Digital Omnibus: EU krempelt KI- und Datenschutzregeln um

Die Europäische Kommission prescht vor: Mit dem gerade erst vorgestellten „Digital Omnibus”-Paket könnte sich die gesamte Compliance-Landschaft für Unternehmen bis Ende 2027 grundlegend ändern. Arbeitgeber erhalten mehr Spielraum bei der Verarbeitung von Beschäftigtendaten – doch der Preis sind neue rechtliche Grauzonen.

Für Personalabteilungen, die bereits jetzt zwischen KI-Verordnung und GDPR jonglieren, bringen die Entwicklungen der vergangenen Tage eine Mischung aus Erleichterung und neuen Herausforderungen. Was genau hat sich geändert?

Die wichtigste Nachricht zuerst: Unternehmen, die KI-Systeme im Personalwesen einsetzen – etwa automatisierte Bewerbungsauswahl oder algorithmisches Management – könnten deutlich mehr Zeit für die Umsetzung bekommen.

Die EU-KI-Verordnung bringt umfangreiche Pflichten für Hochrisiko-KI — und Personalabteilungen stehen vor komplexen Dokumentations- und Klassifizierungsanforderungen. Unser kostenloser Umsetzungsleitfaden erklärt verständlich Risikoklassen, Kennzeichnungspflichten, notwendige Dokumentation und praktische Schritte zur Umsetzung in HR-Systemen. Ideal für Personaler, Datenschutzbeauftragte und Entwickler. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Rechtsexperten bestätigten am 3. Dezember: Der Digital Omnibus sieht vor, die Compliance-Frist für Hochrisiko-KI-Systeme vom August 2026 auf Dezember 2027 zu verschieben. Ursprünglich sollten die strengen Anforderungen der KI-Verordnung 24 Monate nach Inkrafttreten greifen.

Die Begründung der Kommission: Es fehlen bislang harmonisierte Standards und praxistaugliche Compliance-Werkzeuge. Für Arbeitgeber bedeutet das zunächst Entlastung bei der System-Auditierung. Doch Vorsicht – Rechtsberater warnen davor, Compliance-Projekte jetzt auf Eis zu legen. Die inhaltlichen Anforderungen an Transparenz, menschliche Aufsicht und Genauigkeit bleiben unverändert bestehen.

Berechtigtes Interesse: Neue Freiheiten beim KI-Training

Hier wird es kontrovers: Das Digital Omnibus-Paket will erstmals explizit klären, dass personenbezogene Daten – einschließlich Beschäftigtendaten – für das Training von KI-Modellen auf Basis eines „berechtigten Interesses” verarbeitet werden dürfen (Art. 6 Abs. 1 lit. f DSGVO).

Das ist ein Paradigmenwechsel. Bisher galt die Rechtsgrundlage „berechtigtes Interesse” im Arbeitsverhältnis als heikel, oft wurden Einwilligung oder vertragliche Notwendigkeit gefordert – beides im HR-Kontext schwer durchsetzbar.

Noch bemerkenswerter: Ein neu eingefügter Artikel 4a der KI-Verordnung soll die Verarbeitung besonderer Kategorien personenbezogener Daten – etwa Gesundheitsdaten oder ethnische Herkunft – ausdrücklich erlauben, wenn es darum geht, Verzerrungen (Bias) in KI-Systemen aufzuspüren und zu korrigieren.

„Das erkennt endlich die Realität der KI-Entwicklung an”, kommentierten Rechtsexperten am Mittwoch. Doch die Erlaubnis kommt mit strengen Leitplanken: modernste Sicherheitstechnik, Pseudonymisierung und strikte Beschränkung auf den Zweck der Bias-Bekämpfung. Für Personalabteilungen eröffnet sich damit ein legaler Weg, diskriminierende KI-Tools zu überprüfen – ohne gegen DSGVO-Verbote zu verstoßen.

Auskunftsansprüche: Neue Hürden für Beschäftigte?

Auch beim Umgang mit Auskunftsersuchen (DSARs) dreht die Kommission an den Stellschrauben. Nach den vorgeschlagenen Änderungen am Artikel 12 der DSGVO könnten Arbeitgeber künftig leichter Anfragen ablehnen oder Gebühren verlangen, wenn diese als „missbräuchlich” eingestuft werden.

Kritiker schlagen Alarm: Die am 3. Dezember veröffentlichte Analyse von Social Europe warnt, dass eine erweiterte Definition von „missbräuchlichen Anfragen” legitime Nachfragen von Beschäftigten blockieren könnte. Gerade bei algorithmischen Managementsystemen ist Transparenz aber entscheidend. Das Spannungsfeld: weniger Bürokratie für Unternehmen versus Schutz der Arbeitnehmerrechte.

Deutschland: Nationales Gesetz auf der Überholspur überholt?

Während die EU voranschreitet, tritt die deutsche Gesetzgebung auf der Stelle. Nach der Bundestagswahl im Februar 2025 und der Bildung der neuen Großen Koalition sollte eigentlich ein Beschäftigtendatenschutzgesetz für Klarheit sorgen.

Doch Stand Dezember 2025 passiert wenig. Berichte vom Juli deuteten noch auf einen „frischen Anlauf” hin, um Rechtssicherheit für KI am Arbeitsplatz zu schaffen. Nun droht das EU-Paket die nationalen Bemühungen zu überholen. Sollte der Digital Omnibus durchkommen, würde er direkt wirken – und könnte strengere deutsche Interpretationen zum „berechtigten Interesse” aushebeln, die etwa die Datenschutzkonferenz (DSK) favorisiert.

Was kommt jetzt auf Unternehmen zu?

Der Digital Omnibus ist aktuell ein Vorschlag – aber einer mit klarer Stoßrichtung: „Wettbewerbsfähigkeit” und „Vereinfachung” sollen gleichrangig neben dem Datenschutz stehen.

Worauf Arbeitgeber achten sollten:

• Gesetzgebungstempo: Europaparlament und Rat beginnen nun die Verhandlungen. Entscheidend wird, ob die Fristverlängerung für Hochrisiko-KI tatsächlich kommt.
• Gewerkschaften unter Druck: Arbeitnehmervertreter und Datenschutzorganisationen dürften die Ausweitung des „berechtigten Interesses” heftig bekämpfen – vor allem die Nutzung von Beschäftigtendaten für KI-Training ohne Einwilligung.
• Deutsche Sonderrolle: Wie die Bundesregierung ihr Beschäftigtendatenschutzgesetz mit den EU-Vereinfachungen in Einklang bringt, wird Anfang 2026 zur Konfliktlinie.

Unternehmen sollten ihre KI-Inventur-Projekte fortsetzen, aber flexibel bleiben: Die Fristverlängerung ist noch nicht Gesetz, und die technischen Anforderungen für „vertrauenswürdige KI” am Arbeitsplatz bleiben anspruchsvoll. Kann die EU den Spagat zwischen Innovation und Schutz schaffen? Die nächsten Monate werden zeigen, ob der Digital Omnibus hält, was er verspricht – oder zum Bumerang wird.

PS: Prüfen Sie, ob Ihre Bewerbungsfilter, Bias-Tests und DSAR-Prozesse den neuen Anforderungen standhalten. Unser Praxisleitfaden zur KI-Verordnung zeigt konkret, wie Sie Transparenzpflichten, menschliche Aufsicht und Bias-Bekämpfung DSGVO-konform umsetzen – inklusive Muster für Datenschutz-Folgenabschätzungen und Audit-Reports zur internen Prüfung. Leitfaden zur KI-Verordnung gratis sichern