EU-Digital Omnibus 2026: Was sich bei DSGVO und KI-VO ändert

Mit dem Digital Omnibus-Paket will die EU-Kommission das digitale Regulierungsumfeld vereinfachen und innovationsfreundlicher ausgestalten. Für Unternehmen, Datenschutzbeauftragte und Compliance-Verantwortliche ist besonders relevant, dass der Vorschlag genau dort ansetzt, wo in der Praxis die größten Reibungen entstehen: an der Schnittstelle zwischen der Datenschutz-Grundverordnung (DSGVO) und KI-Verordnung. Wer KI-Systeme entwickelt, einführt oder betreibt, sollte die geplanten Änderungen daher nicht als Randthema, sondern als Weichenstellung für die eigene Compliance verstehen.

Update vom 8. Mai 2026: Was sich durch die Einigung zum Digital Omnibus on AI geändert hat

Seit Veröffentlichung dieses Beitrags hat sich der Gesetzgebungsstand wesentlich weiterentwickelt: Am 7. Mai 2026 haben sich das Europäische Parlament und der Rat vorläufig auf Änderungen am Digital Omnibus on AI geeinigt. Damit ist der EU Digital Omnibus 2026 im Bereich der KI-Verordnung politisch deutlich konkreter geworden. Die Einigung ist aber noch kein geltendes Recht. Erforderlich sind weiterhin die förmliche Annahme durch Parlament und Rat sowie die Veröffentlichung im Amtsblatt der Europäischen Union.

Für Unternehmen, Datenschutzbeauftragte und Compliance-Verantwortliche sind vor allem folgende Punkte wichtig:

• Hochrisiko-KI: Die zentralen Pflichten für Hochrisiko-KI-Systeme sollen später gelten: Dezember 2027 für eigenständige Hochrisiko-KI und 2. August 2028 für Hochrisiko-KI in regulierten Produkten.
• Watermarking: Für bestimmte Transparenz- und Kennzeichnungspflichten bei KI-generierten Inhalten soll der Dezember 2026 maßgeblich werden.
• Nudifier-Systeme: KI-Systeme zur Erzeugung nicht einvernehmlicher intimer oder sexueller Inhalte sowie von Missbrauchsmaterial sollen ausdrücklich verboten werden.
• Produkt-Compliance: Überschneidungen zwischen KI-Verordnung und sektoralem Produktsicherheitsrecht sollen reduziert werden, insbesondere bei Maschinen und regulierten Produkten.
• Bias-Prüfungen: Die Verarbeitung sensibler Daten zur Bias-Erkennung und Bias-Korrektur soll nur bei strikter Erforderlichkeit und mit Schutzmaßnahmen zulässig sein.
• KI-Compliance: Die Einigung verschafft mehr Zeit, ersetzt aber keine Vorbereitung. KI-Inventar, Risikoklassifizierung, DSFA, AI Literacy und KI-Governance sollten weiter umgesetzt werden.
• Neue Timeline: Die Zeitplanung für die kommenden KI-Compliance-Pflichten hat sich geändert. Unternehmen sollten insbesondere die neuen Stichtage Dezember 2026, 2. August 2027, 2. Dezember 2027 und 2. August 2028 in ihre KI-Compliance-Roadmap aufnehmen.

Wichtig ist außerdem: Die Einigung vom 7. Mai 2026 betrifft vor allem den Digital Omnibus on AI und damit Änderungen an der KI-Verordnung. Die weiteren Teile des Digital-Omnibus-Pakets, insbesondere zu DSGVO, Datennutzung, ePrivacy, Data Act, NIS 2 und European Business Wallets, sind hiervon zu unterscheiden und müssen weiterhin gesondert beobachtet werden.

Rechtliche Einordnung: Der Digital Omnibus ist kein neuer Rechtsrahmen, sondern eine gezielte Nachjustierung bestehender Digitalgesetze

Der Digital Omnibus schafft keine vollständig neue Digitalordnung. Er ist vielmehr Teil eines größeren europäischen Reformansatzes, mit dem die Kommission bestehende digitale Regelwerke vereinfachen, besser aufeinander abstimmen und in ihrer praktischen Anwendung entlasten will. Dazu gehören nicht nur datenschutzrechtliche Fragen, sondern auch Regelungen zu Daten, Cybersicherheit und künstlicher Intelligenz. Ziel ist nach Darstellung der Kommission insbesondere, Bürokratie und administrative Belastungen zu senken, Innovation zu erleichtern und Unternehmen sowie öffentlichen Stellen mehr Umsetzbarkeit zu verschaffen.

Rechtlich besonders interessant ist dabei nicht nur der Wortlaut einzelner Änderungsvorschläge, sondern ihre systematische Wirkung. Die KI-Verordnung regelt Risiken, Transparenz, Governance und Marktaufsicht von KI-Systemen. Sobald bei Entwicklung, Training, Fine-Tuning, Testing oder produktivem Einsatz jedoch personenbezogene Daten verarbeitet werden, bleibt die DSGVO voll anwendbar. Genau an dieser Schnittstelle versucht der Omnibus, Reibungen zu reduzieren.

Was das Digital Omnibus-Paket insgesamt erreichen soll

Das Paket ist deutlich breiter angelegt als die Diskussion um KI und Datenschutz allein. Nach den offiziellen Unterlagen umfasst der digitale Reformansatz insbesondere folgende Bausteine:

• Vereinfachung digitaler Rechtsvorschriften in den Bereichen Daten, Cybersicherheit und KI
• Abbau administrativer Lasten für Unternehmen und öffentliche Verwaltungen
• Verbesserung des Zugangs zu hochwertigen Daten, auch mit Blick auf KI und datengetriebene Innovation
• Bessere praktische Wirksamkeit des bestehenden digitalen Rechtsrahmens
• Ergänzende Initiativen wie die Data Union Strategy und Vorschläge zu European Business Wallets

Zum eigentlichen Omnibus gehören nach derzeitigem Stand nicht nur Änderungen an KI-Regeln, sondern auch ein umfangreicher Vorschlag zur Anpassung weiterer digitaler Rechtsakte, darunter unter anderem die DSGVO, die ePrivacy-Richtlinie, der Data Act, NIS 2 und weitere Regelwerke des digitalen Binnenmarkts. Das zeigt: Der Digital Omnibus ist ein umfassendes Vereinfachungspaket und kein reines KI-Gesetzgebungsvorhaben.

Hinweis für diesen Beitrag: Im Folgenden steht bewusst nicht das gesamte Paket im Mittelpunkt. Der Fokus liegt auf der Verknüpfung zwischen DSGVO und KI-Verordnung sowie auf denjenigen Änderungsvorschlägen, die für KI-Projekte, KI-Governance und datenschutzrechtliche Compliance besonders relevant sind. Gerade hier entstehen in der Praxis voraussichtlich die größten Umsetzungsfragen.

Berechtigtes Interesse für Entwicklung und Betrieb von KI

Für Unternehmen besonders bedeutsam ist der Vorschlag, die Verarbeitung personenbezogener Daten für die Entwicklung und den Betrieb von KI-Modellen und KI-Systemen datenschutzrechtlich klarer einzuordnen. Nach den FAQ der Kommission soll diese Verarbeitung grundsätzlich auf berechtigte Interessen gestützt werden können, sofern der jeweilige Einsatz nicht gegen anderes Unionsrecht oder nationales Recht verstößt und die übrigen Anforderungen der DSGVO eingehalten werden. Zugleich verweist die Kommission auf Schutzmechanismen, Auskunftsrechte und ein unbedingtes Widerspruchsrecht der betroffenen Personen.

In der Praxis wäre das eine wichtige Präzisierung, aber keine pauschale Legalisierung aller KI-Datenverarbeitungen und kein Ersatz jeder Einwilligung im Einzelfall. Auch künftig blieben Erforderlichkeit, Interessenabwägung, Transparenz, Datenminimierung und Zweckbindung zentrale Prüfsteine. Unternehmen sollten daher vermeiden, den Vorschlag vorschnell als generelle Entlastung für Trainings- oder Nutzungsdaten zu lesen. Die datenschutzrechtliche Zulässigkeit bleibt auch künftig vom konkreten Verarbeitungsmodell abhängig.

Pseudonymisierung und Personenbezug

Ein weiterer neuralgischer Punkt betrifft die Frage, wann Datensätze im KI-Kontext noch als personenbezogen gelten und wie mit pseudonymisierten Daten umzugehen ist. Die Kommission will hier weitere Klarstellungen schaffen und den Umgang mit Datensätzen erleichtern, wenn der Empfänger die betroffene Person nicht re-identifizieren kann. Für KI-Projekte, die mit großen Datenbeständen, Forschungsdaten oder geteilten Datensätzen arbeiten, hätte das erhebliche praktische Relevanz.

Gerade dieser Teil des Vorschlags ist aber besonders umstritten. Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben sich in ihrer gemeinsamen Stellungnahme ausdrücklich kritisch zu Änderungen am Begriff personenbezogener Daten geäußert und die Mitgesetzgeber aufgefordert, die vorgeschlagene Verengung nicht zu übernehmen. Für die Praxis folgt daraus eine klare Empfehlung: Pseudonymisierung ist weiterhin kein Synonym für Anonymisierung. Wer Daten für KI-Projekte weiterverwendet oder teilt, sollte daher bis auf Weiteres mit einem konservativen DSGVO-Maßstab arbeiten.

Sensible Daten und Bias-Prüfungen im KI-Kontext

Besondere Aufmerksamkeit verdienen außerdem die geplanten Regeln zu besonderen Kategorien personenbezogener Daten, also etwa Gesundheitsdaten, biometrischen Daten oder Daten zur ethnischen Herkunft. Im KI-Kontext stellt sich häufig das Problem, dass Diskriminierungs- und Bias-Risiken kaum belastbar geprüft werden können, wenn sensible Merkmale vollständig ausgeblendet werden. Der Vorschlag will hierfür in engen Grenzen Verarbeitungsmöglichkeiten schaffen, etwa für Bias Detection und Bias Correction.

Auch hier treten das EDPB (= European Data Protection Board) und der EDPS (= European Data Protection Supervisor)  für eine enge Auslegung ein. Sie unterstützen zwar nicht jede Vereinfachung kritiklos, halten aber Schutzvorkehrungen über den gesamten Lebenszyklus des KI-Systems hinweg für zwingend. Für Unternehmen bedeutet das: Sensible Daten bleiben auch im KI-Recht ein Hochrisikobereich. Wer entsprechende Prüfmodelle plant, benötigt danach ein besonders belastbares Rechts- und Sicherheitskonzept.

Datenschutz-Folgenabschätzung und weitere Verfahrensfragen

Die Kommission will außerdem einzelne praktische Belastungen des Datenschutzrechts abmildern, etwa durch mehr Harmonisierung bei Datenschutz-Folgenabschätzungen und bei der Behandlung von Datenschutzverletzungen und geplanten Erleichterungen für das Anlegen und Führen der Verzeichnisse von Verarbeitungstätigkeiten sowie den Meldungen bei Datenschutzvorfällen und der Kommunikation mit der zuständigen Aufsichtsbehörde. Gerade für KI-Projekte ist das relevant, weil dort häufig komplexe Datenflüsse, Profiling, automatisierte Entscheidungen oder sensible Verarbeitungen zusammentreffen und die DSFA damit regelmäßig zum Pflichtprogramm gehört.

Welche KI-bezogenen Änderungen die Verknüpfung zur DSGVO besonders prägen

AI Literacy: Pflicht heute, Debatte für morgen

Ein zentraler Punkt ist die AI Literacy (= KI-Kompetenz). Nach geltender KI-Verordnung gilt bereits seit 2. Februar 2025 die Pflicht aus Art. 4 KI-VO, geeignete Maßnahmen zur Sicherstellung ausreichender KI-Kompetenz zu treffen. AI Literacy (KI-Kompetenz) ist die Fähigkeit, Künstliche Intelligenz zu verstehen, kritisch zu bewerten, sicher anzuwenden und deren Auswirkungen auf Gesellschaft und Arbeitswelt zu reflektieren. Sie umfasst technisches Wissen, praktische Fertigkeiten (wie Prompting) und ethisches Bewusstsein, um KI verantwortungsvoll zu nutzen. Die Kommission schlägt nun vor, diese Pflicht anders zu strukturieren und stärker auf die Förderung durch Mitgliedstaaten und Kommission auszurichten, statt Organisationen mit einer eher offen formulierten generellen Verpflichtung zu belasten.

Aber wichtig für die Praxis ist: Die derzeitige Pflicht gilt weiterhin, solange der Vorschlag nicht Gesetz wird. Unternehmen sollten daher AI Literacy nicht aufschieben. Das gilt umso mehr, als Datenschutz und KI-Kompetenz organisatorisch zusammenhängen. Wer KI-Systeme datenschutzkonform betreiben will, braucht intern nicht nur juristische, sondern auch technische und prozessuale Steuerungsfähigkeit.

Hochrisiko-KI: Zeitliche Entlastung geplant, aber nicht sicher

Der Vorschlag zum Digital Omnibus zu AI reagiert nach den offiziellen Unterlagen auch auf praktische Umsetzungsprobleme der KI-Verordnung, insbesondere auf Verzögerungen bei harmonisierten Standards, Compliance-Tools und der Benennung zuständiger Stellen. Deshalb soll der Beginn der Hochrisiko-Regeln stärker an die tatsächliche Verfügbarkeit solcher Instrumente gekoppelt werden. Das würde Unternehmen mehr Zeit verschaffen, die Anforderungen operativ umzusetzen.

Für die Unternehmenspraxis ist aber wichtig, dass diese Entlastung noch nicht gilt. Wer Hochrisiko-KI-Systeme plant oder bereits einsetzt, sollte seine Roadmap daher weiterhin am geltenden Rechtszustand orientieren und Fristverschiebungen allenfalls als mögliches, aber unsicheres Szenario berücksichtigen. Compliance darf aktuell nicht auf politische Hoffnung gebaut werden.

Bias-Kontrolle, Governance und Aufsicht müssen zusammengedacht werden

Besonders praxisrelevant ist außerdem, dass der Omnibus nicht nur materielle Anforderungen, sondern auch die Verzahnung von Governance, Aufsicht und den Schutz der Grundrechte (nach der EU-Grundrechts-Charta) in den Blick nimmt. Das ist für KI-Projekte mit personenbezogenen Daten entscheidend. Unternehmen benötigen hier keine rein technische Sicht, sondern ein abgestimmtes Vorgehen zwischen Fachbereich, IT, Datenschutz, Compliance und gegebenenfalls Betriebsrat.

Gerade an dieser Stelle zeigt sich der eigentliche Mehrwert einer integrierten Betrachtung von DSGVO und KI-VO. Datenschutzrechtliche Zulässigkeit, KI-spezifische Risikosteuerung und organisatorische Verantwortlichkeit lassen sich in der Praxis nicht sinnvoll trennen und sind daher gemeinsam zu betrachten und in der unternehmensinternen Umsetzung gemeinsam zu berücksichtigen.

Typische Fehlerquellen und Risiken in der Praxis

Ein häufiger Fehler besteht darin, DSGVO und KI-Verordnung als getrennte Welten zu behandeln. Genau das funktioniert in der Praxis nicht. Sobald personenbezogene Daten in KI-Projekten verwendet werden, greifen Datenschutzrecht und KI-Regulierung parallel. Das betrifft insbesondere Trainingsdaten, Nutzungsdaten, Protokolldaten, Human-Oversight-Prozesse und Governance-Strukturen. Festzuhalten ist daher, dass rechtlich eine immer stärkere Verzahnung eintritt und Prozesse daher immer komplexer werden.

Ebenso riskant ist es, geplante Erleichterungen bereits wie geltendes Recht zu behandeln. Wer etwa davon ausgeht, dass AI Literacy bald entfallen, das berechtigte Interesse künftig fast immer ausreichen oder pseudonymisierte Daten ohne Weiteres aus dem DSGVO-Regime herausfallen würden, setzt seine Organisation unnötigen Risiken aus. Es dürfte für Unternehmen daher einen großen Fehler darstellen, von einer zu frühen Vorwegnahme künftiger Änderungen auszugehen. Gerade aufgrund der durch die neuen Regelungen bestehenden rechtlichen Unwägbarkeiten und Unsicherheiten sollten Unternehmen besser proaktiv handeln und tätig werden und sich mit externer Expertise beraten lassen, auch um rechtliche und finanzielle Nachteile für das Unternehmen, die Firma oder die Institution möglichst zu vermeiden.

Timeline und Ausblick: Was heute gilt und womit Unternehmen rechnen sollten

Für die Einordnung des weiteren Verlaufs sind vor allem diese Zeitpunkte relevant:

• 1. August 2024: Die KI-Verordnung ist in Kraft getreten.
• 2. Februar 2025: Die Regeln zu verbotenen KI-Praktiken und die Pflicht zu AI Literacy gelten.
• 19. November 2025: Die Kommission hat das Digital Omnibus-Paket und den Digital Omnibus on AI vorgelegt.
• Januar und Februar 2026: Die Stellungnahmen von EDPB und EDPS haben die datenschutzrechtlich besonders sensiblen Punkte deutlich gemacht.
• März 2026: Das Gesetzgebungsverfahren auf EU-Ebene läuft. Der finale Regelungstext steht noch nicht fest. Der Gesetzgebungsprozess sollte daher im Rahmen einer Rechtsbeobachtung parallel begleitet und zumindest turnusmäßig im Hinblick auf den aktuellen Stand der Gesetzgebung von Unternehmen im Blick behalten werden.
• 7. Mai 2026: Europäisches Parlament und Rat haben eine vorläufige politische Einigung zum Digital Omnibus on AI erzielt. Damit sind die geplanten Änderungen an der KI-Verordnung politisch konkretisiert, aber noch nicht endgültig geltendes Recht.
• 2. Dezember 2026: Vorgesehener neuer Stichtag für bestimmte Watermarking- und Transparenzpflichten bei KI-generierten Inhalten. Bis zu diesem Zeitpunkt sollen außerdem Systeme im Zusammenhang mit dem neuen Verbot von Nudifier-Apps und vergleichbaren KI-Systemen angepasst werden.
• 2. August 2027: Vorgesehener neuer Stichtag für die Einrichtung nationaler KI-Sandboxes beziehungsweise regulatorischer Reallabore.
• 2. Dezember 2027: Vorgesehener neuer Stichtag für zentrale Pflichten bei eigenständigen Hochrisiko-KI-Systemen, insbesondere bei Hochrisiko-Verwendungszwecken etwa in den Bereichen Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung, Migration, Asyl und Grenzmanagement.
• 2. August 2028: Vorgesehener neuer Stichtag für Hochrisiko-KI-Systeme, die als Sicherheitskomponenten in regulierte Produkte eingebettet sind oder selbst unter sektorales Produktsicherheitsrecht fallen.
• Nächster Schritt: Die politische Einigung muss noch förmlich durch Parlament und Rat angenommen, sprachjuristisch finalisiert und im Amtsblatt der Europäischen Union veröffentlicht werden. Erst danach stehen der endgültige Wortlaut und die verbindlichen Anwendungsregeln fest.

Der Ausblick erscheint damit zweigeteilt:

Einerseits ist klar erkennbar, dass die EU mehr Vereinfachung, Kohärenz und Innovationsfreundlichkeit anstrebt. Andererseits ist ebenso klar, dass gerade die besonders sensiblen Fragen an der Schnittstelle von DSGVO und KI-VO noch politisch und rechtlich umkämpft sind, so dass auch weiterhin erhebliche Rechtsunsicherheiten im Umgang und der Anwendung von DSGVO und KI-Verordnung bestehen bleiben dürften.

Empfehlung daher: Unternehmen sollten deshalb nicht auf einzelne Erleichterungen spekulieren, sondern ihre Governance so aufbauen, dass sie heute schon auf hohem Datenschutzniveau tragfähig und morgen anpassungsfähig ist. Hier kann die Begleitung der unternehmensinternen Prozesse durch externe Expertise eine wertvolle Hilfe sein.

Ausblick: Mehr Zeit, aber keine Entwarnung

Die vorläufige Einigung zum Digital Omnibus on AI vom 7. Mai 2026 bringt Unternehmen mehr Planungssicherheit. Besonders relevant sind die geplanten neuen Fristen für Hochrisiko-KI, Watermarking, KI-generierte Inhalte und regulatorische KI-Sandboxes. Geltendes Recht ist die Einigung aber erst nach förmlicher Annahme und Veröffentlichung im Amtsblatt.

Für Unternehmen bedeutet das: Die zusätzliche Zeit sollte nicht als Aufschub verstanden werden. Wer KI-Systeme einsetzt oder plant, sollte jetzt sein KI-Inventar, die Risikoklassifizierung, die Datenschutz-Folgenabschätzung, AI-Literacy-Maßnahmen, Anbieterprozesse und interne KI-Governance überprüfen.

Die DSGVO bleibt dabei weiterhin voll relevant. Sobald personenbezogene Daten in KI-Projekten verarbeitet werden, müssen Rechtsgrundlage, Transparenz, Zweckbindung, Datenminimierung, Betroffenenrechte und Sicherheitsmaßnahmen belastbar dokumentiert werden.

Der Digital Omnibus on AI schafft damit voraussichtlich Entlastung, aber keine Compliance-Pause. Unternehmen sollten die neuen Fristen nutzen, um ihre KI- und Datenschutz-Compliance rechtssicher und praxistauglich aufzustellen.

Fazit

Der Digital Omnibus ist kein bloß technisches Korrekturpaket. Der Digital Omnibus zielt vielmehr darauf ab, der bislang deutlichste Versuch der EU zu sein, die praktische Verzahnung von DSGVO und KI-Verordnung neu auszutarieren.

Für Unternehmen ist das besonders relevant, weil genau an dieser Schnittstelle die entscheidenden Fragen entstehen: Welche Daten dürfen für KI genutzt werden, für welche Zwecke, auf welcher Rechtsgrundlage, mit welchen Schutzmaßnahmen und unter welchen Governance-Anforderungen, insbesondere auch, welche rechtlichen Anforderungen sind an Input und Output bei KI-Systemen zu stellen und wie verhält es sich beispielsweise mit den Nutzungsrechten und dem Urheberrecht für den Output.

Konkret bedeutet das für Sie und Ihr Unternehmen:

Warten Sie nicht auf den finalen Gesetzestext, sondern schaffen Sie jetzt belastbare Strukturen.

Wer KI-Projekte, Datenschutz-Folgenabschätzungen, AI Literacy, Datenstrategie und interne Verantwortlichkeiten frühzeitig zusammenführt, reduziert nicht nur Rechtsrisiken, sondern gewinnt auch operative Sicherheit für die nächsten Umsetzungsstufen.

Gerade hier liegt der praktische Mehrwert anwaltlicher Beratung. Profizieren Sie dabei von unserer jahrelangen Expertise.

Die Herausforderungen entstehen selten im abstrakten Normtext, sondern in der Übersetzung auf konkrete Tools, Datenflüsse, Prozesse und Verantwortlichkeiten.

Unsere Kanzlei unterstützt Sie dabei, DSGVO und KI-VO konsistent zusammenzudenken, bestehende KI-Anwendungen rechtlich zu überprüfen und Ihre Organisation auf die nächste Phase der europäischen Digitalregulierung vorzubereiten.

Sprechen Sie uns an, wenn Sie Ihre KI- und Datenschutz-Compliance jetzt rechtssicher strukturieren oder den Omnibus-Vorschlag für Ihre Organisation einordnen lassen möchten.