News

EU Digital Omnibus: Bei der KI auf der Zielgeraden - Irrweg beim Datenrecht?

18.06.2026

Die am 7. Mai 2026 zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union im Hinblick auf den "Digital Omnibus on AI" getroffene vorläufige Einigung wird dem propagierten Ziel der Innovationsförderung nicht gerecht. Die noch ausstehende Einigung im Rahmen des "Digital Omnibus" (zum Datenrecht) ist für den Wirtschaftsstandort Europa vor diesem Hintergrund von herausragender Bedeutung. Anstatt eine schnelle Einigung zu forcieren, sollte die EU die Chance nutzen, echte Reformen durchzusetzen, um KI-Innovationen nicht (weiter) im Keim zu ersticken.

Wenige Änderungen im Rahmen des Digital Omnibus on AI

Die im Rahmen des „Digital Omnibus on AI“ vorgesehenen Änderungen der KI-VO sind zwar im Grundsatz begrüßenswert, führen jedoch zu keiner ausreichenden Entlastung von Unternehmen:

Verschiebung der Fristen für Hochrisiko-KI-Systeme:

Der ursprüngliche Anwendungsbeginn der Regelungen für Hochrisiko-KI ab dem 2. August 2026 bzw. 2. August 2027 (Art. 113 KI-VO) wird nach hinten verschoben. Danach sollen die Regelungen

(i) für Hochrisiko-KI-Systeme im Sinne von Art. 6 Abs. 2 KI-VO i.V.m. Anhang III erst ab dem 2. Dezember 2027 und

(ii) für Hochrisiko-KI-Systeme, die gem. Art. 6 Abs. 1 KI-VO als Sicherheitsbauteile in Produkte integriert werden, erst ab dem 2. August 2028 Anwendung finden.

Hintergrund der Verschiebung ist die verzögerte Umsetzung der sog. harmonisierten Normen durch die Kommission, welche der Konkretisierung der Hochrisiko-Pflichten dienen.

Weitere relevante Änderungen:

Darüber hinaus sollen insbesondere die folgenden Anpassungen vorgenommen werden:

  • KI-Systeme nach Anhang I Nr. 1, die unter die Maschinen-VO fallen, sollen zukünftig nicht mehr von der KI-VO erfasst werden, sondern sektoralen Regelungen im Rahmen der Maschinen-VO unterfallen;
  • Der gesetzliche Erlaubnistatbestand zur Nutzung sensibler Daten zur Bias-Korrektur nach Art. 10 Abs. 5 KI-VO soll auf Anbieter und Betreiber aller KI-Systeme – anstatt nur solcher von Hochrisiko-KI-Systemen – erweitert werden (zukünftig Art. 4a KI-VO);
  • KI-Systeme, die der Generierung sexueller Deepfakes (sog. nudifier tools) oder der Darstellung des sexuellen Missbrauchs von Kindern (CSAM) dienen, sollen ab Dezember 2026 verboten werden;
  • Die Verpflichtung zur Umsetzung von KI-Kompetenz nach Art. 4 KI-VO soll zu einer bloßen Bemühenspflicht abgeschwächt werden; und
  • Die Anwendbarkeit der Pflicht zur maschinenlesbaren Kennzeichnung KI-generierter Inhalte nach Art. 50 Abs. 2 KI-VO soll um vier Monate nach hinten auf den 2. Dezember 2026 verschoben werden, sofern das KI-System vor dem 2. August 2026 bereits auf den Markt gebracht wurde.

Auch wenn die aufgeführten Änderungen in der Praxis Zuspruch finden, ist noch nicht ersichtlich, wie durch die vornehmliche Verschiebung der Anwendbarkeit unterschiedlicher Vorschriften tatsächliche Entlastungen von Unternehmen erreicht und die Innovationsfähigkeit der EU gefördert wird.

Digital Omnibus – Eine letzte Chance für eine echte Kehrtwende?

Um – anders als beim Digital Omnibus on AI – echte innovationsfördernde Maßnahmen zu erreichen, sollte die EU beim Digital Omnibus keinen vorschnellen Kompromiss suchen, sondern sorgfältig prüfen, wie Unternehmen tatsächlich entlastet werden können und schließlich Maßnahmen umsetzen, die eine spürbare Erleichterung ermöglichen.

Dies gilt insbesondere vor dem Hintergrund der Komplexität des Vorhabens, da der allgemeine „Digital Omnibus“ eine Vielzahl von Rechtsakten betrifft. So soll u.a. der Data Act im Sinne einer Konsolidierung des Datenrechts zahlreiche Anpassungen erhalten: Der Data Governance Act, die Datenverkehrs-VO sowie die Open Data-Richtlinie sollen aufgehoben und teilweise direkt in den Data Act überführt werden.

Ein weiterer zentraler Baustein ist der Bürokratieabbau bei Meldepflichten: Es soll die Risikoschwelle für Meldungen von Datenschutzvorfällen angehoben und eine unionsweit zentrale Meldestelle („single-entry point“) geschaffen werden. Über diese Schnittstelle sollen Unternehmen künftig Vorfälle nach der DSGVO, NIS2-RL, DORA, der eIDAS-Verordnung sowie der CER-Richtlinie einheitlich melden können.

Besonders im Fokus von Politik und Rechtswissenschaft stehen etwaige Änderungen an der DSGVO. Insbesondere das Ausbleiben sinnvoller Anpassungen an der DSGVO hat das Potenzial, erhebliche Auswirkungen auf den KI-Sektor zu entfalten.

Dies betrifft Vorschläge zur Änderung der Definition personenbezogener Daten, zur Rechtsgrundlage für das KI-Training sowie zum Umgang mit Cookies. Zwischen den Positionen der Europäischen Kommission aus ihrem Vorschlag vom 19. November 2025 und dem noch unveröffentlichten Kompromissvorschlag des Rats der Europäischen Union vom 10. Juni 2026 bestehen dem Vernehmen nach erhebliche Divergenzen. Die Vermittlungsversuche im Rahmen der zypriotischen Ratspräsidentschaft konnten noch nicht zu entscheidenden Fortschritten führen. Seitens der Kommission wird sogar befürchtet, dass durch die Änderungsvorschläge die zentralen Ziele der Vereinfachung und Rechtssicherheit unterlaufen werden würden.

Keine echte Reform bei der Definition personenbezogener Daten?

Besonders deutlich zeigt sich die Reformschwäche des „Digital Omnibus“ bei der geplanten Änderung der Definition des personenbezogenen Datums. Der Vorschlag der EU-Kommission, Art. 4 Nr. 1 DSGVO neu zu fassen und der Identifizierbarkeit ein relatives Verständnis zugrunde zu legen, ist im Grundsatz richtig. Künftig soll danach entscheidend sein, ob die konkret verarbeitende Stelle unter Berücksichtigung der ihr vernünftigerweise zur Verfügung stehenden Mittel tatsächlich in der Lage ist, eine natürliche Person zu identifizieren. Flankierend sieht der Vorschlag mit Art. 41a DSGVO vor, dass die Kommission durch Durchführungsrechtsakte Kriterien für diese Identifizierbarkeit festlegt.

Der Rat lehnt diesen Ansatz in seinem aktuellen Kompromisstext jedoch ab. An die Stelle von Art. 4 Nr. 1 DSGVO tritt mit Art. 29a DSGVO eine ausdrückliche Regelung zu den Voraussetzungen von Pseudonymisierung.

Damit droht eine zentrale Reformchance ungenutzt zu bleiben. Die – an sich sinnvolle – Kodifizierung der Voraussetzungen von Pseudonymisierung beseitigt die bestehende Rechtsunsicherheit in Bezug auf den Anwendungsbereich der DSGVO nicht, die die Kommission mit der Novelle von Art. 4 Nr. 1 DSGVO ausräumen wollte. Gerade für innovationsgetriebene Datenprojekte ist das ein erhebliches Hindernis: Solange die datenschutzrechtliche Verantwortlichkeit weiterhin an abstrakten Re-Identifizierungsrisiken statt an die tatsächliche Beherrschbarkeit anknüpft, werden datengetriebene Innovationen in Europa weiterhin ausgebremst.

Keine Rechtssicherheit für KI-Training?

Ebenfalls von zentraler Bedeutung für die Innovationsfähigkeit Europas ist die Frage, auf welcher Rechtsgrundlage personenbezogene Daten für das Training von KI-Modellen verarbeitet werden dürfen. Hier hatte die Kommission zunächst mit dem Art. 88c DSGVO einen im Grundsatz begrüßenswerten Vorschlag vorgelegt, um die bestehende Rechtsunsicherheit zu verringern. Danach soll die Verarbeitung personenbezogener Daten für das KI-Training ausdrücklich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden können, sofern keine überwiegenden Schutzinteressen der betroffenen Personen entgegenstehen. Flankiert durch Schutzmechanismen wie ein Widerspruchsrecht könnte so die in der Praxis kaum tragfähige Abhängigkeit von Einwilligungslösungen jedenfalls teilweise überwunden werden.

Die vom Rat der Europäischen Union vorgesehene Streichung des vorgeschlagenen Art. 88c DSGVO wäre demgegenüber ein falsches Signal. Stattdessen findet sich dieser in der Ratsposition in ähnlicher, aber abgeschwächter Form bloß in den Erwägungsgründen (Erwg. 33a) wieder. Anstatt die dringend erforderliche Rechtssicherheit für das KI-Training zu schaffen, würde die EU damit auf eine gezielte Weichenstellung für innovationsfreundliche Rahmenbedingungen verzichten. Gerade für großvolumige Investitionen in europäische KI-Infrastruktur ist jedoch entscheidend, dass datenschutzrechtliche Grundlagen verlässlich und praktikabel ausgestaltet werden. Bleibt eine solche Klarstellung aus, droht die europäische Regulierung erneut vor allem eines zu produzieren: Unsicherheit, Investitionszurückhaltung und einen weiteren Standortnachteil im globalen KI-Wettbewerb.

Trackingtechnologien / Cookies

Auch in Bezug auf Trackingtechnologien (insbesondere „Cookies“) enthält der Kommissionsvorschlag einen Reformansatz, der auf den ersten Blick eine überfällige Entlastung verspricht. Dass zentrale ePrivacy-Regelungen überhaupt in die DSGVO überführt werden sollen, ist grundsätzlich zu begrüßen, weil damit die Chance auf einen einheitlicheren und praxistauglicheren Rechtsrahmen eröffnet wird. Gerade die heutige Aufspaltung zwischen ePrivacy-Richtlinie und DSGVO ist ein Kernproblem: Während die ePrivacy-Richtlinie bereits für das Setzen oder Auslesen von Cookies pauschal eine vorherige Einwilligung verlangt, kann die risikobasierte Systematik der DSGVO für die anschließende Datenverarbeitung praktisch kaum zur Geltung kommen. Das fördert vor allem Banner-Flut und „Consent Fatigue“.

Der Kommissionsvorschlag zu Art. 88a DSGVO zielte insofern in die richtige Richtung, als er die Cookie-Regeln aus der ePrivacy-Richtlinie herauslösen und in die DSGVO integrieren wollte. Auch die vorgesehenen zusätzlichen Ausnahmen, etwa für eigene Reichweitenmessung oder Systemsicherheit, sowie eine nutzerfreundliche Ein-Klick-Ablehnung versprachen praktische Erleichterungen. Gleichwohl greift auch dieser Ansatz nicht weit genug. Einerseits würde dadurch nur für personenbezogene Daten Abhilfe geschaffen und andererseits würde für rein technische Cookies weiterhin strukturell an einem Consent-zentrierten Modell festgehalten. Eine echte Reform müsste klarstellen, dass für das Setzen und Auslesen von Cookies die gesamte Systematik der DSGVO mit allen Rechtsgrundlagen zur Anwendung kommen kann, anstatt faktisch erneut bei einer überkommenen Sonderlogik zu verharren.

Der vorgeschlagene Art. 88b DSGVO zum Browser-Level-Consent ist ein weiteres Beispiel für das Grundproblem dieses Ansatzes. Danach sollten Nutzer ihre Cookie-Präferenzen zentral im Browser festlegen können, und Webseitenbetreiber hätten diese maschinenlesbaren Signale grundsätzlich zu respektieren. Der Vorschlag stößt jedoch zu Recht auf erheblichen Widerstand, weil er die bestehenden Probleme nicht löst, sondern verschärft. Ein browser- oder gar betriebssystembasiertes Einheitssignal kann die Anforderungen an eine informierte und spezifische Einwilligung kaum erfüllen, da den Nutzern im Zeitpunkt der Entscheidung der konkrete Kontext einzelner Websites, Zwecke und Datenverarbeitungen fehlt. Zugleich würde die Einwilligungsvermittlung auf wenige Browser- und OS-Anbieter verlagert, was technische und wettbewerbliche Risiken mit sich bringt. Hinzu kämen erhebliche Umsetzungsaufwände für Webseitenbetreiber sowie potenziell massive Einbußen für werbefinanzierte digitale Geschäftsmodelle.

Insofern ist die im Rat überwiegend ablehnende Haltung gegenüber der Überführung der ePrivacy-Regeln in die DSGVO zunächst Ausdruck der berechtigten Kritik am Kommissionsvorschlag, wonach eine bloße Verlagerung oder Technisierung des bisherigen Consent-Modells nicht ausreicht. Eine echte Strukturreform sieht jedoch auch der Kompromissvorschlag des Rates nicht vor: Notwendig wäre ein kohärenter Rechtsrahmen, in dem das Setzen von Cookies und die anschließende Datenverarbeitung als funktionale Einheit behandelt werden und die Rechtsgrundlage situativ und risikoadäquat bestimmt wird. Nur so ließen sich unnötige Einwilligungsabfragen reduzieren, „Consent Fatigue“ wirksam bekämpfen und zugleich innovationsfreundliche sowie rechtssichere Rahmenbedingungen schaffen.

Fazit

In der Gesamtschau zeigt sich, dass der „Digital Omnibus“ weit mehr ist als ein technisches Reformvorhaben. Er ist ein Härtetest dafür, ob die EU bereit ist, ihr Datenrecht an die tatsächlichen Bedingungen einer datengetriebenen Wirtschaft anzupassen. Während die Kommission zumindest punktuell den Versuch unternimmt, überfällige Klarstellungen und praxistaugliche Erleichterungen auf den Weg zu bringen, verharrt der aktuelle Ratsentwurf weitgehend in einer konservativen Bewahrungsperspektive. Damit droht eine weitere vertane Chance für den Innovationsstandort Europa. Gerade aus anwendungsorientierter Perspektive spricht vieles dafür, die modernisierende Stoßrichtung der Kommission entschlossener zu verfolgen. So lässt sich rechtssichere Innovationsförderung stärken, ohne das Schutzniveau der DSGVO substanziell in Frage zu stellen.

Kontakt

Pascal Schumacher
Pascal Schumacher+49 30 20942030
Marieke Merkle
Marieke Merkle+49 89 28628227
Steffen Sundermann
Steffen Sundermann+49 30 20942221

Künstliche Intelligenz & Robotik
Cybersecurity
Data Economy & Daten­schutz
Digital Content
Digital Markets & Services
Outsourcing & Cloud
Software & IT-Projekte

Share

Bestens
informiert

Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.

Jetzt anmelden
Alle anzeigen

Insights

Atomium Brussels
News

EU Digital Omnibus: Bei der KI auf der Zielgeraden - Irrweg beim Datenrecht?

18.06.2026
cargo ship with pulse
News

Unfaire Handelspraktiken in der Agrar- und Lebensmittellieferkette: Was Unternehmen beachten sollten

16.06.2026
Segelboot
News

Hurdle Shares Reloaded: Endlich steuerliche Rechtssicherheit durch Finanzverwaltung

12.06.2026
cheerful manager female entrepreneur
News

Europa auf dem Weg zu tech­no­lo­gi­scher Sou­verän­ität? Das Tech Sovereignty Package der EU

11.06.2026
urban commuters in the morning
News

Mehr EU-Steuerung, neue Auswahlkriterien, neue Pflichten: Der EU-Vorschlag zum 2 GHz MSS-Band und seine Folgen ab 2027

10.06.2026
Rechenzentrum mit Serverschränken IT & Outsourcing
News

Die neue KRITIS-Verordnung: Erweiterung, Präzisierung und europarechtliche Kohärenz

09.06.2026
lights tunnel
News

12. GWB-Novelle: Überblick über den Referentenentwurf des BMWE vom 04.06.2026

08.06.2026
tunnel light sun
News

ICC-Schiedsgerichtsordnung 2026: Einführung von stark beschleunigten Schiedsverfahren

08.06.2026
Group of business people talking pulsed
News

Keine rechtzeitige Umsetzung der EU-Entgelt­transparenz­richt­linie in deutsches Recht – was gilt nach dem 7. Juni 2026?

03.06.2026