Datenschutz: EU-Behörden warnen vor Lücken in KI-Gesetz und DSGVO-Reform

Führende EU-Datenschützer schlagen Alarm: Neue Regelungen könnten Bürgerrechte aushöhlen. Unternehmen stehen vor einer Zerreißprobe zwischen Vereinfachung und Schutz.

Unternehmen, die KI-Systeme einsetzen, sollten jetzt handeln: Ein kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt verständlich Kennzeichnungspflichten, Risikoklassifizierung, Dokumentationsanforderungen und praktische Schritte, wie Sie Ihre Datenschutzerklärungen und internen Prozesse rechtssicher anpassen. Kostenlosen KI-Umsetzungsleitfaden herunterladen

Die obersten Datenschutzbehörden Europas, der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB), haben massive Bedenken gegen aktuelle Gesetzespläne der EU-Kommission geäußert. Im Zentrum der Kritik stehen die praktische Umsetzung des KI-Gesetzes (AI Act) und der sogenannte „Digital-Omnibus“, ein Paket zur Vereinfachung der Datenschutz-Grundverordnung (DSGVO). Für Unternehmen bedeutet das: Ihre Datenschutzdokumente müssen dringend auf den Prüfstand.

KI-Gesetz: Zentralisierte Aufsicht birgt gefährliche Lücken

Besonders scharf kritisieren die Behörden die geplante Umsetzung des KI-Gesetzes, dessen Kernregeln ab August 2026 gelten. In einer gemeinsamen Stellungnahme warnen EDSA und EDSB vor gefährlichen Vollzugsdefiziten. Grund ist die geplante Konzentration der Aufsicht bei einem neuen EU-KI-Büro in Brüssel.

Die Datenschützer befürchten, dass diese Zentralisierung ohne enge Zusammenarbeit mit nationalen Behörden scheitert. Das wäre fatal für datenschutzintensive KI-Anwendungen, etwa in personalisierter Werbung oder im Personalwesen. „Die etablierten nationalen Datenschutzbehörden sind unverzichtbar“, so die klare Botschaft aus Brüssel.

„Digital-Omnibus“: Vereinfachung auf Kosten der Grundrechte?

Parallel sorgt der „Digital-Omnibus“-Vorschlag der EU-Kommission für Unruhe. Das Paket soll den digitalen Rechtsrahmen straffen und Bürokratie abbauen. Die Datenschutzbehörden unterstützen das Ziel grundsätzlich, sehen aber rote Linien überschritten.

In einer bereits am 11. Februar veröffentlichten Stellungnahme kritisieren sie, dass zentrale Grundpfeiler des Datenschutzes in Frage gestellt werden. Besonders bedenklich: Änderungen an der Definition personenbezogener Daten. Sie könnten dazu führen, dass künftig weniger Informationen geschützt sind. Die Folge? Die Begrenzung von Werbe-Tracking und Nutzerverfolgung im Internet würde erheblich erschwert.

Was bedeutet das für Unternehmen ab 2026?

Die Debatten haben direkte Auswirkungen auf die Praxis. Nach acht Jahren DSGVO reicht es nicht mehr, formale Dokumente in der Schublade zu haben. Behörden prüfen zunehmend, ob die beschriebenen Prozesse auch gelebt werden.

Ab August 2026 kommen verschärfte Pflichten für Hochrisiko-KI-Systeme hinzu. Unternehmen müssen umfassend dokumentieren und Risiken managen. In ihren Datenschutzerklärungen müssen Nutzer klar informiert werden:
* Wo und wie KI ihre Daten verarbeitet.
* Welche Logik dahintersteckt.
* Welche Rechte sie haben.

Vage Floskeln werden nicht mehr akzeptiert. Gleichzeitig schafft der seit September 2025 geltende Data Act neue Pflichten zur Datenteilung. Die EU-Kommission veröffentlichte diese Woche Mustervertragsklauseln zur Erleichterung. Sie sind eine Hilfe, entbinden aber nicht von der Pflicht zur individuellen Prüfung.

Zielkonflikt: Wirtschaftliche Flexibilität versus Grundrechtsschutz

Das Jahr 2026 markiert eine neue Ära. Der Fokus verschiebt sich von der Gesetzgebung zur harten Umsetzung. Die aktuellen Spannungen zeigen den grundlegenden Konflikt: Soll Europa vor allem Innovation fördern oder Grundrechte schützen?

Für Unternehmen ist klar: Abwarten ist keine Option. Die Warnungen sind ein Signal, dass die Einhaltung bei KI und Datennutzung zum Prüfschwerpunkt wird. Organisationen sollten jetzt ihre Datenflüsse analysieren und ihre Datenschutzerklärungen überarbeiten. Der EDSA kündigte an, die DSGVO-Konformität und behördenübergreifende Zusammenarbeit zu Schwerpunkten seines Arbeitsprogramms 2026-2027 zu machen.

Unternehmen, die proaktiv auf maximale Transparenz setzen, minimieren nicht nur rechtliche Risiken. Sie stärken auch das Kundenvertrauen. Eine klare, ehrliche Datenschutzerklärung wird so zum Gradmesser für unternehmerische Sorgfalt.