Digital Omnibus: EU verschiebt KI-Regeln und lockert Datenschutz

Die EU-Kommission verschiebt Fristen für Hochrisiko-KI um über ein Jahr und verlängert Meldepflichten bei Datenpannen. Wirtschaftsverbände begrüßen die Entlastung, Datenschützer kritisieren den Schritt scharf.

Die EU-Kommission schafft mit ihrem “Digital Omnibus” Atemluft für die Wirtschaft – und erntet scharfe Kritik von Datenschützern. Der Gesetzespaket verschiebt Fristen für Hochrisiko-KI und lockert Teile der DSGVO.

Fristen für Hochrisiko-KI rutschen deutlich nach hinten

Der Kern des Pakets ist eine deutliche Verschiebung der Fristen im KI-Gesetz. Statt am 2. August 2026 sollen Regeln für Hochrisiko-KI-Systeme erst am 2. Dezember 2027 verbindlich werden. Betroffen sind kritische Infrastrukturen, Personalsoftware und Kredit-Scoring-Algorithmen. Für KI in regulierten Produkten wie Medizingeräten ist sogar der 2. August 2028 im Gespräch.

Die Begründung der Kommission klingt pragmatisch: Die technischen Standards, anhand derer Unternehmen Konformität nachweisen können, sind schlichtweg nicht fertig. Ohne diese “harmonisierten Normen” herrsche ein chaotisches Rechtsumfeld. Die Umsetzung des Gesetzes soll daher an die Verfügbarkeit dieser Standards geknüpft werden.

Auch DSGVO wird entschärft – mehr Zeit bei Datenpannen

Doch der Digital Omnibus geht weit über KI hinaus. Er stellt gezielte Änderungen an der Datenschutz-Grundverordnung (DSGVO) und der ePrivacy-Richtlinie in Aussicht. Eine der wichtigsten Neuerungen für Unternehmen: Die Frist zur Meldung schwerer Datenschutzverletzungen soll von 72 auf 96 Stunden verlängert werden. Firmen gewinnen so einen zusätzlichen Tag, um Umfang und Folgen eines Vorfalls zu bewerten.

Passend zum Thema KI-Regulierung: Die EU-KI-Verordnung stellt Entwickler, Anbieter und Anwender vor umfangreiche Pflichten – von Risikoklassifizierung über Kennzeichnung bis hin zu umfangreichen Dokumentationsanforderungen. Unser kostenloser Umsetzungsleitfaden fasst die aktuellen Regeln und Übergangsfristen kompakt zusammen, zeigt konkrete Schritte zur Einordnung Ihrer Systeme und liefert Praxistipps für Compliance-Verantwortliche. Ideal für Unternehmen, die jetzt schnell und rechtssicher handeln müssen. Kostenlosen KI-Umsetzungsleitfaden herunterladen

Zudem will die Kommission der “Cookie-Flut” Herr werden. Ständige Pop-up-Banner sollen reduziert werden zugunsten automatisierter, browserbasierter Signale. Auch der Bereich der “berechtigten Interessen” für die Datenverarbeitung soll ausgeweitet werden – vor allem für risikoarme Tätigkeiten. Ein Schritt, der zur Bürokratieabbau-Agenda der aktuellen Kommission passt.

Geteilte Reaktionen: Erleichterung vs. Alarm

Die Reaktionen auf den Vorstoß könnten unterschiedlicher nicht sein. Wirtschaftsverbände atmen auf. Sie verweisen auf die unrealistischen ursprünglichen Fristen. Für viele kleine und mittlere Unternehmen (KMU) sei die Verschiebung überlebenswichtig. Das Paket enthält explizite Erleichterungen für diese Gruppe, um den administrativen Aufwand des KI-Gesetzes abzufedern.

Auf der anderen Seite schlagen Zivilgesellschaft und Datenschutzorganisationen Alarm. Gruppen wie AlgorithmWatch und Amnesty International sprechen nicht von Vereinfachung, sondern von “Deregulierung” auf Kosten grundlegender Rechte. Sie kritisieren, dass Bürger nun bis zu 18 Monate länger potenziell diskriminierenden oder unsicheren KI-Systemen schutzlos ausgeliefert seien. Die Lockerungen bei der DSGVO sehen sie als Rückbau des europäischen Datenschutz-Goldstandards.

Deutschland treibt Initiative als Wettbewerbsmotor voran

Die deutsche Bundesregierung gehört zu den treibenden Kräften hinter dem Vorhaben. Die Ampel-Koalition sieht im Digital Omnibus einen Schritt zu mehr Verwaltungsvereinfachung. In Positionspapieren forderte Berlin zuletzt messbare Kennzahlen, um die wirtschaftlichen Auswirkungen der Digitalgesetze zu bewerten. Die kumulative Belastung aus DSGVO, Data Act und KI-Gesetz bremse die deutsche Industrie aus.

Die Initiative ist Teil einer größeren “Wettbewerbskompass”-Strategie, die Europas wirtschaftliche Dynamik durch weniger regulatorische Hürden stärken will. Indem die Kommission die Verschiebung als technische Notwendigkeit und nicht als politischen Rückzug darstellt, hofft sie auf zügige Zustimmung der Mitgliedstaaten.

Was kommt jetzt? Der Weg durch die Instanzen

Der Digital Omnibus durchläuft nun das ordentliche Gesetzgebungsverfahren. Das Paket muss sowohl vom Europäischen Parlament als auch vom Rat der Europäischen Union verhandelt und gebilligt werden. Angesichts der nahenden ursprünglichen Frist im August 2026 rechnen Beobachter mit einem beschleunigten Zeitplan.

Der Weg dürfte jedoch nicht ganz ohne Widerstand bleiben. Während der Rat der Mitgliedstaaten dem wettbewerbspolitischen Ansatz wohlwollend gegenübersteht, könnte es im Parlament Gegenwind von Fraktionen geben, die eine Aufweichung von Verbraucherrechten und Datenschutzstandards befürchten.

Für Unternehmen heißt die Botschaft: Eine Verschiebung ist wahrscheinlich, aber noch nicht beschlossen. Compliance-Verantwortliche sollten ihre Vorbereitungen fortsetzen – von der KI-Inventur bis zur Einrichtung von Governance-Strukturen. Die unmittelbare Druckkulisse vor dem Sommer 2026 hat sich jedoch vorerst entspannt. Der Blick richtet sich nun darauf, ob der Dezember 2027 als neuer Stichtag für die Regulierung Hochrisiko-KI standhalten wird.

PS: Ob die Fristen nun später greifen oder nicht – viele Unternehmen stehen vor der gleichen Aufgabe: KI-Systeme korrekt zu klassifizieren, Dokumentation zu vervollständigen und Governance-Strukturen zu implementieren. Unser gratis-Leitfaden bietet eine praktische Checkliste, Mustervorlagen für die Dokumentation und klare Handlungsempfehlungen für die Übergangsfristen, damit Sie Bußgelder und Nachforderungen vermeiden. Jetzt kostenlosen KI-Leitfaden sichern