Digital Omnibus: EU will Regulierung radikal vereinfachen

Brüssel steht vor einem Wendepunkt: Die EU-Kommission hat ein Gesetzespaket vorgelegt, das die digitale Regulierung grundlegend umkrempeln soll. Doch während Unternehmen aufatmen, schlagen Verbraucherschützer Alarm.

Das am 19. November offiziell vorgestellte „Digital Omnibus”-Paket soll die europäische Regulierungsflut eindämmen. Die Datenschutz-Grundverordnung (DSGVO), der AI Act und Cybersicherheitspflichten – all das will die Kommission radikal entschlacken. „Eine notwendige Kehrtwende für die Wettbewerbsfähigkeit Europas”, jubeln Wirtschaftsverbände. Verbraucherschützer hingegen befürchten eine gefährliche Deregulierung auf Kosten grundlegender Rechte.

Kann die EU den Spagat zwischen Innovationsförderung und Bürgerschutz schaffen? Die Antworten auf diese Frage werden die digitale Zukunft des Kontinents prägen.

Die wohl größte Überraschung steckt im Detail: Zentrale Fristen des EU AI Act werden massiv nach hinten verschoben. Hochrisiko-KI-Systeme (Anhang III), ursprünglich ab August 2026 reguliert, bekommen Gnadenfrist bis 2. Dezember 2027.

Trotz der jüngsten Fristverschiebungen gelten für viele KI-Systeme bereits Pflichten — und zahlreiche Unternehmen riskieren unwissentlich Bußgelder oder Marktverbote, wenn Klassifizierung und Dokumentation fehlen. Unser kostenloser Umsetzungsleitfaden zur EU-KI-Verordnung fasst die Risikoklassen, Kennzeichnungspflichten und Übergangsfristen kompakt zusammen und erklärt Schritt für Schritt, welche Nachweise Sie jetzt aufbauen müssen. Ideal für Entwickler, Anbieter und Compliance-Verantwortliche. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

„Die EU reagiert damit auf Verzögerungen bei harmonisierten Standards”, analysierte die Kanzlei Crowell & Moring am 1. Dezember. Noch drastischer fällt der Aufschub für Hochrisiko-Systeme in Produkten wie Maschinen oder Medizingeräten aus: Hier gilt nun 2. August 2028 als Stichtag.

Zusätzlich führt das Paket eine neue Unternehmenskategorie ein: „Small Mid-Caps” (SMC) mit bis zu 749 Mitarbeitern und 150 Millionen Euro Umsatz erhalten Erleichterungen wie vereinfachte Dokumentationspflichten. Doch Vorsicht – die Kommission behält sich vor, diese Regeln vorzeitig zu aktivieren, sobald Standards verfügbar sind. „Planungsunsicherheit trotz verlängerter Fristen”, warnt die Kanzlei Taylor Wessing.

DSGVO-Reform: Grünes Licht für KI-Training?

Hier wird es brisant: Die Kommission wagt sich an das bislang als unantastbar geltende Herzstück des europäischen Datenschutzes. Ein neuer Artikel 88c soll künftig ausdrücklich klarstellen, dass Unternehmen sich auf „berechtigtes Interesse” (Artikel 6 Absatz 1 Buchstabe f) berufen können, um personenbezogene Daten für KI-Entwicklung und -Training zu verarbeiten.

Für europäische KI-Entwickler wäre das ein Befreiungsschlag. Bisher herrschte Rechtsunsicherheit beim Daten-Scraping und Modelltraining – ein klarer Wettbewerbsnachteil gegenüber US-amerikanischen und chinesischen Konkurrenten.

Noch weiter geht der Vorschlag bei sensiblen Daten: Artikel 9 soll so geändert werden, dass auch besonders geschützte Kategorien wie Gesundheits- oder biometrische Daten verarbeitet werden dürfen – allerdings ausschließlich zur Erkennung und Korrektur von Verzerrungen in KI-Systemen. Strikte Auflagen sollen Missbrauch verhindern: Die Daten dürfen weder für Outputs verwendet noch an Dritte weitergegeben werden.

„Die Kommission versucht faktisch, die Grenze zwischen Datenschutz und technologischer Innovation neu zu ziehen”, konstatiert die Bertelsmann Stiftung in einer vielbeachteten Analyse.

Schluss mit der Melde-Flut

Ein weiterer Brennpunkt: die chronische Überregulierung bei Cybervorfällen. Derzeit kann ein einziger Sicherheitsvorfall Meldepflichten nach DSGVO, NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA) auslösen – mit unterschiedlichen Behörden, Fristen und Formularen. Das Ergebnis? Compliance-Chaos in europäischen Unternehmen.

Die Lösung soll ein Europäisches Meldeportal bringen, verwaltet von der EU-Cybersicherheitsagentur ENISA. Eine Meldung, automatische Weiterleitung an zuständige Behörden und Datenschutzaufsichten – fertig.

Gleichzeitig will die Kommission die Schwelle für DSGVO-Meldungen anheben: Künftig wären nur noch Vorfälle mit „hohem Risiko” für Betroffene meldepflichtig, nicht mehr wie bisher bereits bei einfachem „Risiko”. Auch die berüchtigte 72-Stunden-Frist würde auf 96 Stunden gestreckt.

Zusätzlich plant Brüssel eine Konsolidierung: Der Data Governance Act und die Open-Data-Richtlinie sollen direkt in den Data Act integriert werden – ein einheitliches Regelwerk für die europäische Datenwirtschaft.

Wirtschaft jubelt, Verbraucherschützer schlagen Alarm

Die Reaktionen könnten konträrer kaum sein. Unternehmensverbände begrüßen das Paket enthusiastisch als überfälligen Bürokratieabbau. „Der aktuelle Flickenteppich an Meldepflichten ist ein Albtraum für Compliance-Verantwortliche”, betonte die deutsche Beratungsgesellschaft dhpg am Dienstag. „Wenn dieses Projekt gelingt, könnten Unternehmen endlich mit einem praxistauglichen digitalen Rechtsrahmen arbeiten.”

Ganz anders tönt es von der Gegenseite. Der Verbraucherzentrale Bundesverband (vzbv) übte vernichtende Kritik: „Digitale Gesetze zu vereinfachen darf nicht zu Deregulierung auf Kosten fundamentaler Werte führen.”

„Wenn die EU diese Regeln lockert, serviert sie Unternehmen Schlupflöcher auf dem Silbertablett und schwächt gleichzeitig Verbraucherrechte”, warnte vzbv-Vorständin Ramona Pop in einer Stellungnahme, die diese Woche in Brüsseler Politikkreisen zirkuliert.

Was kommt jetzt?

Die Digital Omnibus Regulation durchläuft nun das ordentliche Gesetzgebungsverfahren mit Europaparlament und Rat. Angesichts der Tragweite – insbesondere der Neuauflage der bisher als sakrosankt geltenden DSGVO – dürften die Verhandlungen hitzig werden.

„Mit einer Verabschiedung ist etwa Ende 2026 zu rechnen, Inkrafttreten der Reformen möglicherweise Mitte 2027″, schätzt die Beratungsgesellschaft Grant Thornton.

Unternehmen sollten ihre Compliance-Vorbereitungen für AI Act und NIS2 fortsetzen, die Omnibus-Verhandlungen aber genau verfolgen. Denn die „wandernden Torpfosten” könnten ihre regulatorischen Strategien in den kommenden Jahren erheblich verändern.

PS: Die angekündigten Verschiebungen der KI- und DSGVO-Fristen bieten zwar Luft zum Atmen — doch sie sind kein Freifahrtschein. Wer die Zeit nicht für strukturierte Compliance nutzt, riskiert später empfindliche Sanktionen und Liefereinschränkungen. Der kostenlose Leitfaden zur KI-Verordnung erklärt praxisnah, wie Sie Risikoklassen bestimmen, notwendige Dokumentation aufsetzen, Datenverarbeitungsprozesse prüfen und Fristen managen. Mit praktischer Checkliste für die nächsten Schritte. Kostenlosen KI-Leitfaden und Checkliste sichern