{"id":1028,"date":"2026-01-19T14:43:51","date_gmt":"2026-01-19T13:43:51","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1028"},"modified":"2026-01-19T14:43:51","modified_gmt":"2026-01-19T13:43:51","slug":"die-dsgvo-reform-2026-entlastung-und-digitale-innovation","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/01\/19\/die-dsgvo-reform-2026-entlastung-und-digitale-innovation\/","title":{"rendered":"Die DSGVO-Reform 2026: Entlastung und Digitale Innovation"},"content":{"rendered":"

Das Jahr 2026 markiert einen entscheidenden Wendepunkt f\u00fcr die Datenschutz-Grundverordnung (DSGVO)<\/strong>, da mehrere Reforminitiativen gleichzeitig an Fahrt gewinnen. Die aktuelle Diskussion wird ma\u00dfgeblich durch drei parallele Gesetzgebungsverfahren gepr\u00e4gt, die im Br\u00fcsseler Jargon als \u201eOmnibusse\u201c<\/strong> bezeichnet werden. Diese Pakete verfolgen das \u00fcbergeordnete Ziel, den Regelungsaufwand f\u00fcr Unternehmen und Verwaltungen drastisch zu verringern<\/strong>.<\/p>\n

Der \u201eDigital-Omnibus\u201c: Fokus auf KI und Effizienz<\/h3>\n

Im Zentrum der Aufmerksamkeit steht der Entwurf f\u00fcr den \u201eDigital-Omnibus\u201c (COM(2025) 837 final)<\/strong>, der weitreichende \u00c4nderungen am Text der DSGVO selbst vorsieht. Eine Kernthese der EU-Kommission ist, dass eine \u201eDatenknappheit\u201c<\/strong> die Entwicklung von K\u00fcnstlicher Intelligenz (KI) in Europa behindert, weshalb rechtliche H\u00fcrden abgebaut werden sollen. Zu den wichtigsten geplanten \u00c4nderungen geh\u00f6ren:<\/p>\n

    \n
  • Sch\u00e4rfung des Personenbezugs:<\/strong> Der Begriff der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO soll pr\u00e4zisiert werden, um klarer zu definieren, wann Informationen als anonym gelten.<\/li>\n
  • Verarbeitung sensibler Daten f\u00fcr KI:<\/strong> Neue Rechtsgrundlagen in Art. 9 Abs. 2 DSGVO sollen die Nutzung besonderer Datenkategorien f\u00fcr die Entwicklung und den Betrieb von KI-Systemen<\/strong> erm\u00f6glichen.<\/li>\n
  • Verl\u00e4ngerung der Meldefristen:<\/strong> Die bisherige Frist f\u00fcr die Meldung von Datenschutzverletzungen nach Art. 33 DSGVO soll von 72 auf 96 Stunden<\/strong> ausgeweitet werden.<\/li>\n
  • Einbindung der Cookie-Regeln:<\/strong> Die bisherigen Regelungen aus der ePrivacy-Richtlinie sollen in ge\u00e4nderter Form direkt in die DSGVO (Art. 88a neu) integriert werden, wobei nicht mehr f\u00fcr jede Verarbeitung eine Einwilligung n\u00f6tig sein soll.<\/li>\n<\/ul>\n

    \u201eOmnibus IV\u201c: Entlastung f\u00fcr KMU und Midcaps<\/h3>\n

    Parallel dazu schreiten die Beratungen \u00fcber den \u201eOmnibus IV\u201c<\/strong> voran, der gezielte Erleichterungen f\u00fcr kleine und mittlere Unternehmen (KMU) sowie die neu geschaffene Kategorie der \u201ekleinen Midcap-Unternehmen\u201c (SMC)<\/strong> vorsieht. Ein SMC wird als Unternehmen mit weniger als 750 Besch\u00e4ftigten und einem Jahresumsatz von bis zu 150 Millionen Euro definiert.<\/p>\n

    Besonders praxisrelevant ist die geplante Neufassung von Art. 30 Abs. 5 DSGVO<\/strong>: K\u00fcnftig sollen Unternehmen unter der 250-Mitarbeiter-Grenze ein Verzeichnis von Verarbeitungst\u00e4tigkeiten (VVT)<\/strong> nur noch dann f\u00fchren m\u00fcssen, wenn die Verarbeitung ein \u201ehohes Risiko\u201c<\/strong> (statt bisher nur \u201eRisiko\u201c) f\u00fcr die Betroffenen birgt. Dies w\u00fcrde den administrativen Aufwand f\u00fcr eine Vielzahl kleinerer Betriebe erheblich reduzieren.<\/p>\n

    Die neue Zusatzverordnung zur DSGVO<\/h3>\n

    Bereits Realit\u00e4t ist die \u201eZusatzverordnung zur DSGVO\u201c (Verordnung (EU) 2025\/2518)<\/strong>, die am 12. Dezember 2025 ver\u00f6ffentlicht wurde. Sie tritt am 2. April 2027<\/strong> vollumf\u00e4nglich in Kraft und regelt die Verfahrensabl\u00e4ufe bei grenz\u00fcberschreitenden F\u00e4llen. Ziel ist es, die Zusammenarbeit der nationalen Aufsichtsbeh\u00f6rden zu harmonisieren und die Streitbeilegung durch den Europ\u00e4ischen Datenschutzausschuss (EDSA) effizienter zu gestalten.<\/p>\n

    Nationale Entwicklungen: Die BDSG-Reform<\/h3>\n

    Auch in Deutschland ist die Reformdiskussion in vollem Gange. Die Bundesregierung plant eine umfassende Reform der Datenschutzaufsicht<\/strong>, die bis Ende 2027 umgesetzt werden soll. Diskutiert werden eine B\u00fcndelung der Kompetenzen bei der BfDI<\/strong> (Bundesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit) sowie die m\u00f6gliche Aufhebung der Pflicht zur Bestellung von Landesdatenschutzbeauftragten. Zudem soll die Pflicht zur Bestellung eines Datenschutzbeauftragten<\/strong> im nicht\u00f6ffentlichen Bereich (\u00a7 38 BDSG) auf das europarechtliche Mindestma\u00df reduziert werden, was f\u00fcr viele kleinere Unternehmen und Vereine das Ende der Bestellpflicht bedeuten w\u00fcrde.<\/p>\n

    Wie profitieren KMU von den neuen VVT-Pflichten im Jahr 2026?<\/h3>\n

    Kleine und mittlere Unternehmen (KMU) profitieren im Jahr 2026 von einer deutlichen Entlastung bei der b\u00fcrokratischen Dokumentation<\/strong>, da die Schwellenwerte und Bedingungen f\u00fcr die Pflicht zur F\u00fchrung eines Verzeichnisses von Verarbeitungst\u00e4tigkeiten (VVT) im Rahmen der \u201eOmnibus IV\u201c-Reform angepasst werden.<\/p>\n

    Die konkreten Vorteile und \u00c4nderungen stellen sich wie folgt dar:<\/p>\n

      \n
    • Anhebung der Besch\u00e4ftigtengrenze:<\/strong> W\u00e4hrend die Ausnahme von der VVT-Pflicht bisher nur f\u00fcr Unternehmen mit weniger als 250 Mitarbeitern galt, soll diese Grenze k\u00fcnftig auf Unternehmen mit weniger als 750 Besch\u00e4ftigten<\/strong> ausgeweitet werden. Damit fallen auch sogenannte \u201ekleine Midcap-Unternehmen\u201c (SMC) unter diese Erleichterung.<\/li>\n
    • H\u00f6here Risikoschwelle:<\/strong> Bisher mussten KMU trotz der Unterschreitung der Mitarbeiterzahl ein VVT f\u00fchren, wenn die Verarbeitung ein (einfaches) \u201eRisiko\u201c f\u00fcr die Rechte der Betroffenen barg. Die Neufassung von Art. 30 Abs. 5 DSGVO sieht vor, dass die Pflicht erst dann greift, wenn die Verarbeitung voraussichtlich ein \u201ehohes Risiko\u201c<\/strong> darstellt. Da ein einfaches Risiko in der Praxis sehr h\u00e4ufig vorkommt, ein hohes Risiko jedoch deutlich seltener, m\u00fcssen k\u00fcnftig wesentlich mehr KMU kein VVT mehr f\u00fchren<\/strong>.<\/li>\n
    • Einsparung von Ressourcen:<\/strong> Ziel dieser Ma\u00dfnahmen ist es, den Regelungs- und Meldeaufwand drastisch zu verringern<\/strong>, um Compliance-Kosten zu senken und die Wettbewerbsf\u00e4higkeit zu st\u00e4rken.<\/li>\n
    • Unterst\u00fctzung durch Vorlagen:<\/strong> Zus\u00e4tzlich zu den gesetzlichen Erleichterungen fordern Interessenvertreter und der Europ\u00e4ische Datenschutzausschuss (EDSA) verst\u00e4rkt direkt nutzbare Vorlagen und Checklisten<\/strong>, die speziell auf die Bed\u00fcrfnisse von KMU zugeschnitten sind, um die verbleibenden Anforderungen leichter umsetzbar zu machen.<\/li>\n<\/ul>\n

      Trotz dieser Erleichterungen bleibt die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO<\/strong> bestehen, was bedeutet, dass Unternehmen ihre Datenschutzorganisation dennoch im Griff behalten m\u00fcssen, auch wenn die formale VVT-Pflicht in vielen F\u00e4llen entf\u00e4llt.<\/p>\n

      Fazit f\u00fcr die Praxis<\/h3>\n

      Die Reformbem\u00fchungen f\u00fcr 2026 zeigen einen deutlichen Trend zur Entb\u00fcrokratisierung und zur F\u00f6rderung technologischer Innovationen<\/strong>. Verantwortliche sollten die Entwicklungen genau beobachten, da insbesondere die \u00c4nderungen bei den Meldefristen und der VVT-Pflicht direkte Auswirkungen auf das operative Datenschutzmanagement haben werden. Trotz dieser Erleichterungen bleibt das Grundgef\u00fcge der DSGVO als Schutzinstrument der Grundrechte unangetastet.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Das Jahr 2026 markiert einen entscheidenden Wendepunkt f\u00fcr die Datenschutz-Grundverordnung (DSGVO), da mehrere Reforminitiativen gleichzeitig…<\/p>\n","protected":false},"author":1,"featured_media":883,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,4],"tags":[],"class_list":["post-1028","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1028"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1028\/revisions"}],"predecessor-version":[{"id":1029,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1028\/revisions\/1029"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/883"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}