Zuletzt aktualisiert: Juni 2025
Die EU Digital Omnibus DSGVO-Reform 2026 schreibt Ihr Compliance-Drehbuch neu . Das ändert sich tatsächlich
Das Vereinfachungspaket «Omnibus» der Europäischen Kommission schlägt die bedeutendsten Änderungen der DSGVO seit 2018 vor. Wenn Sie den Datenschutz über mehrere Einheiten oder Rechtsräume hinweg verantworten, wirken sich diese Änderungen unmittelbar auf Ihr Verarbeitungsverzeichnis, Ihre DSFA-Prozesse, Ihre Meldefristen bei Datenpannen und die Pflichten Ihres Datenschutzbeauftragten aus. Diese Seite zeigt auf, was gesichert ist, was vorgeschlagen wird und was Sie jetzt tun sollten.
Die EU Digital Omnibus DSGVO-Impact-Checkliste herunterladenVertraut von Datenschutzteams, die DSGVO-Compliance über mehrere Einheiten hinweg managen
EU Digital Omnibus DSGVO-Reform 2026: Die wichtigsten Änderungen erklärt
Die folgenden Ausführungen basieren auf dem veröffentlichten Vorschlag der Europäischen Kommission mit Stand Q1 2025. Die endgültigen Bestimmungen können sich im Laufe des Gesetzgebungsverfahrens noch ändern. Wir aktualisieren diese Seite, sobald neue Entwicklungen bekannt werden.
Änderungen der Schwellenwerte beim Verarbeitungsverzeichnis
Manche Tochtergesellschaften benötigen womöglich kein vollständiges Verarbeitungsverzeichnis mehr , andere hingegen schon.
Der Vorschlag führt mögliche Ausnahmen von der Pflicht zur Führung eines vollständigen Verzeichnisses von Verarbeitungstätigkeiten ein, abhängig von der Mitarbeiterzahl und dem Risikoniveau der Verarbeitung. Für Datenschutzteams auf Gruppenebene bedeutet das eine einheitsweise Bewertung , keine pauschale Regelung. Eine Tochtergesellschaft mit 200 Mitarbeitenden, die Gesundheitsdaten verarbeitet, bleibt vollumfänglich verpflichtet; ein Vertriebsbüro mit 40 Personen womöglich nicht.
Die Herausforderung: Sie müssen genau wissen, welche Einheiten über oder unter den neuen Schwellenwerten liegen , und diese Übersicht für Ihre gesamte Gruppe sofort verfügbar haben, nicht erst nach wochenlangen Tabellen-Audits.
So unterstützt Priverion:
Mit einheitsübergreifendem Management des Verarbeitungsverzeichnisses und automatisierter Rezertifizierung haben Sie die Übersicht auf Einheitsebene bereits. Wenn sich Schwellenwerte verschieben, passen Sie diese in der Plattform an , nicht über 47 Tabellen hinweg.
AXA erreichte mit vollständig automatisierten Workflows eine Rezertifizierungsquote von 100 % beim Verarbeitungsverzeichnis , Ergebnis eines Priverion-Kunden, 2024
Neugestaltung des DSFA-Prozesses
Leichtere Prüfungen für risikoärmere Verarbeitung. Vollständige Bewertungen, wo es darauf ankommt.
Der Omnibus-Vorschlag könnte neu regeln, wann vollständige Datenschutz-Folgenabschätzungen erforderlich sind, und führt dabei einen abgestuften Ansatz ein. Risikoärmere Verarbeitungstätigkeiten könnten für ein leichteres Prüfformat qualifizieren, während risikoreiche Tätigkeiten die aktuellen Anforderungen an die Prüftiefe beibehalten , oder sogar ausweiten.
Für Organisationen, die umfangreiche DSFA-Workflows aufgebaut haben, ist das keine Vereinfachung . sondern eine Neukalibrierung. Sie müssen Verarbeitungstätigkeiten in jeder Einheit neu klassifizieren, bestimmen, welche eine vollständige Bewertung gegenüber einer leichteren Prüfung auslösen, und Ihre Vorlagen entsprechend aktualisieren.
So unterstützt Priverion:
Die KI-gestützte DSFA-Erstellung und Risikobewertung klassifiziert Verarbeitungstätigkeiten bereits nach Risikoniveau. Sobald die neuen Stufen feststehen, passen sich Ihre Bewertungs-Workflows an . Die KI unterstützt die Neuklassifizierung, Ihr Datenschutzbeauftragter trifft die endgültige Entscheidung.
Ein Flugzeughersteller reduzierte den Compliance-Aufwand in den ersten 6 Monaten um 60 % , Ergebnis eines Priverion-Kunden, 2024
Anpassungen bei der Meldepflicht für Datenpannen
Die 72-Stunden-Uhr könnte sich ändern. Ihre Playbooks müssen sich zuerst ändern.
Vorgeschlagene Änderungen könnten die 72-Stunden-Meldefrist anpassen, die Wesentlichkeitsschwelle dafür überarbeiten, wann eine Datenpanne an die Aufsichtsbehörden gemeldet werden muss, und die Dokumentationspflichten ändern. Für Organisationen mit mehreren Einheiten bedeutet das, dass die Reaktionspläne für Datenpannen in jeder Tochtergesellschaft aktualisiert , und getestet , werden müssen.
Das eigentliche Risiko: eine uneinheitliche Reaktion auf Vorfälle über die Einheiten hinweg. Eine Tochtergesellschaft folgt dem aktualisierten Protokoll, eine andere arbeitet noch nach dem alten 72-Stunden-Playbook. Die Aufsichtsbehörde interessiert sich nicht für Ihre internen Koordinationsprobleme.
So unterstützt Priverion:
Zentralisiertes Incident-Management und Workflows zur Meldung von Datenpannen stellen sicher, dass jede Einheit demselben Prozess folgt. Wenn sich die Meldepflichten ändern, aktualisieren Sie einmal . und es greift überall.
Zurzach Care erreichte über alle Einheiten hinweg eine 100-prozentige Abdeckung bei der Lieferantenrisikobewertung , Ergebnis eines Priverion-Kunden, 2024
Änderungen beim Aufgabenumfang des Datenschutzbeauftragten
Welche Einheiten einen Datenschutzbeauftragten benötigen, könnte sich ändern. Mandate von Datenschutzbeauftragten auf Gruppenebene könnten sich erheblich verschieben.
Der Omnibus-Vorschlag könnte anpassen, welche Organisationen gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, und könnte die formellen Aufgaben des Datenschutzbeauftragten ändern. Für Datenschutzbeauftragte auf Gruppenebene, die den Datenschutz über Dutzende Einheiten hinweg verantworten, ist das keine abstrakte Grundsatzfrage , es betrifft unmittelbar die Ressourcenzuteilung, den Mandatsumfang und die Berichtslinien.
Wenn einzelne Tochtergesellschaften keinen bestellten Datenschutzbeauftragten mehr benötigen, muss das operative Aufsichtsmodell des Datenschutzbeauftragten auf Gruppenebene umstrukturiert werden. Wenn sich die Aufgaben in anderen Bereichen ausweiten, wird die Begründung des Personalbedarfs einfacher , aber nur, wenn Sie den Umfang mit Daten belegen können.
So unterstützt Priverion:
Das DPO-Dashboard bietet operative Übersicht über alle Einheiten hinweg mit Compliance-Berichten in Vorstandsqualität. Zeigen Sie genau, wo ein Datenschutzbeauftragter erforderlich ist , datenbasiert statt auf Annahmen gestützt.
Effizienz bei den Betroffenenrechten
Neue Gebührenstrukturen und Antwortfristen könnten Ihren Workflow für Betroffenenanfragen neu gestalten.
Der Vorschlag könnte Gebührenstrukturen für offenkundig unbegründete oder exzessive Auskunftsersuchen betroffener Personen einführen, die verbindlichen Antwortfristen anpassen und klarere Vorgaben dazu machen, was eine gültige Anfrage ausmacht. Für Organisationen, die Betroffenenanfragen über mehrere Einheiten und Rechtsräume hinweg bearbeiten, könnte das den operativen Aufwand verringern , oder bei Fehlinterpretation neue Compliance-Fallen schaffen.
Die Gefahr ist Uneinheitlichkeit: Eine Tochtergesellschaft wendet die neue Gebührenregelung an, eine andere nicht, und eine betroffene Person beschwert sich bei ihrer Aufsichtsbehörde. Die gruppenweite Bearbeitung von Betroffenenanfragen muss von der Richtlinie bis zur Umsetzung vereinheitlicht sein.
So unterstützt Priverion:
Zentralisierte Bearbeitung von Betroffenenanfragen mit konsistenten Workflows über alle Einheiten hinweg. Wenn sich Antwortfristen oder Gebührenstrukturen ändern, greifen Ihre Prozessaktualisierungen gruppenweit , keine Einheit bleibt mit einem veralteten Playbook zurück.
Medtec sparte mit den zentralisierten Compliance-Workflows von Priverion über 200 Stunden bei der ISO-27001-Vorbereitung , Ergebnis eines Priverion-Kunden, 2024
Auswirkungen auf grenzüberschreitende Datenübermittlungen
In einer Welt nach Schrems II legen sich die Omnibus-Änderungen über eine ohnehin komplexe Übermittlungslandschaft.
Während das Omnibus-Paket vorrangig darauf abzielt, den Verwaltungsaufwand zu reduzieren, wirken sich Änderungen am Verarbeitungsverzeichnis, an der DSFA oder an den Dokumentationspflichten zwangsläufig auf Transfer-Folgenabschätzungen (TIA) und das Management der Standardvertragsklauseln (SCC) aus. Wenn Ihre TIA-Dokumentation auf DSFA-Ergebnissen beruht, die gerade neu gestaltet werden, müssen Ihre Übermittlungsbegründungen möglicherweise überarbeitet werden.
Für Organisationen, die Daten über Rechtsräume hinweg übermitteln , insbesondere zwischen der EU und Ländern ohne Angemessenheitsbeschluss , schafft das Zusammenspiel der Omnibus-Änderungen mit den bestehenden Schrems-II-Pflichten eine Compliance-Fläche, die eine sorgfältige Abbildung auf Einheitsebene erfordert.
So unterstützt Priverion:
KI-gestützte TIA-Automatisierung, SCC-Management und einheitsübergreifendes Data Mapping , alles innerhalb der Schweizer Infrastruktur verarbeitet. Europäische Datensouveränität ist keine Funktion, die wir nachträglich ergänzt haben; sie ist die Grundlage, auf der wir aufgebaut sind.
Die gesamte Datenverarbeitung von Priverion erfolgt innerhalb der Schweizer Infrastruktur , garantierter europäischer Datenstandort seit der Gründung
200+
Stunden eingespart beim Management des Verarbeitungsverzeichnisses
Medtec , Stunden, die während der ISO-27001-Vorbereitung aus der manuellen Dokumentation des Verarbeitungsverzeichnisses zurückgewonnen wurden
60%
Geringere Kosten gegenüber OneTrust
Flugzeughersteller , basierend auf einem Total-Cost-of-Ownership-Vergleich über eine Mehrfacheinheiten-Implementierung in den ersten 12 Monaten
3 Mt.
Vor dem Zeitplan bei ISO 27001
Medtec , auditfertige Nachweispakete in Minuten statt Wochen erstellt, was den Zertifizierungszeitplan beschleunigte
Für den Mittelstand entwickelt.
Keine abgespeckte Enterprise-Lösung.
OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und dedizierten Datenschutzteams. Priverion wurde für Organisationen entwickelt, die Datenschutzmanagement auf Enterprise-Niveau benötigen , ohne den Overhead eines Enterprise-GRC-Tools.
Die typische OneTrust-Erfahrung
Leistungsstark , wenn Sie es sich leisten, konfigurieren und besetzen können
-
Preise pro Nutzer und pro Modul
Die Kosten skalieren unvorhersehbar, sobald Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. Budgetüberraschungen sind die Regel, nicht die Ausnahme.
-
Hauptsitz und Hosting in den USA
In einer Welt nach Schrems II schafft das Hosting von Compliance-Daten unter US-Gerichtsbarkeit ein rechtliches Risiko für europäische Organisationen , unabhängig von vertraglichen Schutzmassnahmen.
-
200+ Integrationen, die meisten oberflächlich
Eine lange Integrationsliste klingt beeindruckend , bis Sie merken, dass die meisten flache Konnektoren sind, die Wartungsaufwand erzeugen, ohne echte Datenschutz-Workflows zu lösen.
-
Monatelange Implementierung
Komplexe Rollouts erfordern oft dedizierte Berater, IT-Einbindung und eine lange Onboarding-Phase, bevor Sie überhaupt einen Nutzen sehen.
-
Für alles gebaut, für nichts Bestimmtes optimiert
ESG, Ethik-Hotlines, Cookie-Einwilligung, Datenschutz , eine Plattform, die zu vieles abdeckt, fühlt sich bei keinem davon massgeschneidert für den tatsächlichen Workflow eines Datenschutzbeauftragten an.
Der Priverion-Unterschied
Datenschutzmanagement auf Enterprise-Niveau , ohne Enterprise-Komplexität
-
Planbare Preise nach Anzahl Gesellschaften und Unternehmensgrösse
Keine Gebühren pro Nutzer. Keine Modul-Upsells. Fügen Sie Nutzer über Tochtergesellschaften hinweg hinzu, ohne dass die Kosten explodieren. Ihr CFO wird die Verlängerung tatsächlich genehmigen.
-
In der Schweiz entwickelt und gehostet , garantierter europäischer Datenstandort
Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur. Kein Marketing-Häkchen . sondern die rechtliche Grundlage für grenzüberschreitende Datenübermittlungen nach Schrems II.
-
Tiefe Integrationen mit den Systemen, die zählen
HR, Beschaffung, IT-Asset-Management , die Systeme, in denen datenschutzrelevante Daten tatsächlich liegen. Weniger Konnektoren, mehr Funktionstiefe, null Wartungsaufwand.
-
Einsatzbereit in Wochen, nicht in Monaten
Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des Compliance-Aufwands um 60 % , inklusive der Onboarding-Zeit über mehrere Tochtergesellschaften hinweg.
Fallstudie Flugzeughersteller, erste 6 Monate nach dem Rollout
-
Speziell für das Datenschutz-Programmmanagement über mehrere Einheiten entwickelt
Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab. Jede Funktion existiert, um die operative Realität des Datenschutz-Compliance-Managements über Tochtergesellschaften und Rechtsräume hinweg zu lösen.
Sie wägen Ihre Optionen ab? Sehen Sie, wie der Wechsel in der Praxis funktioniert.
30-Minuten-Demo buchenEU Digital Omnibus DSGVO-Impact-Checkliste
Eine praxisnahe, einheitsweise Checkliste für Datenschutzbeauftragte und Compliance-Verantwortliche, die Organisationen mit mehreren Tochtergesellschaften managen. Sie deckt die Bewertung der Schwellenwerte beim Verarbeitungsverzeichnis, die DSFA-Neuklassifizierung, die Aktualisierung von Datenpannen-Playbooks, die Überprüfung des Mandats des Datenschutzbeauftragten, Änderungen an Betroffenenanfragen-Workflows sowie die Auswirkungen auf grenzüberschreitende Datenübermittlungen ab , alles auf die vorgeschlagenen Omnibus-Änderungen abgestimmt.
- Bewertung der Schwellenwerte beim Verarbeitungsverzeichnis: Einheitsweiser Bewertungsrahmen für die vorgeschlagenen Ausnahmen
- Leitfaden zur DSFA-Neuklassifizierung: So bilden Sie bestehende Bewertungen auf den vorgeschlagenen abgestuften Ansatz ab
- Audit des Meldepflicht-Playbooks für Datenpannen: Schritte zur Aktualisierung der Reaktionsprozesse über alle Tochtergesellschaften hinweg
- Überprüfung des Mandats des Datenschutzbeauftragten: Bestimmen Sie, welche Einheiten noch eine formelle Bestellung eines Datenschutzbeauftragten benötigen
- Checkliste zur Aktualisierung von Betroffenenanfragen-Workflows: Bereiten Sie sich auf mögliche Gebührenstrukturen und Fristenänderungen vor
- Überprüfung grenzüberschreitender Datenübermittlungen: Bewerten Sie, wie sich die DSFA-Neugestaltung auf Ihre TIA-Dokumentation auswirkt


