EU-Kommission: Durchbruch bei KI- und Datenschutzregeln

Die EU-Kommission schreibt die Spielregeln für künstliche Intelligenz neu. Mit dem „Digital Omnibus” sollen KI-Entwicklung und Datenschutz endlich unter einen Hut gebracht werden – und Unternehmen deutlich mehr Zeit für die Umsetzung bekommen.

Der Vorschlag, der seit Ende dieser Woche die Rechtsabteilungen in ganz Europa auf Trab hält, verspricht eine fundamentale Neuausrichtung: Die strengen Auflagen des EU AI Act werden um anderthalb Jahre verschoben, und erstmals gibt es klare Regeln, wie persönliche Daten für das Training von KI-Modellen genutzt werden dürfen. Für den Wirtschaftsstandort Europa könnte das der entscheidende Impuls sein.

Die unmittelbare Konsequenz der neuen Pläne betrifft die Compliance-Kalender tausender Unternehmen. Was ursprünglich im August 2026 scharf geschaltet werden sollte, verschiebt sich nun deutlich nach hinten. Hochrisiko-KI-Systeme – etwa im Recruiting, bei Kreditentscheidungen oder in kritischer Infrastruktur – müssen erst am 2. Dezember 2027 den vollen Anforderungen genügen.

Die neue EU-KI-Verordnung und der vorgeschlagene Digital Omnibus ändern Fristen, Risikoklassen und Dokumentationspflichten – viele Compliance- und Entwicklungs-Teams stehen vor offenen Fragen. Unser kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt praxisnah, wie Sie KI-Systeme richtig klassifizieren, welche Kennzeichnungs‑ und Dokumentationspflichten gelten und welche Übergangsfristen Sie beachten müssen. Inklusive Checklisten und konkreter Handlungsschritte für Verantwortliche in Unternehmen, die jetzt handeln sollten. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Für Produkte, die unter bestehende EU-Sicherheitsvorschriften fallen, gilt sogar der 2. August 2028 als neue Deadline. Die internationale Anwaltskanzlei White & Case bestätigte am Freitag: Die Verzögerung reagiert auf massive Kritik aus der Wirtschaft. Die harmonisierten Standards, die für die Zertifizierung nötig wären, existieren schlichtweg noch nicht.

„Unternehmen stehen vor einem chaotischen Rechtslabyrinth”, warnt die Electronic Frontier Foundation. „Sie müssen Regeln befolgen, die möglicherweise bald ausgesetzt und später wieder reaktiviert werden.” Datenschützer sehen die Verschiebung kritisch – die Industrie hingegen atmet auf.

Endlich Klarheit beim Trainieren von KI-Modellen

Noch wichtiger als die Fristen dürfte für viele Datenschutzbeauftragte eine andere Neuerung sein: die Klärung der rechtlichen Grauzone beim Training von KI mit personenbezogenen Daten. Jahrelang herrschte hier Uneinigkeit. Brauchen Unternehmen wirklich für jeden einzelnen Datenpunkt eine explizite Einwilligung? Viele Juristen argumentierten, dass dies die Entwicklung großer Sprachmodelle in Europa faktisch unmöglich machen würde.

Der Digital Omnibus räumt mit dieser Unsicherheit auf: Das „berechtigte Interesse” nach Artikel 6 Absatz 1 Buchstabe f der DSGVO gilt ausdrücklich auch für das Training, Testen und Validieren von KI-Systemen. Unternehmen müssen weiterhin Abwägungstests durchführen und Widerspruchsrechte gewähren – aber die Hürde der individuellen Einwilligung fällt weg.

Noch einen Schritt weiter geht die Regelung bei sensiblen Daten. Bislang war es paradox: Um Diskriminierung in Algorithmen zu erkennen und zu beseitigen, bräuchten Entwickler genau jene Daten über Ethnizität oder Gesundheit, deren Verarbeitung die DSGVO streng verbietet. Die neue Verordnung führt hier eine Ausnahme ein – speziell zur Bias-Erkennung und -Korrektur.

Eine Meldestelle für alle Vorfälle

Ein drittes Element des Omnibus zielt auf die Praxis ab: die Vereinfachung von Meldepflichten bei Sicherheitsvorfällen. Wer heute Opfer eines Cyberangriffs wird, muss denselben Vorfall möglicherweise dreimal melden – an die Datenschutzbehörde (DSGVO), an die zuständige Stelle für Netz- und Informationssicherheit (NIS2-Richtlinie) und gegebenenfalls im Rahmen des AI Act. Jeweils mit unterschiedlichen Fristen und Anforderungen.

Das neue „Single-Entry-Point”-System soll diesen bürokratischen Albtraum beenden. Ein Vorfall wird einmal über ein zentrales Portal gemeldet, das die Information automatisch an die zuständigen Behörden weiterleitet. IT-Sicherheitsteams könnten sich so auf die eigentliche Schadensbegrenzung konzentrieren, statt Formulare auszufüllen.

Wettlauf gegen die Zeit

Die Reaktionen aus der Wirtschaft fallen überwiegend positiv aus. Sechzehn zusätzliche Monate Vorbereitungszeit für die KI-Regulierung verschaffen dringend benötigten Spielraum – gerade für mittelständische Unternehmen, die nicht über die Rechtsabteilungen eines SAP oder Siemens verfügen.

Doch eine entscheidende Hürde bleibt: Der Digital Omnibus ist bislang nur ein Vorschlag. Er muss noch den „Trilog” zwischen Kommission, Parlament und Rat durchlaufen. Und dieser Prozess muss vor dem 2. August 2026 abgeschlossen sein – dem Datum, an dem die ursprünglichen AI-Act-Fristen greifen würden.

Compliance-Verantwortliche stehen damit vor einem Dilemma: Pausieren ist keine Option, denn ob und wann die Verschiebung tatsächlich kommt, bleibt ungewiss. Gleichzeitig signalisiert Brüssel mit diesem Vorstoß klar, dass Europa seine KI-Branche nicht durch Überregulierung abwürgen will. Ein pragmatischerer Umgang mit Datenschutz im Zeitalter künstlicher Intelligenz scheint möglich.

Was Unternehmen jetzt tun sollten

Fristen im Blick behalten: Die Verschiebung auf Dezember 2027 ist wahrscheinlich, aber nicht garantiert. Compliance-Programme sollten weiterlaufen – mit angepasster Dringlichkeit.

Rechtsgrundlagen überdenken: Die Strategie für das Training von KI-Modellen gehört auf den Prüfstand. Das „berechtigte Interesse” könnte zur Standardlösung werden.

Bias-Testing vorbereiten: Governance-Richtlinien sollten die kontrollierte Nutzung sensibler Daten zur Diskriminierungsvermeidung bereits jetzt vorsehen.

Meldeprozesse vereinfachen: Auch wenn das einheitliche Meldesystem noch nicht steht – wer heute schon interne Abläufe verschlankt, ist für beide Szenarien gerüstet.

PS: Sie möchten sicherstellen, dass Ihre KI-Projekte DSGVO‑konform und AI-Act‑gerecht bleiben? Das gratis E‑Book ‘KI‑Verordnung kompakt’ fasst Anforderungen, Pflichten und praktische Schritte zur Umsetzung zusammen — von Risikobewertung über Kennzeichnung bis zur Dokumentation. Enthalten sind Checklisten, Praxisbeispiele und eine Schritt‑für‑Schritt‑Umsetzungshilfe, mit der Sie Audits und Bußgelder vermeiden können. Kostenloses KI-E-Book jetzt sichern