Digital Omnibus: EU-Kommission schlägt Verschiebung von KI-Vorschriften vor

Die Europäische Kommission hat zwei bedeutende Vorschläge veröffentlicht, die die Art und Weise, wie Unternehmen in der EU mit KI-Governance, Datenschutz, Cybersicherheitsvorfällen und Cookie-Einwilligungen umgehen, verändern könnten. Die unter den Bezeichnungen „Vorschlag für eine Digital-Omnibus-Verordnung” bzw. „Vorschlag für eine Digitale-Omnibus-Verordnung über KI” bekannten Initiativen sollen das digitale Regelwerk Europas vereinfachen und gleichzeitig den Schutz der Nutzer stärken sowie das Vertrauen in den Markt ausbauen.

Die neuen Vorschläge bringen wesentliche Veränderungen mit sich, die Sie nicht übersehen sollten. Erfahren Sie, was bereits geschehen ist, was bevorsteht und welche Auswirkungen das auf Ihr Unternehmen und Ihre Kunden hat.

Welche Änderungen der Digital-Omnibus-Vorschlag der EU-Kommission vorsieht

Die Europäische Kommission hat umfassende Gesetzesänderungen in fünf zentralen Bereichen vorgeschlagen:

• Anforderungen für Hochrisiko-KI-Systeme im Rahmen des AI Act
• Rechte von betroffenen Personen
• Datenschutz-Folgenabschätzungen (DPIAs)
• Meldung von Cybervorfällen
• Regeln zur Cookie-Einwilligung

Die EU schlägt offiziell vor, die Durchsetzung der Anforderungen für Hochrisiko-KI zu verschieben. Demnach sollen wichtige Fristen von 2026 auf 2027 verlegt werden.

Eine ausführliche Analyse des gesamten AI-Act-Omnibus finden Sie bei DataGuidance.

Bei dieser Änderung geht es nicht darum, den AI Act abzuschwächen. Vielmehr strukturiert die Kommission die Einführung neu, um sie an die tatsächliche Bereitschaft des Ökosystems – einschließlich Standards, Behörden, Leitlinien und Tools – anzupassen und so sicherzustellen, dass Unternehmen die Vorgaben realistisch umsetzen können.

Warum die EU den Zeitplan für den AI Act verlängern will 

Bei der Verabschiedung des AI Act war vorgesehen, die Pflichten für Hochrisiko-Systeme schrittweise bis zum 2. August 2026 einzuführen und bis zum 2. August 2027 vollständig in Kraft zu setzen. Doch die dafür notwendige Infrastruktur fehlt bislang.

Diese Punkte zeigen, warum die Umsetzung stockt:

• Es gibt keine harmonisierten technischen Standards, auf die sich Unternehmen stützen können.
• Gemeinsame Spezifikationen und Compliance-Tools fehlen vollständig.
• Viele EU-Mitgliedstaaten verfügen noch nicht über funktionsfähige Aufsichtsbehörden.
• Unternehmen berichten, dass es aktuell keinen praktikablen Weg gibt, um die Verpflichtungen bis 2026 einzuhalten.
• Frühe Unterzeichner des AI Pact bestätigen, dass die bisherigen Leitlinien und Bewertungsverfahren nicht ausreichen.

Da es in der EU an den Grundlagen für KI-Compliance fehlt, ist eine fristgerechte Umsetzung bis 2026 kaum realistisch. Der Digital Omnibus schlägt daher längere Übergangsfristen sowie eine bedingte Umsetzung vor, die von der Verfügbarkeit von Standards und offiziellen Leitlinien abhängt.

Wird der AI Act durch Verzögerungen ausgebremst? 

Anstelle einer umfassenden Verschiebung führt die Kommission klar definierte und rechtlich verankerte Übergangsfristen ein. Dadurch wird der Großteil der Durchsetzung für Hochrisiko-Systeme in das Jahr 2027 verlagert, ohne dass die zentralen Schutzmechanismen des AI Act aufgegeben werden.

1. Durchsetzung auf Basis von Standards und Leitlinien

Die Pflichten für Hochrisiko-Systeme greifen erst, wenn zentrale Compliance-Tools wie harmonisierte Standards und Leitlinien der Kommission verfügbar sind. Dadurch wird verhindert, dass Unternehmen auf Basis von Vermutungen handeln müssen.

2. Zusätzliche Zeit für komplexe Hochrisiko-Kategorien

Da die erforderlichen Standards für die in Artikel 6 Absatz 1 und Anhang I aufgeführten Hochrisiko-Systeme noch nicht finalisiert sind, gelten für diese Systeme längere Übergangsfristen.

3. Sechsmonatige Fristverlängerung für Wasserzeichen bei generativer KI

Die Pflicht zur maschinenlesbaren Kennzeichnung von KI-generierten Inhalten gemäß Artikel 50 Absatz 2 wird für bereits auf dem Markt befindliche Systeme auf Februar 2027 verschoben.

4. Mehr Spielraum für kleinere Unternehmen

Die Anforderungen an Dokumentation, Qualitätsmanagement, Marktüberwachung und menschliche Aufsicht werden angemessen angepasst, sodass kleinere Unternehmen mehr Zeit für die Umsetzung der Vorgaben haben.

Die Einteilung der Unternehmensgrößen sieht wie folgt aus:

• Klein: weniger als 50 Mitarbeitende und bis zu 10 Mio. € Umsatz 
• Mittel: weniger als 250 Mitarbeitende und bis zu 50 Mio. € Umsatz 
• Kleine Mid-Caps: weniger als 750 Mitarbeitende und bis zu 150 Mio. € Umsatz

Die EU schlägt außerdem vor, die Pflicht für Anbieter und Betreiber, ihre Mitarbeitenden in KI-Kompetenz zu schulen, zu streichen. Künftig sollen diese Verantwortung die Kommission und die Mitgliedstaaten übernehmen. Zudem soll eine Änderung der DSGVO unter bestimmten Bedingungen das berechtigte Interesse als Rechtsgrundlage für das Training von KI-Modellen erlauben. Zusammengenommen würden diese Anpassungen de facto zu einer einjährigen Verzögerung bei der Umsetzung der Vorgaben für Hochrisiko-Systeme führen.

Auswirkungen auf andere Bereiche

Meldung von Vorfällen

Die verschiedenen Vorgaben aus NIS2, DORA, eIDAS, CRA und der DSGVO machen das Melden von Vorfällen erheblich komplexer. Der Digital Omnibus schlägt eine deutliche Vereinfachung vor:

• ein zentraler Meldepunkt für Vorfälle über alle wichtigen digitalen Gesetze hinweg
• Meldungen gemäß DSGVO nur bei wahrscheinlich hohem Risiko
• Verlängerung der Meldefrist von 72 auf 96 Stunden
• eine einheitliche, EU-weite Standardvorlage für Meldungen

Künftig sollen auch Meldungen gemäß DSGVO über denselben zentralen Meldepunkt erfolgen.

Regeln zur Cookie-Einwilligung

Um der Ermüdung durch Cookie-Banner entgegenzuwirken, sollen die Cookie-Regeln von der ePrivacy-Richtlinie in die DSGVO überführt werden.

Wichtige Neuerungen umfassen:

• eine Positivliste von Szenarien, in denen keine Einwilligung erforderlich ist
• eine Ein-Klick-Option zum Ablehnen von Cookies
• keine wiederholten Einwilligungsabfragen für mindestens sechs Monate nach einer Ablehnung
• einen Rahmen für browserbasierte, maschinenlesbare Datenschutzsignale, die von Websites zu beachten sind, sobald entsprechende Standards vorliegen

Diese Änderungen werden maßgeblich beeinflussen, wie Anbieter Analysen durchführen, das Engagement messen und ihre Einwilligungsprozesse gestalten.

Rechte von betroffenen Personen

Verantwortliche dürfen künftig Anfragen ablehnen oder dafür Gebühren erheben, wenn diese:

• offensichtlich unbegründet sind
• übermäßig häufig gestellt werden
• sich wiederholen
• missbräuchlich erfolgen
• für andere Zwecke als den Datenschutz genutzt werden (z. B. in böswilliger Absicht gestellte Auskunftsanfragen)

Dadurch sollen die Verwaltungslast verringert und Missbrauch bei der Ausübung von Auskunftsrechten eingedämmt werden.

Datenschutz-Folgenabschätzungen (DPIAs)

Der Omnibus-Vorschlag sieht vor, die 27 unterschiedlichen nationalen DPIA-Listen durch eine einheitliche, EU-weite Liste zu ersetzen.  Dadurch werden die Kriterien vereinheitlicht und die Komplexität bei grenzüberschreitenden Datentransfers verringert.

Wie die Kommission zu diesem Vorschlag kam

Nach der Auswertung aller Bedenken kristallisierten sich drei zentrale Themen heraus:

1. Unsicherheit wurde zur Eintrittsbarriere

Ohne klare Standards oder nationale Behörden war eine realistische Planung für Unternehmen nicht möglich.

2. Unternehmen bevorzugten gezielte Verzögerungen gegenüber einer erneuten Öffnung des Gesetzes

Eine erneute Öffnung des AI Act hätte die rechtliche Stabilität gefährdet. Eine begrenzte Verlängerung galt als die sicherere Lösung.

3. Fragmentierung entwickelte sich zu einem ernsthaften Problem

Die unterschiedlichen Reifegrade der EU-Mitgliedstaaten drohten zu einer uneinheitlichen Umsetzung des AI Act zu führen, wodurch das Ziel eines einheitlichen Binnenmarkts gefährdet gewesen wäre.

Der Weg nach vorn

Die Vorschläge müssen vom Europäischen Rat, dem Parlament und der Kommission genehmigt werden. Das bedeutet, dass die endgültigen Änderungen deutlich vom derzeit angestrebten Ergebnis abweichen könnten. Mit der vorgeschlagenen Änderung soll ein flexiblerer Ansatz bei der Durchsetzung verfolgt werden:

• Vorgaben für Hochrisiko-Systeme werden 2026 nicht durchgesetzt
• Ein Großteil der Anforderungen greift erst 2027 und richtet sich nach bestimmten Reifekriterien
• Die Durchsetzung könnte an bestimmte Voraussetzungen geknüpft sein, zum Beispiel:
  • 6 Monate nachdem die relevanten Standards in Anhang III genehmigt wurden
  • 12 Monate nachdem die Standards in Anhang I genehmigt wurden
• Werden die Meilensteine nicht erreicht, gelten feste Fristen:
  • 2. Dezember 2027 für Systeme gemäß Anhang III
  • 2. August 2028 für Systeme gemäß Anhang I

Die EU schlägt außerdem vor, die Verpflichtung für Anbieter und Betreiber zu streichen, ihre Mitarbeitenden in KI-Kompetenz zu schulen. Stattdessen soll diese Verantwortung bei der Kommission und den Mitgliedstaaten liegen.

Eine geplante Änderung der DSGVO würde es erlauben, KI-Modelle unter bestimmten Voraussetzungen auf Grundlage des berechtigten Interesses zu trainieren.

Aufgrund von Forderungen aus der EU und darüber hinaus ist sich die Kommission der durch die derzeitige Gesetzgebung verursachten Unsicherheit und mangelnden Bereitschaft bewusst. Vorschriften können erst dann wirksam durchgesetzt werden, wenn das Ökosystem deren Einhaltung realistisch unterstützt. Der Vorschlag bedeutet keine Abschwächung, sondern eine strukturelle Neuausrichtung. 

Erfahren Sie mehr über die Chancen und Herausforderungen des Digital Omnibus. Registrieren Sie sich jetzt für unser Webinar!