Am Mittwoch, den 19.11.2025, hat die EU-Kommission ihren Vorschlag zur Vereinfachung der europäischen Digitalgesetze („Digitaler Omnibus“) vorgestellt (Pressemeldung der EU-Kommission). Mit diesem Gesetzespaket soll insbesondere die Regulierung der Künstlichen Intelligenz („KI“) entschärft werden.
Die Kommission zielt mit diesem Vorhaben auf Entbürokratisierung und Verringerung des Compliance-Aufwandes ab, um Innovationen zu fördern und die internationale Wettbewerbsfähigkeit europäischer Unternehmen sicherzustellen.
Im Folgenden werden ausgewählte praxisrelevante Änderungsvorschläge für den KI-Einsatz in der KI-Verordnung („AI Act“) sowie auch in der DSGVO dargestellt.
1. Die wichtigsten Änderungen im AI Act
Eine zentrale Änderung ist das verzögerte Inkrafttreten der Vorschriften für Hochrisiko-KI-Systeme:
- Für Hochrisiko-KI-Systeme nach Anhang III soll das Inkrafttreten der Verpflichtungen um knapp 1,5 Jahre verzögert werden (statt 2.8.2026 nun 2.12.2027). Dies betrifft etwa bestimmte KI-Systeme in den Bereichen kritische Infrastruktur, Bildung und im HR-Bereich.
- Für Hochrisiko-KI-Systeme nach Anhang I soll das Inkrafttreten der Verpflichtungen um 1 Jahr verzögert werden (statt 2.8.2027 nun 2.8.2028). Dies betrifft KI-Systeme, die in bestimmte regulierte Produkte integriert sind, wie etwa in Maschinen, Medizinprodukten oder in Kraftfahrzeugen.
- Alternativ ist auch ein früheres Inkrafttreten möglich, und zwar wenn angemessene Mittel zur Unterstützung der Einhaltung der Hochrisiko-Pflichten bereitgestellt wurden (u. a. Kommissionsleitlinien), ein Kommissionsbeschluss gefasst wird und danach eine Übergangsfrist von 6 Monaten (bzgl. Anhang III) oder 12 Monaten (bzgl. Anhang I) vergangen ist.
Außerdem soll die KI-Kompetenz-Pflicht entfallen: Artikel 4 AI Act ist bereits in Kraft und verpflichtet Anbieter und Betreiber von KI-Systemen Maßnahmen zu ergreifen, damit ihre Beschäftigten „über ein ausreichendes Maß an KI-Kompetenz verfügen“. Diese Verpflichtung soll vollständig aufgehoben werden. Stattdessen soll lediglich eine Verpflichtung der Kommission und der Mitgliedstaaten bestehen, die Anbieter und Betreiber von KI-Systemen zu ermutigen, Maßnahmen zur Sicherstellung der KI-Kompetenz zu treffen.
Des Weiteren soll die KMU-Privilegierung auf kleine Midcap-Unternehmen (small mid-cap companies; SMCs) ausgeweitet werden: Dies sind Unternehmen mit (a) bis zu 749 Beschäftigten und (b) entweder einem Jahresumsatz von bis zu EUR 150 Mio. oder einer Bilanzsumme von bis zu EUR 129 Mio. Konkret sollen SMCs, wie auch KMU, als Anbieter von Hochrisiko-KI-Systemen weniger strengen Vorschriften unterliegen (z. B. bzgl. technischer Dokumentation oder Qualitätsmanagementsystemen). Außerdem ist eine mildere Berechnung von Bußgeldern vorgesehen.
2. DSGVO im Umbruch: KI-spezifische Neuerungen
Rechtsgrundlage „berechtigtes Interesse“ für KI-Zwecke: Derzeit besteht rechtliche Unsicherheit, inwiefern diese Rechtsgrundlage im KI-Bereich anwendbar ist. Nach dem Entwurf soll künftig ein berechtigtes Interesse für die Entwicklung und den Betrieb von KI-Modellen und KI-Systemen anerkannt werden. Eine Interessenabwägung ist aber dennoch weiterhin erforderlich. Zusätzlich sollen weitere Voraussetzungen gelten, die aber kaum über die ohnehin schon bestehenden DSGVO-Pflichten hinausgehen.
Verarbeitung sensibler Daten für KI-Zwecke: In Artikel 9 Abs. 2 DSGVO soll eine weitere Ausnahme vom grundsätzlichen Verbot der Verarbeitung von sensiblen Daten vorgesehen werden, was etwa Gesundheitsdaten und Daten über politische Meinungen betrifft. Konkret soll die Verarbeitung für die Entwicklung und den Betrieb von KI-Modellen und KI-Systemen zulässig sein. Dies gilt jedoch nur, wenn konkrete technische und organisatorische Maßnahmen vorgesehen sind, die eine Verarbeitung sensibler Daten (soweit möglich) verhindern bzw. sensible Daten entfernen.
Zulässigkeit automatisierter Entscheidungen: Derzeit besteht rechtliche Unsicherheit, unter welchen Voraussetzungen Entscheidungen mit rechtlicher oder sonst erheblicher Wirkung vollautomatisiert werden dürfen. Grundsätzlich ist gefordert, dass entweder eine gesetzliche Verpflichtung hierzu, eine ausdrückliche Einwilligung oder eine Notwendigkeit zum Vertragsabschluss bzw. zur Vertragserfüllung vorliegt. In letzterem Fall ist strittig, ob eine zwingende Notwendigkeit der Automatisierung vorausgesetzt ist (also eine menschliche Entscheidung – etwa aufgrund des großen Volumens zu entscheidender Fälle – völlig unmöglich sein muss). Künftig soll eine Notwendigkeit zum Vertragsabschluss bzw. zur Vertragserfüllung jedenfalls auch dann argumentiert werden können, wenn alternativ eine Entscheidungsfindung durch einen Menschen möglich wäre.
3. Ausblick
Die Vorschläge der EU-Kommission werden im nächsten Schritt dem Europäischen Parlament und dem Europäischen Rat vorgelegt. Es ist zu erwarten, dass eine Einigung über diese Gesetzesvorhaben erst in einigen Monaten erzielt werden kann. Dies vor allem, weil einige Vorschläge aus datenschutz- und grundrechtlicher Sicht bereits scharf kritisiert wurden.
Aus zeitlicher Sicht ist darauf hinzuweisen, dass das Inkrafttreten der Vorschriften für Hochrisiko-KI-Systeme bevorsteht (ab 2.8.2026). Sollten die Gesetzesvorschläge nicht bereits Monate vor diesem Datum beschlossen werden, müssen sich Organisationen darauf vorbereiten, dass es womöglich doch nicht zur Aufschiebung der Vorschriften für Hochrisiko-KI-Systeme kommt. Auch aus diesem Grund ist generell eine Prüfung und Abklärung anzuraten, ob Hochrisiko-KI-Systeme derzeit im Einsatz sind oder ob ein geplanter KI-Einsatz in die Hochrisiko-Kategorie fallen könnte.
