Mit ihrem „Digitalen Omnibus“ will die Kommission Regeln für risikoreiche KI-Systeme um mehr als ein Jahr hinauszögern und den Datenschutz deutlich einschränken. Industrieverbände begrüßen den Schritt, Verbraucherschützer:innen sind alarmiert. Wir beantworten die wichtigsten Fragen zum Gesetzespaket.

<figure class="wp-caption entry-thumbnail"><figcaption class="wp-caption-text">Offenbar auf einer Linie: Ursula von der Leyen, Emmanuel Macron und Friedrich Merz Ende Oktober in Brüssel. – Alle Rechte vorbehalten IMAGO / Anadolu Agency</figcaption></figure>

Offiziell will die EU-Kommission mit ihrem gestern vorgestellten Omnibus-Paket eine Reihe europäischer Digitalgesetze in Einklang bringen. Das soll nach eigener Aussage vor allem kleinen und mittelständischen Unternehmen sowie europäischen Start-ups helfen.

Durch Bürokratieabbau, Vereinfachung der EU-Rechtsvorschriften und einen besseren Datenzugang „schaffen wir Raum für Innovationen und deren Vermarktung in Europa“, sagt die zuständige Kommissionsvizepräsidentin Henna Virkkunen. „Dies tun wir auf europäische Art und Weise: indem wir sicherstellen, dass die Grundrechte der Nutzer:innen in vollem Umfang geschützt bleiben.“

Vor allem die deutsche und die französische Regierung haben sich jüngst für weitgehende Änderungen und Deregulierung eingesetzt. Aber auch die US-Regierung hat in den vergangenen Monaten den Druck auf die EU und ihre Mitgliedsländer erhöht, die europäischen Standards bei den Datenschutz- und Verbraucherschutzrechten zu senken.

Wir beantworten die zentralen Fragen zum „Digitalen Omnibus“: Welche kritischen Veränderungen strebt die Kommission bei der Regulierung von sogenannter Künstlicher Intelligenz an? Inwiefern will sie den Datenschutz aufweichen? Und verschaffen weniger Cookie-Banner den Nutzer:innen mehr Rechte?

• Was plant die EU-Kommission mit Blick auf die KI-Verordnung?


• Warum sollen KI-Systeme mit personenbezogenen Daten ohne Einwilligung trainiert werden dürfen?


• Inwiefern will die Kommission die Datenschutzgrundverordnung einschränken?


• Was schlägt die Kommission zu Cookies vor?


• Warum sollen Unternehmen aus Sicherheitsgründen auf unsere Geräte zugreifen dürfen?


• Wie sollen Betroffenenrechte eingeschränkt werden?


• Wie fallen die Reaktionen auf den Vorschlag aus?


• Was hat die Kommission auf den letzten Metern gestrichen?


• Wie geht’s jetzt weiter?

Was plant die EU-Kommission mit Blick auf die KI-Verordnung?

• Die Kommission will die Umsetzung eines Teils der KI-Verordnung um fast eineinhalb Jahre nach hinten schieben. Das betrifft vor allem die sogenannten Hochrisiko-Systeme. Konkret geht es um zwei Fristen.


• Erstens beim Einsatz bestimmter KI-Anwendungen, wie sie im Anhang III der KI-Verordnung definiert sind. Das betrifft Systeme, die etwa in Beschäftigungsverhältnissen, bei der Migrationskontrolle oder bei biometrischer Videoüberwachung zum Einsatz kommen.
  
  
  
  • Die ursprüngliche Frist für die Umsetzung dieser Regeln war der 2. August 2026. Nun sollen Unternehmen sechs Monate mehr Zeit erhalten, die hier genannten Anforderungen umzusetzen.
  
  
  • Zunächst aber muss die Kommission die hierfür erforderlichen Standards finalisieren. Das muss sie nun bis Juni 2027 tun, damit die Regeln, wie von der Kommission angekündigt, ab Dezember 2027 gelten können.
  
  
  
  


• Zweitens verschieben sich die Umsetzungsfristen für hochriskante KI-Systeme etwa im Medizin-, Justiz- oder Maschinenbereich. Deren Vorgaben finden sich in Anhang I der KI-Verordnung. Solche Anbieter sollen die Vorgaben sogar erst ab Dezember 2028 einhalten.


• In beiden Fällen will die Kommission die Regulierung offenkundig verzögern, damit europäische Anbieter im KI-Wettlauf aufholen können. Ebendies hatten Vertreter:innen der deutschen und der französischen Regierung auch auf dem „Gipfel zur Europäischen Digitalen Souveränität“ betont. Dabei geht die Kommission mit ihrem Vorschlag noch über die Forderungen der deutschen und französischen Regierung hinaus. Sie hatten eine Verzögerung von 12 Monaten gefordert. Als Begründung dafür gab Henna Virkkunen an, dass die Kommission die notwendigen Standards noch nicht ausgearbeitet habe.

Warum sollen KI-Systeme mit personenbezogenen Daten ohne Einwilligung trainiert werden dürfen?

• In den vergangenen Jahren gab es wiederholt einen Aufschrei, wenn Unternehmen wie Meta oder LinkedIn entschieden, die Daten ihrer Nutzer:innen für das Training von KI-Modellen zu nutzen, ohne die Einwilligung ihrer Nutzer:innen einzuholen. Die Kommission will klarstellen, dass dies rechtmäßig ist.


• Die Datenschutzgrundverordnung (DSGVO) sieht unterschiedliche Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten vor. Neben der Einwilligung, die Nutzer:innen den stärksten Schutz bieten soll, gibt es zum Beispiel auch das sogenannte berechtigte Interesse. Datenverarbeiter:innen müssen hierbei in einer Abwägung zu dem Schluss kommen, dass ihre Interessen die der Nutzer:innen überwiegen, müssen diesen aber eine Widerspruchsmöglichkeit anbieten.


• Genau das haben Meta, LinkedIn und Co. getan – und die Widerspruchsmöglichkeit dabei so umständlich gestaltet, dass sie möglichst wenige Leute nutzen können.


• Dagegen hatte die Verbraucherzentrale NRW mit einem Eilantrag beim Oberlandesgericht Köln geklagt und verloren. Zuvor hatte bereits der Europäische Datenschutzausschuss den Weg für KI-Training auf Basis des berechtigten Interesses geebnet.


• Die EU-Kommission will diese Lesart nun gesetzlich festschreiben. Zum Schutz der Nutzer:innen soll es Informations- und Widerspruchsmöglichkeiten geben.


• Das Problem: Einige Datenschutzexpert:innen kritisieren das „legitime Interesse“ als Rechtsgrundlage schon seit langem, unter anderem, weil die Risiken nicht absehbar seien. KI-Firmen könnten in der Regel nicht sagen, wessen Daten verarbeitet werden und ob dabei besonders geschützte sensible Daten eingeflossen seien, schrieb etwa Jura-Professorin Paulina Jo Pesch in einem Gastbeitrag auf netzpolitik.org.


• Die EU-Kommission begründet den Freifahrtschein für das Training und den Betrieb von KI-Modellen damit, dass Europa im KI-Wettrennen aufholen soll und europäischen Firmen mehr Innovationen ermöglicht werden müsse. Der KI-Markt wird jedoch von großen Tech-Firmen aus den USA dominiert, sodass vor allem diese von dem Schritt profitieren dürften. Auf Nachfrage bei einer Pressekonferenz am Mittwoch konnte die Kommission nicht erklären, wie die Maßnahme europäischen Unternehmen beim Aufholen helfen soll.

Auf Crash-Kurs mit digitalen Grundrechten

Inwiefern will die Kommission die Datenschutzgrundverordnung einschränken?

• Die Kommission will pseudonymisierte Daten überwiegend nicht mehr als personenbezogene Daten definieren und vom Schutz durch die DSGVO ausnehmen. Solche Ausnahmen soll es künftig etwa dann geben, wenn es unwahrscheinlich ist, dass der Datenverarbeiter eine betroffene Person über ihre Daten identifizieren kann.


• Pseudonymisierung meint in der Regel, dass Daten keine direkten Identifikationsmerkmale wie den Namen oder die Telefonnummer einer Person enthalten. Stattdessen werden Pseudonyme vergeben, etwa individuelle IDs.


• Das Problem: Anders als bei einer Anonymisierung ist es bei der Pseudonymisierung oft leicht möglich, die betroffene Person zu re-identifizieren. Wir haben das erst jüngst i