Die EU-Kommission will die strengen Melderegeln der Datenschutz-Grundverordnung (DSGVO) entschärfen. Der neue Digital Omnibus-Vorschlag sieht vor, nur noch Hochrisiko-Vorfälle melden zu müssen und die Frist dafür zu verlängern. Hintergrund ist eine Flut an Meldungen, die die Aufsichtsbehörden überfordert.
Überforderte Behörden durch Pannen-Flut
Der Reformdruck ist direkt auf einen dramatischen Anstieg der Meldungen zurückzuführen. Ein aktueller Bericht zeigt: Die tägliche Durchschnittszahl gemeldeter Datenpannen ist im vergangenen Jahr um 22 Prozent gestiegen. Zwischen Januar 2025 und Januar 2026 schnellte sie von 363 auf 443 Meldungen pro Tag. Erstmals seit Inkrafttreten der DSGVO 2018 wurde damit die Marke von 400 täglichen Meldungen überschritten.
Cybersecurity-Experten sehen mehrere Gründe: eine angespanntere geopolitische Lage mit mehr Cyberangriffen und eine gestiegene Sensibilisierung durch neue Gesetze. Die Behörden sind von der Masse überfordert und können kaum noch zwischen Bagatellen und schwerwiegenden Verstößen unterscheiden.
Passend zum Thema Risikobewertung: Wenn Unternehmen künftig nur noch Hochrisiko-Vorfälle melden müssen, brauchen Datenschutzbeauftragte und Compliance-Teams klare Methoden, um Zwischenfälle zuverlässig einzustufen. Unser kostenloses E-Book zur Datenschutz-Folgenabschätzung (DSFA) bietet praxisnahe Mustervorlagen, Checklisten und eine Schritt-für-Schritt-Anleitung, mit der Sie DSFAs schnell und rechtssicher erstellen — so vermeiden Sie Fehleinschätzungen und mögliche Bußgelder. DSFA-Muster & Checklisten jetzt kostenlos herunterladen
Neuer Fokus auf „hohes Risiko“ und längere Frist
Der Kern des Vorschlags ist eine neue Schwelle für die Meldepflicht. Künftig sollen Unternehmen Datenschutzverstöße nur noch melden müssen, wenn ein „hohes Risiko“ für die Rechte und Freiheiten der Betroffenen droht. So sollen weniger relevante Vorfälle herausgefiltert werden, damit sich die Aufseher auf die wirklich kritischen Fälle konzentrieren können.
Zusätzlich soll die Meldefrist verlängert werden. Statt wie bisher innerhalb von 72 Stunden, sollen Unternehmen künftig 96 Stunden Zeit haben, um eine Panne zu bewerten und zu melden. Diese zusätzlichen 24 Stunden sollen für interne Ermittlungen genutzt werden. Für kritische Infrastrukturen unter der NIS2-Richtlinie gilt jedoch weiterhin die strikte 24-Stunden-Frist.
Ein Portal für alle Meldungen
Um den regulatorischen Flickenteppich zu vereinheitlichen, plant die Kommission eine zentrale Meldestelle (Single Entry Point). Diese Plattform soll von der EU-Agentur für Cybersicherheit (ENISA) betrieben werden und dem Prinzip „einmal melden, mehrfach teilen“ folgen.
Ein Unternehmen könnte so eine Meldung abgeben, die gleichzeitig den Anforderungen von DSGVO, NIS2 und dem Digital Operational Resilience Act (DORA) genügt. Die Plattform würde die Informationen automatisch an die zuständigen nationalen und sektoralen Behörden weiterleiten. Diese Maßnahme ist Teil einer größeren EU-Cybersicherheitsstrategie, zu der auch der überarbeitete Cybersecurity Act (CSA2) gehört.
Zwischen Entlastung und Abschwächung
Die Reaktionen auf die Pläne sind gemischt. Wirtschaftsverbände begrüßen das Ziel, Doppelmeldungen und Bürokratie abzubauen. Datenschutzaktivisten äußern jedoch Bedenken.
Kritiker warnen, dass ein zentrales Portal bei schlechter Umsetzung neue Komplexität schaffen oder zu gefährlichen Verzögerungen bei der Weitergabe dringender Informationen führen könnte. Zudem könnte es selbst zum lukrativen Ziel für Hacker werden.
Die Kommission steht vor einer Gratwanderung: Sie will die Regeln für überlastete Behörden und Unternehmen vereinfachen, ohne dabei den Eindruck zu erwecken, die grundlegenden Datenschutzrechte der Bürger aufzuweichen. Wird die Vereinfachung als Aushöhlung der DSGVO-Grundsätze wahrgenommen, drohen rechtliche Unsicherheit und politischer Gegenwind.
Was kommt jetzt?
Der Vorschlag für den Digital Omnibus geht nun in die entscheidende Phase der Verhandlungen zwischen Kommission, Parlament und Rat. Der finale Gesetzestext könnte im Trilog-Verfahren 2026 noch erheblich verändert werden.
Für Unternehmen in der EU zeichnet sich dennoch ein Trend ab: hin zu einer harmonisierteren, aber risikobasierten Compliance. Firmen sollten die Entwicklung genau verfolgen. Eine Fokussierung auf „hohes Risiko“ wird verfeinerte interne Risikobewertungsmethoden erfordern, um Zwischenfälle korrekt einstufen zu können. Die anhaltende Welle der Cyberangriffe unterstreicht ohnehin die Notwendigkeit robuster Notfallpläne und eines klaren Blicks auf die sich ständig ändernde regulatorische Landschaft in Europa.
PS: Sie möchten sicherstellen, dass Ihr Unternehmen Vorfälle korrekt als „hohes Risiko“ einstuft? Der kostenlose Leitfaden zur Datenschutz-Folgenabschätzung enthält bearbeitbare Vorlagen, praktische Bewertungskriterien und Beispiele für typische Szenarien — ideal, um interne Prozesse jetzt schnell anzupassen. Holen Sie sich die Vorlagen und schützen Sie Ihr Unternehmen vor falscher Einstufung und möglichen Sanktionen. Kostenlose DSFA-Vorlagen hier herunterladen
