Digital Omnibus: EU will DSGVO für KI-Firmen lockern

Brüssel will Europas digitale Regeln radikal vereinfachen – und erntet dafür heftigen Widerstand. Die EU-Kommission präsentierte heute ein Gesetzespaket, das die Datenschutz-Grundverordnung (DSGVO) und das kürzlich verabschiedete KI-Gesetz entschärfen soll. Während Unternehmen aufatmen, warnen Datenschützer vor einem “massiven Downgrade” der digitalen Rechte in Europa.

Das als “Digital Omnibus” bezeichnete Reformpaket reagiert auf wachsenden Druck aus Wirtschaft und Politik. Deutschland und Frankreich fordern seit Monaten eine Vereinfachung des dichten EU-Regulierungsnetzes. Die zentrale Botschaft: Europa muss seine Wettbewerbsfähigkeit gegenüber den USA und China stärken – selbst wenn das bedeutet, eigene Standards zu schleifen.

Besonders kleine und mittelständische Unternehmen sollen profitieren. Doch steckt hinter der Reform womöglich mehr als nur Bürokratieabbau? Die Vorschläge müssen nun durch das EU-Parlament und den Rat – und dort dürfte es heftig zur Sache gehen.

Viele Unternehmen unterschätzen die Pflichten aus der EU-KI-Verordnung – seit August 2024 drohen bei Verstößen hohe Sanktionen und umfangreiche Dokumentationspflichten. Unser kostenloser Umsetzungsleitfaden erklärt praxisnah, wie Sie KI-Systeme korrekt klassifizieren, welche Kennzeichnungspflichten gelten und welche Übergangsfristen wichtig sind, damit Sie rechtssicher entscheiden können, welche Maßnahmen sofort erforderlich sind. Ideal für Verantwortliche in Unternehmen, Entwickler und Compliance-Teams. Jetzt kostenlosen KI-Verordnungs-Leitfaden herunterladen

KI-Training wird zum “berechtigten Interesse”

Die wohl folgenreichste Änderung betrifft die DSGVO selbst. Künftig soll das Training von KI-Systemen ausdrücklich als “berechtigtes Interesse” gelten. Damit hätten Unternehmen eine klare Rechtsgrundlage, personenbezogene Daten für KI-Entwicklung zu verarbeiten – ohne explizite Nutzereinwilligung.

Noch heikler: Die Entwürfe sehen neue Ausnahmen für die Verarbeitung sensibler Daten vor. Gesundheits- oder ethnische Informationen dürften unter bestimmten Bedingungen für KI-Modelle genutzt werden. Die einzige Voraussetzung? Maßnahmen gegen unbefugte Offenlegung.

Was das konkret bedeutet, bleibt unklar. Datenschützer befürchten jedoch, dass Tech-Konzerne damit Zugriff auf hochsensible Informationen erhalten – ganz legal und ohne echte Kontrolle.

KI-Gesetz: Aufschub für riskante Systeme

Auch das frisch verabschiedete KI-Gesetz wird bereits wieder aufgeweicht. Durchgesickerte Dokumente deuten darauf hin, dass die schärfsten Pflichten für Hochrisiko-Systeme verschoben werden könnten – von 2026 auf Mitte 2027.

Zudem plant die Kommission, die Aufsicht über KI-Systeme in sehr großen Online-Plattformen zentral beim EU-KI-Büro zu bündeln. Das Ziel: einheitlichere Durchsetzung in allen Mitgliedstaaten. Klingt vernünftig – doch Kritiker fragen sich, ob ein zentrales Büro überhaupt die Kapazitäten hat, um Tech-Giganten effektiv zu kontrollieren.

Verantwortlich für diesen Kurswechsel ist vor allem der politische Druck. Das KI-Gesetz galt vielen Unternehmen von Anfang an als zu streng. Jetzt, noch vor seinem Inkrafttreten, wird bereits an der Abschwächung gearbeitet.

Cookie-Banner adé – aber zu welchem Preis?

Wer kennt sie nicht, die nervigen Cookie-Einwilligungsbanner auf jeder Webseite? Das Digital Omnibus-Paket verspricht Abhilfe. Die Regeln aus der ePrivacy-Richtlinie sollen in die DSGVO integriert werden, wodurch viele Tracking-Technologien künftig auf Basis des “berechtigten Interesses” eingesetzt werden könnten.

Das bedeutet: Weniger Pop-ups, aber auch weniger Kontrolle für Nutzer. Unternehmen müssten nicht mehr explizit um Erlaubnis fragen, bevor sie das Surfverhalten tracken. Ein Tauschgeschäft, das vielen sauer aufstoßen dürfte.

Zusätzlich verschärft: Die Schwelle für Meldungen von Datenschutzverletzungen steigt. Künftig müssen nur noch Vorfälle mit “hohem Risiko” gemeldet werden – und statt binnen 72 Stunden hätten Unternehmen 96 Stunden Zeit. Mehr Spielraum für Firmen, weniger Transparenz für Betroffene?

“Einmal melden, alle informiert”

Ein durchaus sinnvoller Aspekt des Pakets: das “Report once, share many”-Prinzip. Statt bei Sicherheitsvorfällen mehrere Behörden separat informieren zu müssen, soll ein einziges digitales Portal genügen. Die Daten würden dann automatisch an alle relevanten Stellen weitergeleitet – von der DSGVO über die NIS2-Richtlinie bis zum Digital Operational Resilience Act (DORA).

Das könnte tatsächlich Bürokratie abbauen, ohne Sicherheitsstandards zu gefährden. Allerdings kommt diese Vereinfachung reichlich spät – die betroffenen Gesetze sind längst in Kraft.

Ebenfalls neu: Unternehmen dürfen künftig übermäßige oder “missbräuchliche” Auskunftsanfragen zurückweisen. Dahinter steht die Sorge, dass Datenschutzrechte in juristischen Streitigkeiten instrumentalisiert werden. Doch wo verläuft die Grenze zwischen legitimer Auskunft und Missbrauch?

Draghi-Report als ideologische Blaupause

Die Reform fußt maßgeblich auf einem Bericht des ehemaligen italienischen Premiers Mario Draghi aus dem Jahr 2024. Seine Kernthese: Die EU-Regulierung sei zu einem undurchdringlichen Dickicht geworden, das Innovation erstickt und Europas globale Wettbewerbsfähigkeit gefährdet.

Diese Argumentation verfängt. Die deutsche Regierung etwa drängt seit Monaten auf klarere Definitionen und weniger Meldepflichten. Auch französische Industrieverbände applaudieren dem Vorstoß. Kann sich Europa überhaupt noch leisten, strenger zu sein als der Rest der Welt?

Doch genau hier setzen die Kritiker an. Die Zivilgesellschaft läuft Sturm gegen die Vorschläge. Max Schrems, Gründer der Datenschutzorganisation noyb, warnt bereits: Die Änderungen würden so viele Löcher in die DSGVO reißen, dass sie “für die meisten Fälle unbrauchbar” werde.

Aufstand der Datenschützer

Schrems und andere Aktivisten haben eine koordinierte Kampagne gegen das Digital Omnibus gestartet. Ihr Vorwurf: Die Reformen nützen vor allem großen Tech-Konzernen, während sie als Hilfe für kleine Unternehmen verkauft werden. Die neuen Schlupflöcher für Online-Tracking und die Verarbeitung sensibler Daten ohne Einwilligung seien kaum zu rechtfertigen.

Tatsächlich wirkt die Rhetorik der Kommission zweischneidig. Einerseits wird der Mittelstand beschworen, andererseits profitieren von gelockerten KI-Regeln und Tracking-Vorgaben vor allem die üblichen Verdächtigen aus dem Silicon Valley – und ihre europäischen Pendants.

Die Frage lautet also: Wird hier wirklich Bürokratie abgebaut, oder werden unter diesem Deckmantel Standards geschliffen, die Europa einst zum globalen Vorreiter beim Datenschutz machten?

Was kommt jetzt?

Das Gesetzespaket beginnt nun seinen Weg durch die EU-Institutionen. Parlament und Rat werden die Entwürfe debattieren und vermutlich erheblich überarbeiten. Bei den scharf gespaltenen Lagern sind intensive Verhandlungen vorprogrammiert.

Das Ergebnis wird zeigen, in welche Richtung sich Europa entwickelt. Bleibt die Union die weltweite Speerspitze beim Schutz digitaler Rechte? Oder schwenkt sie auf einen deregulierteren, innovationsfreundlicheren Kurs ein, um technologisch nicht abgehängt zu werden?

Unternehmen dürften das Letztere begrüßen. Für Bürgerinnen und Bürger könnte es jedoch bedeuten, dass ihre Daten künftig weniger geschützt sind als bisher. Die kommenden Monate werden entscheidend sein – und Brüssel wird genau beobachtet.

PS: Die Debatten in Brüssel zeigen, wie schnell sich Anforderungen an KI-Entwicklung ändern können – sind Ihre Prozesse schon angepasst? Fordern Sie den kostenlosen Umsetzungsleitfaden an, der Schritt für Schritt erklärt, wie Sie Kennzeichnung, Risikobewertung und Dokumentation umsetzen und welche Übergangsfristen Sie jetzt im Blick haben müssen, damit Ihre KI-Projekte rechtskonform bleiben. KI-Umsetzungsleitfaden gratis anfordern