EU-Digitalpaket: Brüssel verschiebt KI-Regeln auf 2027

Die Europäische Kommission krempelt ihre Digitalpolitik um. Statt Regulierung steht künftig Wettbewerbsfähigkeit im Vordergrund – mit weitreichenden Folgen für KI-Entwicklung und Datenschutz.

Am Mittwoch präsentierte die EU-Kommission das „Digital Omnibus”, ein umfassendes Regelpaket, das Europas komplexe Digitalvorschriften radikal vereinfachen soll. Der Clou: Die strengen Vorgaben des KI-Gesetzes werden bis Ende 2027 verschoben, während Technologieunternehmen deutlich mehr Spielraum beim Einsatz von Nutzerdaten für KI-Training erhalten. Eine klare Kehrtwende – weg von strikter Kontrolle, hin zu industrieller Konkurrenzfähigkeit.

Die Ansage aus Brüssel könnte kaum deutlicher sein: Europa will im globalen Tech-Rennen gegen die USA und China nicht weiter zurückfallen. Doch zu welchem Preis?

Strategischer Kurswechsel mit Ansage

Das „Digital Omnibus” markiert die größte Zäsur in der EU-Digitalpolitik seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) 2018. Bei der gestrigen Pressekonferenz in Brüssel beeilte sich die Kommission zu betonen: Vereinfachung bedeute keine Deregulierung, sondern eine kritische Überprüfung bestehender Vorschriften.

„Wir schaffen Wachstum bei gleichzeitiger Sicherheit”, erklärte ein Kommissionssprecher am Mittwoch. Klingt gut – doch kann das funktionieren?

Das Paket fasst Compliance-Anforderungen aus vier Kerngesetzen zusammen: KI-Gesetz, DSGVO, ePrivacy-Richtlinie und Datengesetz. Besonders kleine und mittlere Unternehmen sollen vom Bürokratieabbau profitieren. Der Draghi-Bericht zur europäischen Wettbewerbsfähigkeit vom vergangenen Jahr hat hier offenbar tiefe Spuren hinterlassen.

KI-Gesetz auf Eis: Aufschub bis Dezember 2027

Für Cybersecurity- und Tech-Unternehmen ist die Nachricht eindeutig: Die schärfsten Regeln kommen später. Hochrisiko-KI-Systeme – etwa in kritischer Infrastruktur, Strafverfolgung oder Personalauswahl – müssen erst ab Dezember 2027 die vollen Anforderungen erfüllen. Ursprünglich war August 2026 als Stichtag vorgesehen.

Henna Virkkunen, geschäftsführende Vizepräsidentin für technologische Souveränität, begründet die Verzögerung mit fehlenden technischen Standards. „Die Standards für die Umsetzung hinken dem Zeitplan hinterher”, so Virkkunen. „Um Rechtssicherheit zu gewährleisten, verlängern wir die Frist für Hochrisiko-Anwendungen.”

Entwickler biometrischer Identifikationssysteme und KI-gestützter Cybersecurity-Tools dürften erleichtert aufatmen – sie hatten den ursprünglichen Termin als unrealistisch kritisiert. Kehrseite der Medaille: 18 Monate länger operieren brisante KI-Systeme mit begrenzter Aufsicht.

DSGVO-Reform: Mehr Daten für KI-Training

Der wohl umstrittenste Teil des Omnibus-Pakets betrifft die DSGVO. Die Kommission will klarstellen, dass „berechtigtes Interesse” als Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum KI-Training ausreicht. In der Praxis bedeutet das: Tech-Konzerne können öffentlich verfügbare Nutzerdaten für KI-Entwicklung verwenden – ohne für jeden Anwendungsfall explizite Einwilligung einzuholen.

Voraussetzung sind lediglich „angemessene Schutzmaßnahmen”. Was genau darunter fällt, bleibt vorerst offen.

Zusätzlich führt das Paket ein einheitliches Meldesystem für Cybersicherheitsvorfälle ein. Bislang müssen Unternehmen bei Datenpannen verschiedene Behörden separat informieren – nach DSGVO, NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA).

„Wir schaffen ein zentrales EU-Portal für Datenschutzverletzungen und Cyberangriffe”, erklärte Michael McGrath, EU-Kommissar für Justiz und Rechtsstaatlichkeit. „Einmal melden, überall gültig – das entlastet Sicherheitsteams in Krisensituationen erheblich.”

Auch der „Cookie-Terror” soll ein Ende finden: Nutzer können künftig Einwilligungen für sechs Monate erteilen, statt auf jeder Website erneut auf Banner zu klicken.

Wirtschaft jubelt, Datenschützer protestieren

Die Reaktionen könnten konträrer kaum ausfallen. Industrieverbände und große Tech-Firmen begrüßen die Änderungen enthusiastisch. Die erweiterten Möglichkeiten beim Datentraining sehen sie als entscheidend im Wettbewerb mit amerikanischen Rivalen wie OpenAI und Google.

Datenschutzorganisationen hingegen sprechen von einem „massiven Rückschritt” bei Grundrechten. Das European Digital Rights (EDRi)-Netzwerk warnte am Mittwochabend, die Änderungen könnten den „Goldstandard” des Datenschutzes zerstören, für den die EU ein Jahrzehnt gekämpft habe.

„Die Kommission erlaubt die unkontrollierte Nutzung intimster Daten für KI-Training unter dem Deckmantel der ‚Vereinfachung'”, kritisierte ein Sprecher der Datenschutz-NGO NOYB (None of Your Business). Die Verzögerung der Hochrisiko-KI-Regeln bis 2027 lasse europäische Bürger weitere 18 Monate schutzlos gegenüber unsicheren automatisierten Systemen.

Geopolitischer Druck als Treiber

Der Zeitpunkt ist kein Zufall. Der Draghi-Bericht hatte Europa eine „langsame Agonie” aufgrund niedriger Produktivität und Überregulierung attestiert. Seither steht die Kommission unter massivem Druck, wirtschaftsfreundliche Signale zu senden. Die jüngsten Entwicklungen in der US-Politik haben Brüssels Drang zur Harmonisierung des digitalen Binnenmarkts zusätzlich befeuert.

Jetzt muss das „Digital Omnibus” noch Europaparlament und Ministerrat passieren. Während die wirtschaftsfreundliche Europäische Volkspartei (EVP) vermutlich zustimmen wird, kündigen Grüne und Linke erbitterten Widerstand an. Sie sehen darin eine Kapitulation vor Big-Tech-Lobbyismus.

Sollte das Paket durchgehen, könnten die Regelungen Mitte 2026 in Kraft treten – als Grundlage für die neue KI-Compliance-Deadline im Dezember 2027. Sicherheitsverantwortliche und Datenschutzbeauftragte sollten sich auf eine Übergangsphase einstellen: Die strikte Durchsetzung von gestern verschmilzt mit der flexiblen, wachstumsorientierten Politik von morgen.

Bleibt die Frage: Kann Europa tatsächlich beides haben – technologische Souveränität und Grundrechtsschutz? Oder muss am Ende eines von beiden weichen?

Passend zum Thema KI‑Regulierung: Auch wenn Brüssel die Fristen für Hochrisiko-Systeme verschiebt – die EU‑KI‑Verordnung stellt bereits jetzt Anforderungen an Klassifizierung, Kennzeichnung und Dokumentation, die viele Unternehmen unterschätzen. Unser kostenloser Umsetzungsleitfaden erklärt verständlich Risikoklassen, Dokumentationspflichten und Sofortmaßnahmen für Entwickler, Anbieter und Compliance-Teams. Inklusive praxisnaher Checklisten für die Übergangsphase. Kostenlosen KI‑Leitfaden herunterladen

PS: Die Fristverschiebung entbindet nicht von Risikoanalyse und Dokumentation. In unserem kompakten E‑Book zur KI‑Verordnung lesen Sie, welche Übergangsfristen relevant sind, wie Sie Ihr KI‑System richtig klassifizieren und welche Nachweise schon jetzt erforderlich sind, um Bußgelder und Haftungsrisiken zu vermeiden. Gratis-Download gegen E‑Mail – mit Praxisbeispielen für Entwickler und Datenschutzbeauftragte. Jetzt KI‑Compliance‑Guide sichern