Die neuen Datenschutz-Basics: Zwischen Multiregulatorik und belastbaren Prozessen
2026 wird kein “neues DSGVO-Jahr” – es wird das Jahr, in dem Datenschutz, KI, Informations- und IT-Sicherheit sowie Datenwirtschaft endgültig zusammenwachsen.
So schnell sich das Jahr 2025 nun auch seinem Ende neigt – Unternehmen haben im Jahresendspurt erneut das Glück, spannende Kaminabende mit der Lektüre des jüngst von der Europäischen Kommission vorgelegten Digitalpakets (COM(2025)837), einschließlich des durch vorab durchgesickerte Passagen vielbeachteten digitalen Omnibus, zu verbringen. Dieser soll die Digitalgesetzgebung vereinfachen und hält tatsächlich einige praxisrelevante Vorschläge im Bereich des Datenschutzes bereit. Die Palette an Vorschlägen reicht dabei von der Einschränkung der Meldepflicht von Datenschutzvorfällen auf Vorfälle mit einem hohen Risiko und einer Ausdehnung der Meldefrist auf 96 Stunden über eine vermeintlich präzisere Definition des Begriffs “personenbezogener Daten” bis hin zur erleichterten Nutzung von Daten zum Training von KI-Anwendungen durch gesetzliche Verankerung eines berechtigten Interesses des verarbeitenden Unternehmens.
Mit energiegeladener Sprache bewirbt die Kommission zugleich die bis zum 11.3.2026 laufende Konsultation zum “digitalen Fitness-Check”. Die Kommission erhofft sich daraus Erkenntnisse für eine Reform des digitalen Regelwerks der EU – schließlich gelte es, die europäische Wettbewerbsfähigkeit im Digitalzeitalter zu sichern. Nun kann man sich sicherlich fragen, ob die gründliche Diagnose nicht eigentlich der nun bereits laufenden Therapie vorausgehen sollte. Natürlich begrüßen Unternehmen die Aussicht auf vereinfachte Cookie-Banner oder die vermeintlich rechtssicherere Nutzung von KI-Trainingsdaten.
Ein Aufatmen wird es dennoch nicht geben. Denn was sich bereits bei der Lektüre der im Jahr 2020 veröffentlichten EU-Datenstrategie abzeichnete, wird nun mit schnellen Schritten Realität: Datenschutz wird zum Bestandteil einer europäischen Multiregulatorik des Datenrechts, die stets in einer Gesamtschau zu betrachten ist. Das ist alles andere als einfach. Zwischen dem seit September 2025 anwendbaren und zu Recht kritisch diskutierten Data Act (VO (EU) 2023/2854) und der im Wesentlichen ab August 2026 geltenden KI-Verordnung (VO (EU) 2024/1689) gilt es für Unternehmen, das lang erwartete und nunmehr verabschiedete NIS-2-Umsetzungsgesetz sowie die schrittweisen anwendbaren Pflichten aus dem Cyber Resilience Act (VO (EU) 2024/2847) im Blick zu behalten.
Erwähnenswert ist in diesem Zusammenhang auch das von der Kommission vorgelegte und nicht mit dem digitalen Omnibus zu verwechselnde Omnibuspaket IV (COM(2025)501) – ein technisches Bürokratieabbaupaket für KMU. Dort findet sich etwa der Vorschlag, Unternehmen mit weniger als 750 Beschäftigten von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten zu befreien, sofern keine Hochrisiko-Verarbeitung i. S. v. Art. 35 DSGVO vorliegt. Tatsächlich handelt es sich jedoch weniger um einen Wegfall als um eine Verlagerung der Dokumentationspflicht: Denn wer nachweisen muss, dass keine Hochrisiko-Verarbeitung besteht, benötigt nahezu dieselben Informationen, die bislang im Verzeichnis zu erfassen waren.
Derweil wurde 2025 national viel über Bürokratieentlastung diskutiert – besonders emotional über die Erhöhung von Schwellenwerten zur Bestellpflicht von Datenschutzbeauftragten –, wenngleich konkrete gesetzgeberische Schritte weiterhin nicht erkennbar sind.
All dies wird auch noch zusätzlich durch die in der unternehmerischen Realität nicht mehr zu leugnende wachsende Präsenz von immer besser werdenden KI-Anwendungen durch alle Unternehmensbereiche hinweg, einer steigenden Bedrohung von Cyberattacken sowie einem hierzu gegenläufigen Kostendruck in Datenschutzabteilungen begleitet.
Mitten in dieser Dynamik, die ein im gleichen Tempo wachsendes technisches Verständnis in der Beratungspraxis fordert, tun sich viele Unternehmen noch immer schwer, belastbare Prozesse aufzubauen, die überhaupt die wesentlichen Anforderungen der DSGVO umsetzen. Anders ausgedrückt: Die Diskussion rechtlicher Detailfragen wie des datenschutzkonformen Einsatzes einer KI-Anwendung ist verständlicherweise mühselig – nur können sich viele Unternehmen diesen Luxus gar nicht leisten, weil vielerorts noch immer keine tragfähige Datenschutzorganisation besteht. Zu selten wird in der unternehmerischen Praxis der im Datenschutzrecht wie auch der übrigen europäischen Digitalgesetzgebung so tief verankerte, risikobasierte Ansatz genutzt. Zu häufig wird der Kopf in den Sand gesteckt, oftmals mangels technischen Verständnisses und fehlender Digitalkompetenz. Unternehmen müssen jedoch erkennen, dass die steigende Verdichtung der europäischen Digitalregulierung künftig keine Schonräume mehr lässt: Die Verzahnung von Datenschutz, IT-Sicherheit und KI-Governance wird nicht nur regulatorisch gefordert, sondern operational unvermeidbar.
Ein Abwarten auf die Ergebnisse des nächsten “Fitness-Checks” der Kommission wird an diesen Hausaufgaben nichts ändern. Vielmehr wird sich zeigen, dass gerade einfache, pragmatische und prozessorientierte Lösungen Wettbewerbsvorteile begründen können – etwa durch klare Verantwortlichkeiten, auf das erforderliche Risikoprofil abgestimmte technische und organisatorische Maßnahmen sowie datenschutzfreundliche Standardprozesse, die sich ohne großen Aufwand an neue Vorgaben anpassen lassen. Unternehmen, die jetzt systematisch an ihrer Daten- und Sicherheitsgovernance arbeiten, werden 2026 deutlich besser navigieren können als jene, die weiter auf situative Reaktion setzen.
Anna
Cardillo
, RAin, Partnerin bei MYLE. Sie berät Unternehmen im IT- und Datenrecht mit Fokus auf neue EU-Digitalrechtsakte, insbesondere Cybersicherheit, Risikomanagement und Business Continuity.
Patrick
Lipták
, RA, Partner bei MYLE. Er berät deutsche und internationale Unternehmen aus dem Technologie- und Finanzsektor im IT- und Datenrecht, mit besonderer FinTech-Expertise, vor allem bei der Produktentwicklung.
Cardillo/Lipták, BB 2025, Heft 51-52, Umschlagteil, I