BfDI-KI-Ratgeber trifft auf EU-Deregulierungspläne

Deutschlands Datenschützer setzen mit einem strengen KI-Leitfaden ein Zeichen – just als die EU-Kommission Schutzstandards lockern will. Ein Grundsatzkonflikt über Europas digitale Zukunft entbrennt.

Zum Jahresauftakt 2026 zeichnet sich in der europäischen Digitalpolitik ein tiefer Riss ab. Während der Bundesdatenschutzbeauftragte (BfDI) am 30. Dezember einen strengen Leitfaden für den KI-Einsatz in Behörden veröffentlichte, drängt die EU-Kommission mit ihrem „Digitalen Omnibus“ auf Deregulierung. Die Botschaft aus Deutschland ist klar: Erst einmal gilt das geltende Recht.

Der BfDI reagiert mit seinem „KI-Ratgeber“ auf die Unsicherheit in Bundesbehörden. Das Dokument soll Rechtssicherheit für den Umgang mit großen Sprachmodellen und anderen KI-Systemen schaffen. Der Fokus liegt auf der Schnittstelle zwischen KI-Training und Datenschutz.

Passend zum Thema KI-Regulierung: Seit August 2024 gelten neue Pflichten für KI‑Systeme — viele Unternehmen sind unvorbereitet. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt Risikoklassen, Kennzeichnungspflichten, notwendige Dokumentation und Übergangsfristen praxisnah und direkt anwendbar. Ideal für Entwickler, Anbieter und Verantwortliche, die jetzt Compliance sicherstellen wollen. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Die Vorgaben sind rigoros. Für Hochrisiko-KI-Anwendungen werden verpflichtende Datenschutz-Folgenabschätzungen vorgeschrieben. Die Nutzung personenbezogener Daten für das Training von Modellen wird streng begrenzt. Laut BfDI darf der Einsatz von KI-Werkzeugen die Grundrechte der Bürger nicht beeinträchtigen.

Was bedeutet das für die Wirtschaft? Der Leitfaden dient zwar explizit Behörden, gilt aber als indirekter Maßstab für die Privatwirtschaft. Er zeigt, wie deutsche Aufsichtsbehörden den ab August 2026 voll wirksamen EU-KI-Act auslegen werden. Die Kernbotschaft: Digitale Souveränität erfordert die Kontrolle über Datenverarbeitungsprozesse – ein klarer Gegenentwurf zu den Lockerungsplänen aus Brüssel.

„Digitaler Omnibus“: Deregulierung als Wettbewerbsmotor

Hintergrund des deutschen Beharrungsvermögens ist der umstrittene „Digitale Omnibus“ der EU-Kommission. Das im November 2025 vorgelegte Reformpaket will die DSGVO und den KI-Act entschlacken, um die Wettbewerbsfähigkeit europäischer Unternehmen zu stärken.

• Legitimes Interesse für KI-Training: Personenbezogene Daten sollen für das Training von KI-Modellen künftig ohne ausdrückliche Einwilligung genutzt werden dürfen.
• Befreiung für KMU: Kleine und mittlere Unternehmen sollen von der Pflicht befreit werden, Verzeichnisse ihrer Verarbeitungstätigkeiten zu führen.
• Cookie-Vereinfachung: Die E-Privacy-Regeln sollen überarbeitet werden, um „Einwilligungsmüdigkeit“ durch weniger Cookie-Banner zu reduzieren.

Befürworter argumentieren, nur so könne Europa im globalen KI-Wettlauf mit den USA und China mithalten. Große Tech-Verbände begrüßen die Pläne und warnen: Ohne weniger Bürokratie drohe Europa zur digitalen Kolonie ausländischer Konzerne zu werden.

Deutscher Widerstand formiert sich

Doch der Widerstand wächst. Die Datenschutzkonferenz (DSK), das Gremium der deutschen Aufsichtsbehörden, lehnt die Pläne entschieden ab. Auch Bürgerrechtsgruppen schlagen Alarm.

Die Kritik ist fundamental: Der „Omnibus“ untergrabe unter dem Deckmantel der Vereinfachung die Grundprinzipien der DSGVO. Die Ausweitung des „legitimen Interesses“ für KI-Training könnte zur unkontrollierten Nutzung von Bürgerdaten durch kommerzielle Anbieter führen. Die Sorge: Ein „Zweiklassen-Datenschutz“ entsteht, bei dem Behörden hohen Standards folgen müssen, während die Wirtschaft weitgehend freie Hand hat.

Hier prallen zwei Souveränitäts-Begriffe aufeinander. Für BfDI und DSK bedeutet digitale Souveränität, dass Staat und Bürger über die Datennutzung bestimmen. Für die Kommission heißt sie vor allem wirtschaftliche Unabhängigkeit – auch um den Preis lockererer Regeln.

2026: Jahr der Unsicherheit für Unternehmen

Für Unternehmen entsteht eine paradoxe Lage. Einerseits laufen die Fristen des KI-Acts: Das Verbot von KI-Systemen mit „inakzeptablem Risiko“ gilt bereits, die Pflichten für „Hochrisiko“-Systeme starten in August 2026. Andererseits könnte der „Omnibus“ das Regelwerk noch in diesem Jahr umschreiben.

Rechtsexperten warnen vor dieser Unsicherheit. Sie sei „Gift“ für Investitionen. Wer jetzt in Compliance-Strukturen nach BfDI-Maßstab investiert, könnte sein Geld verschwendet haben, falls die Reformen durchkommen. Wer auf Deregulierung setzt, riskiert hingegen hohe Bußgelder, falls die strengere Linie siegt.

Der BfDI-Leitfaden sendet eine eindeutige Warnung: Unternehmen sollten sich nicht auf mögliche künftige Lockerungen verlassen, sondern das heute geltende Recht einhalten.

Was kommt jetzt?

Die kommenden Monate werden entscheidend. Der „Digitale Omnibus“ wird demnächst das Europäische Parlament erreichen, wo er im Ausschuss für bürgerliche Freiheiten intensiv geprüft wird.

Beobachter prognostizieren ein volatiles erstes Halbjahr 2026. Sollte das Reformpaket Fahrt aufnehmen, könnte sich die Aufsichtspraxis grundlegend ändern. Da die deutschen Behörden jedoch über BfDI und DSK eine klare „Haltet die Stellung“-Linie vorgeben, müssen sich Unternehmen hierzulande auf ein rigoroses Prüfregime einstellen. Der Streit über den richtigen Weg zur digitalen Souveränität ist in diesem neuen Jahr voll entbrannt.

PS: Die Datenschutz-Folgenabschätzung wird für viele Hochrisiko-KI-Anwendungen Pflicht — wer früh plant, sichert Projekte und vermeidet Strafen. Das kostenlose E‑Book zur EU‑KI‑Verordnung enthält praxisnahe Checklisten, Musteranforderungen für DSFAs und klare Schritte zur rechtskonformen Dokumentation. Schützen Sie Ihr Produkt und Ihre Datenverarbeitung jetzt. KI‑Verordnung-Leitfaden mit DSFA-Vorlagen sichern