Digital Omnibus: EU-Kommission will KI-Regeln für Startups entschärfen

Die EU-Kommission will mit ihrem neuen „Digital Omnibus“-Paket kleine Unternehmen von bürokratischen Lasten befreien und Fristen für Hochrisiko-KI verschieben. Der Vorschlag soll Europas Wettbewerbsfähigkeit in der Schlüsseltechnologie sichern.

Kern des Pakets ist die gezielte Entlastung von kleinen und mittleren Unternehmen (KMU) unter der seit August 2024 geltenden KI-Verordnung. Viele Startups hatten die Kosten und die Komplexität der Compliance als existenzbedrohend kritisiert. Die nun vorgeschlagenen „Vereinfachungsmaßnahmen“ zielen auf eine verhältnismäßigere Belastung ab.

Zu den wichtigsten Erleichterungen gehören:
* Vereinfachte technische Dokumentation: KMU dürfen schlankere Nachweise für die Konformität ihrer KI-Systeme vorlegen.
* Angemessene Qualitätsmanagementsysteme: Die Anforderungen werden auf die Größe und Ressourcen des Unternehmens zugeschnitten.
* Geringere Bußgelder: Die Strafen bei Verstößen sollen die finanzielle Lebensfähigkeit kleinerer Firmen nicht gefährden.
* Priorisierter Sandbox-Zugang: KMU erhalten Vorrang bei regulatorischen Sandboxes – geschützten Testumgebungen für KI-Entwicklung.

„Unsere Regeln müssen eine Startrampe für europäische Startups sein, keine Decke“, betonte die für Tech-Souveränität zuständige Vizepräsidentin der Kommission, Henna Virkkunen. Die Balance zwischen Sicherheit und Wettbewerbsfähigkeit stehe im Mittelpunkt.

Seit August 2024 gelten neue Regeln zur KI‑Aufsicht – viele KMU sind noch unsicher, welche Pflichten konkret auf sie zukommen. Ein kostenloses E‑Book fasst die EU‑KI‑Verordnung kompakt und praxisnah zusammen: Kennzeichnungspflichten, Risikoklassen, Dokumentationsanforderungen und die relevanten Übergangsfristen. Ideal für Entwickler und Anbieter, die ihre KI‑Projekte rechtskonform planen wollen. Jetzt kostenlosen KI‑Leitfaden herunterladen

Deadline für Hochrisiko-KI rutscht auf Ende 2027

Die wohl weitreichendste Änderung betrifft die Fristen für Hochrisiko-KI-Systeme. Statt wie ursprünglich geplant ab August 2026 zu gelten, soll die Umsetzung nun deutlich später erfolgen. Grund ist die fehlende Infrastruktur für Konformitätsbewertungen.

• Für Systeme aus Anhang III (z.B. in Personalwesen oder Bildung) verschiebt sich die Deadline auf 2. Dezember 2027 – ein Aufschub von 16 Monaten.
• Für Sicherheitskomponenten in regulierten Produkten (Anhang I) gilt sogar der 2. August 2028 als neuer Stichtag.

Rechtsexperten wie von der Kanzlei Jones Day bestätigen, dass die Pflichten erst sechs Monate nach Bereitstellung der notwendigen Harmonisierten Normen greifen sollen. Der Dezember 2027 fungiert als finale Festschreibung. Branchenverbände begrüßen die Verschiebung als „Sieg der Vernunft“, da der ursprüngliche Zeitplan unrealistisch gewesen sei.

Auch Datenschutz-Regeln werden angepasst

Das Paket nimmt auch die Datenschutz-Grundverordnung (DSGVO) und den Data Act in den Blick. Es soll Klarheit für eines der größten Probleme von KI-Entwicklern schaffen: die rechtliche Unsicherheit bei der Nutzung personenbezogener Daten für das Training von Modellen.

Der Vorschlag stellt klar, dass die Datenverarbeitung für KI-Entwicklung und -Betrieb ein „berechtigtes Interesse“ nach Artikel 6 DSGVO darstellen kann. Das würde die aufwändige Einholung individueller Einwilligungen für große Trainingsdatensätze überflüssig machen – vorausgesetzt, angemessene Schutzvorkehrungen sind vorhanden. Zudem soll eine einheitliche Meldestelle für Sicherheitsvorfälle Doppelarbeit vermeiden.

Ausblick: Rasches Verfahren erwartet

Die Reaktionen der Wirtschaft auf den im November vorgelegten Entwurf sind überwiegend positiv. „Die vereinfachten Dokumentationsregeln werden Startups Millionen an Anwaltskosten ersparen“, so ein Sprecher eines Digitalverbands. Datenschutz-Aktivisten zeigen sich hingegen besorgt über die Lockerungen bei der DSGVO.

Das Paket muss nun das Europäische Parlament und den Rat passieren. Während die Fristverlängerung breite Unterstützung finden dürfte, könnten die DSGVO-Änderungen auf Widerstand treffen. Die Kommission drängt auf eine Verabschiedung bis Mitte 2026, um Rechtssicherheit vor dem ursprünglichen Stichtag zu schaffen. Für KMU und Entwickler heißt das: Der Weg zur Compliance wird länger – und einfacher.

PS: Die verschobenen Fristen für Hochrisiko‑KI und die angekündigten DSGVO‑Anpassungen beeinflussen Ihre Compliance‑Planung unmittelbar. Wer jetzt seine Dokumentation, Kennzeichnung und Meldeprozesse prüft, kann Bußgelder und teure Nachbesserungen vermeiden. Der kostenlose Umsetzungsleitfaden zur KI‑Verordnung liefert praxisnahe Checklisten, Pflichtaufstellungen und konkrete Schritte für KMU und Entwickler. Kostenlosen Umsetzungsleitfaden zur KI‑Verordnung jetzt sichern