Digital Omnibus: EU droht Aufweichung des Datenschutzes

Die EU will mit ihrem „Digital Omnibus“ die Regulierung verschlanken – doch Datenschützer warnen vor einem gefährlichen Dammbruch für die Privatsphäre. Kern der Kritik sind Pläne, die Nutzung persönlicher Daten für KI-Training zu erleichtern und Fristen für Hochrisiko-KI zu verschieben.

Hintergrund ist der von der EU-Kommission vorgelegte „Digitale Omnibus“. Das Paket soll europäische Tech-Unternehmen entlasten und die Wettbewerbsfähigkeit gegenüber den USA und China stärken. Angetrieben vom Draghi-Bericht zur Wettbewerbsfähigkeit argumentiert Brüssel, das derzeitige Zusammenspiel aus KI-Verordnung (AI Act), Datenschutz-Grundverordnung (DSGVO) und weiteren Digitalgesetzen sei zu komplex und bremse Innovationen.

Doch genau diese Vereinfachung sehen Kritiker als Trojanisches Pferd. „Hier werden zentrale Errungenschaften des europäischen Datenschutzes systematisch ausgehöhlt“, warnt eine Koalition aus Rechtsanalysten und Bürgerrechtsgruppen. Die schärfste Kritik entzündet sich an zwei Punkten: einer geplanten „Legitimate Interest“-Klausel und langen Übergangsfristen.

Die „berechtigtes Interesse“-Falle

Der wohl umstrittenste Vorschlag betrifft Artikel 4a. Er will „berechtigtes Interesse“ als rechtliche Grundlage für die Verarbeitung personenbezogener Daten zum Training von KI-Modellen festschreiben. In der Praxis könnte das bedeuten: Unternehmen dürften öffentlich zugängliche Nutzerdaten sammeln und verwenden, ohne dafür eine ausdrückliche Einwilligung („Opt-in“) einzuholen.

Passend zum Thema KI‑Verordnung und den jetzt diskutierten Übergangsfristen: Ein kostenloses E‑Book erklärt praxisnah, welche Anforderungen die EU‑KI‑Verordnung an Anbieter stellt. Von Kennzeichnungspflichten über Risikoklassen bis zu Dokumentationsanforderungen – der Leitfaden fasst zusammen, welche Pflichten besonders relevant sind und welche Fristen für Hochrisiko‑Systeme gelten. Ideal für Unternehmen und Entwickler, die Compliance‑Risiken früh erkennen wollen. Jetzt kostenlosen KI‑Verordnungs-Leitfaden herunterladen

Die Kontrolle würde sich damit umkehren. Nutzer müssten aktiv widersprechen („Opt-out“), anstatt dass Firmen vorher um Erlaubnis bitten müssen. Besonders brisant: Die Formulierung soll von „unbedingt notwendig“ auf lediglich „notwendig“ abgeschwächt werden. Diese kleine Wortänderung könnte den Spielraum für die Nutzung sensibler Daten – etwa zu Gesundheit oder politischer Gesinnung – massiv ausweiten.

Die Wiener Datenschutz-NGO noyb unter Max Schrems reagiert alarmiert. „Dieser Omnibus würde genau die Datensammelpraktiken legalisieren, gegen die wir seit Jahren vor Gericht kämpfen“, so die Einschätzung von Aktivisten. Die Befürchtung: Die EU opfert Bürgerrechte auf dem Altar der KI-Wettbewerbsfähigkeit.

Aufschub für Hochrisiko-KI sorgt für Unsicherheit

Das zweite Streitthema sind verschobene Fristen. Ein vorgeschlagener „Stop-the-Clock“-Mechanismus würde die Einhaltung von Pflichten für Hochrisiko-KI-Systeme – ursprünglich für 2026 geplant – bis Dezember 2027 oder sogar August 2028 aussetzen. Die Begründung: Es brauche Zeit für harmonisierte technische Standards.

Für Compliance-Experten bedeutet das vor allem Verwirrung. Kritiker sehen eine gefährliche Lücke: „Hochrisiko-Tools werden heute bereits eingesetzt, ohne dass die nötigen Schutzvorkehrungen greifen“, mahnen Fachleute. Die Streichung verpflichtender „KI-Kompetenz“-Schulungen für Anbieter in den neuen Texten verstärkt die Sorge, dass die menschliche Aufsicht im AI Act noch vor seinem Inkrafttreten ausgehöhlt wird.

Praxistest: KI-Brillen und das Recht am eigenen Bild

Die Dringlichkeit dieser regulatorischen Lücken zeigte sich diese Woche am Beispiel KI-fähiger Smart Glasses. Regulierungsbehörden prüfen derzeit, ob die „winzigen Kameras und permanenten Assistenten“ in neuer intelligenter Brille die EU-Transparenzanforderungen erfüllen.

„KI-Brillen werfen erhebliche Datenschutzbedenken auf“, erklärt die noyb-Anwältin Kleanthi Sardeli. Besonders problematisch sei die Einwilligung unbeteiligter Passanten und die Verarbeitung visueller Daten. Unter den neuen Omnibus-Regeln könnten Hersteller leichter ein „berechtigtes Interesse“ an der Nutzung dieser Video-Datenströme zur Produktverbesserung geltend machen – und so die strengeren Einwilligungspflichten umgehen.

Ungewisse Zukunft für Unternehmen und Bürger

Während Datenschützer Alarm schlagen, begrüßt die Wirtschaft das Vereinfachungsvorhaben. Verbände wie DigitalEurope argumentieren, das aktuelle regulatorische Dickicht aus DSGVO, AI Act und Data Act sei nicht praktikabel und hemme europäische Champions.

Der Ausgang ist völlig offen. Der Omnibus muss noch das ordentliche EU-Gesetzgebungsverfahren durchlaufen. Im Europäischen Parlament formiert sich vor allem bei Grünen und Sozialdemokraten Widerstand gegen eine Aufweichung der Standards.

Für Unternehmen bedeutet das vor allem Planungsunsicherheit. Der mögliche Aufschub bei der KI-Verordnung verschafft zwar Luft. Die unsichere Zukunft der „berechtigtes Interesse“-Klausel unter der DSGVO bedeutet aber auch, dass heutige Compliance-Strategien 2026 möglicherweise überarbeitet werden müssen – je nachdem, wie das Paket verabschiedet wird.

Das Europäische Datenschutzgremium (EDPB) will Anfang 2026 eine offizielle Stellungnahme abgeben. Sie dürfte die nächste große Konfrontation in der globalen KI-Governance einläuten.

PS: Wenn Sie konkret wissen wollen, welche Schritte Ihr Unternehmen jetzt ergreifen sollte, hilft ein praktischer Umsetzungsleitfaden zur EU‑KI‑Verordnung. Der kostenlose Download erklärt kompakt, welche Pflichten gelten, welche Fristen zu beachten sind und welche Dokumentation Behörden erwarten – plus Checklisten für Compliance‑Verantwortliche. So erkennen Sie Lücken früh und können Maßnahmen planen, bevor Übergangsfristen greifen. Jetzt KI‑Compliance‑Leitfaden sichern