Mit dem Digital Omnibus-Paket will die EU-Kommission das digitale Regulierungsumfeld vereinfachen und innovationsfreundlicher ausgestalten. Für Unternehmen, Datenschutzbeauftragte und Compliance-Verantwortliche ist besonders relevant, dass der Vorschlag genau dort ansetzt, wo in der Praxis die größten Reibungen entstehen: an der Schnittstelle zwischen der Datenschutz-Grundverordnung (DSGVO) und KI-Verordnung. Wer KI-Systeme entwickelt, einführt oder betreibt, sollte die geplanten Änderungen daher nicht als Randthema, sondern als Weichenstellung für die eigene Compliance verstehen.
Das Wichtigste in Kürze
Lesezeit: ca. 10 Minuten
- Der Digital Omnibus ist derzeit nur ein Gesetzgebungsvorschlag. Bis zu einer Verabschiedung durch EU-Rat und Parlament gelten die bisherige DSGVO und die bisherige KI-Verordnung unverändert fort.
- Die Kommission will vor allem dort nachjustieren, wo Datenschutzrecht und KI-Regulierung in der Umsetzung kollidieren. Im Fokus stehen personenbezogene Daten, Pseudonymisierung, berechtigte Interessen für KI, sensible Daten, DSFA und High-Risk-Fristen.
- Für KI besonders wichtig ist der Plan, die Verarbeitung personenbezogener Daten für Entwicklung und Betrieb von KI-Systemen rechtlich klarer zu fassen. Das wäre aber kein Freifahrtschein für jede KI-Datenverarbeitung.
- Die Kommission will außerdem einzelne Pflichten aus der KI-Verordnung praktikabler ausgestalten, etwa bei AI Literacy und bei den Anwendungszeitpunkten für Hochrisiko-KI. Auch hier gilt: Noch ist nichts beschlossen, der Textstand bleibt ein Entwurf.
- Gerade bei der Frage, wann Daten noch als personenbezogen gelten und wie weit Erleichterungen für KI reichen dürfen, ist mit weiteren politischen und rechtlichen Diskussionen zu rechnen.
Rechtliche Einordnung: Der Digital Omnibus ist kein neuer Rechtsrahmen, sondern eine gezielte Nachjustierung bestehender Digitalgesetze
Der Digital Omnibus schafft keine vollständig neue Digitalordnung. Er ist vielmehr Teil eines größeren europäischen Reformansatzes, mit dem die Kommission bestehende digitale Regelwerke vereinfachen, besser aufeinander abstimmen und in ihrer praktischen Anwendung entlasten will. Dazu gehören nicht nur datenschutzrechtliche Fragen, sondern auch Regelungen zu Daten, Cybersicherheit und künstlicher Intelligenz. Ziel ist nach Darstellung der Kommission insbesondere, Bürokratie und administrative Belastungen zu senken, Innovation zu erleichtern und Unternehmen sowie öffentlichen Stellen mehr Umsetzbarkeit zu verschaffen.
Rechtlich besonders interessant ist dabei nicht nur der Wortlaut einzelner Änderungsvorschläge, sondern ihre systematische Wirkung. Die KI-Verordnung regelt Risiken, Transparenz, Governance und Marktaufsicht von KI-Systemen. Sobald bei Entwicklung, Training, Fine-Tuning, Testing oder produktivem Einsatz jedoch personenbezogene Daten verarbeitet werden, bleibt die DSGVO voll anwendbar. Genau an dieser Schnittstelle versucht der Omnibus, Reibungen zu reduzieren.
Inhaltsverzeichnis
Was das Digital Omnibus-Paket insgesamt erreichen soll
Welche DSGVO-Änderungen für KI-Projekte besonders relevant sind
Welche KI-bezogenen Änderungen die Verknüpfung zur DSGVO besonders prägen
Was das Digital Omnibus-Paket insgesamt erreichen soll
Das Paket ist deutlich breiter angelegt als die Diskussion um KI und Datenschutz allein. Nach den offiziellen Unterlagen umfasst der digitale Reformansatz insbesondere folgende Bausteine:
- Vereinfachung digitaler Rechtsvorschriften in den Bereichen Daten, Cybersicherheit und KI
- Abbau administrativer Lasten für Unternehmen und öffentliche Verwaltungen
- Verbesserung des Zugangs zu hochwertigen Daten, auch mit Blick auf KI und datengetriebene Innovation
- Bessere praktische Wirksamkeit des bestehenden digitalen Rechtsrahmens
- Ergänzende Initiativen wie die Data Union Strategy und Vorschläge zu European Business Wallets
Zum eigentlichen Omnibus gehören nach derzeitigem Stand nicht nur Änderungen an KI-Regeln, sondern auch ein umfangreicher Vorschlag zur Anpassung weiterer digitaler Rechtsakte, darunter unter anderem die DSGVO, die ePrivacy-Richtlinie, der Data Act, NIS 2 und weitere Regelwerke des digitalen Binnenmarkts. Das zeigt: Der Digital Omnibus ist ein umfassendes Vereinfachungspaket und kein reines KI-Gesetzgebungsvorhaben.
Hinweis für diesen Beitrag: Im Folgenden steht bewusst nicht das gesamte Paket im Mittelpunkt. Der Fokus liegt auf der Verknüpfung zwischen DSGVO und KI-Verordnung sowie auf denjenigen Änderungsvorschlägen, die für KI-Projekte, KI-Governance und datenschutzrechtliche Compliance besonders relevant sind. Gerade hier entstehen in der Praxis voraussichtlich die größten Umsetzungsfragen.
Welche DSGVO-Änderungen für KI-Projekte besonders relevant sind
Berechtigtes Interesse für Entwicklung und Betrieb von KI
Für Unternehmen besonders bedeutsam ist der Vorschlag, die Verarbeitung personenbezogener Daten für die Entwicklung und den Betrieb von KI-Modellen und KI-Systemen datenschutzrechtlich klarer einzuordnen. Nach den FAQ der Kommission soll diese Verarbeitung grundsätzlich auf berechtigte Interessen gestützt werden können, sofern der jeweilige Einsatz nicht gegen anderes Unionsrecht oder nationales Recht verstößt und die übrigen Anforderungen der DSGVO eingehalten werden. Zugleich verweist die Kommission auf Schutzmechanismen, Auskunftsrechte und ein unbedingtes Widerspruchsrecht der betroffenen Personen.
In der Praxis wäre das eine wichtige Präzisierung, aber keine pauschale Legalisierung aller KI-Datenverarbeitungen und kein Ersatz jeder Einwilligung im Einzelfall. Auch künftig blieben Erforderlichkeit, Interessenabwägung, Transparenz, Datenminimierung und Zweckbindung zentrale Prüfsteine. Unternehmen sollten daher vermeiden, den Vorschlag vorschnell als generelle Entlastung für Trainings- oder Nutzungsdaten zu lesen. Die datenschutzrechtliche Zulässigkeit bleibt auch künftig vom konkreten Verarbeitungsmodell abhängig.
Pseudonymisierung und Personenbezug
Ein weiterer neuralgischer Punkt betrifft die Frage, wann Datensätze im KI-Kontext noch als personenbezogen gelten und wie mit pseudonymisierten Daten umzugehen ist. Die Kommission will hier weitere Klarstellungen schaffen und den Umgang mit Datensätzen erleichtern, wenn der Empfänger die betroffene Person nicht re-identifizieren kann. Für KI-Projekte, die mit großen Datenbeständen, Forschungsdaten oder geteilten Datensätzen arbeiten, hätte das erhebliche praktische Relevanz.
Gerade dieser Teil des Vorschlags ist aber besonders umstritten. Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben sich in ihrer gemeinsamen Stellungnahme ausdrücklich kritisch zu Änderungen am Begriff personenbezogener Daten geäußert und die Mitgesetzgeber aufgefordert, die vorgeschlagene Verengung nicht zu übernehmen. Für die Praxis folgt daraus eine klare Empfehlung: Pseudonymisierung ist weiterhin kein Synonym für Anonymisierung. Wer Daten für KI-Projekte weiterverwendet oder teilt, sollte daher bis auf Weiteres mit einem konservativen DSGVO-Maßstab arbeiten.
Sensible Daten und Bias-Prüfungen im KI-Kontext
Besondere Aufmerksamkeit verdienen außerdem die geplanten Regeln zu besonderen Kategorien personenbezogener Daten, also etwa Gesundheitsdaten, biometrischen Daten oder Daten zur ethnischen Herkunft. Im KI-Kontext stellt sich häufig das Problem, dass Diskriminierungs- und Bias-Risiken kaum belastbar geprüft werden können, wenn sensible Merkmale vollständig ausgeblendet werden. Der Vorschlag will hierfür in engen Grenzen Verarbeitungsmöglichkeiten schaffen, etwa für Bias Detection und Bias Correction.
Auch hier treten das EDPB (= European Data Protection Board) und der EDPS (= European Data Protection Supervisor) für eine enge Auslegung ein. Sie unterstützen zwar nicht jede Vereinfachung kritiklos, halten aber Schutzvorkehrungen über den gesamten Lebenszyklus des KI-Systems hinweg für zwingend. Für Unternehmen bedeutet das: Sensible Daten bleiben auch im KI-Recht ein Hochrisikobereich. Wer entsprechende Prüfmodelle plant, benötigt danach ein besonders belastbares Rechts- und Sicherheitskonzept.
Datenschutz-Folgenabschätzung und weitere Verfahrensfragen
Die Kommission will außerdem einzelne praktische Belastungen des Datenschutzrechts abmildern, etwa durch mehr Harmonisierung bei Datenschutz-Folgenabschätzungen und bei der Behandlung von Datenschutzverletzungen und geplanten Erleichterungen für das Anlegen und Führen der Verzeichnisse von Verarbeitungstätigkeiten sowie den Meldungen bei Datenschutzvorfällen und der Kommunikation mit der zuständigen Aufsichtsbehörde. Gerade für KI-Projekte ist das relevant, weil dort häufig komplexe Datenflüsse, Profiling, automatisierte Entscheidungen oder sensible Verarbeitungen zusammentreffen und die DSFA damit regelmäßig zum Pflichtprogramm gehört.
Welche KI-bezogenen Änderungen die Verknüpfung zur DSGVO besonders prägen
AI Literacy: Pflicht heute, Debatte für morgen
Ein zentraler Punkt ist die AI Literacy (= KI-Kompetenz). Nach geltender KI-Verordnung gilt bereits seit 2. Februar 2025 die Pflicht aus Art. 4 KI-VO, geeignete Maßnahmen zur Sicherstellung ausreichender KI-Kompetenz zu treffen. AI Literacy (KI-Kompetenz) ist die Fähigkeit, Künstliche Intelligenz zu verstehen, kritisch zu bewerten, sicher anzuwenden und deren Auswirkungen auf Gesellschaft und Arbeitswelt zu reflektieren. Sie umfasst technisches Wissen, praktische Fertigkeiten (wie Prompting) und ethisches Bewusstsein, um KI verantwortungsvoll zu nutzen. Die Kommission schlägt nun vor, diese Pflicht anders zu strukturieren und stärker auf die Förderung durch Mitgliedstaaten und Kommission auszurichten, statt Organisationen mit einer eher offen formulierten generellen Verpflichtung zu belasten.
Aber wichtig für die Praxis ist: Die derzeitige Pflicht gilt weiterhin, solange der Vorschlag nicht Gesetz wird. Unternehmen sollten daher AI Literacy nicht aufschieben. Das gilt umso mehr, als Datenschutz und KI-Kompetenz organisatorisch zusammenhängen. Wer KI-Systeme datenschutzkonform betreiben will, braucht intern nicht nur juristische, sondern auch technische und prozessuale Steuerungsfähigkeit.
Hochrisiko-KI: Zeitliche Entlastung geplant, aber nicht sicher
Der Vorschlag zum Digital Omnibus zu AI reagiert nach den offiziellen Unterlagen auch auf praktische Umsetzungsprobleme der KI-Verordnung, insbesondere auf Verzögerungen bei harmonisierten Standards, Compliance-Tools und der Benennung zuständiger Stellen. Deshalb soll der Beginn der Hochrisiko-Regeln stärker an die tatsächliche Verfügbarkeit solcher Instrumente gekoppelt werden. Das würde Unternehmen mehr Zeit verschaffen, die Anforderungen operativ umzusetzen.
Für die Unternehmenspraxis ist aber wichtig, dass diese Entlastung noch nicht gilt. Wer Hochrisiko-KI-Systeme plant oder bereits einsetzt, sollte seine Roadmap daher weiterhin am geltenden Rechtszustand orientieren und Fristverschiebungen allenfalls als mögliches, aber unsicheres Szenario berücksichtigen. Compliance darf aktuell nicht auf politische Hoffnung gebaut werden.
Bias-Kontrolle, Governance und Aufsicht müssen zusammengedacht werden
Besonders praxisrelevant ist außerdem, dass der Omnibus nicht nur materielle Anforderungen, sondern auch die Verzahnung von Governance, Aufsicht und den Schutz der Grundrechte (nach der EU-Grundrechts-Charta) in den Blick nimmt. Das ist für KI-Projekte mit personenbezogenen Daten entscheidend. Unternehmen benötigen hier keine rein technische Sicht, sondern ein abgestimmtes Vorgehen zwischen Fachbereich, IT, Datenschutz, Compliance und gegebenenfalls Betriebsrat.
Gerade an dieser Stelle zeigt sich der eigentliche Mehrwert einer integrierten Betrachtung von DSGVO und KI-VO. Datenschutzrechtliche Zulässigkeit, KI-spezifische Risikosteuerung und organisatorische Verantwortlichkeit lassen sich in der Praxis nicht sinnvoll trennen und sind daher gemeinsam zu betrachten und in der unternehmensinternen Umsetzung gemeinsam zu berücksichtigen.
Typische Fehlerquellen und Risiken in der Praxis
Ein häufiger Fehler besteht darin, DSGVO und KI-Verordnung als getrennte Welten zu behandeln. Genau das funktioniert in der Praxis nicht. Sobald personenbezogene Daten in KI-Projekten verwendet werden, greifen Datenschutzrecht und KI-Regulierung parallel. Das betrifft insbesondere Trainingsdaten, Nutzungsdaten, Protokolldaten, Human-Oversight-Prozesse und Governance-Strukturen. Festzuhalten ist daher, dass rechtlich eine immer stärkere Verzahnung eintritt und Prozesse daher immer komplexer werden.
Ebenso riskant ist es, geplante Erleichterungen bereits wie geltendes Recht zu behandeln. Wer etwa davon ausgeht, dass AI Literacy bald entfallen, das berechtigte Interesse künftig fast immer ausreichen oder pseudonymisierte Daten ohne Weiteres aus dem DSGVO-Regime herausfallen würden, setzt seine Organisation unnötigen Risiken aus. Es dürfte für Unternehmen daher einen großen Fehler darstellen, von einer zu frühen Vorwegnahme künftiger Änderungen auszugehen. Gerade aufgrund der durch die neuen Regelungen bestehenden rechtlichen Unwägbarkeiten und Unsicherheiten sollten Unternehmen besser proaktiv handeln und tätig werden und sich mit externer Expertise beraten lassen, auch um rechtliche und finanzielle Nachteile für das Unternehmen, die Firma oder die Institution möglichst zu vermeiden.
Konkrete To-dos für Unternehmen und Datenschutzverantwortliche
Wer sich jetzt sinnvoll aufstellt, sollte Datenschutz- und KI-Compliance nicht getrennt, sondern gemeinsam betrachten. Besonders sinnvoll sind derzeit folgende Schritte:
| [ ] | Alle KI-Anwendungen im Unternehmen erfassen, einschließlich Test-, Pilot- und Schattenlösungen sowie Lösungen externer Anbieter. |
| [ ] | Datenflüsse und Rechtsgrundlagen prüfen, insbesondere bei Training, Fine-Tuning, Monitoring und Auswertung. |
| [ ] | AI-Literacy-Maßnahmen dokumentieren und risikobezogen umsetzen. |
| [ ] | High-Risk-Konstellationen frühzeitig identifizieren und nicht auf eine sichere Fristverschiebung vertrauen. |
| [ ] | DSFA-, LIA- und Transparenzprozesse so ausgestalten, dass sie auch für KI-Projekte und etwaige Meldepflichten belastbar funktionieren. |
| [ ] | Governance-Strukturen abstimmen, damit Datenschutz, IT, Fachbereich und Compliance bei KI-Vorhaben nicht nebeneinander arbeiten. |
Timeline und Ausblick: Was heute gilt und womit Unternehmen rechnen sollten
Für die Einordnung des weiteren Verlaufs sind vor allem diese Zeitpunkte relevant:
- 1. August 2024: Die KI-Verordnung ist in Kraft getreten.
- 2. Februar 2025: Die Regeln zu verbotenen KI-Praktiken und die Pflicht zu AI Literacy gelten.
- 19. November 2025: Die Kommission hat das Digital Omnibus-Paket und den Digital Omnibus on AI vorgelegt.
- Januar und Februar 2026: Die Stellungnahmen von EDPB und EDPS haben die datenschutzrechtlich besonders sensiblen Punkte deutlich gemacht.
- Stand März 2026: Das Gesetzgebungsverfahren auf EU-Ebene läuft. Der finale Regelungstext steht noch nicht fest. Der Gesetzgebungsprozess sollte daher im Rahmen einer Rechtsbeobachtung parallel begleitet und zumindest turnusmäßig im Hinblick auf den aktuellen Stand der Gesetzgebung von Unternehmen im Blick behalten werden.
Der Ausblick erscheint damit zweigeteilt:
Einerseits ist klar erkennbar, dass die EU mehr Vereinfachung, Kohärenz und Innovationsfreundlichkeit anstrebt. Andererseits ist ebenso klar, dass gerade die besonders sensiblen Fragen an der Schnittstelle von DSGVO und KI-VO noch politisch und rechtlich umkämpft sind, so dass auch weiterhin erhebliche Rechtsunsicherheiten im Umgang und der Anwendung von DSGVO und KI-Verordnung bestehen bleiben dürften.
Empfehlung daher: Unternehmen sollten deshalb nicht auf einzelne Erleichterungen spekulieren, sondern ihre Governance so aufbauen, dass sie heute schon auf hohem Datenschutzniveau tragfähig und morgen anpassungsfähig ist. Hier kann die Begleitung der unternehmensinternen Prozessen durch externe Expertise eine wertvolle Hilfe sein.
Fazit
Der Digital Omnibus ist kein bloß technisches Korrekturpaket. Der Digital Omnibus ziehlt vielmerh darauf ab, der bislang deutlichste Versuch der EU zu sein, die praktische Verzahnung von DSGVO und KI-Verordnung neu auszutarieren.
Für Unternehmen ist das besonders relevant, weil genau an dieser Schnittstelle die entscheidenden Fragen entstehen: Welche Daten dürfen für KI genutzt werden, für welche Zwecke, auf welcher Rechtsgrundlage, mit welchen Schutzmaßnahmen und unter welchen Governance-Anforderungen, insbesondere auch, welche rechtlichen Anforderungen sind an Input und Output bei KI-Systemen zu stellen und wie verhält es sich beispielsweise mit den Nutzungsrechten und dem Urheberrecht für den Output.
Konkret bedeutet das für Sie und Ihr Unternehmen:
Warten Sie nicht auf den finalen Gesetzestext, sondern schaffen Sie jetzt belastbare Strukturen.
Wer KI-Projekte, Datenschutz-Folgenabschätzungen, AI Literacy, Datenstrategie und interne Verantwortlichkeiten frühzeitig zusammenführt, reduziert nicht nur Rechtsrisiken, sondern gewinnt auch operative Sicherheit für die nächsten Umsetzungsstufen.
Gerade hier liegt der praktische Mehrwert anwaltlicher Beratung. Profizieren Sie dabei von unserer jahrenlangen Expertise.
Die Herausforderungen entstehen selten im abstrakten Normtext, sondern in der Übersetzung auf konkrete Tools, Datenflüsse, Prozesse und Verantwortlichkeiten.
Unsere Kanzlei unterstützt Sie dabei, DSGVO und KI-VO konsistent zusammenzudenken, bestehende KI-Anwendungen rechtlich zu überprüfen und Ihre Organisation auf die nächste Phase der europäischen Digitalregulierung vorzubereiten.
Sprechen Sie uns an, wenn Sie Ihre KI- und Datenschutz-Compliance jetzt rechtssicher strukturieren oder den Omnibus-Vorschlag für Ihre Organisation einordnen lassen möchten.
Häufig gestellte Fragen (FAQ)
Ist der Digital Omnibus bereits geltendes Recht?
Nein. Der Digital Omnibus ist bislang ein Vorschlag der EU-Kommission. Bis zu einer Verabschiedung gelten die bestehende DSGVO und die bestehende KI-Verordnung weiter.
Betrifft das Paket nur KI und Datenschutz?
Nein. Das Paket ist breiter angelegt und umfasst auch weitere digitale Rechtsakte, insbesondere in den Bereichen Daten und Cybersicherheit. Dieser Beitrag betrachtet bewusst nur den besonders praxisrelevanten Ausschnitt rund um DSGVO und KI-VO.
Dürfen Unternehmen personenbezogene Daten für KI künftig generell auf berechtigte Interessen stützen?
Ja. Die derzeitige Pflicht aus Art. 4 KI-VO gilt bereits seit dem 2. Februar 2025. Eine spätere Änderung ändert an der aktuellen Rechtslage zunächst nichts.
Muss AI Literacy schon heute umgesetzt werden?
Ja. Die KI-Verordnung knüpft an das Inverkehrbringen oder die Inbetriebnahme eines Modells in der EU an. Das bedeutet, dass die Regeln auch für Modelle gelten, die zwar außerhalb der EU trainiert, aber innerhalb der Union angeboten werden.
Werden die Regeln für Hochrisiko-KI sicher verschoben?
Nein. Eine Verschiebung ist vorgeschlagen, aber noch nicht beschlossen. Unternehmen sollten daher derzeit weiterhin mit dem geltenden Zeitplan arbeiten.
Bedeutet Pseudonymisierung künftig automatisch, dass die DSGVO nicht mehr gilt?
Nein. Gerade dieser Punkt ist rechtlich und politisch umstritten. Der EDPB und der EDPS sehen die geplanten Änderungen zum Personenbezug kritisch.
Was sollten Datenschutzbeauftragte jetzt priorisieren?
Sinnvoll sind vor allem eine Bestandsaufnahme aller KI-Anwendungen, die Prüfung der Rechtsgrundlagen, belastbare DSFA- und Governance-Prozesse sowie ein dokumentiertes AI-Literacy-Konzept.