Europa im KI‑Dilemma: Digital Omnibus bringt Änderungen an EU AI Act, DSGVO & Co.
Die Europäische Kommission will mit dem EU AI Act ein globales Vorbild schaffen für vertrauenswürdige und regulierte künstliche Intelligenz. Doch mit dem nun vorgestellten Änderungen durch das „Digital Omnibus“-Paket zeichnet sich eine signifikante Kursänderung ab: Nach Widerstand vor allem der großen Tech-Konzerne und der US-Regierung sollen zentrale Hochrisiko-KI-Regeln aufgeweicht und verschoben werden. Zugleich warben in diesen Tagen der französische Präsident Macron und der Deutsche Bundeskanzler Merz dafür, dass Europa mehr „digitale Souveränität“ brauche, um nicht zum Spielball der USA und Chinas zu werden.
Die hochkomplexen globalen Lieferketten vieler Konzerne und Mittelständler auch hier in Deutschland illustrieren, wie gefährlich eine solche Abhängigkeit wäre. Deutlich wurde diese Verwundbarkeit in den vergangenen Monaten mehrfach, zum Beispiel durch den Internationalen Strafgerichtshof: Nach Druck aus der US-Regierung wurde dem Chefankläger Karim Khan der Zugang zu seinen Dienst-E-Mails schlichtweg durch Microsoft blockiert. Nun kommt es zum bemerkenswerten Wechsel des gesamten Strafgerichtshofes, weg von Microsoft hin zu einem deutschen Office-Paket-Anbieter. Die Botschaft ist klar: Wer souverän agieren will, kann dies unter Umständen nicht mit digitalen Lösungen der US-Tech-Giganten.
All diese Entwicklungen werfen die Frage auf: Können Unternehmen es sich leisten, auf die finalen Regelungen der EU zu warten? Oder müssen sie jetzt schon aktiv werden, um sich vor Risiken durch KI, Big-Tech-Abhängigkeit und Co. zu schützen?
Um uns dieser Frage zu nähern, werfen wir zunächst einen genauen Blick auf die betroffenen Gesetze, die angekündigten Änderungen sowie die Kritik daran – und was diese für Ihr Unternehmen bedeuten können.
Der EU AI Act im Überblick
Der EU AI Act trat im August 2024 in Kraft, mit der Absicht, strenge Regeln für KI-Systeme mit hohem Risiko zu etablieren. So umfasst er unter anderem
- Vorgaben für Transparenz, Datenqualität und zur Auditierbarkeit solcher KI-Systeme,
- insbesondere in sensiblen Bereichen wie Gesundheit, Beschäftigung oder Strafverfolgung.
Für Unternehmen bedeutet dies erhebliche Anforderungen – etwa bei Dokumentation, Governance und Risikoüberwachung. KI-Systeme unterliegen dabei je nach Risikostufe unterschiedlichen rechtlichen Verpflichtungen und Anforderungen an die Einhaltung von Standards und Fristen gemäß EU AI Act. Hierbei zeigten sich zudem erneut für viele Firmen die Grenzen einer manuellen Verwaltung von Nachweisen oder eines Austauschs von Vertrauensdokumenten mit unsicheren Systemen wie E-Mails auf.
November 2025: Neue Entwicklungen für EU AI Act durch Digital Omnibus
Am 19. November 2025 schlug die Europäische Kommission vor, zentrale Teile der Hochrisiko-KI-Regeln des EU AI Acts von August 2026 auf Dezember 2027 zu verschieben.
Gleichzeitig soll das „Digital Omnibus“-Paket mehrere digitale Regulierungsbereiche entlasten, etwa durch Abbau von Bürokratie. Auch eine stärkere Synchronisation ist angestrebt, damit sich Regeln nicht widersprechen oder doppelte Bürokratie entsteht.
Offizielle Stimmen der Kommission betonen, dass diese Verschiebung durch den Omnibus keine Deregulierung, sondern eine „kritische Überprüfung“ sei, um das Regelwerk besser mit den technischen Realitäten in Einklang zu bringen.
Dies betrifft nicht nur den EU AI Act, sondern auch die anderen im „Digital Omnibus“ thematisierten Entwürfe für Digitalgesetze.
Was ist der „Digital Omnibus“ der EU – und warum verändert er so viel für Bürger:innen und Geschäftswelt?
Der Digital Omnibus ist ein zentrales Element der europäischen Digital- und KI-Regulierung. Als umfassendes Rahmenwerk schafft der Digital Omnibus die rechtlichen Grundlagen und die Struktur für die Klassifizierung und Regulierung von KI-Systemen in Europa. Unternehmen jeder Größe müssen sich mit diesen neuen Anforderungen auseinandersetzen, um weiterhin rechtskonform agieren zu können.
Der Digital Omnibus – Definition & Zielsetzung
Das äußerst umfassende Reformpaket der EU-Kommission zielt darauf ab, Regulierungen in den Bereichen KI, Cybersicherheit und Daten zu straffen und zu vereinfachen.
Laut EU-Kommission sei ein wichtiges Ziel, den administrativen Aufwand für Unternehmen zu senken und mehr Raum für Innovation zu schaffen, ohne dabei das hohe Niveau von Sicherheit und Grundrechten aufzugeben.
Welche Gesetze sind im Digital Omnibus?
Das Gesetzespaket „Digital Omnibus“ der Europäischen Kommission umfasst unter anderem Regeln für EU AI Act, EU Cyber Resilience Act (CRA), EU Data Act, EU Data Governance Act (DGA), GDPR (DSGVO) und ePrivacy.
Diese verschiedenen Gesetzen und Regulierungen prägen maßgeblich die Entwicklung und Umsetzung von KI-Technologien, aber auch die Cybersicherheit, den Datenschutz und die Datenrechte der Bürger:innen in der Europäischen Union.
Übersicht über Gesetze im Digital Omnibus der EU
Wir beleuchten hier kurz, welche Ziele die jeweiligen Gesetzespakete verfolgen, welcher Bereich des Lebens und Wirtschaftens dabei im Fokus steht und ab wann das jeweilige EU-Gesetz greift.
EU AI Act
- In Kraft: 01.08.2024
- EU-weit anwendbar: Verbote ab 02/2025, GPAI ab 08/2025, Hochrisiko ab 08/2026, Vollanwendung Aug 2027 (bisherige Planung)
- Ziel: Sicherstellung von transparenter, vertrauenswürdiger und sicherer Nutzung von KI Anwendungen in Europa
- Fokus: KI-Systeme aller Arten, besonders Hochrisiko-KI in Gesundheit, Strafverfolgung, Beschäftigung, kritischer Infrastruktur
Cyber Resilience Act (CRA)
- In Kraft: 11.12.2024
- EU-weit anwendbar: Mehrere Stufen bis Dezember 2027
- Ziel: Einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen schaffen
- Fokus: Hardware und Software mit digitalen Elementen, z. B. IoT-Geräte, Apps, Industriesteuerungen
Data Act
- In Kraft: Seit 11.01.2024
- EU-weit anwendbar: Seit 12.09.2025
- Ziel: Einen fairen, einheitlichen Rechtsrahmen für den Zugang zu und die Nutzung von Daten schaffen.
- Fokus: Besonders auf Daten von vernetzten Geräten (IoT, Internet of Things), z. B. Haushaltsgeräte, industrielle Maschinen, Fahrzeuge sowie die damit verbundenen Dienste
Data Governance Act (DGA)
- In Kraft: 24.06.2022
- EU-weit anwendbar: 24.09.2023
- Ziel: Vertrauen beim Teilen von Daten erhöhen und Hindernisse für Datennutzung abbauen
- Fokus: Daten in öffentlich-rechtlicher Hand oder mit sensiblen Inhalten. z. B. Gesundheits-, Energie- oder Mobilitätsdaten
ePrivacy
- In Kraft: Richtlinie 2002/58/EG, fortlaufend angepasst seit 2002
- EU-weit anwendbar: seit 2002
- Ziel: Schutz der Privatsphäre bei elektronischer Kommunikation.
- Fokus: Zugriff und Speicherung von Informationen auf Endgeräten, z. B. Cookies und Tracking.
GDPR (DSGVO)
- In Kraft: 25.05.2018
- EU-weit anwendbar: seit 25.05.2018
- Ziel: Schutz personenbezogener Daten stärken, Rechte von Bürger:innen harmonisieren und einen einheitlichen europäischen Datenschutzrahmen schaffen
- Fokus: Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen; einschließlich Transparenz, Zweckbindung, Datensicherheit, Betroffenenrechte, Meldung von Datenschutzverletzungen und Rechenschaftspflichten
Wie betreffen die neuen Vorschläge den EU AI Act & die anderen Omnibus-Gesetze?
Um die Wirtschaft anzukurbeln, und wohl auch beeinflusst durch den Druck von US-Regierung und Tech Riesen, hat die EU-Kommission nun Änderungen verkündet, wie zum Beispiel die strengeren Regeln zur Nutzung von Hochrisiko-KI erst später einzuführen. Statt im August nächsten Jahres, sollen sie erst im Dezember 2027 greifen.
Zudem schlägt die EU-Kommission nun Veränderungen an den Gesetzespaketen selbst vor. Im Vordergrund geht es um eine Vereinfachung und Entbürokratisierung, mit dem Ziel, die Wirtschaft des Staatenbundes zu fördern und allein bis 2029 fünf Milliarden Euro an Verwaltungskosten einzusparen. Ein genauerer Blick auf die einzelnen Gesetze im Digital Omnibus offenbart zudem, dass hier einige inhaltliche Abschwächungen vorgenommen wurden. Kritiker:innen sprechen sogar von einer Verwässerung des Vorhabens, zulasten von Bürger:innen und Verbraucher:innen in der EU.
Welche konkreten Änderungen will die EU-Kommission an EU AI Act, GDPR & Co.?
Hier sind einige der wesentlichen Neuerungen, die im Rahmen des Digital Omnibus kommen sollen:
EU AI Act:
- Abbau von Dokumentationspflichten für kleinere Unternehmen
- Ausweitung von Compliance-Maßnahmen: Die neuen Regelungen betreffen nicht nur die Prozesse, sondern auch verschiedene Anwendungen von KI-Systemen, die je nach Risikoklasse unterschiedlich reguliert werden. So werden beispielsweise bestimmte Anwendungen in Bereichen wie Strafverfolgung, Online-Inhalts-Personalisierung oder kritische Infrastrukturen besonders berücksichtigt.
- Ausdehnung der Befugnisse des EU AI Offices für eine einheitliche Governance
- Anpassungen bei Hochrisiko-KI (u.a. Fristverschiebung)
General Data Protection Regulation (GDPR = DSGVO):
- wird im Deutschen EU-Datenschutz-Grundverordnung (DSGVO) odergenannt
- Vereinfachung bei Melde- oder Dokumentationspflichten
- Ziel: Förderung von Innovationen und Wirtschaft
- das Herzstück der DSGVO, das höchste Schutzniveau für personenbezogene Daten, bleibe laut Kommission bestehen
Cyber Resilience Act (CRA)
- Einführung eines zentralisierten Meldesystems für Cybervorfälle („Single-Entry“): Unternehmen müssen künftig Cybervorfälle, die beispielsweise durch Cyberangriffe auf Server wie Denial-of-Service- oder DDoS-Attacken ausgelöst werden, zentral melden.
Cookie-Regeln / e-Privacy
- Vorschlag: vereinfachte Nutzerzustimmung, zum Beispiel durch weniger häufige Cookie-Banner
Warum die Änderungen durch den Digital Omnibus viele Bürger:innen freuen
Durch die vorgeschlagene Neugestaltung der Zustimmung zu Cookies sollen die lästigen Cookie-Banner auf jeder einzelnen Webseite wegfallen. Stattdessen sollen Internetnutzende künftig einfach einmal pro Browser ihre Präferenz festlegen und dann ohne Störungen surfen können. Für viele Verbrauchenden eine gute Nachricht.
Warum die Änderungen an EU AI Act & Co. umstritten sind
»Dieses digitale Omnibus-Paket ist nicht ausreichend, um Europas Regulierungsdschungel zu lichten. Die angekündigten Änderungen bringen zwar einige Erleichterungen für die Unternehmen, damit Europa digital wettbewerbsfähig und souverän wird, reicht der jetzige Vorschlag aber nicht aus. Wir dürfen es nicht bei vielfach kosmetischen Korrekturen belassen. Die EU braucht viel mehr Mut, Bürokratie und Überregulierung drastisch zu reduzieren und vor allem widersprüchliche Regeln konsequent zu streichen.«
Kritiker sehen in den Anpassungen durch den Digital Omnibus einen drastischen Eingriff. Stellvertretend für viele Kritiker:innen geben wir hier dem Bundesverband der Verbraucherzentralen das Wort. Dieser warnt davor, dass mit der Vereinfachung Grundrechte geschwächt werden könnten – insbesondere beim Datenschutz und bei der Kontrolle von KI-Systemen. Dabei wird besonders auf die Gefahr hingewiesen, dass eine Schwächung des Datenschutzes und der Grundrechte erhebliche Risiken für Verbraucher:innen birgt.
»Eine Vereinfachung der digitalen Gesetze darf nicht zur Deregulierung auf Kosten unserer Grundwerte werden. […] Wenn die EU diese Regeln lockert, liefert sie den Unternehmen Schlupflöcher auf dem Silbertablett und schwächt gleichzeitig die Rechte der Verbraucherinnen und Verbraucher.«
Die Forderungen des Bundesverbands sind klar: eindeutige Regeln und das Beibehalten des bestehenden Schutzniveaus.
Notwendige Deregulierung oder Freibrief für Big Tech?
Pro & Kontra zum Omnibus und den AI-Act-Änderungen
Kommt die EU-Kommission den Forderungen der Wirtschaft zu weit entgegen? Oder bremst sie mit zu viel Regulierungen das Wachstum in der Europäischen Union aus? Das Thema ist hochkomplex und Gegenstand intensiver Debatten von Politiker:innen, Lobbyverbänden und NGO. Wir greifen daher hier nur die wichtigsten Punkte kurz auf.
Pro: Argumente für Vereinfachung und Verzögerung von EU AI Act & Co.
- Durch die Straffung der Regeln sollen kleinere Unternehmen (KMU) entlastet werden, damit sie nicht durch überbordende Compliance erstickt werden.
- Frankreich und Deutschland setzen sich für die Verschiebung ein, um Innovation zu stärken und die Umsetzung realistischer zu gestalten.
- Die Kommission sieht die Verzögerung als Chance, technische Standards, Leitlinien und Infrastrukturen – etwa für Audits – ordnungsgemäß aufzubauen, bevor die Regeln breit gelten.
Kontra: Kritik & Risiken der neuen EU-Abschwächung des Digital Omnibus
- Verbraucherschützer:innen warnen, dass mit weniger strengen Vorschriften der Schutz der Daten und Grundrechte gefährdet wird. Angesichts der aktuellen Bedrohungslage im Cyberraum, die durch die Lockerung der Vorschriften weiter verschärft werden könnte, ist besondere Vorsicht geboten.
- Es bestehe das Risiko, dass „Vereinfachung“ in der Praxis zu einer Verwässerung wichtiger Schutzmechanismen führt, insbesondere im Datenschutz und bei KI‑Transparenz.
- Die Grünen/EFA befürchten, dass das Paket großen Tech-Konzernen zu viel Freiheit gewährt, ohne dass eine starke Kontrolle erfolgt, und sprechen sogar von einem Freibrief für Big Tech.
»Vereinfachung ja – aber nicht als Deckmantel für Deregulierung, die Bürgerinnen und Bürger entrechtet. Europa muss dringend dafür sorgen, dass Kapital in europäische Unternehmen und digitale Innovation investiert wird, die den Menschen wirklich nutzt. Aber das Aushöhlen von Grundrechten wie der Nutzung von personenbezogenen Daten für das KI-Training gegen den Willen der Menschen schafft keine Innovation, sondern noch mehr Abhängigkeiten von machtvollen Konzernen, die eng mit einer zunehmend autoritär regierenden Regierung zusammenarbeiten.«
Anwendungsbereiche von KI und Regulierung in Europa
Künstliche Intelligenz (KI) ist längst ein fester Bestandteil zahlreicher Branchen in Europa. Ob in der Gesundheitsversorgung, im Verkehrssektor, in der industriellen Produktion oder bei der Energieversorgung: KI-basierte Anwendungen treiben Innovationen voran, steigern die Effizienz und eröffnen neue Geschäftsfelder. Gleichzeitig wachsen mit der zunehmenden Nutzung von KI auch die Risiken für Unternehmen und Organisationen: von Datenschutzverletzungen über Manipulation bis hin zu unklaren Verantwortlichkeiten bei automatisierten Entscheidungen.
Um diesen Herausforderungen zu begegnen und die Vorteile der KI-Technologien verantwortungsvoll zu nutzen, setzt die Europäische Union auf einen klaren regulatorischen Rahmen. Der EU AI Act bildet dabei einen zentralen Baustein: Er definiert, wie KI-Systeme in der EU entwickelt, getestet und eingesetzt werden dürfen, und stellt sicher, dass Innovation nicht auf Kosten von Datensicherheit, Transparenz oder Verbraucherschutz geht. Denn auch das Trainieren von KI ist hier wichtig: Welche Daten dürfen dafür verwendet werden und welche unterliegen dem Datenschutz?
Für Unternehmen und Organisationen bedeutet das: Sie müssen ihre internen Prozesse, Anwendungen und Services an die neuen Gesetzen anpassen, um die Compliance sicherzustellen und das Risiko von Datenlecks, Missbrauch oder rechtlichen Konsequenzen wie Strafzahlungen zu minimieren. Der EU AI Act verpflichtet insbesondere bei sogenannten Hochrisiko-Anwendungen zu umfassender Dokumentation, Risikobewertung und Nachweisführung. Solche Anforderungen sind ohne digitale Lösungen wie Kevla TrustDocS und automatisierte Workflows kaum noch effizient zu erfüllen sind.
Was bedeuten die Änderungen am EU AI Act für Unternehmen heute?
Auch wenn zentrale KI-Vorgaben der Europäischen Union erneut verschoben werden sollen, ändert das nichts an der Realität für viele Unternehmen: Investorinnen, Geschäftspartner und Auditor:innen erwarten bereits jetzt Nachweise über Risiken, Dokumentation und Governance von KI-Systemen. Die Einhaltung der neuen Vorschriften kann entscheidend sein, um Glaubwürdigkeit und Wettbewerbsfähigkeit im digitalen Umfeld zu stärken.
Die EU-Kommission hatte im Rahmen einer „Call for Evidence“-Konsultation explizit Unternehmen, Forschungseinrichtungen und andere Stakeholder aufgefordert, ihre Best Practices und Erfahrungen bei der Umsetzung von Datengesetzen, Maßnahmen für mehr Cybersicherheit und KI-Regeln einzubringen. Dies zeigt deutlich, dass die Kommission von Unternehmen erwartet, bereits heute Strukturen für KI-Risikomanagement, Governance und Compliance zu implementieren.
Darüber hinaus bieten die neuen Änderungen durch den Digital Omnibus möglicherweise kurzfristig Entlastungen oder eine Schonfrist für Firmen. Zugleich entstehen jedoch neue Unsicherheiten, da Regeln erneut angepasst werden könnten.
Der kritische Punkt: Sicherheitsvorkehrungen sind bereits unternehmerische Pflicht
Unbenommen, wie der EU AI Act und die anderen Gesetze durch den Digital Omnibus letztlich im Detail aussehen, die europäischen Unternehmen, vom Start-up bis zum Großkonzern, stehen bereits in der Verantwortung: Konzerne, Mittelständler oder auch kommunale Versorger können es sich nicht leisten, auf eine finale Regulierung durch die EU zu warten, sondern müssen jetzt ihre Daten und Betriebsgeheimnisse, ihre Lieferketten und Produktion, ihre Compliance und Reputation schützen. Eine gut strukturierte Organisation ist dabei entscheidend, um Maßnahmen für Cybersicherheit effektiv zu implementieren und Prozesse, Menschen sowie Technologien optimal zu integrieren.
Denn folgende Risiken können die Produktion, den Gewinn oder gar die Existenz von Firmen jederzeit gefährden:
- fehlerhafte oder unsichere Informationen aus unsicheren KI-Quellen,
- unklare Rechtslage, ob die von der KI zum Training genutzten Daten EU-konform sind,
- mangelnde Dokumentation, die u.a. Reputationsschäden und Probleme bei Zertifizierungen oder Audits mit sich bringen kann,
- Lücken in der Cybersicherheit durch unklare Cyber-Security-Zertifikate,
- Abfluß von sensiblen Daten an Anbieter von KI-Lösungen.
Diese Risiken potenzieren sich zudem, je komplexer die Lieferkette Ihres Unternehmens ist. Zugleich steigen, selbst mit einem verzögerten EU AI Act, die Erwartungen entlang der gesamten Wertschöpfungskette, insbesondere bei Geschäftspartnern und Kundinnen: Wer KI-Systeme oder KI-Module von Drittanbietern bezieht, muss im Zweifel deren Zuverlässigkeit, Dokumentation und Sicherheitsstandards nachweisen können.
Digital Omnibus & EU AI Act: Wie Unternehmen jetzt handeln können
Sie können mit einigen Maßnahmen Ihr Unternehmen für künftige Gesetzesänderungen, das in Krafttreten weiterer Stufen des EU AI Acts, aber auch mögliche Krisen wappnen. Es gilt, Ihre Lieferkette auf Schwachstellen abzuklopfen und Ihre Firma mit den vorhandenen Vertrauensdokumenten nicht nur auditsicher, sondern auch krisenfester zu machen. Zusätzlich empfiehlt es sich, ein geeignetes Tool einzusetzen, das Sie bei der Einhaltung gesetzlicher Vorgaben wie dem EU AI Act unterstützt und den Umgang mit regulatorischen Anforderungen erleichtert. Wir beraten Sie gerne zu Ihren Möglichkeiten zur automatisierten Verwaltung und dem fälschungssicheren Austausch von Vertrauensdokumenten.
Fazit: Warten auf die EU und den EU AI Act ist keine sinnvolle Strategie für Ihr Unternehmen
Die neuen Vorschläge der EU-Kommission durch den Digital Omnibus zeigen, dass die EU zwar Bürokratie abbauen möchte, die Risiken aus unsicherer Anwendung von KI-Tools und Cybersicherheit aber real bleiben.
Unternehmen sollten daher nicht auf die endgültige Regulierung warten, sondern müssen bereits heute Transparenz, Sicherheit und Compliance entlang der Lieferkette sicherstellen. Ein proaktives Vorgehen legt den Grundstein für KI- und Cybersicherheit bei Service Providern, Zulieferern und Herstellern. Mit einfachen Schritten und smarten IT-Lösungen wie Kevla TrustDocS können Unternehmen jeder Größe bereits jetzt aktiv Risiken minimieren und ihre Prozesse sowie ihre Lieferkette krisenfester machen.
Kevla unterstützt Ihr Unternehmen dabei, diesen Weg effizient und zuverlässig zu gestalten: durch automatisierte Zertifikatsverwaltung, Schutz vor Manipulation und Ad-hoc-Auditfähigkeit – als sichere Lösung für die Gegenwart und als Fundament für die Anforderungen von morgen.
Unsere Experten beraten Sie gerne!
