EU kündigt radikale Deregulierung an: KI-Gesetz und GDPR auf dem Prüfstand

Die Europäische Kommission dreht am regulatorischen Steuer: Mit dem „Digital Omnibus”-Paket sollen Unternehmen von Bürokratie entlastet werden – doch Datenschützer schlagen Alarm.

Brüssel hat gestern eine Wende vollzogen, die die digitale Landschaft Europas grundlegend verändern könnte. Die EU-Kommission stellte am 19. November offiziell ihr „Digital Omnibus”-Paket vor – ein umfassender Deregulierungsplan, der direkt auf die Warnungen des ehemaligen EZB-Präsidenten Mario Draghi reagiert. Seine im September 2024 veröffentlichte Analyse hatte Europa einen gefährlichen Produktivitätsrückstand gegenüber den USA und China attestiert.

Die Botschaft aus Brüssel ist unmissverständlich: Wettbewerbsfähigkeit schlägt Regulierung. Zumindest vorerst.

Passend zum Thema KI-Gesetz sind viele Unternehmen unsicher, welche Pflichten und Übergangsfristen jetzt wirklich gelten. Unser kostenloses E-Book zur EU-KI-Verordnung fasst kompakt zusammen, welche Risikoklassen, Kennzeichnungspflichten und Dokumentationsanforderungen Sie beachten müssen – inklusive konkreter To-dos für Entwickler und Anbieter. Ideal, um Compliance-Fristen einzuordnen und teure Fehler zu vermeiden. Sofort umsetzbare Checklisten inklusive. Kostenloses KI-E-Book herunterladen

Das Herzstück des Pakets: Eine „Stop-the-Clock”-Klausel für das EU-KI-Gesetz. Eigentlich sollten die Vorgaben für Hochrisiko-KI-Systeme ab August 2026 greifen. Doch die harmonisierten technischen Standards? Noch nicht fertig. Die Compliance-Tools? Fehlanzeige.

Die Lösung der Kommission: Wenn die Infrastruktur fehlt, wird die Uhr einfach angehalten. Die Frist würde automatisch ausgesetzt, bis die notwendigen Standards vorliegen – maximal aber bis Dezember 2027. Das bedeutet: Bis zu 16 Monate Aufschub für Unternehmen, die sonst mit Sanktionen wegen Nicht-Einhaltung rechnen müssten.

„Unternehmen brauchen Klarheit, keine unmöglichen Fristen”, erklärte ein Kommissionssprecher. Klingt vernünftig – oder ist es ein Freifahrtschein für Big Tech, während Bürger ohne Schutz vor riskanten KI-Anwendungen in Bewerbungsprozessen oder Strafverfolgung dastehen?

GDPR-Reform: Grünes Licht für KI-Training mit persönlichen Daten

Noch brisanter sind die geplanten Änderungen der Datenschutz-Grundverordnung (GDPR). Die Kommission will das Fundament des europäischen Datenschutzes justieren – und das hat es in sich:

Die wichtigsten Vorschläge:

• „Berechtigtes Interesse” für KI-Entwicklung: Unternehmen könnten personenbezogene Daten für das Training von KI-Systemen nutzen – ohne explizite Einwilligung der Betroffenen. Die Begründung: KI-Entwicklung sei ein legitimes Geschäftsinteresse.

• Neudefinition personenbezogener Daten: Daten gelten nicht mehr als „personenbezogen”, wenn die identifizierenden Mittel nur mit „unverhältnismäßigem Aufwand” verfügbar sind.

• Zentralisierte Cookie-Verwaltung: Schluss mit den nervigen Banner-Orgien auf jeder Website. Künftig sollen Browser-Einstellungen die Zustimmung regeln. Cookies für Reichweitenmessung und Sicherheit würden generell freigestellt.

• Einheitliches Meldeverfahren: Ein zentrales Portal für Sicherheitsvorfälle soll Meldungen nach GDPR, NIS2, DORA und dem Cyber Resilience Act bündeln.

„Größter Rollback der Geschichte”: Scharfe Kritik von Bürgerrechtlern

Die Reaktion ließ nicht auf sich warten. Ein Bündnis von 127 zivilgesellschaftlichen Organisationen, darunter European Digital Rights (EDRi) und Amnesty International, verurteilte das Paket als „historischen Rückschritt für digitale Grundrechte”.

Max Schrems, Chef der Datenschutz-NGO NOYB, legte nach: „Die Kommission versucht, die GDPR in ein Gesetz zur Datennutzung umzuwandeln, nicht zum Schutz der Betroffenen. KI-Training per Gesetz zum ‚berechtigten Interesse’ zu erklären, ist ein Blankoscheck für Big Tech, europäische Daten abzugreifen.”

Die Kritiker fürchten: Was als „Vereinfachung” verkauft wird, könnte ein trojanisches Pferd sein. Jahrelang erkämpfte Rechte – vom Widerspruchsrecht bis zur Datensparsamkeit – stünden zur Disposition. Und das alles im Namen der Wettbewerbsfähigkeit.

Der Draghi-Effekt: Von der Warnung zur Gesetzgebung

Die Wurzeln des Digital Omnibus liegen im Draghi-Bericht vom 9. September 2024. Der frühere EZB-Chef hatte der EU einen schonungslosen Befund ausgestellt: Europa drohe eine „langsame Agonie” durch Überregulierung und schwache Produktivität.

Seine Warnung: Die regulatorischen „Bürokratiekäfige” ersticken Innovation, während die USA und China mit Siebenmeilenstiefeln voranschreiten. Deutsche Unternehmen kennen das Problem zur Genüge – von SAP über die Telekom bis zu mittelständischen KI-Startups berichten viele von lähmender Compliance-Bürokratie.

Seit Draghis Report stand Kommissionspräsidentin Ursula von der Leyen unter Druck, Taten folgen zu lassen. Das Digital Omnibus-Paket ist die Antwort – ein Versuch, hohe Standards mit wirtschaftlicher Realität zu versöhnen.

Was kommt jetzt?

Das Paket wandert nun ins Europäische Parlament und den Rat der EU. Dort dürfte ein harter Kampf entbrennen. Während Industrieverbände auf schnelle Verabschiedung drängen, mobilisieren Bürgerrechtsgruppen zum Widerstand.

Falls angenommen, könnte die „Stop-the-Clock”-Klausel bereits Mitte 2026 gezogen werden. Die GDPR-Änderungen würden voraussichtlich 2027 die Datenökonomie neu ordnen – mit weitreichenden Folgen für deutsche Unternehmen und Verbraucher gleichermaßen.

Der „Brussels Effect”, Europas Ruf als globaler Standardsetzer für digitale Rechte, steht auf dem Prüfstand. Die zentrale Frage lautet: Kann die EU ihre Regeln vereinfachen, ohne die mühsam aufgebauten Schutzrechte zu opfern? Oder beginnt hier die schleichende Demontage eines Jahrzehnts regulatorischer Arbeit?

PS: Die vorgeschlagenen GDPR-Änderungen könnten das Daten-Training für KI massiv erleichtern – gleichzeitig steigen die Haftungs- und Dokumentationspflichten. Wenn Sie wissen wollen, welche konkreten Maßnahmen jetzt erforderlich sind und welche Übergangsfristen gelten, hilft unser Gratis-Leitfaden zur KI-Verordnung mit klaren Handlungsempfehlungen, Risikoklassifizierung und Prüflisten. Perfekt für Datenschutzverantwortliche und Produktteams, die schnell Rechtssicherheit brauchen. Jetzt Umsetzungsleitfaden sichern