. Die stärker kontextabhängige Bestimmung, wonach Daten für eine Stelle nur dann personenbezogen sind, wenn sie selbst über realistische Identifikationsmöglichkeiten verfügt, wird von Fachleuten zwar grundsätzlich als konsequente Weiterentwicklung der EuGH-Rechtsprechung bewertet; zugleich besteht die Sorge, dass dies den Anwendungsbereich der DSGVO in der Praxis spürbar verengt. Insbesondere bei komplexen Datenökosystemen, Cloud-Infrastrukturen oder dienstleistungsbasierten KI-Modellen stellt sich die Frage, ob Verantwortliche künftig zu leicht argumentieren können, ihnen stünden keine Identifikationsmittel zur Verfügung und ob Aufsichtsbehörden die Plausibilität solcher Annahmen überhaupt wirksam prüfen können.

Kontrovers diskutiert wird auch die vorgesehene Rechtfertigung des KI-Trainings mit dem berechtigten Interesse. Zwar bleibt der Grundmechanismus der Interessenabwägung formal unberührt, jedoch führen die neuen Erwägungsgründe faktisch zu einer Legitimierung breiter Trainings- und Testverfahren, die bislang häufig auf Einwilligungen oder komplexe anonymisierende Vorverarbeitung angewiesen waren. Die Frage, ob ein generelles Innovationsinteresse eines KI-Anbieters regelmäßig ausreichen kann, um die Verarbeitung umfangreicher Datensätze zu rechtfertigen, ist rechtlich noch ungeklärt. Offene Punkte betreffen zudem das Verhältnis zur Zweckbindung, das Erfordernis der Erwartungskongruenz sowie die praktische Umsetzbarkeit eines „unbedingten Widerspruchsrechts“, das im Kontext großer Modelle technisch derzeit nur begrenzt abbildbar ist.

Besonders sensibel ist der neue Ausnahmegrund des Art. 9 Abs. 2 lit. k für unvermeidbare Einschlüsse besonderer Kategorien im KI-Training. Während die Erwägungsgründe betonen, dass die Öffnung eng und nur für residuale Daten gedacht ist, stellt sich aus Sicht der Aufsichtsbehörden die Frage, wie eine tatsächliche Vermeidbarkeit überprüft werden kann. Modelle können sensible Informationen auf unterschiedlichste Weise „absorbieren“, und die technischen Möglichkeiten zur Entfernung solcher Inhalte sind bisher begrenzt. Umstritten ist zudem, wie die Grenze zwischen „unverhältnismäßigem Aufwand“ und einer tatsächlich möglichen Bereinigung zu ziehen ist insbesondere bei bereits trainierten Modellen, deren Retraining hohe Kosten verursacht. Die Einführung eines neuen Ausnahmegrundes in Art. 9 wirft außerdem die Frage auf, ob sich damit nicht ein paralleles, KI-spezifisches Regime für sensible Daten etabliert, das mit den bisherigen Kategorien nur teilweise kompatibel ist.

Daneben bestehen weitere ungeklärte Punkte, etwa zur Wirkung der neuen Gesundheitsdaten-Definition auf bestehende Forschungs- und Versicherungsmodelle, zur Frage der Aufsichtszuständigkeiten bei der Bewertung „empfängerbezogener“ Personenbezogenheit oder zu den Wechselwirkungen zwischen DSGVO, Data Act und AI Act bei gemeinsamen Datenräumen und Trainingsinfrastrukturen. Auch die potenzielle Fragmentierung durch nationale Auslegungspraxis wird vielfach als Risiko benannt: Je stärker der Personenbezug und die Interessenabwägung vom konkreten Kontext abhängen, desto größer ist die Gefahr divergierender Bewertungen in den Mitgliedstaaten.

IV. Praktische Umsetzung für Verantwortliche und Auftragsverarbeiter

Sollte der Digital-Omnibus in der vorliegenden Form verabschiedet werden, würde dies für Unternehmen nicht nur zusätzlichen Anpassungsbedarf schaffen, sondern zugleich neue Gestaltungsspielräume eröffnen. Die Änderungen betreffen zentrale Elemente der DSGVO-Praxis: die Frage, wann Daten überhaupt personenbezogen sind, die Nutzung personenbezogener Daten für das KI-Training sowie den Umgang mit sensiblen Daten. Verantwortliche sollten daher prüfen, welche bestehenden Prozesse angepasst werden müssen – und in welchen Bereichen sich aus den neuen Regeln konkrete Vorteile ergeben können.

Ein wesentlicher Baustein ist die adressatenbezogene Neubewertung des Personenbezugs. Unternehmen müssten künftig systematisch dokumentieren, über welche Identifikationsmittel sie tatsächlich verfügen und welche Re-Identifizierungsmöglichkeiten realistisch sind. Dies erfordert strukturierte Gutachten zu den vorhandenen Daten, ergänzenden Informationen und technischen Zugriffsmöglichkeiten im Einzelfall. Der Aufwand lohnt sich jedoch: Wenn ein Unternehmen nachweisen kann, dass eine Identifizierung mit eigenen Mitteln nicht möglich ist, fällt die betreffende Verarbeitung nicht mehr in den Anwendungsbereich der DSGVO. Damit entfallen umfangreiche Pflichten – von Informations- und Rechenschaftsanforderungen bis hin zu Betroffenenrechten und Sicherheitsmaßnahmen. Für datengetriebene Geschäftsmodelle, für Cloud-Dienstleister oder für KI-Anbieter kann dies eine erhebliche Entlastung darstellen. Unternehmen sollten deshalb frühzeitig Modelle und Prüfschemata entwickeln, um Daten in „personenbezogen“ und „nicht personenbezogen im Empfängerkontext“ zu gliedern. Je klarer diese Abgrenzung getroffen und dokumentiert ist, desto größer ist der rechtliche und organisatorische Vorteil.

Für Unternehmen, die KI-Systeme entwickeln, testen oder trainieren, gewinnt die neue Möglichkeit, sich auf das berechtigte Interesse zu stützen, erhebliche praktische Bedeutung. Sie macht es möglich, gleichzeitig aber auch erforderlich, ein spezifisches, KI-bezogenes Abwägungsmodell einzuführen. Die Interessenabwägung muss sich künftig stärker auf die technischen Risiken fokussieren und insbesondere die Erwartungen der Betroffenen, die Sicherheitsmechanismen und die Möglichkeit eines Widerspruchs berücksichtigen. Unternehmen sollten daher standardisierte Bewertungsmatrizen entwickeln, die – im Zusammenspiel mit technischen Maßnahmen – eine konsistente und revisionssichere Rechtsgrundlage schaffen. Richtig umgesetzt bietet diese Öffnung klare Vorteile: KI-Anbieter wären nicht mehr auf Einwilligungskaskaden oder schwer skalierbare Opt-in-Mechanismen angewiesen. Insbesondere bei Modellen mit hohen Datenmengen oder unstrukturierten Trainingsquellen erlaubt Art. 6 Abs. 1 lit. f n.F. eine robuste, langfristig tragfähige Rechtsgrundlage. Wer hier frühzeitig klare Prozesse schafft, verbessert nicht nur die Rechtssicherheit, sondern beschleunigt Entwicklungszyklen und reduziert Abstimmungsaufwände.

Auch die neue Öffnungsklausel für verbliebene sensible personenbezogene Datenin Art. 9 Abs. 2 lit. k verlangt zusätzliche organisatorische und technische Maßnahmen. Unternehmen benötigen künftig Verfahren zur Erkennung und Entfernung sensibler Daten – etwa durch automatisierte Klassifikatoren, manuelle Kurationsschritte oder kontrollierte Prüfpipelines. Gleichzeitig müssen sie dokumentieren, in welchen Fällen eine Entfernung technisch nicht möglich oder unverhältnismäßig wäre und welche Schutzmaßnahmen dann implementiert wurden. Obwohl dieser Prozess zunächst komplex erscheint, schafft er einen klareren regulatorischen Rahmen im Umgang mit unvermeidbaren sensiblen Restdaten. Statt in einer Grauzone zu operieren, können sich Unternehmen auf einen definierten Ausnahmegrund stützen, der – wenn sauber dokumentiert – die Rechtsposition deutlich stabilisiert. Gerade für Anbieter großer Modelle, bei denen ein vollständiges Entfernen sensibler Daten nie vollständig gewährleistet werden kann, besteht damit erstmals ein rechtssicherer Umgang mit diesem Problem.

Hinzu kommen zusätzliche Anpassungen im allgemeinen Datenschutzmanagement. Die restriktivere Definition der Gesundheitsdaten macht eine Neubewertung bestehender Datenkategorien erforderlich, eröffnet Unternehmen jedoch die Möglichkeit, bisher fälschlich „überkategorisierte“ Daten aus strengeren Sensitivitätsstufen herauszulösen. Dies kann sich positiv auf Löschfristen, Verarbeitungsgrundlagen und Datenschutz-Folgenabschätzungen auswirken. Die Klarstellung zu biometrischer Verifikation ermöglicht in bestimmten Anwendungsfällen schlankere Identitätsprüfungen, ohne dass der volle Art. 9-Regelungsapparat greift.

Schließlich müssen Verantwortliche die neuen Schnittstellen zwischen DSGVO, Data Act und AI Act berücksichtigen. Der Omnibus erzwingt künftig eine stärker integrierte Governance über Datenklassifizierung, Zweckbindung, Risikoanalyse und technische Sicherungsmaßnahmen hinweg.

V. Fazit und Ausblick

Die Entwürfe der EU-Kommission für einen Digital-Omnibus sind ein wichtiger Schritt für einen klareren und praxisnäheren europäischen Datenschutzrahmen. Die vorgeschlagenen Änderungen an der DSGVO schaffen in zentralen Bereichen mehr Rechtsklarheit, führen aber zugleich zu neuen Abgrenzungs- und Dokumentationsaufgaben. Unternehmen profitieren davon, wenn sie frühzeitig prüfen, welche Datenverarbeitungen aufgrund der neuen, kontextbezogenen Identifizierbarkeitsprüfung künftig außerhalb der DSGVO liegen können und wie sich das berechtigte Interesse als Grundlage für KI-Training belastbar ausgestalten lässt.

Wie weit Parlament und Rat die Vorschläge der Kommission tragen werden, bleibt abzuwarten. Angesichts des politischen Drucks, digitale Innovation zu erleichtern und zugleich ein hohes Datenschutzniveau zu erhalten, ist jedoch davon auszugehen, dass zumindest wesentliche Elemente des Entwurfs den Weg in das endgültige Gesetz finden. Unternehmen sollten die weitere Entwicklung daher eng verfolgen und ihre Datenschutz- und KI-Governance frühzeitig so ausrichten, dass sie mit den neuen Regelungen kompatibel ist. Dies ermöglicht nicht nur eine effizientere Compliance, sondern schafft auch Spielräume für neue datenbasierte Geschäftsmodelle.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.