Digital Omnibus: Europas neuer GDPR-Vorstoß sorgt für Unruhe

Brüssel läutet die nächste Phase der Datenschutz-Compliance ein. Die Europäische Kommission will mit ihrem „Digital Omnibus”-Vorschlag die DSGVO modernisieren – doch statt Erleichterung droht vielen Unternehmen zunächst eine aufwändige Neuausrichtung ihrer Dokumentationspflichten.

Wer gehofft hatte, dass das Verarbeitungsverzeichnis und die Datenschutz-Folgenabschätzung irgendwann zur Routine werden, muss umdenken. Zwei aktuelle Entwicklungen aus Brüssel zeigen: Die EU schraubt an den Fundamenten der DSGVO – mit direkten Folgen für jeden Compliance-Verantwortlichen.

Am 8. Dezember veröffentlichte der Brüsseler Think Tank Bruegel eine Analyse zum „Digital Omnibus” der EU-Kommission (Dokument COM(2025) 837). Der im November vorgestellte Vorschlag zielt darauf ab, regulatorische Überschneidungen zwischen DSGVO, Data Act und AI Act aufzulösen. Das Versprechen: mehr Produktivität durch weniger Compliance-Kosten.

Die Realität dürfte komplizierter ausfallen. Im Kern will die Kommission den Begriff des „berechtigten Interesses” nach Artikel 6 Absatz 1 Buchstabe f DSGVO EU-weit vereinheitlichen – besonders für das Pooling von Daten und das Training von KI-Modellen. Was nach Klarheit klingt, bedeutet für viele Unternehmen erstmal Arbeit: Verarbeitungsverzeichnisse, die sich bislang an nationalen Auslegungen orientierten, müssen überarbeitet werden.

Ihre bestehenden Verarbeitungsverzeichnisse sind jetzt besonders angreifbar – die neue EU-Regelung verlangt lückenlose Nachweise, vor allem für KI-Trainingsdaten und Data‑Pooling. Fehlerhafte oder statische Excel-Listen können Bußgelder von bis zu 2% des Jahresumsatzes zur Folge haben. Mit der kostenlosen, praxiserprobten Excel‑Vorlage und der Schritt‑für‑Schritt‑Anleitung erstellen Datenschutzbeauftragte und Compliance‑Teams ein prüfungssicheres Verzeichnis nach Art. 30 DSGVO – schnell, transparent und updatefähig. Verarbeitungsverzeichnis-Excel gratis herunterladen

Noch heikler wird es beim Thema Nutzerrechte. Der „Digital Omnibus” sieht in bislang unklaren Kontexten neue Opt-out-Möglichkeiten vor. Bruegel warnt deshalb vor „neuen Quellen der Unsicherheit” – ausgerechnet bei einer Reform, die eigentlich Klarheit schaffen sollte.

EDPB macht Zwangs-Accounts zum Compliance-Risiko

Parallel dazu hat der Europäische Datenschutzausschuss (EDPB) am 4. Dezember seine „Empfehlungen 2/2025″ veröffentlicht. Im Fokus: E-Commerce-Websites, die Kunden zur Erstellung dauerhafter Nutzerkonten zwingen – selbst bei Einzelkäufen.

Die Botschaft ist eindeutig: Wer keine Gastkasse anbietet, braucht dafür eine stichhaltige Rechtsgrundlage. Reicht die vertragliche Notwendigkeit nicht aus, wird es kritisch. Die Konsequenz für die Praxis: Solche Systeme lösen nun systematisch eine Datenschutz-Folgenabschätzung (DSFA) aus.

Unternehmen müssen ihre Checkout-Prozesse sofort überprüfen. Fehlt die Option zur Gast-Bestellung, muss diese Entscheidung dokumentiert und im Verarbeitungsverzeichnis begründet werden. Eine DSFA wird dabei kaum zu umgehen sein – schließlich geht es um die systematische Erhebung von Kundenprofilen.

Das Verarbeitungsverzeichnis wird zum lebenden Dokument

Die Excel-Tabelle als Verarbeitungsverzeichnis hat ausgedient. Die neuen Anforderungen verlangen dynamische Systeme, die ständig aktualisiert werden können. Zwei Bereiche rücken dabei besonders in den Fokus:

KI-Trainingsdaten: Der „Digital Omnibus” macht die „legitime Nutzung” von Daten für KI-Training zum Kernthema. Unternehmen müssen künftig lückenlos dokumentieren, woher Trainingsdaten stammen und welches berechtigte Interesse sie damit verfolgen.

Daten-Pooling: Die EU ermutigt zum Datenaustausch zwischen Organisationen. Das bedeutet: Gemeinsame Verantwortlichkeiten nach Artikel 26 DSGVO müssen präzise im Verarbeitungsverzeichnis abgebildet werden – ein Punkt, den Aufsichtsbehörden bei Prüfungen besonders gern unter die Lupe nehmen.

„Der Digital Omnibus zieht einen Schlussstrich unter die divergierenden Auslegungen der 27 nationalen Datenschutzbehörden”, konstatiert der Bruegel-Bericht. Klingt nach Fortschritt – doch die Übergangsphase erfordert eine gründliche Revision bestehender Dokumentationen.

Deutsche Behörden erhöhen den Druck

Die Entwicklungen aus Brüssel treffen auf ein verschärftes nationales Umfeld. Die Datenschutzkonferenz (DSK) – das Gremium der deutschen Datenschutzbehörden – fordert seit Kurzem eine „menschenzentrierte Digitalisierung” auch für öffentliche Dienste. Der Vorstoß des EDPB gegen Zwangs-Accounts fügt sich nahtlos in diese Linie ein.

Für österreichische und deutsche Unternehmen, die für ihre penible Verarbeitungsverzeichnis-Führung bekannt sind, bedeutet das: „Einmal einrichten und vergessen” funktioniert nicht mehr. Die Compliance-Abteilungen müssen ihre Dokumentation als kontinuierlichen Prozess begreifen.

Was jetzt zu tun ist

Drei konkrete Schritte sollten Unternehmen unmittelbar angehen:

E-Commerce-Prüfung: Erzwingt Ihre Website die Kontoerstellung? Dann starten Sie sofort eine DSFA, um die Einhaltung der EDPB-Empfehlungen zu prüfen.

Berechtigtes Interesse überdenken: Bereiten Sie Updates für alle Verarbeitungsverzeichnis-Einträge vor, die Data-Pooling oder KI betreffen. Die harmonisierten Regeln des „Digital Omnibus” werden hier neue Standards setzen.

DSK im Blick behalten: Beobachten Sie die Verlautbarungen der deutschen und österreichischen Behörden. Nationale Umsetzungsleitfäden für die EU-Vorgaben werden in den kommenden Wochen erwartet.

Der „Digital Omnibus” durchläuft derzeit das Gesetzgebungsverfahren – mit Änderungen ist zu rechnen. Parallel dazu werden nationale Aufsichtsbehörden die EDPB-Empfehlungen konkretisieren. Eines ist aber schon jetzt klar: Dokumentation bedeutet nicht mehr nur, die Vergangenheit festzuhalten. Es geht darum, die künftige Datennutzung zu rechtfertigen – und zwar proaktiv.

PS: Sie überarbeiten jetzt Ihr Verarbeitungsverzeichnis? Vermeiden Sie die typischen Lücken, die viele Verzeichnisse unvollständig machen – Prüfer achten besonders auf Herkunft von Trainingsdaten und gemeinsame Verantwortlichkeiten. Diese Gratis‑Excel‑Vorlage enthält alle Pflichtfelder, Beispiel‑Einträge und eine Checkliste, damit Sie in Prüfungen bestehen und Ihre Dokumentation künftig lebendig halten. Jetzt Verzeichnis-Vorlage sichern