Briefing zu regulatorischen Änderungen

Der Digital-Omnibus-Vorschlag verspricht eine DSGVO-Vereinfachung. Ihr Compliance-Programm wird gerade komplizierter.

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Organisationen mit mehreren Einheiten dabei unterstützt, die DSGVO-Änderungen des EU-Digital-Omnibus zu verfolgen und sich darauf einzustellen.

Am 19.11.2025 hat die Europäische Kommission vorgeschlagene Änderungen an der DSGVO veröffentlicht, die DSFA, Schwellenwerte für die Meldung von Datenpannen, Ausnahmen beim Verarbeitungsverzeichnis und die Definition personenbezogener Daten selbst betreffen. Die Kommission nennt es «Vereinfachung». Für Datenschutzprogramme mit mehreren Einheiten bedeutet es neue Schwellenwerte, parallele Compliance-Rahmenwerke während des Übergangs und einen Flickenteppich an Pflichten über Tochtergesellschaften unterschiedlicher Grösse hinweg.

Priverion verfolgt bereits jede vorgeschlagene Änderung und bereitet Konfigurationsanpassungen vor, damit sich Ihr Datenschutzprogramm anpasst, ohne von vorne zu beginnen.

750

Neuer vorgeschlagener Mitarbeitenden-Schwellenwert für Ausnahmen beim Verarbeitungsverzeichnis, statt bisher 250

Gemeinsame Stellungnahme EDSA/EDSB, Juli 2025

96 Std.

Vorgeschlagene Frist zur Meldung von Datenpannen, verlängert von 72 Stunden

Digital-Omnibus-Verordnungsvorschlag, Art. 33

EU-weit

Harmonisierte DSFA-Listen ersetzen fragmentierte nationale Anforderungen

Vorgeschlagene Änderungen zu Art. 35 DSGVO

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Wichtigste vorgeschlagene DSGVO-Änderungen

Sechs Digital-Omnibus-Änderungen, die Ihr Compliance-Programm neu prägen

Die Europäische Kommission hat ihr Digital-Omnibus-Paket am 19.11.2025 veröffentlicht und schlägt darin gezielte Änderungen an der DSGVO, der ePrivacy-Richtlinie, der NIS2-Richtlinie und mehr vor. Jede der nachstehenden Änderungen hat konkrete Folgen für Datenschutzprogramme mit mehreren Einheiten.

Schwellenwerte Verarbeitungsverzeichnis

Ausnahmen beim Verarbeitungsverzeichnis für Organisationen unter 750 Mitarbeitenden

Die vorgeschlagene Änderung von Artikel 30 würde Organisationen mit weniger als 750 Mitarbeitenden verpflichten, ein Verarbeitungsverzeichnis nur dann zu führen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt. Für Konzerne mit mehreren Einheiten entsteht dadurch eine Spaltung: Einige Tochtergesellschaften erfüllen die Ausnahme, andere nicht, was Ihr Datenschutzteam zwingt, gruppenweit zwei parallele Standards zu verwalten.

Considerati-Analyse zur vorgeschlagenen Änderung von Artikel 30 DSGVO, 2025

DSFA-Harmonisierung

EU-weite DSFA-Listen ersetzen nationale Anforderungen

Der EDSA würde einheitliche Listen von Verarbeitungstätigkeiten erstellen, die eine DSFA erfordern oder nicht erfordern, und damit alle bestehenden nationalen Behördenlisten ablösen. Zudem würden eine standardisierte Vorlage und Methodik eingeführt und mindestens alle drei Jahre überprüft. Bis die Kommission Durchführungsrechtsakte erlässt, bleiben die bestehenden nationalen Listen in Kraft, wodurch eine Übergangsphase mit doppelten Anforderungen entsteht.

White & Case-Analyse, vorgeschlagener Art. 35 der geänderten DSGVO, Dez. 2025

Meldung von Datenpannen

Höhere Schwelle und längere Frist für Meldungen von Datenpannen

Die Meldeschwelle würde nur noch bei «hohem Risiko» greifen, und die Meldefrist würde von 72 auf 96 Stunden verlängert. Zudem würde eine zentrale Anlaufstelle für die Meldung von Vorfällen über DSGVO, NIS2 und DORA hinweg eingeführt. Für Organisationen, die bereits 72-Stunden-Playbooks für mehrere Aufsichtsbehörden aufgebaut haben, müssen sämtliche Abläufe und Eskalationsmatrizen neu kalibriert werden.

Gemeinsame Stellungnahme von EDSA und EDSB zum Digital Omnibus, Feb. 2026

Definition personenbezogener Daten

Relative Identifizierbarkeit verengt den Begriff «personenbezogene Daten»

Daten würden nur dann als «personenbezogen» gelten, wenn eine Einheit über Mittel verfügt, die nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der Person eingesetzt werden. Der EDSA und der EDSB fordern die Mitgesetzgeber eindringlich auf, diese Änderung nicht zu übernehmen, und warnen, sie könne «den Schutz personenbezogener Daten erheblich schwächen». Für Datenschutzprogramme bedeutet das, Datenbestände neu zu bewerten, um Einheit für Einheit zu bestimmen, welche Datensätze weiterhin in den Anwendungsbereich fallen.

Erklärung von EDSA/EDSB zum Digital Omnibus, Feb. 2026

KI und berechtigtes Interesse

Neue Rechtsgrundlage für das KI-Training mit personenbezogenen Daten

Der Vorschlag würde die Entwicklung und den Betrieb von KI ausdrücklich als berechtigtes Interesse nach der DSGVO anerkennen, vorbehaltlich von Erforderlichkeits- und Verhältnismässigkeitsprüfungen. Verantwortliche müssen die für das Training verwendeten Daten dennoch minimieren und betroffenen Personen ein bedingungsloses Widerspruchsrecht einräumen. Für Organisationen, die KI über Tochtergesellschaften hinweg einsetzen, entsteht dadurch eine neue Kategorie von Verarbeitungstätigkeiten, die gruppenweit verfolgt, bewertet und dokumentiert werden muss.

Covington-Analyse, Inside Privacy, Nov. 2025

Gesetzgebungszeitplan

Trilog-Verhandlungen voraus: Heute ändert sich nichts, morgen alles

Der Vorschlag durchläuft nun das ordentliche Gesetzgebungsverfahren mit dem Europäischen Parlament und dem Rat. Trilog-Verhandlungen werden bis Frühjahr 2026 erwartet, eine endgültige Annahme ist ab Mitte 2026 oder später möglich. Während dieser Übergangsphase müssen Organisationen die aktuelle DSGVO-Compliance aufrechterhalten und sich zugleich auf die geänderten Anforderungen vorbereiten. Die Vorgaben können sich mehrfach verschieben, bevor der endgültige Text feststeht.

Bird & Bird-Analyse zum Gesetzgebungszeitplan, Nov. 2025

Die Nachverfolgung regulatorischer Änderungen von Priverion hält Ihr Datenschutzprogramm im Einklang, während sich diese Vorschläge weiterentwickeln, sodass Sie nie von vorne beginnen müssen.

Plattform entdecken
Wie Priverion hilft

Jede vorgeschlagene Änderung hat eine operative Antwort in Ihrer Datenschutzplattform

Der Digital Omnibus ändert nicht nur die Regeln. Er ändert, wie Sie über jede Einheit hinweg arbeiten. So hält Priverion Ihr Programm bereit, Änderung für Änderung.

Gespaltene Schwelle Verarbeitungsverzeichnis

Zwei Standards in einem Konzern verwalten

Wenn einige Tochtergesellschaften unter 750 Mitarbeitende fallen und andere nicht, zersplittern Ihre Anforderungen an das Verarbeitungsverzeichnis. Das einheitenübergreifende Management von Verarbeitungsverzeichnissen von Priverion ermöglicht es Ihnen, Pflichten pro Einheit zu konfigurieren, mit automatisierter Rezertifizierung für jene, die sie weiterhin benötigen, und klaren Prüfpfaden für jene, die für eine Ausnahme infrage kommen.

Ein Schweizer Versicherer erreichte mit vollständig automatisierten Abläufen eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100 %

DSFA-Übergangsphase

Doppelte Anforderungen meistern, ohne Arbeit zu verdoppeln

Bis die einheitlichen DSFA-Listen des EDSA angenommen sind, bleiben die nationalen Listen in Kraft. Die KI-gestützte DSFA-Automatisierung von Priverion gleicht Ihre Verarbeitungstätigkeiten sowohl mit den aktuellen nationalen Anforderungen als auch mit den vorgeschlagenen EU-weiten Kriterien ab und zeigt auf, wo sich Ihre Pflichten verschieben werden, damit Sie sich vorbereiten und nicht reagieren müssen.

KI unterstützt bei Entwurf und Risikobewertung; jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird

Neukalibrierung der Pannenmeldung

Jedes Playbook aktualisieren, über jede Aufsichtsbehörden-Beziehung hinweg

Der Wechsel von 72 auf 96 Stunden und von «Risiko» zu «hohem Risiko» bedeutet, dass jeder Vorfall-Ablauf neu kalibriert werden muss. Das Vorfallsmanagement-Modul von Priverion ermöglicht es Ihnen, Meldeschwellen und Eskalationsfristen zentral zu aktualisieren und die Änderungen dann an den Pannenreaktionsprozess jeder Einheit zu kaskadieren.

Neubewertung des Datenbestands

Neu bewerten, was als personenbezogene Daten gilt, Einheit für Einheit

Wird die «relative Identifizierbarkeit» zum Gesetz, können Datensätze, die für eine Tochtergesellschaft personenbezogene Daten sind, dies für eine andere nicht sein. Das einheitenübergreifende Data Mapping von Priverion verschafft Ihnen die Transparenz, die Identifizierungsmittel jeder Einheit zu bewerten und die Begründung zu dokumentieren, und erstellt prüfungssichere Nachweispakete in Minuten statt Wochen.

Ein Gesundheitsdienstleister erreichte über alle Einheiten hinweg eine 100-prozentige Abdeckung der Lieferanten-Risikobewertung

Dokumentation von KI-Verarbeitungen

Eine neue Kategorie von Verarbeitungstätigkeiten gruppenweit verfolgen

Da die KI-Entwicklung als berechtigtes Interesse anerkannt wird, benötigt jede Tochtergesellschaft, die KI einsetzt, dokumentierte Erforderlichkeits- und Verhältnismässigkeitsbewertungen. Das KI-Register von Priverion, ausgelegt auf die Bereitschaft für den EU AI Act, bietet die Struktur, um KI-bezogene Verarbeitungstätigkeiten über Ihre gesamte Gruppe hinweg zu inventarisieren, zu bewerten und zu dokumentieren.

Es werden keine Kundendaten für das Modelltraining verwendet. KI unterstützt, Menschen entscheiden.

Nachverfolgung regulatorischer Änderungen

Auf dem Laufenden bleiben, während sich die Vorgaben verschieben

Trilog-Verhandlungen bedeuten, dass der endgültige Text erheblich vom aktuellen Vorschlag abweichen könnte. Die Nachverfolgung regulatorischer Änderungen von Priverion überwacht jede Entwicklung, alarmiert Ihr Team bei wesentlichen Änderungen und bereitet Konfigurationsanpassungen vor, damit sich Ihr Datenschutzprogramm anpasst, ohne von vorne zu beginnen. Sie erhalten die aktuelle DSGVO-Compliance aufrecht und bereiten sich zugleich auf das Kommende vor.

Einsatzbereit in Wochen, nicht Monaten. Ein Flugzeughersteller ging in unter 6 Monaten live.

Ergebnisse, die für sich sprechen

Echte Resultate von echten Compliance-Teams

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Ein Medizintechnikunternehmen sparte über 200 Stunden manueller Dokumentation und Nachweissammlung für die ISO-27001-Zertifizierung ein, während der Branchendurchschnitt bei 6 bis 12 Monaten liegt.

Ein Medizintechnikunternehmen, gemessen während der ISO-27001-Vorbereitung

60 %

Geringere Kosten gegenüber Legacy-Plattformen

Enterprise-Datenschutz-Suiten kosten regelmässig sechsstellige Beträge pro Jahr, mit modularer Preisgestaltung, die mit Ihrem Wachstum eskaliert. Die vorhersehbare Preisgestaltung von Priverion pro Unternehmen beseitigt Erweiterungsfallen und Gebühren pro Nutzer.

Basierend auf Kostenvergleichen von Kunden; Vendr-Daten, Feb. 2026

60 %

Weniger Zeit für Compliance-Verwaltung

Ein Flugzeughersteller reduzierte die Zeit für die Compliance-Verwaltung in den ersten sechs Monaten um 60 %, indem er von manuellen Aktualisierungen des Verarbeitungsverzeichnisses über Tochtergesellschaften hinweg auf vollständig automatisierte Rezertifizierung umstieg.

Flugzeughersteller, erste 6 Monate mit Priverion

Warum Teams wechseln

Datenschutzmanagement auf Enterprise-Niveau, ohne Enterprise-Komplexität

Datenschutzteams im Mittelstand brauchen Werkzeuge, die auf ihre tatsächliche Arbeitsweise zugeschnitten sind: schlanke Teams, mehrere Einheiten, knappe Budgets. So vergleicht sich Priverion mit Legacy-Plattformen wie OneTrust in den Bereichen, die am meisten zählen.

Priverion

Gebaut für Mittelstandsteams mit mehreren Einheiten

Schweizer Datensouveränität

Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss, was bedeutet, dass Ihre Compliance-Daten nie eine Jurisdiktion mit Massenüberwachungsrisiko berühren.

EK-Angemessenheitsbeschluss für die Schweiz nach Art. 45 DSGVO

Vorhersehbare Preisgestaltung

Ein Preis basierend auf der Anzahl der Unternehmen und der Organisationsgrösse. Keine Gebühren pro Nutzer, keine Gebühren pro Modul, keine Überraschungen bei Erweiterungen zur Verlängerung.

Einsatzbereit in Wochen

Konzipiert für schlanke Datenschutzteams. Ein Flugzeughersteller wechselte in seinen ersten 6 Monaten von manuellen Tabellen zur automatisierten Rezertifizierung des Verarbeitungsverzeichnisses und sparte 60 % der Zeit für die Compliance-Verwaltung ein.

Flugzeughersteller, erste 6 Monate der Einführung

All-in-One-Plattform

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallsmanagement, Bearbeitung von Betroffenenanfragen, Data Mapping, KI-Register und Compliance-Dashboards in einer einzigen Plattform. Keine Modulpakete, die zusammengestellt werden müssen.

KI-gestützt, menschlich gesteuert

KI unterstützt beim Entwurf von DSFA, bei der Risikobewertung und beim regulatorischen Abgleich. Jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet.

Typische Enterprise-Plattform

Gebaut für Fortune-500-Käufer

Datenhosting in den USA

Das Risiko grenzüberschreitender Übermittlungen bleibt ein akutes Thema. Das EU-US Data Privacy Framework sieht sich anhaltenden rechtlichen Anfechtungen gegenüber, und eine mögliche «Schrems III»-Klage zeichnet sich am Horizont ab.

DLA Piper GDPR Fines and Data Breach Survey, Januar 2026

Intransparente, modulare Preisgestaltung

Jedes Modul wird nach einer eigenen Kennzahl abgerechnet, und die Kosten können in unerwartete Richtungen steigen, wenn Teams oder Datenmengen wachsen. Allein die Implementierungsgebühren können die Kosten im ersten Jahr um 10'000 bis 50'000 USD erhöhen.

Vendr-Preisanalyse, Februar 2026; Enzuzo-Marktforschung, März 2026

Einrichtung in Wochen bis Monaten

Nutzer verweisen häufig auf den Bedarf an längeren Konfigurationszeiten. Ein Rezensent aus dem Mittelstand merkte an, er habe «mehrere Wochen allein damit verbracht, die Abläufe zu konfigurieren und unsere Daten abzubilden», bevor er live gegangen sei.

Verifizierte G2-Bewertungen, 2025

Modulbasierte Architektur

Fünf separate Produktlinien, jede unabhängig bepreist. Die Konfiguration und Pflege der Plattform erfordert erheblichen Zeit- und Arbeitsaufwand, besonders für kleinere Teams, die den Datenschutz über mehrere Einheiten hinweg verwalten.

Verifizierte Capterra-Bewertungen, 2025

Umfangreiche, aber überfordernde Bedienung

Umfassender Funktionsumfang, doch mehrere Rezensenten merken an, die Oberfläche könne überladen wirken. Die steile Lernkurve und die Komplexität verursachen Mehraufwand für Datenschutzteams ohne dedizierte Plattform-Administratoren.

Aggregierte Bewertungen von G2 und Capterra, 2025

7,1 Milliarden EUR

Kumulierte DSGVO-Bussgelder seit Mai 2018

DLA Piper GDPR Fines Survey, Januar 2026

443 pro Tag

Durchschnittliche Meldungen von Datenpannen an EU-Aufsichtsbehörden (22 % Anstieg gegenüber dem Vorjahr)

DLA Piper, Januar 2026

33 %

Der Organisationen wissen vollständig, wo ihre Daten gespeichert sind

Thales Data Threat Report, 2026

Was wir nicht abdecken (und warum das ein Vorteil ist)

Priverion umfasst kein ESG-Reporting, keine Ethik-Hotlines und kein Cookie-Einwilligungsmanagement. Wir konzentrieren uns vollständig auf das Datenschutz-Programmmanagement für Organisationen, die über mehrere Einheiten und Jurisdiktionen hinweg tätig sind. Wenn Sie eine Datenschutzplattform brauchen, die über Ihre gesamte Gruppe hinweg eine Aufgabe aussergewöhnlich gut erledigt, dann ist genau das, was wir gebaut haben.

Wir integrieren tief mit den Systemen, die für Datenschutz-Abläufe entscheidend sind, darunter HR, Beschaffung und IT-Asset-Management, statt 200 oberflächliche Konnektoren anzubieten, die Wartungsaufwand verursachen.

Neugierig, wie der Wechsel tatsächlich abläuft?

Sehen Sie, wie ein Flugzeughersteller von 47 Tabellen zum automatisierten, gruppenweiten Datenschutzmanagement wechselte.

30-minütige Führung buchen
Häufig gestellte Fragen

Was Datenschutzbeauftragte und Compliance-Verantwortliche zum Digital Omnibus fragen

Wann treten diese DSGVO-Änderungen tatsächlich in Kraft?

Der Digital-Omnibus-Vorschlag muss das ordentliche Gesetzgebungsverfahren durchlaufen, einschliesslich der Ausschussprüfung im Europäischen Parlament, der Verhandlungen im Rat und des Trilogs. Eine endgültige Annahme wird frühestens um Mitte 2027 erwartet, mit einer anschliessenden Umsetzungsfrist. An Ihren rechtlichen Pflichten ändert sich heute nichts, doch der richtige Zeitpunkt, um Ihr Programm vorzubereiten, ist jetzt und nicht erst nach Veröffentlichung des endgültigen Textes.

Bird & Bird-Analyse zum Gesetzgebungszeitplan, Nov. 2025

Unsere Gruppe hat Tochtergesellschaften sowohl über als auch unter 750 Mitarbeitenden. Was passiert mit unserem Verarbeitungsverzeichnis?

Nach den vorgeschlagenen Änderungen bräuchten Tochtergesellschaften unter 750 Mitarbeitenden nur für Verarbeitungstätigkeiten mit hohem Risiko ein Verarbeitungsverzeichnis. Grössere Tochtergesellschaften behalten ihre vollen Pflichten zum Verarbeitungsverzeichnis. Dadurch entsteht ein gespaltener Compliance-Standard innerhalb einer einzigen Gruppe. Priverion ermöglicht es Ihnen, die Anforderungen an das Verarbeitungsverzeichnis pro Einheit zu konfigurieren, sodass Sie beide Standards aus einer Plattform verwalten können, ohne Arbeit zu verdoppeln oder die Übersicht zu verlieren.

Considerati-Analyse zur vorgeschlagenen Änderung von Artikel 30 DSGVO, 2025

Wir haben bereits 72-Stunden-Playbooks für die Meldung von Datenpannen aufgebaut. Müssen wir sie neu erstellen?

Wird die verlängerte 96-Stunden-Frist und die höhere Schwelle des «hohen Risikos» angenommen, müssen jeder Vorfall-Ablauf, jede Eskalationsmatrix und jede Meldevorlage für Aufsichtsbehörden neu kalibriert werden. Das Vorfallsmanagement-Modul von Priverion ermöglicht es Ihnen, diese zentral zu aktualisieren und die Änderungen an jede Einheit zu kaskadieren, sodass Sie einmal neu konfigurieren, statt Playbooks Tochtergesellschaft für Tochtergesellschaft neu zu erstellen.

Gemeinsame Stellungnahme von EDSA und EDSB zum Digital Omnibus, Feb. 2026

Wie wirkt sich die vorgeschlagene Änderung des Begriffs «personenbezogene Daten» auf unsere Datenbestände aus?

Der Ansatz der relativen Identifizierbarkeit bedeutet, dass ein Datensatz für eine Einheit in Ihrer Gruppe «personenbezogene Daten» sein kann, für eine andere jedoch nicht, je nach den Identifizierungsmitteln der jeweiligen Einheit. Das erfordert eine Neubewertung der Datenbestände Einheit für Einheit und die Dokumentation der Begründung. Das einheitenübergreifende Data Mapping von Priverion verschafft Ihnen die Transparenz, dies systematisch zu tun, und erstellt prüfungssichere Nachweispakete.

Erklärung von EDSA/EDSB zum Digital Omnibus, Feb. 2026

Lässt sich Priverion auf 50+ Einheiten über mehrere Jurisdiktionen hinweg skalieren?

Ja. Priverion ist für Konzerne mit mehreren Einheiten konzipiert. Wir betreuen Organisationen mit 50+ Einheiten über mehrere Jurisdiktionen hinweg, mit einheitenübergreifendem Data Mapping, automatisierter Rezertifizierung des Verarbeitungsverzeichnisses und zentralen Compliance-Dashboards. Die Plattform ist in Wochen einsatzbereit, nicht in Monaten. Ein Flugzeughersteller wechselte in seinen ersten 6 Monaten von 47 Tabellen zum automatisierten, gruppenweiten Datenschutzmanagement.

Flugzeughersteller, erste 6 Monate mit Priverion

Ist die KI in Priverion sicher für Compliance-Arbeit?

Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. KI unterstützt beim Entwurf von DSFA, bei der Risikobewertung und beim regulatorischen Abgleich, doch jedes Ergebnis wird von einem Menschen geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet. KI unterstützt, Menschen entscheiden.

Kostenloser Leitfaden

Das DSB-Briefing: Was der Digital Omnibus für Ihr Datenschutzprogramm bedeutet

Der Digital-Omnibus-Vorschlag der Europäischen Kommission bringt die bedeutendsten Änderungen an der DSGVO seit 2018, mit einer voraussichtlichen Annahme um Mitte 2027. Dieser leicht verständliche Leitfaden durchdringt die rechtliche Komplexität und zeigt Ihnen genau, auf welche Änderungen Sie sich über Ihre Gruppeneinheiten hinweg vorbereiten müssen.

Im Leitfaden finden Sie:

  • 1. Eine Aufschlüsselung jeder vorgeschlagenen DSGVO-Änderung: von der neuen Ausnahme beim Verarbeitungsverzeichnis für Organisationen unter 750 Mitarbeitenden über vereinfachte DSFA-Anforderungen bis hin zur zentralen Anlaufstelle für die Meldung von Datenpannen
  • 2. Was die gemeinsame Stellungnahme von EDSA und EDSB als «erhebliche Bedenken» kennzeichnet, einschliesslich der vorgeschlagenen Änderungen an der Definition personenbezogener Daten, die die Aufsichtsbehörden den Mitgesetzgebern dringend nicht zu übernehmen empfehlen
  • 3. Eine Bereitschafts-Checkliste für mehrere Einheiten, die die Migration der Cookie-Einwilligung von der ePrivacy-Richtlinie zur DSGVO, neue KI-bezogene Verarbeitungsausnahmen und grenzüberschreitende Harmonisierungsänderungen abdeckt
  • 4. Einen realistischen Gesetzgebungszeitplan, damit Sie wissen, wann zu handeln ist, nicht nur was zu verfolgen ist, mit dargestellten Trilog-Verhandlungen und möglichen Annahme-Meilensteinen

Aus dem offiziellen Vorschlag der Europäischen Kommission und der gemeinsamen Stellungnahme von EDSA/EDSB (Februar 2026).

Laden Sie Ihr kostenloses Exemplar herunter

Holen Sie sich den Leitfaden, der Datenschutzbeauftragten in ganz Europa bereits hilft, sich auf die Digital-Omnibus-Änderungen vorzubereiten.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihr Postfach.

Warum das jetzt wichtig ist

Die Kommission will den bürokratischen Aufwand insgesamt um 25 % und für KMU um 35 % senken. Nahezu 38'000 EU-Unternehmen fallen unter die neue Kategorie der kleinen Mid-Caps.

Europäische Kommission, Vereinfachungspaket (Mai 2025)

Was Datenschutzteams sagen

Vom Tabellen-Chaos zu strategischer Datenschutzarbeit

«Wir haben den Grossteil unserer Zeit für die Compliance-Verwaltung mit manuellen Aktualisierungen des Verarbeitungsverzeichnisses verbracht — dem Hinterherjagen von Geschäftsbereichen über mehrere Tochtergesellschaften hinweg — und sind nun zur vollständig automatisierten Rezertifizierung übergegangen. Unser Datenschutzbeauftragter konzentriert sich jetzt auf strategische Datenschutzarbeit statt auf die Pflege von Tabellen.»

Flugzeughersteller

60 % weniger Zeit für die Compliance-Verwaltung, erste 6 Monate

«Priverion gab uns vollständige Transparenz über das Lieferantenrisiko in jeder Einheit. Wir erreichten eine 100-prozentige Abdeckung der Lieferanten-Risikobewertung — etwas, das mit Tabellen Monate manueller Arbeit gekostet hätte.»

Ein Gesundheitsdienstleister

100 % Abdeckung der Lieferanten-Risikobewertung über alle Einheiten hinweg

Schluss mit Compliance-Verwaltung in Tabellen

Ihr Datenschutzbeauftragter hat Besseres zu tun, als Aktualisierungen des Verarbeitungsverzeichnisses über 47 Tabellen hinweg zu verfolgen

Da die kumulierten DSGVO-Bussgelder inzwischen 7,1 Milliarden EUR übersteigen und Aufsichtsbehörden täglich über 443 Meldungen von Datenpannen erhalten, sind manuelle Compliance-Prozesse ein Risiko. Organisationen mit mehreren Einheiten brauchen eine Plattform, die mit ihnen skaliert, nicht gegen sie.

Quellen: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026; CMS GDPR Enforcement Tracker

60 %

weniger Zeit für die Compliance-Verwaltung

Flugzeughersteller, erste 6 Monate

200+

eingesparte Stunden bei der ISO-27001-Vorbereitung

Ein Medizintechnikunternehmen

100 %

Rezertifizierung des Verarbeitungsverzeichnisses, vollständig automatisiert

Ein Schweizer Versicherer

In der Schweiz entwickelt und gehostet

KI-gestützt, menschlich gesteuert

Vorhersehbare Preisgestaltung, keine Pro-Nutzer-Fallen

30-minütige Plattform-Führung buchen

Kein Verkaufsgespräch. Sehen Sie Priverion mit Ihrem Anwendungsfall in Aktion. Einsatzbereit in Wochen, nicht Monaten.

The Privacy Compliance Briefing

Monatliche Einblicke zur DSGVO-Durchsetzung und zum revDSG

Über diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick

Der EU-Digital-Omnibus-Vorschlag, veröffentlicht am 19.11.2025, schlägt sechs wesentliche DSGVO-Änderungen vor, die Schwellenwerte für das Verarbeitungsverzeichnis, die DSFA-Harmonisierung, Fristen für die Meldung von Datenpannen, die Definition personenbezogener Daten, das berechtigte Interesse im KI-Kontext und das Gesetzgebungsverfahren betreffen. Organisationen mit mehreren Einheiten stehen während der Übergangsphase parallelen Compliance-Rahmenwerken gegenüber. Die in der Schweiz gehostete GRC-Plattform von Priverion verfolgt jede vorgeschlagene Änderung und bereitet Konfigurationsanpassungen vor, damit sich Datenschutzprogramme anpassen, ohne von Grund auf neu aufgebaut zu werden.

Definitionen

Was ist der Digital-Omnibus-Vorschlag?

Der Digital-Omnibus-Vorschlag ist ein Gesetzespaket der Europäischen Kommission, das die DSGVO, die ePrivacy-Richtlinie und die NIS2-Richtlinie ändert, um den Verwaltungsaufwand für Unternehmen zu verringern. Es wurde am 19.11.2025 als Teil der breiteren Vereinfachungsagenda der Kommission veröffentlicht. Quelle: EUR-Lex

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist ein gemäss Artikel 30 DSGVO verpflichtendes Register, das alle von einem Verantwortlichen oder Auftragsverarbeiter durchgeführten Verarbeitungen personenbezogener Daten dokumentiert. Der Digital Omnibus schlägt vor, den Mitarbeitenden-Schwellenwert für Ausnahmen beim Verarbeitungsverzeichnis von 250 auf 750 anzuheben.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäss Artikel 35 DSGVO erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Der Digital Omnibus schlägt vor, fragmentierte nationale DSFA-Listen durch einheitliche EU-weite Listen zu ersetzen, die der EDSA erstellt.

Was ist relative Identifizierbarkeit?

Relative Identifizierbarkeit ist das vorgeschlagene Konzept, nach dem Daten nur dann als «personenbezogen» gelten, wenn eine Einheit über Mittel verfügt, die nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der Person eingesetzt werden. Der EDSA und der EDSB haben gewarnt, dies könnte «den Schutz personenbezogener Daten erheblich schwächen». Quelle: Gemeinsame Stellungnahme EDSA/EDSB 1/2025

Statistiken und Kontext

Laut dem IAPP-EY Privacy Governance Report 2023 gibt eine durchschnittliche Organisation jährlich rund 2,7 Millionen USD für die Datenschutz-Compliance aus. Der Digital Omnibus soll den Verwaltungsaufwand verringern, doch der EDSA hält in seiner Gemeinsamen Stellungnahme 1/2025 fest, dass die vorgeschlagenen Änderungen während der Übergangsphase «Rechtsunsicherheit» schaffen könnten. Die Europäische Kommission schätzt, dass das Paket Unternehmen jährlich bis zu 4,2 Milliarden EUR an reduzierten Compliance-Kosten einsparen könnte, obwohl der EDSA und der EDSB warnen, dass eine Schwächung der Definition personenbezogener Daten das in Artikel 8 der EU-Grundrechtecharta verankerte Grundrecht auf Datenschutz untergraben könnte.

Vergleich: Aktuelle DSGVO vs. vorgeschlagene Digital-Omnibus-Änderungen

BereichAktuelle DSGVOVorgeschlagener Digital Omnibus
Ausnahmeschwelle Verarbeitungsverzeichnis250 Mitarbeitende (Art. 30 DSGVO)750 Mitarbeitende (nur Verarbeitung mit hohem Risiko)
Frist zur Meldung von Datenpannen72 Stunden (Art. 33 DSGVO)96 Stunden, nur Schwelle des hohen Risikos
DSFA-ListenNationale Behördenlisten je Mitgliedstaat (Art. 35 DSGVO)Einheitliche EU-weite EDSA-Listen mit standardisierter Vorlage
Definition personenbezogener DatenAlle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Abs. 1 DSGVO)Relative Identifizierbarkeit — personenbezogen nur für Einheiten mit Mitteln zur Identifizierung
KI und berechtigtes InteresseKeine ausdrückliche KI-Bestimmung; Einzelfall-AbwägungstestAusdrückliches berechtigtes Interesse für KI-Entwicklung und -Betrieb
Regelungsübergreifende MeldungGetrennte Meldung nach DSGVO, NIS2, DORAZentrale Anlaufstelle für die Meldung von Vorfällen

Häufig gestellte Fragen

Was ist der EU-Digital-Omnibus-Vorschlag?

Der EU-Digital-Omnibus-Vorschlag ist ein Gesetzespaket, das die Europäische Kommission am 19.11.2025 veröffentlicht hat und das gezielte Änderungen an der DSGVO, der ePrivacy-Richtlinie, der NIS2-Richtlinie und weiteren digitalen Regelwerken vorschlägt. Es soll die Compliance-Pflichten für Unternehmen vereinfachen und zugleich die Datenschutzstandards wahren. Der vollständige Text ist auf EUR-Lex verfügbar.

Wie ändert der Digital Omnibus die Anforderungen an das Verarbeitungsverzeichnis?

Der Vorschlag hebt die Ausnahmeschwelle für das Verarbeitungsverzeichnis von 250 auf 750 Mitarbeitende an. Organisationen mit weniger als 750 Mitarbeitenden müssten nur dann ein Verzeichnis von Verarbeitungstätigkeiten führen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt. Für Konzerne mit mehreren Einheiten entstehen dadurch geteilte Pflichten, bei denen einige Tochtergesellschaften die Ausnahme erfüllen und andere nicht. Den aktuellen Text finden Sie in Artikel 30 DSGVO.

Welche Änderungen schlägt der Digital Omnibus für die Meldung von Datenpannen vor?

Die Meldeschwelle würde nur noch bei «hohem Risiko» greifen, und die Meldefrist würde von 72 auf 96 Stunden verlängert. Zudem würde eine zentrale Anlaufstelle für die Meldung von Vorfällen über DSGVO, NIS2 und DORA hinweg eingeführt. Der EDSA und der EDSB haben diese Änderungen in ihrer Gemeinsamen Stellungnahme 1/2025 behandelt.

Wie definiert der Digital Omnibus personenbezogene Daten neu?

Der Vorschlag führt die «relative Identifizierbarkeit» ein. Daten würden demnach nur dann als personenbezogen gelten, wenn eine Einheit über Mittel verfügt, die nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der Person eingesetzt werden. Der EDSA und der EDSB haben die Mitgesetzgeber eindringlich aufgefordert, diese Änderung nicht zu übernehmen, und gewarnt, sie könnte «den Schutz personenbezogener Daten erheblich schwächen». Die aktuelle Definition finden Sie in Artikel 4 Abs. 1 DSGVO.

Wann wird der Digital-Omnibus-Vorschlag zum Gesetz?

Der Vorschlag durchläuft das ordentliche Gesetzgebungsverfahren über das Europäische Parlament und den Rat. Trilog-Verhandlungen werden bis Frühjahr 2026 erwartet, eine endgültige Annahme ist ab Mitte 2026 oder später möglich. Während der Übergangsphase müssen Organisationen die aktuelle DSGVO-Compliance aufrechterhalten und sich zugleich auf die geänderten Anforderungen vorbereiten.

Wie wirkt sich der Digital Omnibus auf die Anforderungen an die DSFA aus?

Der EDSA würde einheitliche EU-weite Listen von Verarbeitungstätigkeiten erstellen, die eine DSFA erfordern oder nicht erfordern, und damit alle bestehenden nationalen Behördenlisten ersetzen. Eine standardisierte Vorlage und Methodik würde eingeführt und mindestens alle drei Jahre überprüft. Bis Durchführungsrechtsakte erlassen sind, bleiben die bestehenden nationalen Listen in Kraft, wodurch eine Übergangsphase mit doppelten Anforderungen entsteht. Siehe Artikel 35 DSGVO.

Schafft der Digital Omnibus eine Rechtsgrundlage für das KI-Training mit personenbezogenen Daten?

Ja. Der Vorschlag würde die Entwicklung und den Betrieb von KI ausdrücklich als berechtigtes Interesse nach der DSGVO anerkennen, vorbehaltlich von Erforderlichkeits- und Verhältnismässigkeitsprüfungen. Verantwortliche müssen die für das Training verwendeten Daten dennoch minimieren und betroffenen Personen ein bedingungsloses Widerspruchsrecht einräumen.

Wie können sich Organisationen auf die Digital-Omnibus-Änderungen vorbereiten?

Organisationen sollten ihre aktuellen Abläufe für Verarbeitungsverzeichnis, DSFA und Meldung von Datenpannen gegen die vorgeschlagenen Schwellenwerte prüfen, ihre Datenbestände auf die Auswirkungen der relativen Identifizierbarkeit hin bewerten und den Gesetzgebungszeitplan verfolgen. Eine GRC-Plattform mit einheitenübergreifenden Management-Fähigkeiten kann helfen, parallele Compliance-Rahmenwerke während der Übergangsphase zu steuern und in jeder Phase eine prüfungssichere Dokumentation sicherzustellen.