Digital Omnibus: EU plant größte DSGVO-Reform seit 2018

Die europäische Wirtschaft fordert mit Nachdruck eine grundlegende Neuausrichtung der Datenschutz-Grundverordnung. 97 Prozent der Unternehmen stufen den Compliance-Aufwand als extrem hoch ein – nun reagiert Brüssel mit dem ambitioniertesten Reformpaket seit Einführung der DSGVO. Doch kann der „Digital Omnibus” den Spagat zwischen Wirtschaftsinteressen und Bürgerrechten schaffen?

Der Digitalverband Bitkom schlägt Alarm: Drei von vier Unternehmen sehen die Digitalisierung durch die aktuelle Datenschutzpraxis gebremst. Besonders brisant: 63 Prozent befürchten, dass strenge DSGVO-Auslegungen die KI-Entwicklung aus Europa vertreiben könnten. Die EU-Kommission hat reagiert – mit einem Reformvorschlag, der die Spielregeln grundlegend verändern könnte.

Die berüchtigte 72-Stunden-Frist zur Meldung von Datenschutzverletzungen soll auf 96 Stunden verlängert werden. Was nach kosmetischer Korrektur klingt, verschafft Unternehmen einen entscheidenden zusätzlichen Tag zur internen Analyse von Sicherheitsvorfällen.

Passend zum Thema KI-Gesetz: Seit August 2024 gelten in der EU neue Regeln für KI-Systeme – viele Unternehmen riskieren jetzt unbeabsichtigt Verstöße, Fehlklassifizierungen und damit verbundene Nachbesserungen. Ein kostenloser Umsetzungsleitfaden erklärt praxisnah Risikoklassen, Kennzeichnungspflichten, notwendige Dokumentation und typische Fallstricke für Entwickler und Compliance-Teams. Er enthält konkrete To-dos, mit denen Sie Ihre KI-Projekte rechtssicher weiterführen können. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Juristische Analysen internationaler Kanzleien bestätigen: The geplanten Änderungen gehen weit über symbolische Anpassungen hinaus. Künftig sollen nur noch Datenpannen meldepflichtig sein, die „wahrscheinlich ein hohes Risiko” für Bürgerrechte darstellen. Bagatellfälle würden damit aus der Meldepflicht fallen – eine Forderung, die Unternehmen seit Jahren vorbringen.

KI-Training ohne Einwilligung? Der Knackpunkt der Reform

Der wohl brisanteste Punkt: Das Training von KI-Modellen soll künftig auf das „berechtigte Interesse” gestützt werden können. In der Praxis würde dies bedeuten, dass Tech-Unternehmen für viele Anwendungsfälle keine explizite Nutzereinwilligung mehr benötigen.

79 Prozent der Unternehmen fordern genau diese Reform. Die Begründung: Ohne diese Klarstellung wandere die KI-Entwicklung nach Übersee ab, während Europa regulatorisch gelähmt zurückbleibe. Die Computer & Communications Industry Association bezeichnete die Änderungen vergangene Woche als „längst überfällig” und drängte die Mitgliedstaaten, keine Abstriche am Reformpaket zuzulassen.

Datenschützer schlagen zurück: „Aushöhlung fundamentaler Rechte”

Die Gegenseite formiert sich bereits. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte äußerten am 5. Dezember erhebliche Bedenken. Ihre Warnung: Die Aufweichung könnte den Schutz der Bürgerrechte untergraben.

Besonders umstritten ist eine weitere Neuerung: Unternehmen sollen „missbräuchliche” Auskunftsersuchen leichter ablehnen oder Gebühren verlangen können. Was für Konzerne ein Schutz vor aktivistischen Anfragen darstellt, sehen Datenschutz-NGOs wie noyb als Angriff auf das Transparenzgebot.

Das Omnibus-Prinzip: Drei Gesetze, ein Paket

Der „Digital Omnibus” verfolgt einen Systemansatz: Er soll die DSGVO mit dem KI-Gesetz (AI Act) und dem Datengesetz (Data Act) harmonisieren. Die EU-Kommission reagiert damit auf einen Kernvorwurf der Wirtschaft – dass sich verschiedene Regulierungen widersprechen und Rechtsunsicherheit schaffen.

Die Zahlen sprechen eine deutliche Sprache: Von 2018 bis heute haben europäische Aufsichtsbehörden Bußgelder in Milliardenhöhe verhängt. Allein die Unsicherheit bei der Auslegung kostet Unternehmen nach Branchenschätzungen jährlich Hunderte Millionen Euro an Beratungskosten.

Zeitplan: Ein heißer Winter steht bevor

Der Vorschlag muss nun das legislative Verfahren durchlaufen. Europäisches Parlament und Rat werden ihre Positionen in den kommenden Monaten festlegen. Experten rechnen damit, dass die Verhandlungen bis weit ins Jahr 2026 andauern.

Für Unternehmen bedeutet dies konkret: Die aktuellen DSGVO-Regeln gelten unverändert weiter. Compliance-Abteilungen sollten jedoch beginnen, ihre Prozesse auf die möglichen neuen Spielräume hin zu analysieren. Besonders KI-Projekte, die bisher an der Einwilligungsfrage scheiterten, könnten neu bewertet werden.

Standort-Frage oder Schutzrechte: Was wiegt schwerer?

Der „Digital Omnibus” ist der erste ernsthafte Versuch, das komplexe Geflecht europäischer Digitalregulierung zu entwirren. Die zentrale Frage lautet: Kann Europa einen Mittelweg finden zwischen wirtschaftlicher Innovationskraft und dem Schutz persönlicher Daten?

Die Wirtschaft argumentiert mit Abwanderung und Wettbewerbsnachteilen. Die Datenschützer warnen vor einem Dammbruch. Eines steht bereits fest: Der Status quo ist für keine Seite mehr tragbar. Die kommenden Monate werden zeigen, ob Brüssel den Spagat schafft – oder ob eine Seite als Verlierer vom Platz geht.

PS: Wenn Ihr Unternehmen an der KI-Strategie arbeitet, sollten Sie die Pflichten nach dem AI Act genau kennen. Dieses gratis E-Book fasst Anforderungen, Übergangsfristen und praktische Maßnahmen kompakt zusammen und liefert eine sofort einsetzbare Checkliste zur Risikoklassifizierung Ihres Systems – ideal für Compliance-Verantwortliche, Entwickler und Projektleiter. Hier gratis KI-Leitfaden & Checkliste herunterladen