Digital Omnibus: Brüssel plant umstrittenen DSGVO-Umbau

Die EU-Kommission will europäische Unternehmen entlasten – doch der Preis könnte hoch sein. Gestern stellte Brüssel das “Digital Omnibus”-Paket vor, das weitreichende Änderungen an DSGVO und KI-Verordnung vorsieht. Während die Wirtschaft aufatmet, warnen Datenschützer vor einem Ausverkauf fundamentaler Rechte.

Vizepräsidentin Henna Virkkunen präsentierte die Initiative als Antwort auf den Draghi-Bericht zur europäischen Wettbewerbskrise. Das Ziel: Bürokratie abbauen, Innovation fördern. Doch was auf den ersten Blick nach pragmatischer Modernisierung klingt, entpuppt sich bei genauerem Hinsehen als radikaler Kurswechsel in der europäischen Datenpolitik.

“Regulierung allein reicht nicht – wir müssen von der Regelsetzung zum Innovationsaufbau kommen”, erklärte Virkkunen auf der gestrigen Pressekonferenz. Die Botschaft ist klar: Europa will im globalen Tech-Wettlauf aufholen. Doch zu welchem Preis?

Der brisanteste Teil des Vorschlags betrifft die Neudefinition von “personenbezogenen Daten”. Künftig sollen Datensätze, die sich nicht “vernünftigerweise” einer Person zuordnen lassen, aus dem vollen DSGVO-Schutz herausfallen. Was technisch klingt, hat massive praktische Folgen.

Seit August 2024 gelten in der EU neue Regeln zur KI‑Nutzung — und viele Unternehmen unterschätzen die praktischen Pflichten. Auch wenn die Kommission nun Anpassungen prüft, bleiben Kennzeichnungspflichten, Risikoklassen und umfangreiche Dokumentationsanforderungen relevant — vor allem bei Recruiting‑Tools und Mitarbeiterüberwachung. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt praxisnah, welche Maßnahmen jetzt nötig sind und liefert eine Checkliste für HR und Compliance. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

Besonders für Personalabteilungen wird es heikel: Die Reform könnte Unternehmen erlauben, Mitarbeiterdaten für KI-Training zu nutzen – ohne explizite Einwilligung. Stattdessen soll das “berechtigte Interesse” des Unternehmens ausreichen. Die Datenschutzorganisation noyb warnt bereits vor einer drastischen Einschränkung von Auskunftsrechten: Beschäftigte könnten künftig nicht mehr erfahren, welche ihrer Daten in KI-Modellen verarbeitet werden.

“Der Entwurf deutet darauf hin, dass Beschäftigte ihre eigenen Daten nicht mehr einsehen können, sobald sie Teil eines größeren Datensatzes sind”, analysierte noyb kurz nach der Bekanntgabe. Für deutsche HR- und Compliance-Abteilungen wäre dies ein Paradigmenwechsel.

KI-Verordnung: Aufschub bis 2027

Auch die erst Mitte 2024 in Kraft getretene KI-Verordnung steht auf dem Prüfstand. Unter dem Druck der Tech-Industrie schlägt die Kommission vor, die Anwendung der Regeln für “Hochrisiko-KI-Systeme” um ein Jahr zu verschieben – von August 2026 auf 2027.

Betroffen sind unter anderem KI-Tools für Recruiting, Mitarbeiterüberwachung und kritische Infrastruktur. Zusätzlich sollen Systeme für “enge oder verfahrenstechnische Aufgaben” von der Registrierungspflicht befreit werden. Ein Geschenk an kleine und mittlere Unternehmen – oder eine Hintertür für unkontrollierte KI-Nutzung?

“Die Kommission scheint einfachere, besser vorhersehbare Regeln anzustreben, die Innovatoren weniger behindern”, kommentierte Ahmed Baladi von der Kanzlei Gibson Dunn gegenüber Reuters.

Heftige Kritik: “Kernprinzipien zerstört”

Die Reaktion der Datenschutz-Community ließ nicht lange auf sich warten. Max Schrems’ Organisation noyb wirft der Kommission vor, “Kernprinzipien der DSGVO zu zerstören”. In einer gestern veröffentlichten Stellungnahme warnt die NGO, die Reformen würden Big Tech einen “Blankoscheck” zur Datennutzung für KI-Entwicklung ausstellen.

Auch im Europaparlament formiert sich Widerstand. “Es ist enttäuschend zu sehen, wie die Kommission unter dem Druck der Trump-Administration und der Tech-Lobbys einknickt”, kritisierte die niederländische Grünen-Abgeordnete Kim van Sparrentak. Die Grünen-Fraktion hat bereits angekündigt, sich gegen die Änderungen zu stemmen.

Ein weiterer Streitpunkt: Die geplante Integration der ePrivacy-Richtlinie in die DSGVO. Statt der allgegenwärtigen Cookie-Banner sollen künftig zentrale Browser-Einstellungen über Tracking entscheiden. Klingt nutzerfreundlich – doch Kritiker befürchten, dass damit US-Techgiganten noch mehr Kontrolle über Datenschutz-Präferenzen erhalten.

Ungewisse Zukunft für deutsche Unternehmen

Das “Digital Omnibus”-Paket muss nun durch Parlament und Rat. Mit der konservativen EVP-Fraktion als Befürworter und progressiven Parteien als Gegner stehen hitzig Debatten bevor. Eine Einigung vor Ende 2026 gilt als unwahrscheinlich.

Für Personalabteilungen und Compliance-Verantwortliche bedeutet das: Abwarten in der Grauzone. Einerseits verschafft der Aufschub bei den KI-Regeln Luft zum Atmen. Andererseits könnten die geplanten DSGVO-Änderungen neue rechtliche Risiken schaffen, besonders beim Umgang mit Beschäftigtendaten.

Die Kommission kündigte zudem einen “Digital Fitness Check” für März 2026 an, um die Kohärenz des digitalen Regelwerks zu überprüfen. Bis zur finalen Fassung sollten Unternehmen ihre derzeitigen DSGVO-Standards beibehalten – und sich gleichzeitig auf ein potenziell lockereres, aber politisch hochexplosives regulatorisches Umfeld vorbereiten.

PS: Die Debatten um Fristverschiebungen ändern nichts an der Notwendigkeit, jetzt zu prüfen, ob Ihre HR‑KI‑Systeme compliant sind. Das Gratis‑E‑Book zur EU‑KI‑Verordnung fasst Kennzeichnungspflichten, Risikoklassifikation und Übergangsfristen kompakt zusammen und liefert konkrete Handlungsschritte für Arbeitgeber und Datenschutzverantwortliche. Nutzen Sie die Checkliste, um potenzielle Haftungsrisiken schnell zu identifizieren. Jetzt KI‑Checkliste & Leitfaden sichern