Digital Omnibus: EU-Ringen um KI-Regeln vor der Deadline

Doch die geplanten Erleichterungen stecken fest.

Am 28. April 2026 scheiterten Vertreter der EU-Mitgliedstaaten und des Europaparlaments nach zwölfstündigen Verhandlungen an einer Einigung über Ausnahmen für KI-Regeln. Im Zentrum steht das „Digital Omnibus"-Paket – ein Gesetzesvorhaben zur Harmonisierung mehrerer Digitalgesetze. Der Streit entzündet sich vor allem daran, welche Branchen von bestehenden Sektorregeln befreit werden sollen. Die Gespräche sollen Anfang Mai fortgesetzt werden.

Die neuen EU-KI-Pflichten stellen Unternehmen vor komplexe Herausforderungen, die bereits jetzt aktives Handeln erfordern. Dieser kostenlose Leitfaden verschafft Ihnen den nötigen Überblick über Fristen, Risikoklassen und den AI Act, damit Ihre IT-Abteilung rechtssicher planen kann. EU AI Act in 5 Schritten verstehen

Der August-Countdown für Hochrisiko-Biometrie

Ab dem 2. August 2026 gelten die schärfsten Anforderungen des EU AI Acts. Unternehmen, die automatisierte biometrische Identifikation oder Screening-Systeme in sensiblen Bereichen einsetzen, stehen vor erheblichen Compliance-Hürden. Bestimmte Praktiken sind dann strikt verboten, andere als „hochriskant" eingestufte müssen strenge Transparenz- und Sicherheitsstandards erfüllen.

Die Strafen sind happig: Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes drohen bei Verstößen. Branchenexperten betonen: Während einige Pflichten – etwa zur KI-Kompetenz – bereits seit Februar 2025 gelten, stellt der August-Meilenstein die bisher größte Herausforderung für IT-Abteilungen dar.

Die Verordnung verlangt zudem, dass jeder Mitgliedstaat bis zum 2. August 2026 mindestens eine „regulatorische Sandbox" für Tests unter kontrollierten Bedingungen einrichtet. Die Umsetzung ist bislang uneinheitlich: Ende 2025 war Spanien der einzige Mitgliedstaat mit einer voll funktionsfähigen Sandbox, die bereits ein Dutzend Hochrisiko-KI-Projekte betreute.

Digital Omnibus: Sicherheit versus Bürokratieabbau

Das von der EU-Kommission am 19. November 2025 vorgeschlagene Reformpaket zielt darauf ab, bürokratische Lasten aus DSGVO und AI Act zu reduzieren. Ein Kernpunkt: die Lockerung von Beschränkungen für biometrische „Selbstzugriffs"-Anwendungen, bei denen Nutzer ihre eigenen Daten zur Identifikation verwenden.

Weitere geplante Änderungen im Omnibus-Paket:

• Datenschutzverletzungen: Verlängerung der Meldefrist von 72 auf 96 Stunden
• Cookie-Einwilligung: Wechsel vom Opt-in zum Opt-out-Modell, möglicherweise zentralisiert in Browsern
• KI-Training: Nutzung personenbezogener Daten für KI-Training auf Basis „berechtigten Interesses" statt expliziter Einwilligung

Diese Maßnahmen sollen vor allem kleine und mittlere Unternehmen (KMU) mit weniger als 750 Mitarbeitern entlasten. Datenschützer und einige Parlamentsfraktionen bleiben jedoch skeptisch. Die Trilog-Verhandlungen spiegeln den Spagat zwischen Innovationsförderung und Wahrung der hohen DSGVO-Standards wider.

Globale Durchsetzung: Strafen steigen rasant

Der Fokus auf automatisierte Systeme und Datenschutz beschränkt sich nicht auf Europa. In den USA haben die Regulierungsbehörden von einer Bildungsphase zur aggressiven Durchsetzung gewechselt. Laut Marktforschungsdaten verhängten US-Behörden 2025 Bußgelder in Rekordhöhe von umgerechnet rund 3,2 Milliarden Euro – mehr als in den fünf Jahren zuvor zusammen. Grund sind die Vielzahl neuer Landesgesetze, etwa in Kalifornien, und der gezielte Fokus auf KI und automatisierte Entscheidungen.

Bis Frühjahr 2026 hatten 22 US-Bundesstaaten umfassende Verbraucherdatenschutzgesetze erlassen. Alabama verabschiedete am 17. April 2026 als jüngster Staat sein Gesetz. Diese Regelungen zielen häufig auf dieselben automatisierten Screening- und Profiling-Aktivitäten ab, die auch in der EU unter Beobachtung stehen. Marylands Gesetz von 2025 verbietet etwa Geofencing – eine Form automatisierten standortbasierten Screenings – in der Nähe von Gesundheitseinrichtungen.

In Europa wurden die finanziellen Risiken am 29. April 2026 deutlich: Die EU-Kommission gab vorläufige Feststellungen im Fall Meta bekannt. Sie äußerte Bedenken, dass die automatisierten Altersverifikationstools auf Facebook und Instagram Minderjährige nicht ausreichend schützen – ein möglicher Verstoß gegen den Digital Services Act (DSA). Bei Nichteinhaltung drohen Strafen von bis zu sechs Prozent des globalen Jahresumsatzes.

Neue Hilfestellungen für die Compliance

Um Unternehmen bei der Navigation durch die komplexen Regelungen zu unterstützen, haben Datenschutzbehörden neue Werkzeuge veröffentlicht. Mitte April 2026 veröffentlichte der Europäische Datenschutzausschuss (EDSA) eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen (DPIA), die bis zum 9. Juni 2026 öffentlich konsultiert wird. Sie soll einen einheitlichen Ansatz zur Risikobewertung automatisierter Datenverarbeitung bieten.

Angesichts der strengen EU-Vorgaben für automatisierte Datenverarbeitung riskieren Unternehmen ohne korrekte Folgenabschätzung Bußgelder in Millionenhöhe. Sichern Sie sich diesen praxisorientierten Leitfaden inklusive einer bearbeitbaren Muster-Vorlage, um Ihre Compliance-Pflichten rechtssicher zu erfüllen. Muster-Datenschutzfolgenabschätzung jetzt kostenlos herunterladen

Auch in Deutschland sind die Behörden aktiv. Der Landesdatenschutzbeauftragte Niedersachsens veröffentlichte am 27. April 2026 einen praxisnahen FAQ zum Zusammenspiel von AI Act und bestehenden Datenschutzgesetzen. Einen Tag später folgte der Bayerische Datenschutzbeauftragte mit einem Orientierungsleitfaden für KI-Projekte in der öffentlichen Verwaltung, einschließlich des Einsatzes von Retrieval-Augmented-Generation-Systemen (RAG).

Die Leitfäden betonen: Auch wenn das Digital-Omnibus-Paket Verfahren vereinfachen soll, bleiben die Kernprinzipien der DSGVO – Rechtmäßigkeit, Transparenz und Datenminimierung – für jedes System mit automatisierter Identifikation oder Screening unverhandelbar.

Analyse: Infrastruktur der Überwachung und digitale Souveränität

Die Debatte über automatisiertes Screening und Biometrie ist zunehmend mit Fragen der digitalen Souveränität verknüpft. Ende April 2026 legte eine deutsche Expertenkommission „Wettbewerb und KI" der Bundesregierung Empfehlungen vor, darunter den Aufbau einer souveränen KI-Infrastruktur und einen 300-Milliarden-Euro-Investitionsfonds. Die Kommission argumentierte, dass die Verringerung der Abhängigkeit von ausländischen KI-Anbietern für die Wahrung europäischer Datenstandards unerlässlich sei.

Parallel dazu präzisiert der Europäische Gerichtshof (EuGH) die rechtlichen Grenzen des Datenzugriffs. Ein Urteil vom 19. März 2026 stellte klar: Zwar haben Einzelpersonen umfassende Rechte auf Datenzugriff, doch als „missbräuchlich" eingestufte Anträge können eingeschränkt werden. Zudem betonk das Gericht, dass für Schadensersatzansprüche nach der DSGVO ein tatsächlicher Schaden nachgewiesen werden muss – eine Entscheidung, die die Welle von Massenklagen gegen große Technologieunternehmen wegen historischer Datenlecks beeinflussen dürfte.

Ausblick

Die endgültige Form des Digital Omnibus wird in den kommenden Wochen die administrative Realität für tausende Unternehmen bestimmen. Kommt eine politische Einigung, könnten Unternehmen mit deutlich geringeren Berichtspflichten und mehr Flexibilität beim KI-Training rechnen. Doch der harte Stichtag 2. August 2026 für Hochrisiko-KI-Systeme bleibt der entscheidende Termin für Compliance-Verantwortliche.

Die Verpflichtung aller EU-Mitgliedstaaten, bis Ende 2026 eine Digitale Identitätsbrieftasche bereitzustellen, dürfte zudem die Einführung biometrischer Selbstzugriffssysteme beschleunigen – und macht die geplanten Omnibus-Reformen für den Alltag der europäischen Digitalwirtschaft noch relevanter. Unabhängig vom legislativen Ausgang: Der Trend zu strengerer Durchsetzung bei automatisierten Systemen und biometrischem Datenschutz wird sich global bis 2028 fortsetzen.

de | wirtschaft | 69260750 |