EU-Digitalpaket: Kampf um KI-Rechte entbrennt

Die Europäische Kommission sorgt für Aufruhr: Mit dem neuen „Digital Omnibus Act” will Brüssel die Datenschutz-Grundverordnung und das KI-Gesetz radikal entrümpeln. Das Ziel? Europas Wettbewerbsfähigkeit stärken. Doch während die Wirtschaft jubelt, schlagen Datenschützer Alarm – sie sprechen vom „größten Angriff auf digitale Bürgerrechte seit Jahren”.

Ende November stellte die Kommission ihr Reformpaket vor. Seither spaltet es die Gemüter zwischen Tech-Branche und Verbraucherschutz. Was steckt wirklich hinter den geplanten Änderungen?

Der wohl brisanteste Punkt: Künftig sollen Unternehmen personenbezogene Daten für das Training von KI-Systemen auf Basis eines „berechtigten Interesses” verarbeiten dürfen – ganz ohne explizite Nutzer-Einwilligung. Bisher bewegten sich europäische KI-Entwickler hier in einer rechtlichen Grauzone.

Passend zum Thema KI-Entwicklung – die EU-KI-Verordnung stellt strikte Anforderungen an Kennzeichnung, Risikomanagement und umfassende Dokumentation. Unabhängig von geplanten Änderungen durch den Digital Omnibus Act gelten weiterhin Melde- und Dokumentationspflichten, die viele Entwickler und Anbieter überraschen. Unser kostenloses Umsetzungs-E-Book erklärt praxisnah, wie Sie Ihr KI-System richtig klassifizieren, notwendige Nachweise liefern und Fristen einhalten – inklusive Checklisten und Vorlagen für die Umsetzung. KI-Verordnung: Umsetzungsleitfaden gratis herunterladen

Das Problem war real: Wie soll man von Millionen Menschen nachträglich die Zustimmung einholen, deren Daten bereits in riesigen Trainingsdatensätzen stecken? Die neue Regelung würde diese Blockade aufheben und europäischen Firmen endlich Rechtssicherheit geben.

Doch ganz frei schalten und walten dürfen Unternehmen nicht. Sie müssen weiterhin eine Interessenabwägung vornehmen und nachweisen, dass ihre Ziele die Rechte der Betroffenen nicht überwiegen. Sensible Daten wie Gesundheitsinformationen oder biometrische Merkmale dürfen ausschließlich zur Bias-Erkennung in KI-Systemen genutzt werden – immerhin ein wichtiger Schutzmechanismus.

Mehr Zeit bei Datenpannen: Aus 72 werden 96 Stunden

Nicht nur bei der KI will Brüssel entlasten. Auch die gefürchtete Meldepflicht bei Datenschutzverletzungen soll weniger streng werden. Statt binnen 72 Stunden hätten Unternehmen künftig 96 Stunden Zeit, um Behörden über Datenlecks zu informieren.

Noch bedeutsamer: Die Meldeschwelle steigt. Künftig müssten nur noch Vorfälle gemeldet werden, die ein „hohes Risiko” für die Betroffenen darstellen – nicht mehr jedes kleine Datenleck wie bisher.

Die größte Erleichterung könnte jedoch die geplante zentrale Meldestelle bringen. Über diese von der EU-Cybersicherheitsbehörde ENISA betriebene Plattform könnten Firmen künftig alle Vorfälle mit einer einzigen Meldung abdecken – egal ob DSGVO, NIS2-Richtlinie oder das Gesetz zur digitalen Betriebsstabilität (DORA). Schluss mit dem Melde-Marathon bei verschiedenen nationalen Behörden.

Cookie-Banner ade? Neue Regeln gegen Zustimmungsmüdigkeit

Wer kennt sie nicht, die nervigen Cookie-Pop-ups auf jeder zweiten Webseite? Auch hier plant die Kommission Abhilfe. Künftig sollen Nutzer ihre Datenschutz-Präferenzen zentral im Browser oder Betriebssystem hinterlegen können – automatische Signale würden dann die lästigen Banner überflüssig machen.

Außerdem will Brüssel die Definition personenbezogener Daten präzisieren. Nach einem aktuellen Urteil des Europäischen Gerichtshofs gilt: Daten sind nur dann „personenbezogen”, wenn das jeweilige Unternehmen realistische Mittel hat, die Person dahinter zu identifizieren. Pseudonymisierte oder verschlüsselte Daten ohne Entschlüsselungsschlüssel würden somit aus dem DSGVO-Anwendungsbereich fallen – ein potenzieller Paukenschlag für die Datenwirtschaft.

Industrie feiert, Datenschützer toben

Die Reaktionen könnten gegensätzlicher kaum sein. Wirtschaftsverbände und Anwaltskanzleien begrüßen das Paket als längst überfälligen Befreiungsschlag. Die internationale Kanzlei Taylor Wessing sprach am 1. Dezember von einem „zentralen Schritt zur Stärkung der EU-Wettbewerbsfähigkeit”. Die Regelflut der vergangenen Jahre habe Innovation massiv gebremst.

Ganz anders tönt es von der Gegenseite. Max Schrems, Chef der Datenschutz-Organisation NOYB, schoss scharf: Das Paket sei der „größte Angriff auf europäische Digitalrechte seit Jahren”. Es reiße Schlupflöcher für Big Tech und höhle die Grundrechte aus, auf die sich Bürger seit 2018 verlassen hätten. Besonders die KI-Regelung sei ein Einfallstor, um Nutzer-Einwilligung systematisch zu umgehen.

Was kommt jetzt?

Der Digital Omnibus Act steht erst am Anfang des Gesetzgebungsverfahrens. Europäisches Parlament und Ministerrat müssen noch zustimmen – und angesichts der Brisanz dürfte das ein zäher Prozess werden. Vor Ende 2026 oder Anfang 2027 ist kaum mit einem Inkrafttreten zu rechnen.

Doch die Richtung ist klar: Die Kommission stellt industrielle Wettbewerbsfähigkeit und KI-Entwicklung in den Mittelpunkt. Ein möglicher Kurswechsel nach Jahren strenger Vorsicht in der EU-Digitalpolitik? Die kommenden Monate werden zeigen, ob Europas Gesetzgeber den Spagat zwischen Innovation und Grundrechtsschutz schaffen.

Übrigens: Viele Übergangsfristen der EU-KI-Verordnung laufen bereits oder sind bald fällig – handeln Sie jetzt, bevor Bußgelder oder Marktbeschränkungen greifen. Das kostenlose Leitfaden-PDF fasst Kennzeichnungspflichten, Risikoklassen und die wichtigsten To-dos in einer kompakten Checkliste zusammen, damit Sie sofort mit der Umsetzung beginnen können. Jetzt kostenlosen KI-Umsetzungsleitfaden sichern