Digital Omnibus: EU verschiebt KI-Regeln bis 2027

Neue juristische Analysen enthüllen eine drastische Verschiebung im europäischen KI-Compliance-Zeitplan. Während Hochrisiko-KI-Systeme möglicherweise erst Ende 2027 reguliert werden, bleiben DSGVO-Pflichten – insbesondere Datenschutz-Folgenabschätzungen – sofort bindend. Für Unternehmen bedeutet das: keine Atempause beim Datenschutz.

Diese Woche veröffentlichte Rechtsanalysen von Morrison & Foerster und Crowell & Moring beleuchten den „Digital Omnibus”-Vorschlag der EU-Kommission vom 19. November. Die Kernbotschaft? Artikel 6(1) des AI Act, der Hochrisiko-Systeme in Bereichen wie Personalwesen, Bildung und Kreditvergabe reguliert, könnte statt August 2026 erst am 2. Dezember 2027 oder sogar August 2028 greifen.

Der Grund: Harmonisierte technische Standards hinken dem Zeitplan hinterher. Doch Experten warnen eindringlich – diese Verzögerung ist kein Freifahrtschein für Datenschutz-Nachlässigkeit.

Viele Unternehmen unterschätzen, welche Pflichten die EU‑KI‑Verordnung bereits jetzt auferlegt — und riskieren damit Bußgelder oder teure Nachbesserungen. Unser kompaktes E‑Book erklärt klar, welche Kennzeichnungspflichten, Risikoklassen und Dokumentationsanforderungen relevant sind, welche Übergangsfristen zu beachten sind und welche Schritte sofort umgesetzt werden sollten. Mit praktischen Checklisten und konkreten Handlungsanweisungen für Entwickler und Compliance‑Teams. Jetzt kostenlosen KI-Leitfaden herunterladen

Die EU-Kommission reagiert auf massiven Druck aus der Wirtschaft. Ursprünglich sollten die strengsten KI-Regeln bereits Mitte 2026 gelten. „Die Omnibus-Regelung verschiebt die AI-Act-Pflichten für Hochrisiko-KI-Systeme bis zu dem Zeitpunkt, an dem Umsetzungshilfen verfügbar sind”, heißt es in der Morrison & Foerster-Analyse vom 1. Dezember.

Für deutsche Unternehmen wie SAP oder die Allianz könnte das eine taktische Erleichterung bedeuten. Die technischen Spezifikationen, ohne die eine rechtssichere Implementierung kaum möglich ist, werden schlicht nicht rechtzeitig fertig. Doch Vorsicht: Diese Gnadenfrist gilt ausdrücklich nur für spezifische AI-Act-Verpflichtungen – nicht für bestehende DSGVO-Anforderungen.

Was bedeutet das konkret? Wer heute KI-Systeme mit personenbezogenen Daten betreibt, bleibt vollumfänglich DSGVO-pflichtig. Keine Ausnahmen, keine Übergangsfrist.

DSGVO und KI-Training: Der „berechtigte Interessen”-Kompromiss

Ein brisantes Detail des Omnibus-Vorschlags: Die EU will „berechtigte Interessen” (Art. 6 Abs. 1 lit. f DSGVO) als Rechtsgrundlage für KI-Modelltraining kodifizieren. Bisher war diese Frage ein juristisches Minenfeld.

Die Idee dahinter? Europäische KI-Entwickler sollen nicht mehr zwingend explizite Einwilligungen für jedes Trainingsdatum einholen müssen – sofern sie angemessene Schutzmaßnahmen implementieren. Klingt praktisch, birgt aber Fallstricke. Unternehmen müssen weiterhin detaillierte Abwägungstests durchführen: Überwiegt das kommerzielle Interesse an KI-Training die Grundrechte der Betroffenen?

Die deutsche Datenschutzkonferenz (DSK) stellt klar: Fehlende KI-spezifische Regeln heben DSGVO-Pflichten nicht auf. Transparenz, Widerspruchsrechte und technische Schutzmaßnahmen bleiben Pflicht – auch ohne AI Act.

Datenschützer sehen den Vorstoß kritisch. Könnte „berechtigtes Interesse” zur Hintertür für Datenhunger werden, wenn Aufsichtsbehörden nicht streng kontrollieren?

Datenschutz-Folgenabschätzung: Die unterschätzte Sofortpflicht

Trotz verschobener AI-Act-Fristen bleibt eine Anforderung eisern bestehen: die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Verarbeitet ein KI-System heute personenbezogene Daten mit hohem Risiko für Betroffene, ist eine DSFA zwingend erforderlich.

Der Omnibus-Vorschlag versucht, diese Anforderung mit der künftigen „Fundamental Rights Impact Assessment” (FRIA) des AI Act zu harmonisieren. Ziel: Eine konsolidierte Bewertung, die beide Rechtsbereiche abdeckt. Das würde den administrativen Aufwand erheblich senken – potenziell Milliarden Euro an Compliance-Kosten einsparen.

Aber: Unternehmen können nicht auf diese Harmonisierung warten. Wer heute KI betreibt, muss heute bewerten. Die aktuellen DSFA-Anforderungen für KI-Systeme umfassen:

• Systematische Beschreibung: Detaillierte Dokumentation der KI-Logik und Datenflüsse
• Erforderlichkeit und Verhältnismäßigkeit: Begründung, warum KI gegenüber weniger invasiven Methoden notwendig ist
• Risikominderung: Konkrete technische Maßnahmen wie Pseudonymisierung oder Noise Injection

Deutsche Aufsichtsbehörden haben wiederholt klargestellt: Die fehlende AI-Act-Umsetzung suspendiert keine DSGVO-Verpflichtungen.

Reaktionen: Erleichterung mit Beigeschmack

Die europäische Tech-Branche reagiert verhalten positiv. Der Digital Omnibus adressiert eine Hauptbeschwerde: Der „Compliance-Dschungel” aus DSGVO, AI Act und Data Act ersticke Innovation. Ein einheitliches Meldeportal für schwerwiegende Vorfälle und harmonisierte Bewertungsvorlagen könnten Durchbrüche bedeuten.

Die deutsche Digitalwirtschaft dürfte aufatmen. Verglichen mit US-Konkurrenten wie Microsoft oder Google haben europäische Firmen unter fragmentierten Regulierungen gelitten. Eine Standardisierung könnte SAP, Siemens oder Bosch wichtige Entwicklungszeit verschaffen.

Doch Privacy-Aktivisten schlagen Alarm: Die Kodifizierung von „berechtigten Interessen” für KI-Training könnte Datenschutz verwässern, wenn Datenschutzbehörden nicht rigoros überwachen. Die Balance zwischen Innovation und Grundrechtsschutz bleibt prekär.

Was Unternehmen jetzt tun müssen

Der Digital Omnibus ist aktuell ein Gesetzesvorschlag und muss noch Parlament und Rat passieren. Experten erwarten intensive Lobbyarbeit, besonders zur „berechtigte Interessen”-Klausel.

Kurzfristig (Q1 2026): Unternehmen sollten ihre Governance-Frameworks ausbauen. Die Verzögerung ist keine Pause, sondern Vorbereitungszeit.

Mittelfristig (2026-2027): Die Gnadenfrist für Hochrisiko-KI nutzen, um Datenqualität und Bias-Mitigation zu optimieren – Kernthemen für DSGVO und künftigen AI Act.

Konkrete Handlungsempfehlung: August 2026 bleibt Zieldatum für vollständige Readiness. Der Fokus muss jetzt auf DSGVO-Compliance für produktive KI-Systeme liegen. Aktuelle DSFAs müssen robust genug sein, um später in AI-Act-Assessments überzuführen.

Die deutsche Wirtschaft steht vor einer Gratwanderung: Die zusätzliche Zeit nutzen, ohne die unmittelbaren Datenschutzpflichten zu vernachlässigen. Wer jetzt sauber arbeitet, gewinnt langfristig – wer abwartet, riskiert empfindliche Bußgelder und Wettbewerbsnachteile.

PS: Auch wenn Teile des AI Act verschoben werden, bleibt Vorbereitung entscheidend. Dieses Gratis-Umsetzungsleitfaden erklärt, wie Sie DSFAs, Kennzeichnungspflichten und Risikobewertungen so aufsetzen, dass spätere AI‑Act‑Assessments reibungslos übernommen werden können. Enthalten sind Vorlagen, Prioritätenlisten und pragmatische Schritte für die Umsetzung noch in 2026. Gratis Umsetzungsleitfaden zur KI-Verordnung sichern