EU-Kommission plant umfassende Entschärfung des KI-Gesetzes

Wenige Monate vor entscheidenden Fristen rudert Brüssel zurück: Das ambitionierte KI-Gesetz der EU droht an seiner eigenen Komplexität zu scheitern. Die Kommission bereitet ein Rettungspaket vor, das diese Woche vorgestellt werden soll – und das könnte das Zusammenspiel von KI-Regulierung und Datenschutz grundlegend verändern.

Das „Digital Omnibus” getaufte Gesetzespaket reagiert auf eine wachsende Erkenntnis: Der europäische Digitalrechtsrahmen ist zu einem regulatorischen Dickicht geworden. AI Act, DSGVO, Data Act, Cyber Resilience Act – die parallel existierenden Regelwerke überfordern besonders kleine und mittlere Unternehmen. Nun soll die Notbremse gezogen werden, bevor die ersten großen Fristen im August 2026 greifen.

Die durchgesickerten Entwürfe versprechen gezielte Erleichterungen. Im Zentrum steht eine Neuordnung der Aufsichtsstrukturen: KI-Systeme, die in große Online-Plattformen integriert sind, sollen künftig zentral vom AI Office der EU-Kommission überwacht werden. Ein Ende des behördlichen Zuständigkeits-Wirrwarrs?

Für KMU plant Brüssel konkrete Entlastungen. Bestimmte Dokumentations- und Monitoring-Pflichten sollen wegfallen. Der Grund liegt auf der Hand: Schätzungen zufolge verschlingen allein die Compliance-Anforderungen rund 30 Prozent der Kosten eines KI-Projekts. Eine Belastung, die viele kleinere Unternehmen schlicht nicht stemmen können.

Passend zum Thema KI‑Regulierung: Viele Unternehmen unterschätzen die konkreten Pflichten nach dem AI Act – Kennzeichnung, Risikoklassen und umfangreiche Dokumentation können schnell zur Belastung werden. Unser kostenloses E‑Book fasst die EU‑KI‑Verordnung kompakt zusammen, erklärt die wichtigsten Anforderungen und Übergangsfristen und liefert praxisnahe Umsetzungs‑Schritte, damit Sie rechtssicher planen können. Ideal für Entwickler, Datenschutzbeauftragte und Entscheider. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Besonders brisant: Die Kommission will eine neue Rechtsgrundlage schaffen, die es Unternehmen erleichtert, nachzuweisen, dass sie beim KI-Einsatz den Datenschutz einhalten. Bisher bewegten sich viele Anwendungen in rechtlichen Grauzonen – mit entsprechender Verunsicherung bei den Entwicklern.

Wenn zwei Gesetze sich widersprechen

Doch eine Frage spaltet die Experten besonders: Wie gehen AI Act und DSGVO miteinander um? Der AI Act erlaubt unter bestimmten Bedingungen die Verarbeitung sensibler Daten, um algorithmische Diskriminierung aufzudecken und zu korrigieren. Die DSGVO setzt hier extrem enge Grenzen. Ein Widerspruch, der für erhebliche Rechtsunsicherheit sorgt.

Eine aktuelle Studie des EU-Parlaments spricht von „regulatorischer Reibung” durch die kumulative Anwendung der Digitalgesetze. Rechtsexperten diskutieren bereits Auswege: Könnte die DSGVO-Ausnahmeregel des „erheblichen öffentlichen Interesses” die Lösung sein? Die belgische Datenschutzbehörde hält die Korrektur von Verzerrungen in Trainingsdaten grundsätzlich für vereinbar mit den Datenschutzprinzipien – sofern strenge Bedingungen wie Datenminimierung eingehalten werden.

DSGVO-Anpassungen: Mehr Zeit bei Datenpannen

Auch die Datenschutz-Grundverordnung selbst steht auf dem Prüfstand. Die Meldefrist für Datenpannen soll von 72 auf 96 Stunden verlängert werden. Zusätzlich plant die Kommission klarere Regeln, wann Unternehmen exzessive Auskunftsersuchen ablehnen dürfen.

Ein weiteres Element des Pakets: ein einheitliches europäisches Meldeportal für Cybersicherheitsvorfälle bei der EU-Agentur ENISA. Dieser „Single-Entry Point” soll doppelte Meldepflichten nach DSGVO, NIS-2 oder DORA beenden. Ob das die erhoffte Entlastung bringt?

Balanceakt zwischen Schutz und Pragmatismus

Das „Digital Omnibus”-Vorhaben ist ein Eingeständnis: Die EU hat sich bei der Digitalregulierung übernommen. Nun versucht Brüssel einen Spagat zwischen dem hohen Schutzniveau für Grundrechte und der praktischen Umsetzbarkeit für Unternehmen. Kritiker befürchten bereits eine Aufweichung etablierter Standards.

Für deutsche Unternehmen tickt die Uhr besonders laut. Bereits seit Februar 2025 sind bestimmte KI-Anwendungen wie Social Scoring verboten. Die nächsten wichtigen Fristen laufen im August 2026 ab und betreffen vor allem Hochrisiko-Systeme. Bis dahin müssen Compliance-Strategien stehen – doch auf welcher Rechtsgrundlage?

Was kommt auf Unternehmen zu?

Die vollständige Anwendung der AI Act-Regeln für die meisten Hochrisiko-Systeme wird für August 2026 erwartet. Governance-Regeln für KI-Modelle mit allgemeinem Verwendungszweck greifen bereits im August 2025. Unternehmen sollten die Entwicklungen in den kommenden Monaten genau verfolgen.

Die Vorstellung des Gesetzespakets wird zeigen, ob die EU einen kohärenten Rechtsrahmen für die digitale Zukunft hinbekommt. Oder ob der Versuch, Innovation, Datenschutz und Sicherheit unter einen Hut zu bringen, weiter ein Drahtseilakt bleibt. Die Debatte in Brüssel jedenfalls läuft auf Hochtouren – und ihr Ausgang wird darüber entscheiden, ob Europas KI-Ambitionen Realität werden oder an bürokratischen Hürden scheitern.

PS: Zeitdruck bei den AI-Übergangsfristen? Wenn Sie wissen wollen, welche Pflichten jetzt akut sind und wie Sie Ihr KI‑System richtig klassifizieren und dokumentieren, laden Sie unseren Gratis‑Leitfaden zur KI‑Verordnung herunter. Schritt-für-Schritt-Checks und praxiserprobte To‑dos helfen Ihnen, Bußgelder zu vermeiden und Compliance kurzfristig umzusetzen. Kostenlosen Umsetzungsleitfaden zur KI-Verordnung herunterladen