Datenschützer erklären EU-Plänen den Krieg

Deutschlands Datenschutzbehörden starten einen Frontalangriff auf die neuen Digital-Pläne der EU-Kommission. Sie warnen vor einer systematischen Aushöhlung der DSGVO und gefährlichen Schlupflöchern für Künstliche Intelligenz.

Die 110. Datenschutzkonferenz von Bund und Ländern (DSK) endete in Berlin mit einem klaren Signal: Die geplante „Digital Omnibus“-Verordnung der EU-Kommission wird nicht hingenommen. In einer einstimmigen Resolution verurteilen die Behörden den im November 2025 vorgelegten Gesetzespaketentwurf als „Angriff auf die Grundprinzipien des Datenschutzes“. Statt echter Bürokratieabbau für Unternehmen drohten strukturelle Defizite beim Schutz personenbezogener Daten, so der Tenor.

„Wir sehen einen Trend, bei dem wirtschaftliche Interessen über das Grundrecht auf informationelle Selbstbestimmung gestellt werden“, heißt es in der DSK-Erklärung vom 12. Dezember 2025. Die Behörden kritisieren scharf, dass die Pläne es ermöglichen könnten, Daten für kommerzielle KI-Modelle ohne ausreichende Einwilligung zu verarbeiten.

Passend zum Thema KI-Regulierung: Seit August 2024 gelten neue EU‑Regeln für Künstliche Intelligenz – viele Unternehmen riskieren unwissentlich Bußgelder, wenn sie Kennzeichnungspflichten und Dokumentationsanforderungen ignorieren. Unser kostenloses E‑Book zur EU‑KI‑Verordnung fasst Anforderungen, Risikoklassen und notwendige Nachweise kompakt zusammen und liefert eine praktische Umsetzungs-Checkliste für Entwickler, Anbieter und Nutzer von KI‑Systemen. Erhalten Sie konkrete Handlungsschritte, Fristen und Vorlagen, um Compliance‑Risiken sofort zu reduzieren. Jetzt kostenlosen KI-Verordnung-Leitfaden herunterladen

KI-Regulierung: Gefährliche Lücken im Rechtsrahmen

Im Zentrum der Kritik steht die Regulierung Künstlicher Intelligenz. Die DSK warnt, dass der „Digital Omnibus“ zentrale Vorgaben des EU-KI-Gesetzes für Hochrisiko-Systeme verwässern oder verzögern könnte. Besonders brisant: die geplante Rechtsgrundlage für das Training von KI-Modellen.

Die deutschen Aufsichtsbehörden fordern eine ausdrückliche gesetzliche Grundlage für Entwicklung, Training und Betrieb von KI. Das von der Tech-Branche favorisierte Konzept des „berechtigten Interesses“ halten sie für unzureichend – angesichts des massiven Datenumfangs bei generativer KI.

„Die aktuellen Vorschläge legen nahe, dass Unternehmen strenge Zweckbindungsgrundsätze umgehen könnten“, so ein Sprecher der Berliner Datenschutzbeauftragten. „Wir brauchen Rechtssicherheit, die Bürgerdaten davor schützt, für KI-Training ohne Transparenz oder funktionierende Opt-out-Mechanismen abgeschöpft zu werden.“

Diese Position deckt sich mit Warnungen von Verbraucherschützern. Privacy-Aktivist Max Schrems und seine Organisation NOYB hatten bereits im November kritisiert, die EU bohre „Löcher“ in die DSGVO, um KI-Entwicklern entgegenzukommen.

Paradigmenwechsel: Hersteller in die Pflicht nehmen

Nicht nur in der Defensive präsentierte sich die DSK. Sie legte eigene Reformvorschläge vor und fordert einen Systemwechsel: Die Verantwortung nach der DSGVO soll künftig direkt bei Herstellern von Software und Hardware liegen.

Bisher haftet primär der „Verantwortliche“ – oft das Unternehmen, das eine Software nutzt. In einer Welt komplexer KI-Systeme sei das nicht mehr zeitgemäß, argumentiert die DSK. Nutzer hätten kaum Kontrolle über die Datenverarbeitungslogik von „Blackbox“-Systemen.

„Wir brauchen eine gesetzliche Verpflichtung zu ‚Datenschutz durch Technikgestaltung‘, die die Architekten dieser Systeme in die Pflicht nimmt, nicht nur die Anwender“, heißt es in der Resolution. Hersteller sollen ihre Produkte von Haus aus DSGVO-konform machen müssen. Das würde kleinen und mittleren Unternehmen echte Erleichterung bringen, die derzeit mit komplexen Compliance-Prüfungen für Fremdsoftware kämpfen.

Echte Entlastungen für den Mittelstand liege die Kommission dagegen auf Eis, kritisieren die Behörden. Stattdessen profitierten vor allem große Tech‑Plattformen von den Plänen.

Konflikt zeichnet sich für 2026 ab

Der Konflikt zwischen deutschen Aufsehern und EU-Politikern kommt zum denkbar ungünstigen Zeitpunkt. Der „Digital Omnibus“ entstand unter starkem Lobbydruck der Tech-Branche, die Europas strenge Datenschutzregeln als Innovationsbremse und Wettbewerbsnachteil gegenüber den USA und China sieht.

Die Industrie begrüßt insbesondere die geplante Verschiebung strenger Regeln für Hochrisiko-KI bis Ende 2027 als „Atempause“. Verbraucherschützer sehen darin dagegen einen Bruch der Versprechungen, die mit dem KI-Gesetz gemacht wurden.

Die DSK kündigte an, ihre Reformvorschläge an den Europäischen Datenschutzausschuss (EDPB) weiterzuleiten, um eine breite Allianz europäischer Aufsichtsbehörden gegen den Kommissionsentwurf zu schmieden. Für Unternehmen bedeutet das: Trotz deregulatorischer Signale aus Brüssel bleibt die nationale Durchsetzung in Deutschland streng. Die Kontrolle von KI-Systemen und der Rechtsgrundlage „berechtigtes Interesse“ wird Priorität behalten.

PS: Übrigens: Die Debatte um den „Digital Omnibus“ macht deutlich, wie schnell sich Rechtslage und Übergangsfristen ändern können. Wenn Sie KI-Systeme entwickeln oder einsetzen, prüfen Sie jetzt Klassifizierung, Dokumentation und Transparenzanforderungen – sonst drohen ernsthafte Compliance‑Risiken. Unser kostenloses E‑Book erklärt in klaren, praxisorientierten Schritten, welche Pflichten gelten und welche Maßnahmen Sie sofort umsetzen sollten, inklusive Checklisten und Vorlagen. Kostenloses E-Book zur EU-KI-Verordnung sichern