Geschrieben am 28.11.2025 von:
Kevin Kraus
Legal Consultant | Informationssicherheitsbeauftragter (IHK) & Datenschutzauditor (DSA-TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Am 19.11.2025 hat die EU-Kommission das Digital-Omnibus-Paket vorgestellt. Ziel ist es, die Vielzahl digitaler Regelungen zu vereinfachen – insbesondere in den Bereichen Datenschutz, Cybersicherheit und KI. Betroffen sind unter anderem die DS-GVO, die ePrivacy-Regeln, der Data Act und die KI-VO. Gleichzeitig ist im Gespräch, bestimmte Hochrisiko-Pflichten der KI-VO bis 2027 aufzuschieben.
Für Gesundheitsdaten ist die Ausgangslage bisher eindeutig: Nach Art. 4 Nr. 15, Art. 9 DS-GVO und Erwägungsgrund 35 zählen dazu alle Informationen, die Rückschlüsse auf den Gesundheitszustand einer Person zulassen – auch mittelbar. In einem zuvor geleakten Arbeitsentwurf war eine Änderung dieser Definition von Gesundheitsdaten vorgesehen.
Nach den bisher bekannten Eckpunkten des Digitalen Omnibus sollen Unternehmen mehr Spielraum erhalten, personenbezogene Daten – einschließlich gesundheitsbezogener und biometrischer Daten – zum Training von KI-Systemen zu nutzen. Außerdem soll der Anwendungsbereich der DS-GVO faktisch verengt werden, indem die Abgrenzung zwischen personenbezogenen, pseudonymisierten und anonymen Daten neu justiert wird. Aus Sicht zivilgesellschaftlicher Organisationen bedeutet dies teilweise eine Absenkung des Schutzniveaus.
Der Digitale Omnibus durchläuft nun das reguläre EU-Gesetzgebungsverfahren: Die Vorschläge der Kommission werden im Rat der 27 Mitgliedstaaten und im Europäischen Parlament beraten. Beide Institutionen erarbeiten eigene Positionen und müssen sich anschließend im Trilog auf einen gemeinsamen Text einigen.
Für dich heißt das: Definiere Gesundheitsdaten weiterhin weit, dokumentiere Datenflüsse und KI-Use-Cases präzise, leite Rechtsgrundlagen belastbar her und stärke technische sowie organisatorische Maßnahmen konsequent – insbesondere Zugriffskonzepte, Protokollierung, Verschlüsselung und Pseudonymisierung. Das bleibt wichtig, unabhängig davon, wie das Gesetzgebungsverfahren zum Digitalen Omnibus ausgeht.
Wenn du einschätzen möchtest, welche Auswirkungen die Vorschläge der EU-Kommission auf dein Datenschutz- und Informationssicherheitsmanagement haben, unterstützen wir dich gerne – von der rechtlichen und technischen Bewertung über Schulungen bis hin zu Audits.