RAin Julia Kaufmann, LL.M. (Univ. of Texas)*

Digital Omnibus on AI – Was steckt dahinter?

Kurz und Knapp
Die Europäische Kommission hat am 19. 11. 2025 das „Digital Omnibus Package“ zur Vereinfachung der digitalen Regulierung von KI, Datenschutz, Datenrecht, Cookies und Meldeverfahren bei Sicherheitsvorfällen veröffentlicht. Diese Gesetzesvorschläge sollen insbesondere die KI-VO ändern und datenschutzrechtliche Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten, insbesondere sensiblen Daten, zum Zwecke der Entwicklung und des Betriebs von KI-Systemen und KI-Modellen schaffen bzw. solche klarstellen.

Die Europäische Kommission hat das Ziel, den EU-Regulierungsrahmen an eine volatilere und wettbewerbsintensivere Welt anzupassen. Unter dem Motto „Vereinfachung, Klarstellung und Verbesserung des digitalen Regelwerks der EU“ hat die Europäische Kommission am 19. 11. 2025 zwei Gesetzesvorschläge veröffentlicht, um den ersten Schritt in Richtung dieses Ziels zu verfolgen. Diese Gesetzesvorschläge werden derzeit kurz als „Digital Omnibus Package“ bezeichnet.

Der erste Gesetzesvorschlag1 mit dem Namen „Digital Omnibus on AI“ soll die EU-Verordnung zur künstlichen Intelligenz (KI-VO) vereinfachen. Der zweite Gesetzesvorschlag2 mit dem unspezifischen Namen „Digital Omnibus“ soll das EU-Datenrecht (bestehend aus dem EU Data Act, EU Data Governance Act, der EU Open Data Richtlinie und der Verordnung über den freien Verkehr nicht-personenbezogener Daten), die DSGVO, die E-Privacy-Richtlinie sowie bestimmte EU-Cybersicherheitsgesetze (NIS2-RL, DORA, CER und EUID) vereinfachen3 und enthält dabei auch Änderungsvorschläge, die für die Entwicklung und Nutzung von KI relevant werden würden.

Der Beitrag identifiziert die wesentlichen Änderungen, die sich hieraus für Unternehmen im Zusammenhang mit KI ergeben, und erläutert, welche Vereinfachung und Erleichterung sie in der Praxis wirklich bringen.

I. Die wesentlichen Änderungsvorschläge zur KI-VO

Der Digital Omnibus on AI soll die Umsetzung der KI-VO durch verschiedene Maßnahmen vereinfachen. Die grundsätzliche Regelungs- und Umsetzungskomplexität der KI-VO bleibt jedoch unverändert. Insbesondere sieht der Digital OmnibusonAI nicht vor, dass die in der Praxis als kosten- und zeitaufwendig, und somit innovationshinderlich angesehenen Anforderungen für Hochrisiko-KI-Systeme vereinfacht werden. Stattdessen sollen schwerpunktmäßig Fristen für das Inkrafttreten der Hochrisiko-KI-Pflichten sowie Bestimmungen für Bestands-KI-Systeme angepasst werden und mittelgroße Unternehmen (SMCs) ähnlich zu kleinen und mittleren Unternehmen (SMEs) von Ausnahmen profitieren. Mit einer signifikanten Vereinfachung bei der Umsetzung der Pflichten aus der KI-VO dürfen Unternehmen deshalb nicht rechnen.

1. Mehr Zeit für die Umsetzung der Pflichten für Hochrisiko-KI-Systeme

Die Europäische Kommission schlägt vor, dass der Anwendungszeitpunkt der KI-VO für die Pflichten für Hochrisiko-KI-Systeme verschoben wird. Derzeit bestimmt Art. 113 KI-VO, dass die Pflichten für Hochrisiko-KI-Systeme ab dem 2. 8. 2026 Anwendung finden; bei einem Hochrisiko-KI-System, dass zusätzlicher Produktregulierung unterliegt, wie Medizinprodukte, In-vitro-Diagnostika, Fahrzeuge oder Maschinen (siehe Liste in Anhang I der KI-VO), finden diese gemäß Art. 113 lit. c KI-VO ab dem 2. 8. 2027 Anwendung.

a) Zeitliche Anwendbarkeit für Hochrisiko-KI-Systeme ohne zusätzliche Produktregulierung

Der Digital Omnibus on AI sieht nun vor, dass die Pflichten für Hochrisiko-KI-Systeme in Kapitel III Abschnitt 1 bis 3 (also Art. 6 bis 27 der KI-VO) erst dann auf Hochrisiko-KI-Systeme, die keiner zusätzlichen Produktregulierung nach Maßgabe des Anhang I unterliegen, Anwendung finden, wenn (i) angemessene Maßnahmen verfügbar sind, um die Unternehmen bei der Einhaltung der Pflichten in Kapitel III der KI-VO zu unterstützen, (ii) die Europäische Kommission die Verfügbarkeit dieser angemessenen Maßnahmen durch eine Entscheidung bestätigt hat und (iii) ein weiterer Übergangszeitraum von 6 Monaten nach dieser Bestätigung der Europäischen Kommission abgelaufen ist.

Diese angemessenen Maßnahmen können insbesondere harmonisierte Normen nach Art. 40 KI-VO, gemeinsame Spezifikationen nach Art. 41 KI-VO oder Leitlinien der Europäischen Kommission sein,4 bei deren Einhaltung kraft Gesetzes vermutet wird, dass die Anforderungen der Art. 9 bis 15 KI-VO für Hochrisiko-KI-Systeme eingehalten wurden, soweit diese Anforderungen auch von den harmonisierten Normen abgedeckt sind. Mit diesem Vorschlag zur Änderung der zeitlichen Anwendbarkeit der Pflichten für Hochrisiko-KI-Systeme will die Europäische Kommission den großen praktischen Herausforderungen der Unternehmen bezüglich einer adäquaten und kosten-effizienten Umsetzung der Anforderungen für Hochrisiko-KI-Systeme entgegentreten. Zwar hat die Europäische Kommission nach Maßgabe des Art. 40 Abs. 2 KI-VO das Europäische Komitee für Normung (CEN) und das Europäische Komitee für elektrotechnische Normung (CENELEC) mit einem Durchführungsrechtsakt vom 23. 6. 20255 beauftragt, harmonisierte Normen für die grundlegenden Anforderungen gemäß Art. 9 bis 15 sowie Art. 17 KI-VO bis zum 31. 8. 2025 auszuarbeiten. Diese harmonisierten Normen fehlen aber weiterhin. Unternehmen entwickeln deshalb entweder selbständig mit erheblichem zeit-, personal- und kostenintensivem Aufwand fallbezogene Spezifikationen und Methoden, um die Anforderungen der Art. 9 bis 15 KI-VO umzusetzen, oder sie schieben die Umsetzung der gesetzlichen Anforderungen in Erwartung der harmonisierten Normen und die Inbetriebnahme von Hochrisiko-KI-Systemen hinaus. Ersteres ist gerade kleinen und mittleren Unternehmen aus finanziellen und personellen Gründen nur schwer möglich.

Die harmonisierten Normen, die von CEN-CENELEC erarbeitet werden sollen, sollen detaillierte technische Spezifikationen sowie Methoden zur Risikobewertung und Risikoverringerung enthalten und den Stand der Technik berücksichtigen. Zwar sollen diese harmonisierten Normen grundsätzlich auf internationalen ISO- oder IEC-Normen beruhen, jedoch muss sichergestellt werden, dass diese Normen mit dem Zweck und dem Ansatz der KI-VO vereinbar sind, insbesondere muss die Kohärenz mit den Begriffsbestimmungen, Zielen, Anforderungen und Verpflichtungen der KI-VO sowie die Vereinbarkeit mit den Werten und Grundsätzen der EU sichergestellt werden. Diese Komplexität bezüglich der Vereinbarkeit ist ein wesentlicher Grund für das bisherige Fehlen der harmonisierten Normen.6 Nach Informationen von CEN-CENELEC ist mit den harmonisierten Normen im 4. Quartal von 2026 zu rechnen.7 Sollte es vorher keine gemeinsamen Spezifikationen durch die Europäische Kommission nach Art. 41 KI-VO geben oder sonstige Leitlinien, die als angemessene Hilfestellungen qualifiziert werden, hätte dies zur Folge, dass die Pflichten für Hochrisiko-KI-Systeme, die keiner zusätzlichen Produktregulierung nach Maßgabe des Annex I unterliegen, frühestens Mitte 2027, also 6 Monate nach einer Entscheidung der Europäischen Kommission zu den harmonisierten Normen, zur Anwendung kommen, mithin etwa ein Jahr später als bislang in der KI-VO vorgesehen.

Unklar ist aber auch, ob harmonisierte Normen zu den Anforderungen von Art. 9 bis 15 und 17 KI-VO ausreichen würden, denn der Auftrag an CEN-CENELEC für die Erarbeitung von harmonisierten Normen ist auf diese Anforderungen beschränkt, wohingegen die vorgeschlagenen Änderungen zu Art. 113 KI-VO auch eine Auslegung zulassen, dass für alle Anforderungen in Kapitel III Abschnitt 1 bis 3 (also Art. 6 bis 27 der KI-VO) angemessene Maßnahmen vorliegen müssen. Auch unklar ist, ob es bereits Überlegungen und Vorbereitungen gibt, um angemessene Maßnahmen für die übrigen Anforderungen in Kapitel III Abschnitt 1 bis 3 bezüglich der zeitlichen Anwendbarkeit der Pflichten für Hochrisiko-KI-Systeme zu entwickeln.

b) Zeitliche Anwendbarkeit für Hochrisiko-KI-Systeme mit zusätzlicher Produktregulierung

Für Hochrisiko-KI-Systeme, die einer zusätzlichen Produktregulierung nach Maßgabe des Anhang I unterliegen, wie Medizinprodukte, In-vitro-Diagnostika, Fahrzeuge, oder Maschinen, soll der Übergangszeitraum sogar 12 Monate nach der Bestätigung der Europäischen Kommission über das Vorliegen solcher angemessenen Maßnahmen betragen. Für diese Hochrisiko-KI-Systeme könnte sich somit der Anwendungszeitpunkt für die entsprechenden Pflichten um weitere 6 Monate auf Ende 2027 verschieben.

c) Spätester Zeitpunkt der Anwendbarkeit der Anforderungen für Hochrisiko-KI-Systeme

Sollte die Europäische Kommission nicht bestätigen, dass angemessene Maßnahmen vorliegen, sollen die Pflichten für Hochrisiko-KI-Systeme in Kapitel III, Abschnitt 1 bis 3 der KI-VO jedoch spätestens am 2. 12. 2027 für Hochrisiko-KI-Systeme, die keiner zusätzlichen Produktregulierung unterliegen, gelten, und spätestens am 2. 8. 2028 für Hochrisiko-KI-Systeme, die einer zusätzlichen Produktregulierung nach Maßgabe des Anhang I unterliegen.

2. Bestands-KI-Systeme

Art. 111 Abs. 2 KI-VO regelt die Anwendbarkeit der KI-VO für Bestands-KI-Systeme, die bereits vor den Anwendungsstichtagen nach Art. 113 KI-VO in Verkehr gebracht oder in Betrieb genommen wurden. Der Digital Omnibus on AI soll Art. 111 Abs. 2 KI-VO im Hinblick auf die vorgeschlagenen Änderungen zu Art. 113 KI-VO anpassen, sodass die zeitlichen Fristen des Art. 111 Abs. 2 KI-VO den dynamischen Fristen in 113 KI-VO entsprechen. Die grundsätzliche Regelung in Art. 111 Abs. 2 KI-VO, dass Hochrisiko-KI-Systeme, die vor dem Anwendungsstichtag nach Art. 113 KI-VO in Verkehr gebracht oder in Betrieb genommen wurden, nicht den Pflichten der KI-VO unterliegen, es sei denn, es hat sich danach in ihrer Konzeption erheblich verändert, bleibt unverändert. Erwägungsgrund 21 zum Digital Omnibus on AI stellt allerdings darüber hinaus klar, dass der Betrachtungsgegenstand für das bereits in Verkehr gebrachte oder in Betrieb genommene KI-System nicht das Einzelprodukt bzw. die einzelne Einheit ist, sondern dass auf den generellen Typ und das generelle Modell eines KI-Systems abzustellen ist. Wenn also eine Einheit eines Hochrisiko-KI-Systems bereits in Verkehr gebracht wurde, bevor die Pflichten der KI-VO nach Art. 113 KI-VO zur Anwendung kommen, dann soll die Regelung in Art. 111 Abs. 2 KI-VO nicht nur für diese Einheit, sondern auch für alle nachfolgenden Einheiten gelten, solange sie den gleichen Typ und das gleiche Modell des KI-Systems darstellen.

3. Übergangsfristen für Transparenzanforderungen bei Bestands-KI-Systemen

Des Weiteren soll klargestellt werden, dass die Transparenzpflichten nach Art. 50 Abs. 2 KI-VO für Anbieter von generativen KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen und die vor dem 2. 8. 2026 bereits in Verkehr gebracht wurden, ab dem 2. 2. 2027 gelten sollen. Bislang hatte die KI-VO keine ausdrückliche Übergangsfrist bei Bestands-KI-Systemen bezüglich dieser Transparenzpflichten vorgesehen. Vor dem Hintergrund dieses Klarstellungsvorschlages sollten Unternehmen bereits jetzt beurteilen, ob eine etwaige Argumentation bezüglich der Nicht-Geltung von Transparenzpflichten bei Bestands-KI-Systemen noch gerechtfertigt ist.

4. Abschaffung der Pflicht zur KI-Kompetenz?

Nach dem Digital Omnibus on AI soll es zukünftig keine ausdrückliche gesetzliche Pflicht für Anbieter und Betreiber von KI-Systemen in Art. 4 KI-VO geben, ein ausreichendes Maß an KI-Kompetenz bei ihren Mitarbeitern und Dienstleistern sicherzustellen. Stattdessen sollen die Europäische Kommission und die Mitgliedsstaaten Anbieter und Betreiber hierzu ermutigen. Ob diese Änderung in der Praxis aber eine wesentliche Erleichterung mit sich bringen wird, ist zweifelhaft. Schon aus generellen Compliance-Gesichtspunkten sollten Unternehmen weiterhin für KI-Kompetenz sorgen. Zudem berücksichtigen Behörden im Rahmen von Compliance-Untersuchungen und Bußgeldverfahren bestehende Konzepte und in der Vergangenheit ergriffene Maßnahmen zur Kompetenzvermittlung zugunsten von Unternehmen.

5. Vereinfachung bei Hochrisiko-KI-Systemen?

Die komplexen Anforderungen für Hochrisiko-KI-Systeme, insbesondere Art. 9 bis 15 KI-VO, sollen durch den Digital Omnibus on AI nicht vereinfacht werden. Die einzige Vereinfachung in Kapitel III der KI-VO betrifft solche KI-Systeme, die nach Art. 6 Abs. 3 KI-VO gerade nicht als Hochrisiko-KI-Systeme zu qualifizieren sind, obwohl sie in die Kategorien von KI-Systemen nach Art. 6 Abs. 2 und Anhang III der KI-VO fallen. Bislang sieht die KI-VO vor, dass diese KI-Systeme, die wegen der Rückausnahme in Art. 6 Abs. 3 KI-VO nicht als Hochrisiko-KI-Systeme zu qualifizieren sind, vom Anbieter in einer EU-Datenbank registriert werden müssen. Diese Registrierungspflicht soll nun abgeschafft werden. Die Pflicht zur Dokumentation der Bewertung anhand von Art. 6 Abs. 3 KI-VO soll jedoch bestehen bleiben.

Für Hochrisiko-KI-Systeme, die auf einem GPAI-Modell beruhen, bei denen das GPAI-Modell und das KI-System vom selben Anbieter entwickelt wurden und das als biometrisches Identifizierungs- oder Kategorisierungssystem nach Anhang III der KI-VO zu qualifizieren ist, soll zukünftig in Art. 75 KI-VO geregelt werden, dass die Europäische Kommission Konformitätsbewertungen durchführt, bevor dieses Hochrisiko-KI-System in Verkehr gebracht oder in Betrieb genommen wird. Dasselbe soll für Hochrisiko-KI-Systeme gelten, die als „Very Large Online Platform“ oder „Very Large Online Search Engine“ im Sinne des Digital Service Act qualifiziert wurden8 oder in solche VLOPs oder VLOSEs integriert wurden. Die Europäische Kommission kann hierfür eine benannte Stelle beauftragen, die dann im Auftrag der Kommission handelt.

6. Vereinfachung für mittelgroße Unternehmen (SMCs)

Mittelgroße Unternehmen (small and mid-cap companies, SMCs) sollen durch den Digital Omnibus on AI ähnliche Erleichterungen unter der KI-VO genießen wie bereits die klassischen SMEs (small and medium-sized enterprises). SMCs sind definiert als Unternehmen mit einem Jahresumsatz unter 150 Mio. EUR und mit weniger als 750 Beschäftigten. SMCs, wie auch SMEs, genießen insbesondere vereinfachte Dokumentationspflichten bei Hochrisiko-KI-Systemen, können die Implementierungsmaßnahmen für das Qualitätsmanagement-System nach Art. 17 KI-VO entsprechend der Unternehmensgröße gestalten und sollen vor hohen Geldbußen geschützt werden.

7. Klarstellung beim Konformitätsbewertungsverfahren

Für Hochrisiko-KI-Systeme, die einer zusätzlichen Produktregulierung nach Maßgabe des Anhang I Abschnitt A unterliegen (insbesondere bei Medizinprodukten, In-vitro-Diagnostika oder Maschinen), soll der Digital Omnibus on AI in Art. 43 KI-VO klarstellen, dass das Konformitätsbewertungsfahren von der benannten Stelle nach der bestehenden sektorspezifischen Produktregulierung durchgeführt werden soll. Demzufolge soll die benannte Stelle, die für die Konformitätsbewertung nach der sektorspezifischen Produktregulierung zuständig ist, auch die Konformitätsbewertung nach der KI-VO durchführen (und hierzu nach der KI-VO benannt werden, soweit die Voraussetzungen auch erfüllt sind).

8. Erweiterungen bei den Tests unter Realbedingungen

Tests unter Realbedingungen außerhalb von KI-Reallaboren (Art. 60 KI-VO) sollen zukünftig nicht nur für Hochrisiko-KI-Systeme möglich sein, die unter Anhang III der KI-VO fallen, sondern auch für Hochrisiko-KI-Systeme, die einer zusätzlichen Produktregulierung nach Anhang I Abschnitt A unterfallen. Für Hochrisiko-KI-Systeme, die einer zusätzlichen Produktregulierung nach Anhang I Abschnitt B unterfallen (beispielsweise Fahrzeuge), sollen zukünftig Tests unter Realbedingungen durchgeführt werden können, wenn die Europäische Kommission und interessierte Mitgliedsstaaten eine entsprechende Vereinbarung geschlossen haben, die die Voraussetzungen für diese Tests unter Realbedingungen festlegt.

II. Die wesentlichen Änderungen für den Datenschutz im Zusammenhang mit KI

Sowohl der Digital Omnibus on AI als auch der Digital Omnibus enthalten Vorschläge betreffend die Verarbeitung von personenbezogenen Daten im Zusammenhang mit KI.9

1. Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit KI

Das Digital Omnibus Package schlägt insbesondere Klarstellungen bei den Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten im Hinblick auf KI vor.

a) Verarbeitung von sensiblen Daten zur Erkennung von Verzerrungen in KI

Der Digital Omnibus on AI schlägt vor, dass die bereits bestehende Regelung in Art. 10 Abs. 5 KI-VO nicht nur bei Hochrisiko-KI-Systemen, sondern zukünftig auch bei sonstigen KI-Systemen und KI-Modellen Anwendung finden soll und dafür in einen neuen Art. 4a (neu) KI-VO überführt wird. Demnach sollen in Zukunft sensible Daten im Sinne des Art. 9 DSGVO zur Erkennung und Korrektur von Verzerrungen (Bias) in allen KI-Systemen und KI-Modellen auf Grundlage des Art. 9 Abs. 2 lit. g DSGVO verarbeitet werden dürfen, vorausgesetzt, die derzeit bereits in Art. 10 Abs. 5 KI-VO enthaltenen Bedingungen werden erfüllt. Diese Bedingungen umfassen insbesondere, dass die Erkennung und Korrektur der Verzerrung durch synthetische oder anonymisierte Daten nicht effektiv durchgeführt werden kann, technische Beschränkungen, Datenschutzmaßnahmen, wie Pseudonymisierung, und weitere Sicherheitsvorkehrungen verwendet werden, keine Übermittlung der Daten an Dritte erfolgt und die zwingende Erforderlichkeit der Datenverarbeitung aufgezeichnet wird. Diese Änderung ist eine sinnvolle Erweiterung, um die Betroffenen bei allen Arten von KI-Systemen und Modellen vor Verzerrungen schützen zu können.

b) Verarbeitung von sensiblen Daten zum Zwecke der Entwicklung und des Betriebes von KI

Der Digital Omnibus schlägt eine weitere Rechtsgrundlage für die Verarbeitung von sensiblen Daten im Zusammenhang mit KI vor: In Art. 9 Abs. 2 lit. k (neu) DSGVO soll eine ausdrückliche Rechtsgrundlage für die Verarbeitung von sensiblen Daten zum Zwecke der Entwicklung und des Betriebs von KI-Systemen und KI-Modellen aufgenommen werden. Die Anwendbarkeit dieser Rechtsgrundlage steht unter weiteren Bedingungen (Art. 9 Abs. 5 (neu) DSGVO), insbesondere dem Ergreifen von angemessenen technischen und organisatorischen Maßnahmen, um die Erhebung und weitere Verarbeitung sensibler Daten zu vermeiden. Wenn der Verantwortliche trotz solcher Schutzmaßnahmen sensible Daten im Trainings- oder Testdatensatz oder sogar im KI-System oder KI-Modell identifiziert, sind diese sensiblen Daten zu entfernen. Erfordert eine solche Entfernung einen unverhältnismäßigen Aufwand, hat der Verantwortliche andere Maßnahmen zu ergreifen, um diese Daten davor zu schützen, zur Erzeugung von Ausgaben verwendet, offengelegt oder Dritten anderweitig zur Verfügung gestellt zu werden.

Die Europäische Kommission erläutert im Digital Omnibus, dass sensible Daten in Trainings-, Test- oder Validierungsdatensätzen noch vorhanden seien oder im KI-System oder KI-Modell gespeichert bleiben können, obwohl die sensiblen Daten für den Zweck der Verarbeitung nicht erforderlich sind und deshalb eine Klarstellung bezüglich einer Rechtsgrundlage nach Art. 9 DSGVO geboten ist. Diese Ergänzung von Art. 9 DSGVO soll verhindern, dass die Entwicklung und der Betrieb von KI in diesem Kontext unverhältnismäßig behindert werden, und würde erheblich zur Rechtssicherheit betragen, weil die rechtlichen Ansichten von Gerichten und Behörden bezüglich der Zulässigkeit der Verarbeitung von sensiblen Daten für Zwecke des KI-Trainings derzeit divergent sind.

c) Verarbeitung von personenbezogenen Daten zum Zwecke der Entwicklung und des Betriebes von KI

Eine weitere Klarstellung bezüglich Rechtsgrundlagen im Zusammenhang mit KI soll in Art. 88c (neu) DSGVO erfolgen, um den Rechtsgedanken in Art. 9 Abs. 2 lit. k (neu) DSGVO über sensible Daten hinaus auch für nicht-sensible personenbezogene Daten klarzustellen. Hierbei wird auch die Stellungnahme des Europäischen Datenschutzausschusses zur Verarbeitung von personenbezogenen Daten im Zusammenhang mit KI-Modellen berücksichtigt.10 Es soll ausdrücklich geregelt werden, dass die Entwicklung und der Betrieb eines KI-Systems oder KI-Modells i. S. d. KI-VO ein überwiegendes berechtigtes Interesse i. S. d. Art. 6 Abs. 1 S. 1 lit. f DSGVO für die Verarbeitung von personenbezogenen Daten, soweit erforderlich, darstellen kann. Dies setzt aber nach Maßgabe des Art. 6 Abs. 1S. 1 lit. f DSGVO naturgemäß voraus, dass die Interessen der Betroffenen nicht überwiegen. Zudem dürfen EU oder nationales Recht keine vorrangige Einwilligung verlangen und angemessene Schutzmaßnahmen, wie Datenminimierungsmaßnahmen bei der Auswahl der Datenquellen, beim Training und beim Testing, Maßnahmen zum Schutz vor Offenlegung von Daten, die im KI-System oder KI-Modell noch verblieben sind, Maßnahmen zur gesteigerten Transparenz und Gewährung eines uneingeschränkten Widerspruchsrechts, müssen ergriffen werden. Hiermit wird keine neue Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit KI geschaffen, insbesondere keine positive Interessensabwägung im Gesetz statuiert, sondern nur klargestellt, dass eine solche Verarbeitung von personenbezogenen Daten für die Entwicklung, insbesondere Training und Testing, sowie den Betrieb auf ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden kann, vorausgesetzt die gesetzlichen Anforderungen für ein überwiegendes Interesse, einschließlich der angemessenen Schutzmaßnahmen in Art. 88c (neu) DSGVO, liegen vor.

2. Änderungen bei Art. 22 DSGVO für automatisierte Entscheidungen

Um die Regelung des Art. 22 DSGVO von den Rechten der Betroffenen in Art. 13 bis 21 DSGVO abzugrenzen und Rechtssicherheit zu schaffen, will der Digital Omnibus die Formulierung des Art. 22 DSGVO ändern. Es soll klargestellt werden, dass Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen, zulässig sind, wenn eine der spezifischen Bedingungen nach der derzeitigen Fassung von Art. 22 DSGVO erfüllt ist. Eine dieser spezifischen Bedingungen kann – auch weiterhin – der Umstand sein, dass die automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist. Die Änderung soll außerdem klarstellen, dass bei der Beurteilung, ob eine Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, nicht verlangt werden soll, dass diese Entscheidung ausschließlich auf der Grundlage einer automatisierten Verarbeitung getroffen werden kann. Wenn die Entscheidung also auch von einem Menschen getroffen werden könnte, soll dies den Verantwortlichen nicht daran hindern, die Entscheidung durch eine ausschließlich automatisierte Verarbeitung zu treffen. Diese Ergänzung wird gerade im KI-Kontext Vereinfachungen erzeugen, weil diese Bedingung eben auch dann vorliegen kann, wenn die Entscheidung theoretisch von einem Menschen hätte getroffen werden können.

3. Wo steckt die Vereinfachung?

Sollten die Vorschläge zum Digital Omnibus Package in ihrer Fassung vom 19. 11. 2025 als Gesetze in Kraft treten, würden sie an verschiedenen Stellen im Zusammenhang mit KI für Vereinfachung und Erleichterung bei Unternehmen sorgen. Eine umfassende Deregulierung bei KI würde aber nicht erfolgen.

Hinsichtlich der KI-VO würde die Verzögerung des zeitlichen Anwendungsbereichs für Hochrisiko-KI-Systeme bei Unternehmen dann zu Entlastungen führen, wenn dieser Vorschlag kurzfristig als Gesetz verbindlich wird und die damit im Zusammenhang stehenden harmonisierten Normen tatsächlich bis Ende 2026 vorliegen. Dann könnten Unternehmen ihre rechtlichen und technischen Umsetzungsmaßnahmen für Hochrisiko-KI-Systeme an diesen harmonisierten Normen ausrichten, hätten dadurch Rechtssicherheit sowie einen geringeren Aufwand bei der Umsetzung der erforderlichen Maßnahmen. Darüber hinaus kann die Erläuterung in den Erwägungsgründen zu Bestands-KI-Systemen und dem Betrachtungsgegenstand für deren erstmaliges Inverkehrbringen oder deren erstmalige Inbetriebnahmen zu Erleichterung führen, wenn diese Regelung bislang enger ausgelegt wurde. Im Übrigen würde der Digital Omnibus on AI zu keinen wesentlichen und grundlegenden Erleichterungen bei der Umsetzung der Compliance-Anforderungen der KI-VO führen.

Hinsichtlich des Datenschutzrechtes würden die Klarstellungen und Ergänzungen bezüglich der Rechtsgrundlagen und die Neuformulierung der Anforderungen für automatisierte Entscheidungen im Zusammenhang mit KI zu Rechtssicherheit und Vereinfachungen führen.

4. Wie geht es weiter?

Das Digital Omnibus Package vom 19. 11. 2025 ist derzeit nur ein Vorschlag der Europäischen Kommission. Um als Gesetz auch tatsächlich in Kraft zu treten, müssen auch das Europäische Parlament und der Rat der EU zustimmen. Angesichts der bisherigen Reaktionen, gerade aus dem Europäischen Parlament, ist es unwahrscheinlich, dass die Vorschläge in ihrer aktuellen Fassung unverändert angenommen und in Kraft treten werden. Es ist zu erwarten, dass die Vorschläge im Digital Omnibus Package entweder vorläufig auf gewisse Aspekte reduziert werden, für die ein schneller Konsens unter den europäischen Gesetzgebungsorganen gefunden werden kann, und die übrigen Aspekte zu einem späteren Zeitpunkt weiterverhandelt werden. Anderenfalls wäre mit langwierigen Trilog-Verhandlungen zwischen den Gesetzgebungsorganen zu rechnen, denen umfassende Anpassungsvorschläge vom Europäischen Parlament und vom Rat sowie weitere Kompromissvorschläge vorausgehen würden, wie wir es insbesondere bei der DSGVO und der KI-VO gesehen haben. Diese Verhandlungen könnten Monate, wenn nicht Jahre dauern, und würden die avisierten Vereinfachungen gerade bei der KI-VO hinsichtlich des zeitlichen Anwendungsbereichs für die Anforderungen der Hochrisiko-KI-Systeme obsolet machen. Zeitgleich werden weitere Vereinfachungsvorschläge seitens der Europäischen Kommission erwartet, wie es bereits die Vorschläge zur Medizin-Produkte-Verordnung und zur In-vitro-Diagnostika-Verordnung vom 16. 12. 2025 zeigen,11 aber es stehen auch weitere Regulierungsvorschläge, wie die Financial Data Access Verordnung, in den Startlöchern. Die Regulierung in der EU und ihre Vereinfachung werden nicht stillstehen.

Julia Kaufmann
LL.M. (Univ. of Texas), ist Partnerin bei Osborne Clarke in München und berät nationale und internationale Unternehmen, insbesondere aus den Industriesektoren TMC und Life Sciences & Healthcare zu sämtlichen Rechtsfragen im Zusammenhang mit Informationstechnologie, Datenschutz und Datennutzung, KI, digitale Transformation, E-Commerce und Marketing.

---