Digital Omnibus: Brüssel verschiebt KI-Regeln und lockert Datenschutz

Die EU-Kommission krempelt ihre KI-Strategie um. Strikte Vorgaben für Hochrisiko-Systeme könnten bis Ende 2027 auf sich warten lassen – und die GDPR wird für Algorithmen-Training aufgeweicht.

Am Mittwoch, 19. November, präsentierte die Europäische Kommission ihr “Digital Omnibus”-Paket. Das umfangreiche Gesetzesvorhaben soll die Umsetzung des KI-Gesetzes und der Datenschutz-Grundverordnung entrümpeln. Im Kern geht es darum, europäische Start-ups und Mittelständler nicht länger durch bürokratische Hürden auszubremsen.

Die brisanteste Neuerung: Die Regeln für Hochrisiko-KI-Systeme treten erst in Kraft, wenn die nötigen technischen Standards verfügbar sind. Parallel dazu erlaubt Brüssel erstmals explizit, personenbezogene Daten für KI-Training zu nutzen – unter Auflagen, versteht sich. Beides markiert eine deutliche Kehrtwende hin zu mehr Wirtschaftsfreundlichkeit.

Passend zum Thema EU-KI-Regulierung: Viele Unternehmen unterschätzen die Dokumentations- und Kennzeichnungspflichten der neuen EU-KI-Verordnung – das kann teuer werden. Der kostenlose Umsetzungsleitfaden erklärt praxisnah, wie Sie Risikoklassen richtig einstufen, welche Nachweise jetzt erforderlich sind und wie Sie Übergangsfristen einhalten, damit Ihre KI-Projekte nicht plötzlich Compliance-Risiken auslösen. Ideal für Entwickler, Anbieter und Compliance-Verantwortliche. Jetzt KI-Umsetzungsleitfaden herunterladen

Ursprünglich sollten ab August 2026 strenge Pflichten für KI-Anwendungen in kritischen Bereichen gelten – etwa in Infrastruktur, Personalwesen oder Strafverfolgung. Das Digital Omnibus macht diese Frist nun flexibel: Sie greift erst, sobald die Kommission harmonisierte technische Standards bereitstellt.

Praktisch bedeutet das eine Verschiebung um bis zu 16 Monate. Die vollständige Durchsetzung könnte sich damit bis Ende 2027 hinauszögern. Brüssel räumt ein, dass die erforderlichen Konformitätsnachweise noch nicht existieren. Statt Unternehmen ohne klare Leitplanken ins Risiko zu schicken, koppelt die Kommission die Rechtspflicht an deren Verfügbarkeit.

Henna Virkkunen, Vizepräsidentin für Tech-Souveränität, verteidigte diesen Schritt am Mittwoch: „Wir wollen unsere Start-ups und KMU beim Wachstum unterstützen, damit sie in der EU innovieren können. Große Konzerne haben die Ressourcen zur Einhaltung ohnehin.”

GDPR-Änderung: „Berechtigtes Interesse” für Algorithmen-Training

Neben dem Zeitplan greift das Paket eine der größten Streitfragen für KI-Entwickler auf: die Schnittstelle zwischen KI-Gesetz und GDPR. Der Vorschlag ergänzt die Datenschutzverordnung ausdrücklich um das Training von KI-Modellen als „berechtigtes Interesse” – sofern angemessene Schutzmaßnahmen vorhanden sind.

Diese Klarstellung soll die Rechtsunsicherheit beseitigen, unter der europäische Unternehmen litten. Bisher interpretierten nationale Behörden die GDPR unterschiedlich, sodass Firmen im Unklaren blieben, ob sie personenbezogene Daten überhaupt für Algorithmen nutzen dürfen.

Zusätzlich präzisiert der Entwurf, wann Daten als „personenbezogen” gelten: nur dann, wenn der Datenhalter Personen ohne „unverhältnismäßigen Aufwand” identifizieren kann. Das entlastet Entwickler, die mit pseudonymisierten oder technischen Datensätzen arbeiten. Ebenfalls neu: Sensible Kategorien wie Gesundheits- oder biometrische Daten dürfen künftig zur Bias-Erkennung verarbeitet werden – eine Anforderung des KI-Gesetzes, die zuvor schwer mit der GDPR vereinbar war.

Entlastung für KMU und mittelständische Tech-Firmen

Die Kommission fokussiert sich stark auf den Abbau bürokratischer Lasten für kleinere Akteure. Die vereinfachten Compliance-Regeln, ursprünglich nur für KMU gedacht, gelten nun auch für „kleine Midcaps” (SMC). Damit trägt Brüssel der Tatsache Rechnung, dass mittelgroße Tech-Unternehmen oft dieselben Ressourcenprobleme haben wie Start-ups.

Um die Verwaltungsflut weiter einzudämmen, schafft das Digital Omnibus einen zentralen Meldepunkt für Sicherheitsvorfälle. Bislang löste eine Datenpanne separate Meldepflichten unter GDPR, NIS2-Richtlinie und DORA aus. Das neue System bei der EU-Cyberagentur ENISA erlaubt künftig eine einzige Meldung für alle Vorschriften.

Industrie jubelt – Datenschützer schlagen Alarm

Der Vorschlag spaltet Wirtschaft und Zivilgesellschaft. Unternehmensverbände feiern ihn als überfällige Korrektur.

Markus J. Beyrer, Generaldirektor von BusinessEurope, lobte am 19. November: „Das Digital Omnibus ist ein wichtiges Signal, dass die Kommission Überregulierung als Hemmschuh für EU-Firmen anerkennt. Es geht um demokratische Reaktionsfähigkeit, nicht um Nachgeben gegenüber Druck von außen.”

Datenschutzorganisationen hingegen warnen vor einem „massiven Rückschritt”. Das European Digital Rights (EDRi)-Netzwerk sieht die GDPR-Änderungen als Einfallstor für unkontrollierte Datenverarbeitung unter dem Deckmantel der Innovation. Kritiker befürchten, dass das „berechtigte Interesse” das Grundrecht auf Einwilligung aushebelt – Wettbewerbsfähigkeit vor Privatsphäre.

Wie geht es weiter?

Das Digital Omnibus durchläuft nun EU-Parlament und Rat. Angesichts der nahenden Fristen des KI-Gesetzes dürfte das Verfahren beschleunigt werden – die GDPR-Änderungen garantieren jedoch hitzige Debatten.

Für Unternehmen bedeutet die Verschiebung eine Atempause. Rechtsexperten raten dennoch, Compliance-Programme nicht auf Eis zu legen. Die Kernpflichten des KI-Gesetzes bleiben bestehen – nur der Zeitplan verschiebt sich, nicht das Ziel eines regulierten, rechenschaftspflichtigen KI-Ökosystems.

„Wir fordern die Gesetzgeber auf, diesen Kurs beizubehalten”, ergänzte Beyrer. Die Wirtschaftslobby wird massiv für die Beibehaltung der Änderungen kämpfen. Der finale Text wird voraussichtlich Mitte 2026 stehen – gerade rechtzeitig, um vor den ursprünglichen Fristen Klarheit zu schaffen.

PS: Die Übergangsfristen und Konformitätsnachweise der EU-KI-Verordnung sind für viele Unternehmen eine tickende Uhr. Unser kostenloser Leitfaden fasst die wichtigsten Fristen, Dokumentationspflichten und Kennzeichnungsvorgaben kompakt zusammen und zeigt konkrete Schritte zur schnellen Umsetzung – ideal für Ihr Compliance-Team. Kostenlosen KI-Compliance-Guide sichern