Die EU-Kommission will mit dem Digital Omnibus das digitale Regelwerk „vereinfachen“ und damit Compliance günstiger und schneller machen. Genau hier sehen Europas höchste Datenschutzinstanzen ein Risiko: In ihrer gemeinsamen Stellungnahme (Joint Opinion 2/2026) warnen der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) davor, dass einzelne Vorschläge nicht nur Bürokratie abbauen, sondern den Schutz personenbezogener Daten spürbar schwächen könnten.
Was ist der Digital Omnibus?
Der Digital Omnibus ist ein Gesetzgebungsvorschlag der EU-Kommission (veröffentlicht am 19. November 2025). Er ist kein neues Einzelgesetz, sondern ein Paket, das gleichzeitig Änderungen an mehreren bestehenden Regeln anstösst, u. a. DSGVO, ePrivacy, Data Act und NIS-2.
Wichtig: Das Ganze ist noch nicht in Kraft. Der Vorschlag muss durch das ordentliche Gesetzgebungsverfahren (Parlament und Rat). Inhalt und Zeitplan sind daher offen – größere Änderungen am Text sind realistisch.
Warum die Datenschutzbehörden so deutlich warnen
Am 11. Februar 2026 haben EDSA und EDSB ihre gemeinsame Bewertung veröffentlicht. Sie unterstützen zwar grundsätzlich das Ziel, Regeln praktikabler zu machen, halten aber mehrere Vorschläge für zu weitgehend, insbesondere dort, wo Grundbegriffe der DSGVO verändert würden.
Der Kern der Kritik: „Vereinfachung“ darf aus Sicht der Behörden nicht bedeuten, dass der Datenschutz an entscheidenden Stellen enger ausgelegt wird oder dass mehr Unsicherheit entsteht, weil neue Abgrenzungen erst später konkretisiert werden.
Streitpunkt 1: Die Definition „personenbezogener Daten“ soll verschoben werden
Der heikelste Punkt betrifft die Definition personenbezogener Daten in der DSGVO (Art. 4 Abs. 1). Der Vorschlag zielt darauf ab, stärker auf die Perspektive der verarbeitenden Stelle abzustellen, vereinfacht gesagt: Daten könnten für ein Unternehmen „nicht personenbezogen“ sein, wenn es eine Person mit seinen verfügbaren Mitteln nicht identifizieren kann, selbst wenn ein anderer Akteur es könnte.
Dazu kommt ein zweites Element, das die Behörden besonders kritisch sehen: Die Kommission soll per Durchführungsrechtsakt Kriterien festlegen können, wann Daten aus Pseudonymisierung für bestimmte Stellen „nicht mehr personenbezogen“ sind. EDSA/EDSB warnen, dass damit der Umfang der DSGVO-Pflichten faktisch eingeengt werden könnte und dass das weit über eine „technische Klarstellung“ hinausgeht.
Warum das für Online-Marketing relevant ist: Viele Setups arbeiten mit „pseudonymen“ Signalen (z. B. gehashte Identifier, Event-Daten, Matching-IDs, Server-Side Events). Wenn sich die rechtliche Einordnung verschiebt, kann das später Auswirkungen haben auf Pflichten (Transparenz, Rechtsgrundlage, Verträge, Betroffenenrechte) und gleichzeitig neue Grauzonen schaffen, wer welche Verantwortung trägt, sobald Daten zwischen mehreren Parteien fliessen.
Streitpunkt 2: Auskunftsrecht, droht ein „Motiv-Test“?
Ein weiterer Konfliktpunkt ist die geplante Einschränkung rund um das Auskunftsrecht. Die Behörden begrüssen zwar mehr Klarheit gegen echten Missbrauch, kritisieren aber ausdrücklich die Idee, Auskunftsanfragen davon abhängig zu machen, zu welchem Zweck jemand sein Recht ausübt (z. B. nicht nur „Datenschutz“, sondern auch andere legitime Zwecke). Aus ihrer Sicht schützt die DSGVO auch andere Grundrechte und ein solcher „Motiv-Test“ wäre problematisch.
Für Unternehmen wäre das zwar auf den ersten Blick „weniger Aufwand“. Gleichzeitig erhöht es aber das Risiko, dass Betroffenenrechte künftig uneinheitlich behandelt werden und Streit über die Zulässigkeit von Anfragen zunimmt – also genau das Gegenteil von Rechtssicherheit.
Streitpunkt 3: KI-Training, „berechtigtes Interesse“ klingt nach Lösung, bleibt aber komplex
Der Digital Omnibus adressiert auch KI-Themen. Beim „berechtigten Interesse“ als mögliche Rechtsgrundlage für bestimmte KI-Kontexte sagen EDSA/EDSB sinngemäß: Das ist grundsätzlich schon heute möglich – eine neue Spezialnorm löst die Praxisfragen nicht automatisch. Vor allem bleibt die bekannte Drei-Stufen-Prüfung (Interessenabwägung etc.) weiterhin notwendig.
Für Marketing-Teams, die KI-Tools nutzen (z. B. zur Segmentierung, Content-Produktion, Modell-Training mit eigenen Datensätzen), bedeutet das: Selbst wenn der Omnibus hier etwas „ordnet“, wird saubere Dokumentation und Abwägung sehr wahrscheinlich weiterhin Pflicht bleiben.
Was die Behörden ausdrücklich unterstützen
Trotz harter Kritik ist die Stellungnahme keine komplette Blockade. EDSA/EDSB unterstützen mehrere Vereinfachungen, die in der Praxis tatsächlich entlasten können:
- Weniger Cookie-Banner-Müdigkeit: Sie befürworten Ansätze, bei denen Nutzerpräferenzen automatisiert und maschinenlesbar ausgedrückt werden können (statt überall immer wieder Banner wegzuklicken).
- Datenpannen-Meldungen pragmatischer: Unterstützung für höhere Meldeschwellen, längere Fristen (z. B. 96 statt 72 Stunden) und einheitliche Templates, damit Behörden und Unternehmen sich auf relevante Fälle konzentrieren können.
- Biometrische Authentifizierung (eng begrenzt): Zustimmung zu einer Ausnahme, wenn biometrische Templates/Schlüssel unter der alleinigen Kontrolle der betroffenen Person bleiben (z. B. lokal auf Badge/Smartcard).
Was Unternehmen jetzt tun sollten
Für die meisten Unternehmen gilt kurzfristig: noch nichts umstellen, aber das Thema strategisch beobachten. Drei pragmatische Massnahmen helfen, ohne Aktionismus:
- Tracking- und Datenflüsse sauber dokumentieren (welche Daten, welche Parteien, welche Zwecke). Das macht euch robust, egal wie der Text am Ende aussieht.
- Consent-Setup flexibel halten (CMP, Preference Signals, Tag/Server-Side Logik), damit ihr auf Änderungen bei ePrivacy/Consent-Fatigue schnell reagieren könnt.
- Betroffenenrechte & Incident-Prozesse operationalisieren (Auskunft, Löschung, Breach-Handling), weil genau diese Bereiche politisch gerade „umgebaut“ werden.
Wie geht es weiter?
Die Joint Opinion fliesst jetzt in die Verhandlungen im Europäischen Parlament und im Rat ein. Konkrete Termine für die nächsten Verhandlungsrunden (inkl. möglicher Triloge) sind aktuell öffentlich noch nicht fixiert, es ist aber damit zu rechnen, dass sich die entscheidenden Diskussionen über das Jahr 2026 ziehen. Erfahrungsgemäss wird sich der Text im Gesetzgebungsprozess noch deutlich verändern. Entscheidend ist: Gerade die Änderungen an der Definition personenbezogener Daten und am Auskunftsrecht sind politisch und rechtlich so grundlegend, dass hier mit intensivem Widerstand und Nachbesserungen zu rechnen ist.
