Digital Omnibus: EU will KI-Regeln verschieben

Brüssel leitet einen Kurswechsel ein: Weniger Bürokratie, mehr Spielraum für Unternehmen. Doch Datenschützer warnen vor einem gefährlichen Kompromiss zu Lasten der Bürgerrechte.

Die EU-Kommission hat diese Woche ein umfassendes Gesetzespaket vorgestellt, das die digitale Regulierung in Europa grundlegend vereinfachen soll. Der sogenannte “Digital Omnibus” nimmt dabei zwei Schwergewichte ins Visier: den KI-Verordnung (AI Act) und die Datenschutz-Grundverordnung (DSGVO). Das erklärte Ziel? Administrative Kosten in Höhe von bis zu 5 Milliarden Euro bis 2029 einsparen – vor allem für kleine und mittlere Unternehmen.

Während die Wirtschaft aufatmet, schlagen Datenschützer Alarm. Sie befürchten, dass die Lockerungen digitale Grundrechte aushöhlen könnten.

Die wohl brisanteste Neuerung betrifft Hochrisiko-KI-Systeme – etwa solche, die in kritischer Infrastruktur, Medizinprodukten oder Justizsystemen eingesetzt werden. Eigentlich sollten die strengen Regeln im August 2026 greifen. Nun könnte sich der Start um bis zu 16 Monate verschieben, möglicherweise bis Dezember 2027.

Viele Unternehmen stehen vor unklaren Pflichten rund um die EU-KI-Verordnung: Risikoklassen, Kennzeichnungspflichten und die richtige Dokumentation entscheiden über Marktchancen und Haftungsrisiken. Ein kostenloser Umsetzungsleitfaden erklärt kompakt, welche Anforderungen jetzt gelten, welche Übergangsfristen relevant sind und welche praktischen Schritte Entwickler und Anwender sofort umsetzen sollten. Ideal für KMU, Produktteams und Datenschutzverantwortliche. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Die Begründung aus Brüssel: Die erforderlichen technischen Standards sind noch nicht fertig. “Ohne klare Leitlinien und Unterstützung lässt sich kein neues Gesetz umsetzen”, heißt es von der Kommission. Zusätzlich soll die Aufsicht über allgemeine KI-Modelle künftig zentral beim Europäischen KI-Büro liegen. Kleinere Unternehmen profitieren zudem von vereinfachten Dokumentationspflichten.

Doch was bedeutet dieser Aufschub konkret? Bürger bleiben länger potenziellen Risiken unregulierter KI-Systeme ausgesetzt – ein Preis, den Digitalrechts-Organisationen für zu hoch halten.

DSGVO-Reform: Entlastung oder Hintertür?

Seit 2018 gilt die DSGVO weltweit als Goldstandard für Datenschutz. Nun soll sie entschlackt werden – zumindest für bestimmte Unternehmen. Die geplanten Änderungen zielen auf Firmen mit weniger als 750 Mitarbeitern ab, die künftig deutlich weniger Dokumentationspflichten erfüllen müssen.

Der Kern der Reform: Verarbeitungsverzeichnisse werden nur noch bei “hohem Risiko” für Bürgerrechte verpflichtend. Die bisherige Regelung, die etwa bei regelmäßiger Datenverarbeitung oder dem Umgang mit sensiblen Informationen greift, würde damit entfallen. Außerdem will Brüssel klarstellen, dass Unternehmen sich auf “berechtigte Interessen” berufen können, wenn sie personenbezogene Daten für KI-Training nutzen – sofern alle anderen DSGVO-Vorgaben erfüllt sind.

Hier wird es kontrovers: Die Datenschutz-Organisation NOYB kritisiert, die Änderungen schaffen Schlupflöcher, die paradoxerweise vor allem Großkonzernen nützen. Besonders umstritten ist die geplante Neuinterpretation des Begriffs “personenbezogene Daten”. Kritiker warnen, dies könne Datenbroker und die Werbebranche teilweise aus dem Anwendungsbereich der DSGVO herauslösen.

Weniger Pop-ups, mehr Effizienz?

Wer kennt sie nicht: die lästigen Cookie-Banner, die auf praktisch jeder Website aufploppen. Die EU-Kommission will dem Phänomen der “Einwilligungsmüdigkeit” nun mit einem radikalen Ansatz begegnen. Nutzer sollen ihre Präferenzen zentral im Browser oder Betriebssystem hinterlegen können – einmal einstellen, überall gelten.

Das klingt verlockend. Doch Datenschützer mahnen zur Vorsicht: Vereinfachung darf nicht zulasten echter Wahlfreiheit gehen. Wird das neue System so gestaltet, dass Nutzer tatsächlich die Kontrolle über ihre Daten behalten?

Cybersicherheit aus einer Hand

Das Omnibus-Paket vereinheitlicht auch die Meldepflichten für Sicherheitsvorfälle. Bisher mussten Unternehmen bei IT-Attacken mehrere Behörden parallel informieren – etwa nach NIS2-Richtlinie und DSGVO. Künftig soll eine zentrale Anlaufstelle genügen. Parallel dazu will die Kommission vier separate Rechtsakte im Data Act bündeln, um die rechtliche Klarheit zu erhöhen.

Das entspricht langjährigen Forderungen aus der Wirtschaft. Im Vergleich: Deutsche Konzerne wie SAP oder Siemens müssen derzeit ein Dickicht aus Einzelvorschriften navigieren, das selbst Rechtsabteilungen an die Grenzen bringt.

Zwischen Innovation und Bürgerschutz

Der Digital Omnibus ist die Antwort auf monatelangen Druck aus Industrie und Mitgliedstaaten – allen voran Deutschland und Frankreich. Die Botschaft: Europa muss innovationsfreundlicher werden, um im globalen Wettbewerb mit den USA und China mithalten zu können.

Jetzt beginnt das politische Tauziehen zwischen Europaparlament und Rat. Im Parlament regt sich bereits Widerstand gegen das, was Abgeordnete als Aufweichung des Datenschutzes bezeichnen. Wie die finale Version aussieht, wird sich in den kommenden Monaten zeigen.

Unternehmen sollten die Entwicklung genau verfolgen – die Änderungen könnten erhebliche Auswirkungen auf Datenverarbeitung und KI-Projekte haben. Bis März 2026 läuft zudem eine breit angelegte Konsultation, der “Digital Fitness Check”, bei dem die Kommission die Gesamtwirkung des europäischen Digitalrechts evaluiert.

Bleibt die Frage: Findet Europa die Balance zwischen wirtschaftlicher Dynamik und dem Schutz seiner Bürger? Oder droht am Ende ein fauler Kompromiss, der niemandem wirklich nützt?

PS: Viele Verantwortliche unterschätzen die Fristen und Dokumentationspflichten der KI-Regeln – ein klarer Umsetzungsplan hilft. Der gratis KI‑Leitfaden liefert Checklisten zur Risikoklassifikation, Vorlagen für erforderliche Dokumentationen und konkrete Schritte für die unmittelbare Umsetzung in Unternehmen. Besonders nützlich für Produktteams, Datenschutzbeauftragte und IT-Verantwortliche. Jetzt KI-Leitfaden sichern