Das Jahr 2026 markiert einen entscheidenden Wendepunkt für die Datenschutz-Grundverordnung (DSGVO), da mehrere Reforminitiativen gleichzeitig an Fahrt gewinnen. Die aktuelle Diskussion wird maßgeblich durch drei parallele Gesetzgebungsverfahren geprägt, die im Brüsseler Jargon als „Omnibusse“ bezeichnet werden. Diese Pakete verfolgen das übergeordnete Ziel, den Regelungsaufwand für Unternehmen und Verwaltungen drastisch zu verringern.
Der „Digital-Omnibus“: Fokus auf KI und Effizienz
Im Zentrum der Aufmerksamkeit steht der Entwurf für den „Digital-Omnibus“ (COM(2025) 837 final), der weitreichende Änderungen am Text der DSGVO selbst vorsieht. Eine Kernthese der EU-Kommission ist, dass eine „Datenknappheit“ die Entwicklung von Künstlicher Intelligenz (KI) in Europa behindert, weshalb rechtliche Hürden abgebaut werden sollen. Zu den wichtigsten geplanten Änderungen gehören:
- Schärfung des Personenbezugs: Der Begriff der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO soll präzisiert werden, um klarer zu definieren, wann Informationen als anonym gelten.
- Verarbeitung sensibler Daten für KI: Neue Rechtsgrundlagen in Art. 9 Abs. 2 DSGVO sollen die Nutzung besonderer Datenkategorien für die Entwicklung und den Betrieb von KI-Systemen ermöglichen.
- Verlängerung der Meldefristen: Die bisherige Frist für die Meldung von Datenschutzverletzungen nach Art. 33 DSGVO soll von 72 auf 96 Stunden ausgeweitet werden.
- Einbindung der Cookie-Regeln: Die bisherigen Regelungen aus der ePrivacy-Richtlinie sollen in geänderter Form direkt in die DSGVO (Art. 88a neu) integriert werden, wobei nicht mehr für jede Verarbeitung eine Einwilligung nötig sein soll.
„Omnibus IV“: Entlastung für KMU und Midcaps
Parallel dazu schreiten die Beratungen über den „Omnibus IV“ voran, der gezielte Erleichterungen für kleine und mittlere Unternehmen (KMU) sowie die neu geschaffene Kategorie der „kleinen Midcap-Unternehmen“ (SMC) vorsieht. Ein SMC wird als Unternehmen mit weniger als 750 Beschäftigten und einem Jahresumsatz von bis zu 150 Millionen Euro definiert.
Besonders praxisrelevant ist die geplante Neufassung von Art. 30 Abs. 5 DSGVO: Künftig sollen Unternehmen unter der 250-Mitarbeiter-Grenze ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nur noch dann führen müssen, wenn die Verarbeitung ein „hohes Risiko“ (statt bisher nur „Risiko“) für die Betroffenen birgt. Dies würde den administrativen Aufwand für eine Vielzahl kleinerer Betriebe erheblich reduzieren.
Die neue Zusatzverordnung zur DSGVO
Bereits Realität ist die „Zusatzverordnung zur DSGVO“ (Verordnung (EU) 2025/2518), die am 12. Dezember 2025 veröffentlicht wurde. Sie tritt am 2. April 2027 vollumfänglich in Kraft und regelt die Verfahrensabläufe bei grenzüberschreitenden Fällen. Ziel ist es, die Zusammenarbeit der nationalen Aufsichtsbehörden zu harmonisieren und die Streitbeilegung durch den Europäischen Datenschutzausschuss (EDSA) effizienter zu gestalten.
Nationale Entwicklungen: Die BDSG-Reform
Auch in Deutschland ist die Reformdiskussion in vollem Gange. Die Bundesregierung plant eine umfassende Reform der Datenschutzaufsicht, die bis Ende 2027 umgesetzt werden soll. Diskutiert werden eine Bündelung der Kompetenzen bei der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) sowie die mögliche Aufhebung der Pflicht zur Bestellung von Landesdatenschutzbeauftragten. Zudem soll die Pflicht zur Bestellung eines Datenschutzbeauftragten im nichtöffentlichen Bereich (§ 38 BDSG) auf das europarechtliche Mindestmaß reduziert werden, was für viele kleinere Unternehmen und Vereine das Ende der Bestellpflicht bedeuten würde.
Wie profitieren KMU von den neuen VVT-Pflichten im Jahr 2026?
Kleine und mittlere Unternehmen (KMU) profitieren im Jahr 2026 von einer deutlichen Entlastung bei der bürokratischen Dokumentation, da die Schwellenwerte und Bedingungen für die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) im Rahmen der „Omnibus IV“-Reform angepasst werden.
Die konkreten Vorteile und Änderungen stellen sich wie folgt dar:
- Anhebung der Beschäftigtengrenze: Während die Ausnahme von der VVT-Pflicht bisher nur für Unternehmen mit weniger als 250 Mitarbeitern galt, soll diese Grenze künftig auf Unternehmen mit weniger als 750 Beschäftigten ausgeweitet werden. Damit fallen auch sogenannte „kleine Midcap-Unternehmen“ (SMC) unter diese Erleichterung.
- Höhere Risikoschwelle: Bisher mussten KMU trotz der Unterschreitung der Mitarbeiterzahl ein VVT führen, wenn die Verarbeitung ein (einfaches) „Risiko“ für die Rechte der Betroffenen barg. Die Neufassung von Art. 30 Abs. 5 DSGVO sieht vor, dass die Pflicht erst dann greift, wenn die Verarbeitung voraussichtlich ein „hohes Risiko“ darstellt. Da ein einfaches Risiko in der Praxis sehr häufig vorkommt, ein hohes Risiko jedoch deutlich seltener, müssen künftig wesentlich mehr KMU kein VVT mehr führen.
- Einsparung von Ressourcen: Ziel dieser Maßnahmen ist es, den Regelungs- und Meldeaufwand drastisch zu verringern, um Compliance-Kosten zu senken und die Wettbewerbsfähigkeit zu stärken.
- Unterstützung durch Vorlagen: Zusätzlich zu den gesetzlichen Erleichterungen fordern Interessenvertreter und der Europäische Datenschutzausschuss (EDSA) verstärkt direkt nutzbare Vorlagen und Checklisten, die speziell auf die Bedürfnisse von KMU zugeschnitten sind, um die verbleibenden Anforderungen leichter umsetzbar zu machen.
Trotz dieser Erleichterungen bleibt die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bestehen, was bedeutet, dass Unternehmen ihre Datenschutzorganisation dennoch im Griff behalten müssen, auch wenn die formale VVT-Pflicht in vielen Fällen entfällt.
Fazit für die Praxis
Die Reformbemühungen für 2026 zeigen einen deutlichen Trend zur Entbürokratisierung und zur Förderung technologischer Innovationen. Verantwortliche sollten die Entwicklungen genau beobachten, da insbesondere die Änderungen bei den Meldefristen und der VVT-Pflicht direkte Auswirkungen auf das operative Datenschutzmanagement haben werden. Trotz dieser Erleichterungen bleibt das Grundgefüge der DSGVO als Schutzinstrument der Grundrechte unangetastet.
