Anpassungen der KI-Regulierung
Der KI-Teil des Digital-Omnibusses enthält gezielte Änderungen der europäischen KI‑Verordnung (AI Act). Zentrales Element ist die Verknüpfung der Anwendung der Hochrisiko-Pflichten mit der Verfügbarkeit der dafür notwendigen technischen Standards und Hilfsmittel. Die Pflichten sollen erst greifen, wenn die KOM bestätigt, dass entsprechende Leitlinien, Normen und Unterstützungsinstrumente vorliegen. Dadurch verschiebt sich die Anwendung bestimmter zentraler Regelungen nach den Plänen der KOM um bis zu 16 Monate. Die KOM begründet dies mit Verzögerungen im europäischen Normungsprozess und verweist auf Rückmeldungen aus der Industrie, die auf realistische Umsetzungsfristen gedrängt hatte.
Darüber hinaus sieht der KI-Omnibus technische Entlastungen insbesondere für KMU sowie die etwas größeren „Small Midcap“-Unternehmen vor. Dazu gehören vereinfachte Dokumentationspflichten und der erweiterte Zugang zu regulatorischen Test-Umgebungen, einschließlich EU-weiter KI-Reallabore und Erprobungsmöglichkeiten in Schlüsselindustrien wie der Automobilbranche. Die Befugnisse des KI-Büros der KOM sollen gestärkt und die Aufsicht über Modelle mit allgemeinem Verwendungszweck stärker zentralisiert werden, um eine fragmentierte Governance zu vermeiden. Außerdem will die KOM klarstellen, dass die Sicherheitsanforderungen der KI-Verordnung für Hochrisikosysteme als erfüllt gelten, wenn diese bereits die Vorgaben des europäischen Cyber-Resilience-Rechts für digitale Produkte einhalten.
Vereinfachungen im Daten- und Cybersicherheitsrecht
Neben den KI-Anpassungen umfasst der Digital-Omnibus ein breites Paket zur Vereinfachung des europäischen Datenrechts. Vier bestehende Rechtsakte – darunter die ePrivacy-Regeln, der Data Governance Act sowie Verordnungen zu freien Datenflüssen und Plattform-zu-Business-Verhältnissen – sollen in den Data Act integriert und in einem einzigen kohärenten Rechtsrahmen zusammengeführt werden. Ziel ist es, Rechtsklarheit zu schaffen, Doppelregulierungen zu vermeiden und Unternehmen die Anwendung der Vorschriften zu erleichtern.
Die KOM schlägt zudem gezielte Änderungen der Datenschutz-Grundverordnung (DSGVO) vor, die technische Begriffsbestimmungen präzisieren und die Umsetzung für Unternehmen erleichtern sollen. Dazu gehören die Anpassung der Definition personenbezogener Daten auf Grundlage jüngster Rechtsprechung sowie eine eng gefasste Ausnahme, die unter strengen Auflagen die Nutzung besonderer Kategorien personenbezogener Daten für die Entwicklung und den Betrieb bestimmter KI‑Systeme ermöglicht. Das Grundprinzip des hohen Datenschutzniveaus soll der KOM zufolge dabei unverändert bestehen bleiben.
Für Verbraucherinnen und Verbraucher werden modernisierte Cookie-Regeln die Zahl der Zustimmungsanfragen beim Browsen deutlich verringern. Künftig können Nutzerinnen und Nutzer den Plänen zufolge ihre Einwilligungen zentral im Browser oder Betriebssystem speichern und müssen nicht mehr bei jedem Besuch einer Website erneut zustimmen.
Auch die Cybersicherheitsregeln werden mit dem Omnibus gestrafft: Unternehmen müssen derzeit je nach Rechtsrahmen verschiedene Behörden informieren – etwa nach der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS‑2‑Richtlinie), der DSGVO oder der Verordnung über die digitale operationelle Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA). Künftig soll ein zentraler EU-weiter Meldepunkt („Single Entry Point“) geschaffen werden, um Doppelmeldungen zu vermeiden und Verfahren zu vereinfachen.
Ergänzend schlägt die KOM technische Verbesserungen beim Zugang zu Daten vor, darunter Mustervertragsbedingungen für Datennutzung, Standardvertragsklauseln für Cloud-Verträge sowie Ausnahmen von einzelnen Cloud-Switching-Regeln für KMU. Die parallel vorgestellte Strategie für die Datenunion vertieft diese Reformen, indem sie hochwertige Datensätze für KI erschließt, Data Labs aufbaut und die internationale Datensouveränität Europas stärkt.
Unternehmen begrüßen den Omnibus, Datenschützer warnen
Die ersten Rückmeldungen aus der Wirtschaft fallen überwiegend positiv aus. Branchenverbände sprechen von einem wichtigen Schritt hin zu einer praxistauglicheren Regulierung und begrüßen die Entlastungen, betonen jedoch zugleich, dass weitere Verbesserungen notwendig seien, um die digitale Wettbewerbsfähigkeit Europas langfristig zu sichern. Verbraucherschutz- und Datenschutzorganisationen äußern hingegen deutliche Kritik. Sie warnen vor einer Schwächung grundlegender Datenschutzprinzipien, sehen Risiken in der erweiterten Nutzung sensibler Daten für KI-Zwecke und befürchten Verzögerungen bei der Durchsetzung zentraler KI-Schutzstandards.
Nächste Schritte
Die Legislativvorschläge zum Digital-Omnibus werden nun im Europäischen Parlament und im Rat verhandelt. Parallel hat die KOM eine umfassende Konsultation für einen digitalen Fitness-Check gestartet, der bis zum 11. März 2026 läuft. Die Überprüfung soll klären, ob die digitale Gesetzgebung der EU ihre Ziele wirksam erreicht, ob die Vorschriften kohärent sind und welche kumulativen Wirkungen sie für Unternehmen entfalten. Die Ergebnisse sollen Grundlage für weitere Vereinfachungen und Anpassungen des digitalen Acquis bilden.
Weitere Informationen sind der Pressemitteilung der KOM zu entnehmen. (VS)