Prof. Dr. Indra Spiecker genannt Döhmann

Alles neu macht der Mai statt Novemberblues? DSGVO- und KI-VO-Omnibus

Die EU ergänzt ihre Digitalgesetzgebung, und zwar mittels sog. „Omnibusse“. Ganz frisch geeinigt haben sich Kommission, Parlament und Rat auf Anpassungen für die KI-VO; auf dem To-Do-Stapel liegt dagegen noch der Omnibus für die DSGVO (und den Data Act). Was unter dem Schlagwort der „Entbürokratisierung“ daherkommt, ist tatsächlich ganz oft ein Mittel zur Verlangsamung und Verwässerung der Wirkungen der Regulierungen. Das aber erschwert die Möglichkeiten für rechtstreue und für europäische Unternehmen im Digitalbereich noch einmal zusätzlich, zu den globalen Akteuren aufzuschließen oder sich wenigstens Nischen auf dem Markt für digitale Dienstleistungen zu erobern.

I. Das Instrument des Omnibus‘ für die Dynamik der Digitalgesetzgebung

Im November 2025 veröffentlichte die Europäische Kommission diverse Vorhaben zur Entlastung der Adressaten von Digitalgesetzesakten. Die Benennung als „Omnibus“ macht deutlich, dass es sich weder um umfangreiche und grundsätzliche Reformen handeln soll – wie etwa beim Übergang von der Datenschutz-Richtlinie zur DSGVO – noch dass eine Konzentration auf ein bestimmtes Gesetz vorliegt. Vielmehr sollen gleich mehrere verschiedene Änderungen in verschiedenen Gesetzeswerken entlang der Strecke, eben wie beim Bus, mitgenommen werden. Insgesamt soll darüber u.a. eine Strategie für die Etablierung einer Datenunion angestoßen werden. Wesentliche Änderungen betreffen einerseits die DSGVO (II.) und andererseits die KI-VO (III.). Der Beitrag kommentiert die Auswirkungen einiger ausgewählter Änderungen.

II. Der DSGVO-Omnibus

Der DSGVO-Omnibus war im November das erste große Änderungsvorhaben der Europäischen Kommission, inzwischen ist er aber überholt worden vom kurz danach vorgestellten KI-Omnibus: Dieser hat nämlich bereits den Trilog überstanden; für die DSGVO gibt es dagegen noch keine finale Ratsposition, auf deren Basis dann verhandelt werden könnte. Ohnehin war der Vorschlag der Kommission in Bezug auf die DSGVO eher Anlass für Novemberblues: Wesentliche Probleme blieben unadressiert, während die vorgenommenen Weichenstellungen den Datenschutz abwerten und zudem am Ende des Tages wichtige Bereiche der europäischen Wirtschaft eher mit Wettbewerbsnachteilen als -vorteilen versorgen dürften.

1. Personenbezug

Scheinbar nur am Rande wird eine wesentliche Änderung hinsichtlich des Anwendungsbereichs eingeführt, nämlich der Personenbezug für pseudonymisierte Daten gelockert, dies aber letztlich zum Nachteil risikoaverser Verarbeiter. Entgegen gelegentlicher Behauptungen spiegelt der Änderungsvorschlag nicht die Rechtsprechung des EuGH wider, sondern verringert den Anwendungsbereich signifikant.

So soll eine mögliche Re-Identifikation nur dann zu berücksichtigen sein, wenn die Mittel dazu „vernünftigerweise“ eingesetzt würden. Abgesehen davon, dass unklar ist, auf wessen Vernunft und mit welchem Maßstab es dabei ankommt, würde diese Regelung dazu führen, dass jeder Verarbeiter auf der Basis der konkret vorliegenden weiteren Informationen entscheiden muss, ob er personenbezogene Daten verarbeitet oder nicht. Das aber ist für risikoaverse Verarbeiter – und dazu gehören dann auch schnell Startups und KMU, die zu Recht bei systematischen Verstößen über ihr Geschäftsmodell mögliche millionenschwere Bußgelder fürchten – ein echter Wettbewerbsnachteil.

Die etablierten großen und global tätigen Akteure dagegen können eher ins Risiko gehen und tun das auch. So hat etwa die Einführung von – im Prinzip durchaus schmerzhaften – Bußgeldern und immateriellem Schadenersatz durch die DSGVO weder Umsatz noch Gewinne der großen Digitalunternehmen signifikant geschmälert; für kleinere Unternehmen ist aber das Risiko zu groß, sie sind eben nicht „too big to fail“. Rechtliche Unsicherheiten bei der Anwendbarkeit gehen also unmittelbar zu ihren Lasten.

2. Forschungsprivileg

Schon in der geltenden Fassung der DSGVO ist das sog. Forschungsprivileg – ein Ausdruck der Abwägung zwischen Datenschutzrecht und Forschungsfreiheit – zu Recht weit gefasst und an verschiedenen Stellen adressiert. Allerdings hat die DSGVO die konkrete Rahmung wenig ausbuchstabiert; dies nun mittels des Omnibus‘ zu tun, ist also im Prinzip richtig und wichtig.

Allerdings liefert der Omnibus nicht ab: Anstatt, wie es geboten wäre, den Begriff der Forschung klarzustellen und nur gemeinwohlorientierte und in ihren Ergebnissen der Öffentlichkeit zugängliche Wissensgewinnung zu privilegieren und zudem die Rechtsgrundlage der ursprünglichen Datenverarbeitung auch auf die abgewandelte Forschung zu erstrecken, will die Europäische Kommission die Informationspflichten zusammenstreichen und die Weiterverwendung von den Präzisierungen des Art. 6 Abs. 4 DSGVO freistellen. Beides sind aber sinnvolle Abfederungen des Forschungsprivilegs, welche weder den Forschenden überbordende Rechtfertigungs-, Prüf- oder Dokumentationspflichten auferlegten noch in der Sache Forschung beeinträchtigten.

Weder greift also das Argument des Bürokratieabbaus noch der Verschlankung. Dagegen wird auch hier weiterhin versäumt, eine an europäischen Werten orientierte Forschung gezielt zu fördern, indem der Forschungsbegriff daran geknüpft und Rechtssicherheit hergestellt wird für diejenigen Datenverarbeiter, die rechtskonform verarbeiten wollen.

3. KI-Datennutzung

Systematisch korrekt adressiert der DSGVO-Omnibus und nicht der KI-VO-Omnibus die Verwertung von personenbezogenen Daten für KI-Training und nachfolgende KI-Schritte. Allerdings verlässt die DSGVO mit dieser Vorstellung der Europäischen Kommission, eine konkrete technische Verarbeitung – nämlich Training und Betrieb von KI-Modellen – als grundsätzlich überwiegendes Interesse gegenüber den Interessen der Bürgerinnen und Bürger nach Art. 6 Abs. 1 lit. f DSGVO festzulegen, den Boden der Technikneutralität und des die DSGVO durchdringenden Vorsorgeprinzips. Dies ist angesichts der rasanten Entwicklung von KI und deren Einsatzmöglichkeiten bestenfalls unvorsichtig, schlimmstenfalls fatal.

Es erfolgt weder eine Beteiligung der Datenlieferanten an der nachfolgenden Wertschöpfung noch lässt sich über eine so generelle Freistellung über die DSGVO das Kernanliegen der KI-VO systematisch umsetzen, dass es verschiedene Risiken in Verbindung mit KI gibt, denen risikoadäquat und damit unterschiedlich je nach Verwendung begegnet wird. Denn ein nach der KI-VO verbotenes System kann wohl kaum taugen, eine Rechtfertigung für die – zwangsläufig massenweise – Verarbeitungen personenbezogener Daten zu liefern: So aber wäre es wohl nach dem DSGVO-Omnibus der Kommission vorstellbar. Würde man das anders sehen wollen, müsste man die Europäische Kommission fragen, warum sie dann den neuen Art. 88c überhaupt aufnehmen wollen würde – denn schon jetzt kann man KI-Training über Art. 6 Abs. 1 lit. f, jedenfalls aber über Art. 6 Abs. 1 lit. a rechtfertigen.

4. Zwischenfazit

Noch ist unklar, wohin sich der DSGVO-Omnibus bewegen wird. Die Vielzahl der Regelungen, vermengt mit Änderungen des Data Acts – und somit ersichtlich mehr auf globale Datennutzung aller ausgerichtet als auf Datenschutz und digitale Souveränität für Europa – streitet jedenfalls nicht dafür, dass tatsächlich Vereinfachung und mehr Verständnis für einen Schutz der Bürgerinnen und Bürger, Gesellschaft und Wirtschaft vor den informationellen Machtasymmetrien erkennbar sind. Vielmehr entsteht der Eindruck, dass man ein an sich schlagkräftiges und systemisch entwickeltes Konzept wie das Datenschutzrecht nun wieder abschwächen will, eben weil es Wirkungen zeitigt. Zu bedauern ist das auch deshalb, weil die Erkenntnisse der Digitalwelt, dass man es hier mit massivem ökonomischem Marktversagen zu tun hat und dass die EU droht, in geopolitische Untiefen abgedrängt zu werden, offenbar in der Politik immer noch nicht wirklich angekommen sind: Stärkung des europäischen Markts wäre angebracht, nicht Schwächung der Regeln eben dieses Markts.

III. Der KI-Omnibus

Parallel mit den potentiellen Änderungen der DSGVO wurde im November 2025 auch für die KI-VO eine Vereinfachung, vor allem aber eine Verschiebung wesentlicher Vorgaben vorgestellt. Passend zum Regelungsgegenstand, dessen hohe Entwicklungsdynamik fast alles Bisherige an technischer Veränderung in den Schatten stellt, ist auch jetzt der Trilog – schneller als bei der Regelung der Datenverarbeitung – so schnell, dass aktuell nur die Presseerklärungen vorliegen, aber noch kein echter Verordnungstext im Entwurf.

1. Inhaltliche Präzisierung: DeepFakes

Zu begrüßen sind die neuen und auch recht überraschend hinzugekommenen Präzisierungen nach Art. 5 KI-VO hinsichtlich verbotener Nutzungen, nämlich nicht einvernehmliche sexuell explizite und intime Inhalte einerseits und die Darstellung sexuellen Missbrauchs von Kindern andererseits. Auch wenn der (ohnehin unglückliche) Begriff der „DeepFakes“ nicht verwendet wird, ist damit immerhin ein problematischer Anwendungsfall dieser Kategorie bildlicher KI-Darstellung künftig ersichtlich erfasst; in den Verhandlungen war jedenfalls ausdrücklich ein größerer Anwendungsbereich als nur das Verbot von „Auszieh-KI“ wie bei Grok Thema.

Allerdings dürften die Abgrenzungsfragen künftig noch für einigen Klarstellungsbedarf sorgen; allein der Begriff der „intimen“ Inhalte dürfte kulturell, sozial und damit auch rechtlich innerhalb der EU nicht einheitlich verstanden werden und bedarf einer Vereinheitlichung. Fraglich wird auch sein, wie genau sich DSA und KI-VO ergänzen bzw. unterscheiden in ihren Anforderungen und hinsichtlich der Durchsetzung.

2. Zeitpunkt

Deutlich kritisiert wurde im Vorfeld, dass die Kommission den Geltungsbeginn für bestimmte Anforderungen an Hochrisiko-Systeme nach Art. 6 ff. KI-VO verschieben wollte. Damit werden diejenigen KI-Unternehmen privilegiert, die sich noch nicht um eine rechtskonforme Ausgestaltung gekümmert haben. Einen konkreten Zeitpunkt hatte die Kommission aber nicht im Auge, sondern wollte unbestimmt das Vorliegen bestimmter Ergänzungen und Konkretisierungen wie Normungen und Standards genügen lassen. Da diese z. T. in den Händen der Industrie lagen, hätte es an Anreizen zur Fertigstellung dieser Konkretisierungen gefehlt. Dieses Problem hat der Trilog nun gelöst und Dezember 2027 bzw. August 2028 als Fixtermin festgelegt. Allerdings wird damit die gewollte Regulierung um weitere eineinhalb bzw. zwei Jahre nach hinten verschoben – angesichts der rasanten Entwicklung von generativer KI in den letzten drei Jahren seit Einführung von ChatGPT wenig verheißungsvoll, will man ernsthaft über die KI-VO den Einsatz von Hochrisiko-Systemen zu Lasten der EU beschränken.

Mag man die Verschiebung angesichts der fehlenden Ergänzungen noch für vertretbar halten, gilt dies jedenfalls für die Verschiebung der Transparenzvorgaben auf Dezember 2026 offenkundig nicht. Hier verwässert der europäische Gesetzgeber einen Minimalstandard zur Herstellung von Vertrauenswürdigkeit, nämlich dass der Einsatz einer KI als solcher überhaupt erkannt werden kann. Dies hat weitreichende Wirkung – bis hin zum Prüfungsrecht etc.

3. Konkurrenzen

Die schwierige Gemengelage zwischen der KI-VO und anderen Digitalisierungsrechtsakten einschließlich der komplexen und komplizierten aufsichtsbehördlichen Strukturen löst der Omnibus nicht auf; hier hat auch der Trilog kaum weitere Klarheit erbracht.

Dies erstaunt insoweit, als die Kritik daran die KI-VO von Anfang an begleitet, und zudem an anderer Stelle Konkurrenzen durchaus neu angegangen wurden. Denn der KI-Omnibus adressiert etwa das Verhältnis von KI-VO und sektorspezifischer Regulierung. In einem in der Presseerklärung schwer verständlich dargestellten Regel-Ausnahme-Verhältnis wird die sektorspezifische Vorrangstellung – nur – für den Bereich der Maschinen noch einmal verstärkt, im Übrigen kann aber die Kommission über Durchführungsrechtsakte weitere Befreiungen vorsehen. Hier hätte man sich – auch das ein schon länger an der KI-VO geübter Kritikpunkt – gewünscht, dass die Vorrangstellung der spezielleren Regelungen einherginge mit der Anforderung, dass diese spezielleren Regelungen wenigstens den Gehalt der KI-VO widerspiegeln oder jedenfalls ähnliche Sicherheiten für die Rechte und Freiheiten und die Sicherheit beinhalten.

Auch das problematische Verhältnis zur DSGVO bei der Verwendung personenbezogener Daten ist allenfalls am Rande präzisiert worden. Die Kommission konnte sich nicht damit durchsetzen, die Anforderungen der Rechtsgrundlage zur Verwendung von personenbezogenen Daten zur Aufdeckung von Verzerrungen abzusenken: Das potentielle Einfallstor, das bei einer solchen Absenkung geschaffen worden wäre, bleibt verschlossen; mit dem unveränderten Erfordernis des „strictly necessary“ (unbedingt erforderlich) wird zumindest an dieser Stelle der Verwendung personenbezogener Daten der Nutzerinnen und Nutzer das Recht entgegengesetzt.

IV. Fazit

Die EU hat mit der Digitalgesetzgebung in vielen Bereichen Anker gesetzt: Die internationale Diskussion orientiert sich an den europäischen Vorstellungen, und die global agierenden Digitalisierungstreiber sind herausgefordert, davon zeugen nicht zuletzt deren intensive Aktivitäten. Beide Omnibus-Vorhaben gehen aber nicht an, was eigentlich zwingend wäre, nämlich eine effektive und schnelle Durchsetzung des materiellen Rechts zu sichern und damit einen sicheren Hafen für digitale Anwendungen zu schaffen – und zwar in der EU. Weder werden die fehlenden Abstimmungsmechanismen – etwa in der KI-VO – angegangen noch wird das Nebeneinander der vielen Aufsichtsbehörden und ihre unklare Zuständigkeit aufgelöst. Und schon gar nicht werden Haftungs- und Beweislastprobleme – potenziert angesichts der vielen Beteiligten – angesprochen, geschweige denn gelöst.

Die Chance, die EU und ihre Unternehmen in den Markt zu holen, weil die EU über eine deutliche Regulierung die Bedingungen auf ihren Märkten mit Selbstbewusstsein prägt, wird – wie schon im eigentlichen Novemberaufschlag – vertan. Bleibt zu hoffen, dass wenigstens der DSGVO-Omnibus einen anderen Weg einschlägt und darüber tatsächlich Bürokratie und Doppelstrukturen reduziert sowie die Wettbewerbs- und Innovationsfähigkeit der EU fördert. Wenn Daten das neue Öl sind (und so neu ist das ja nun nicht mehr), dann muss die Europäische Kommission eine Antwort darauf liefern, warum sie dieses Öl so bereitwillig jedem kostenfrei und zu Lasten ihrer Bürgerinnen und Bürger und ihrer eigenen Unternehmen zur Verfügung stellen will.

Autorin:

Prof. Dr. Indra Spiecker gen. Döhmann, LL.M., ist Inhaberin des Lehrstuhls für Öffentliches Recht, Informationsrecht und Rechtstheorie und Direktorin des Instituts für Digitalisierung an der Universität zu Köln.