Zuletzt aktualisiert: Juni 2025

Die EU Digital Omnibus DSGVO-Reform 2026 schreibt Ihr Compliance-Drehbuch neu . Das ändert sich tatsächlich

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Das EU Digital Omnibus-Paket schlägt die umfangreichsten DSGVO-Änderungen seit 2018 vor und betrifft Schwellenwerte beim Verarbeitungsverzeichnis, DSFA-Stufen, die Meldepflicht bei Datenpannen sowie die Mandate von Datenschutzbeauftragten bei Organisationen mit mehreren Einheiten.

Das Vereinfachungspaket «Omnibus» der Europäischen Kommission schlägt die bedeutendsten Änderungen der DSGVO seit 2018 vor. Wenn Sie den Datenschutz über mehrere Einheiten oder Rechtsräume hinweg verantworten, wirken sich diese Änderungen unmittelbar auf Ihr Verarbeitungsverzeichnis, Ihre DSFA-Prozesse, Ihre Meldefristen bei Datenpannen und die Pflichten Ihres Datenschutzbeauftragten aus. Diese Seite zeigt auf, was gesichert ist, was vorgeschlagen wird und was Sie jetzt tun sollten.

Die EU Digital Omnibus DSGVO-Impact-Checkliste herunterladen

Vertraut von Datenschutzteams, die DSGVO-Compliance über mehrere Einheiten hinweg managen

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Was das EU Digital Omnibus tatsächlich ändert

EU Digital Omnibus DSGVO-Reform 2026: Die wichtigsten Änderungen erklärt

Die folgenden Ausführungen basieren auf dem veröffentlichten Vorschlag der Europäischen Kommission mit Stand Q1 2025. Die endgültigen Bestimmungen können sich im Laufe des Gesetzgebungsverfahrens noch ändern. Wir aktualisieren diese Seite, sobald neue Entwicklungen bekannt werden.

Änderungen der Schwellenwerte beim Verarbeitungsverzeichnis

Manche Tochtergesellschaften benötigen womöglich kein vollständiges Verarbeitungsverzeichnis mehr , andere hingegen schon.

Der Vorschlag führt mögliche Ausnahmen von der Pflicht zur Führung eines vollständigen Verzeichnisses von Verarbeitungstätigkeiten ein, abhängig von der Mitarbeiterzahl und dem Risikoniveau der Verarbeitung. Für Datenschutzteams auf Gruppenebene bedeutet das eine einheitsweise Bewertung , keine pauschale Regelung. Eine Tochtergesellschaft mit 200 Mitarbeitenden, die Gesundheitsdaten verarbeitet, bleibt vollumfänglich verpflichtet; ein Vertriebsbüro mit 40 Personen womöglich nicht.

Die Herausforderung: Sie müssen genau wissen, welche Einheiten über oder unter den neuen Schwellenwerten liegen , und diese Übersicht für Ihre gesamte Gruppe sofort verfügbar haben, nicht erst nach wochenlangen Tabellen-Audits.

So unterstützt Priverion:

Mit einheitsübergreifendem Management des Verarbeitungsverzeichnisses und automatisierter Rezertifizierung haben Sie die Übersicht auf Einheitsebene bereits. Wenn sich Schwellenwerte verschieben, passen Sie diese in der Plattform an , nicht über 47 Tabellen hinweg.

AXA erreichte mit vollständig automatisierten Workflows eine Rezertifizierungsquote von 100 % beim Verarbeitungsverzeichnis , Ergebnis eines Priverion-Kunden, 2024

Neugestaltung des DSFA-Prozesses

Leichtere Prüfungen für risikoärmere Verarbeitung. Vollständige Bewertungen, wo es darauf ankommt.

Der Omnibus-Vorschlag könnte neu regeln, wann vollständige Datenschutz-Folgenabschätzungen erforderlich sind, und führt dabei einen abgestuften Ansatz ein. Risikoärmere Verarbeitungstätigkeiten könnten für ein leichteres Prüfformat qualifizieren, während risikoreiche Tätigkeiten die aktuellen Anforderungen an die Prüftiefe beibehalten , oder sogar ausweiten.

Für Organisationen, die umfangreiche DSFA-Workflows aufgebaut haben, ist das keine Vereinfachung . sondern eine Neukalibrierung. Sie müssen Verarbeitungstätigkeiten in jeder Einheit neu klassifizieren, bestimmen, welche eine vollständige Bewertung gegenüber einer leichteren Prüfung auslösen, und Ihre Vorlagen entsprechend aktualisieren.

So unterstützt Priverion:

Die KI-gestützte DSFA-Erstellung und Risikobewertung klassifiziert Verarbeitungstätigkeiten bereits nach Risikoniveau. Sobald die neuen Stufen feststehen, passen sich Ihre Bewertungs-Workflows an . Die KI unterstützt die Neuklassifizierung, Ihr Datenschutzbeauftragter trifft die endgültige Entscheidung.

Ein Flugzeughersteller reduzierte den Compliance-Aufwand in den ersten 6 Monaten um 60 % , Ergebnis eines Priverion-Kunden, 2024

Anpassungen bei der Meldepflicht für Datenpannen

Die 72-Stunden-Uhr könnte sich ändern. Ihre Playbooks müssen sich zuerst ändern.

Vorgeschlagene Änderungen könnten die 72-Stunden-Meldefrist anpassen, die Wesentlichkeitsschwelle dafür überarbeiten, wann eine Datenpanne an die Aufsichtsbehörden gemeldet werden muss, und die Dokumentationspflichten ändern. Für Organisationen mit mehreren Einheiten bedeutet das, dass die Reaktionspläne für Datenpannen in jeder Tochtergesellschaft aktualisiert , und getestet , werden müssen.

Das eigentliche Risiko: eine uneinheitliche Reaktion auf Vorfälle über die Einheiten hinweg. Eine Tochtergesellschaft folgt dem aktualisierten Protokoll, eine andere arbeitet noch nach dem alten 72-Stunden-Playbook. Die Aufsichtsbehörde interessiert sich nicht für Ihre internen Koordinationsprobleme.

So unterstützt Priverion:

Zentralisiertes Incident-Management und Workflows zur Meldung von Datenpannen stellen sicher, dass jede Einheit demselben Prozess folgt. Wenn sich die Meldepflichten ändern, aktualisieren Sie einmal . und es greift überall.

Zurzach Care erreichte über alle Einheiten hinweg eine 100-prozentige Abdeckung bei der Lieferantenrisikobewertung , Ergebnis eines Priverion-Kunden, 2024

Änderungen beim Aufgabenumfang des Datenschutzbeauftragten

Welche Einheiten einen Datenschutzbeauftragten benötigen, könnte sich ändern. Mandate von Datenschutzbeauftragten auf Gruppenebene könnten sich erheblich verschieben.

Der Omnibus-Vorschlag könnte anpassen, welche Organisationen gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, und könnte die formellen Aufgaben des Datenschutzbeauftragten ändern. Für Datenschutzbeauftragte auf Gruppenebene, die den Datenschutz über Dutzende Einheiten hinweg verantworten, ist das keine abstrakte Grundsatzfrage , es betrifft unmittelbar die Ressourcenzuteilung, den Mandatsumfang und die Berichtslinien.

Wenn einzelne Tochtergesellschaften keinen bestellten Datenschutzbeauftragten mehr benötigen, muss das operative Aufsichtsmodell des Datenschutzbeauftragten auf Gruppenebene umstrukturiert werden. Wenn sich die Aufgaben in anderen Bereichen ausweiten, wird die Begründung des Personalbedarfs einfacher , aber nur, wenn Sie den Umfang mit Daten belegen können.

So unterstützt Priverion:

Das DPO-Dashboard bietet operative Übersicht über alle Einheiten hinweg mit Compliance-Berichten in Vorstandsqualität. Zeigen Sie genau, wo ein Datenschutzbeauftragter erforderlich ist , datenbasiert statt auf Annahmen gestützt.

Effizienz bei den Betroffenenrechten

Neue Gebührenstrukturen und Antwortfristen könnten Ihren Workflow für Betroffenenanfragen neu gestalten.

Der Vorschlag könnte Gebührenstrukturen für offenkundig unbegründete oder exzessive Auskunftsersuchen betroffener Personen einführen, die verbindlichen Antwortfristen anpassen und klarere Vorgaben dazu machen, was eine gültige Anfrage ausmacht. Für Organisationen, die Betroffenenanfragen über mehrere Einheiten und Rechtsräume hinweg bearbeiten, könnte das den operativen Aufwand verringern , oder bei Fehlinterpretation neue Compliance-Fallen schaffen.

Die Gefahr ist Uneinheitlichkeit: Eine Tochtergesellschaft wendet die neue Gebührenregelung an, eine andere nicht, und eine betroffene Person beschwert sich bei ihrer Aufsichtsbehörde. Die gruppenweite Bearbeitung von Betroffenenanfragen muss von der Richtlinie bis zur Umsetzung vereinheitlicht sein.

So unterstützt Priverion:

Zentralisierte Bearbeitung von Betroffenenanfragen mit konsistenten Workflows über alle Einheiten hinweg. Wenn sich Antwortfristen oder Gebührenstrukturen ändern, greifen Ihre Prozessaktualisierungen gruppenweit , keine Einheit bleibt mit einem veralteten Playbook zurück.

Medtec sparte mit den zentralisierten Compliance-Workflows von Priverion über 200 Stunden bei der ISO-27001-Vorbereitung , Ergebnis eines Priverion-Kunden, 2024

Auswirkungen auf grenzüberschreitende Datenübermittlungen

In einer Welt nach Schrems II legen sich die Omnibus-Änderungen über eine ohnehin komplexe Übermittlungslandschaft.

Während das Omnibus-Paket vorrangig darauf abzielt, den Verwaltungsaufwand zu reduzieren, wirken sich Änderungen am Verarbeitungsverzeichnis, an der DSFA oder an den Dokumentationspflichten zwangsläufig auf Transfer-Folgenabschätzungen (TIA) und das Management der Standardvertragsklauseln (SCC) aus. Wenn Ihre TIA-Dokumentation auf DSFA-Ergebnissen beruht, die gerade neu gestaltet werden, müssen Ihre Übermittlungsbegründungen möglicherweise überarbeitet werden.

Für Organisationen, die Daten über Rechtsräume hinweg übermitteln , insbesondere zwischen der EU und Ländern ohne Angemessenheitsbeschluss , schafft das Zusammenspiel der Omnibus-Änderungen mit den bestehenden Schrems-II-Pflichten eine Compliance-Fläche, die eine sorgfältige Abbildung auf Einheitsebene erfordert.

So unterstützt Priverion:

KI-gestützte TIA-Automatisierung, SCC-Management und einheitsübergreifendes Data Mapping , alles innerhalb der Schweizer Infrastruktur verarbeitet. Europäische Datensouveränität ist keine Funktion, die wir nachträglich ergänzt haben; sie ist die Grundlage, auf der wir aufgebaut sind.

Die gesamte Datenverarbeitung von Priverion erfolgt innerhalb der Schweizer Infrastruktur , garantierter europäischer Datenstandort seit der Gründung

200+

Stunden eingespart beim Management des Verarbeitungsverzeichnisses

Medtec , Stunden, die während der ISO-27001-Vorbereitung aus der manuellen Dokumentation des Verarbeitungsverzeichnisses zurückgewonnen wurden

60%

Geringere Kosten gegenüber OneTrust

Flugzeughersteller , basierend auf einem Total-Cost-of-Ownership-Vergleich über eine Mehrfacheinheiten-Implementierung in den ersten 12 Monaten

3 Mt.

Vor dem Zeitplan bei ISO 27001

Medtec , auditfertige Nachweispakete in Minuten statt Wochen erstellt, was den Zertifizierungszeitplan beschleunigte

Priverion vs. OneTrust

Für den Mittelstand entwickelt.
Keine abgespeckte Enterprise-Lösung.

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und dedizierten Datenschutzteams. Priverion wurde für Organisationen entwickelt, die Datenschutzmanagement auf Enterprise-Niveau benötigen , ohne den Overhead eines Enterprise-GRC-Tools.

Die typische OneTrust-Erfahrung

Leistungsstark , wenn Sie es sich leisten, konfigurieren und besetzen können

  • Preise pro Nutzer und pro Modul

    Die Kosten skalieren unvorhersehbar, sobald Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. Budgetüberraschungen sind die Regel, nicht die Ausnahme.

  • Hauptsitz und Hosting in den USA

    In einer Welt nach Schrems II schafft das Hosting von Compliance-Daten unter US-Gerichtsbarkeit ein rechtliches Risiko für europäische Organisationen , unabhängig von vertraglichen Schutzmassnahmen.

  • 200+ Integrationen, die meisten oberflächlich

    Eine lange Integrationsliste klingt beeindruckend , bis Sie merken, dass die meisten flache Konnektoren sind, die Wartungsaufwand erzeugen, ohne echte Datenschutz-Workflows zu lösen.

  • Monatelange Implementierung

    Komplexe Rollouts erfordern oft dedizierte Berater, IT-Einbindung und eine lange Onboarding-Phase, bevor Sie überhaupt einen Nutzen sehen.

  • Für alles gebaut, für nichts Bestimmtes optimiert

    ESG, Ethik-Hotlines, Cookie-Einwilligung, Datenschutz , eine Plattform, die zu vieles abdeckt, fühlt sich bei keinem davon massgeschneidert für den tatsächlichen Workflow eines Datenschutzbeauftragten an.

Der Priverion-Unterschied

Datenschutzmanagement auf Enterprise-Niveau , ohne Enterprise-Komplexität

  • Planbare Preise nach Anzahl Gesellschaften und Unternehmensgrösse

    Keine Gebühren pro Nutzer. Keine Modul-Upsells. Fügen Sie Nutzer über Tochtergesellschaften hinweg hinzu, ohne dass die Kosten explodieren. Ihr CFO wird die Verlängerung tatsächlich genehmigen.

  • In der Schweiz entwickelt und gehostet , garantierter europäischer Datenstandort

    Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur. Kein Marketing-Häkchen . sondern die rechtliche Grundlage für grenzüberschreitende Datenübermittlungen nach Schrems II.

  • Tiefe Integrationen mit den Systemen, die zählen

    HR, Beschaffung, IT-Asset-Management , die Systeme, in denen datenschutzrelevante Daten tatsächlich liegen. Weniger Konnektoren, mehr Funktionstiefe, null Wartungsaufwand.

  • Einsatzbereit in Wochen, nicht in Monaten

    Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des Compliance-Aufwands um 60 % , inklusive der Onboarding-Zeit über mehrere Tochtergesellschaften hinweg.

    Fallstudie Flugzeughersteller, erste 6 Monate nach dem Rollout

  • Speziell für das Datenschutz-Programmmanagement über mehrere Einheiten entwickelt

    Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab. Jede Funktion existiert, um die operative Realität des Datenschutz-Compliance-Managements über Tochtergesellschaften und Rechtsräume hinweg zu lösen.

Sie wägen Ihre Optionen ab? Sehen Sie, wie der Wechsel in der Praxis funktioniert.

30-Minuten-Demo buchen

Ihr Datenschutzprogramm verdient mehr als Tabellen

Schluss mit dem Hinterherjagen.
Beginnen Sie, Datenschutz zu managen.

Sehen Sie, wie Priverion Organisationen mit mehreren Einheiten gruppenweite Übersicht, automatisierte Rezertifizierung und auditfertige Nachweise bietet , alles in der Schweiz gehostet, einsatzbereit in Wochen.

60%

weniger Compliance-Aufwand

Flugzeughersteller, erste 6 Monate

200+

Stunden eingespart bei der ISO-27001-Vorbereitung

Medtec

100%

automatisierte Rezertifizierung des Verarbeitungsverzeichnisses

AXA

30-minütige Demo buchen

Keine Verpflichtung. Kein Verkaufspitch. Nur ein Live-Einblick, wie es für Organisationen wie Ihre funktioniert.

Kostenlose Ressource

EU Digital Omnibus DSGVO-Impact-Checkliste

Eine praxisnahe, einheitsweise Checkliste für Datenschutzbeauftragte und Compliance-Verantwortliche, die Organisationen mit mehreren Tochtergesellschaften managen. Sie deckt die Bewertung der Schwellenwerte beim Verarbeitungsverzeichnis, die DSFA-Neuklassifizierung, die Aktualisierung von Datenpannen-Playbooks, die Überprüfung des Mandats des Datenschutzbeauftragten, Änderungen an Betroffenenanfragen-Workflows sowie die Auswirkungen auf grenzüberschreitende Datenübermittlungen ab , alles auf die vorgeschlagenen Omnibus-Änderungen abgestimmt.

  • Bewertung der Schwellenwerte beim Verarbeitungsverzeichnis: Einheitsweiser Bewertungsrahmen für die vorgeschlagenen Ausnahmen
  • Leitfaden zur DSFA-Neuklassifizierung: So bilden Sie bestehende Bewertungen auf den vorgeschlagenen abgestuften Ansatz ab
  • Audit des Meldepflicht-Playbooks für Datenpannen: Schritte zur Aktualisierung der Reaktionsprozesse über alle Tochtergesellschaften hinweg
  • Überprüfung des Mandats des Datenschutzbeauftragten: Bestimmen Sie, welche Einheiten noch eine formelle Bestellung eines Datenschutzbeauftragten benötigen
  • Checkliste zur Aktualisierung von Betroffenenanfragen-Workflows: Bereiten Sie sich auf mögliche Gebührenstrukturen und Fristenänderungen vor
  • Überprüfung grenzüberschreitender Datenübermittlungen: Bewerten Sie, wie sich die DSFA-Neugestaltung auf Ihre TIA-Dokumentation auswirkt

Ihre Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. Wir verwenden sie ausschliesslich, um Ihnen die Checkliste zuzustellen, und geben sie nicht an Dritte weiter. Sie können die Löschung jederzeit verlangen.