Am 19. November 2025 hat die Europäische Kommission einen Vorschlag zur Vereinfachung und Weiterentwicklung der europäischen Digitalregulierung veröffentlicht. Der sogenannte Digital-Omnibus bündelt punktuelle, aber wirkungsvolle Anpassungen bestehender Rechtsakte und nimmt unter anderem eine Überarbeitung zentraler Bestimmungen der erst 2024 verabschiedeten KI-Verordnung (Verordnung (EU) 2024/1689) vor. Ziel ist es, Verwaltungsaufwand zu reduzieren und Rechtsklarheit zu schaffen. Für Unternehmen, die KI-Systeme entwickeln oder einsetzen, ergeben sich daraus unmittelbar praxisrelevante Veränderungen, die sowohl Chancen als auch neue Compliance-Pflichten mit sich bringen.
Geplante Änderungen durch den Digital-Omnibus
Der Digital-Omnibus enthält mehrere gezielte Modifikationen der KI-Verordnung. Diese beeinflussen sowohl den Zeitplan der Umsetzung als auch die Compliance-Anforderungen für Unternehmen.
1. Flexible Umsetzungsfrist für Hochrisiko-KI-Systeme
Die Umsetzung zentraler Pflichten für Hochrisiko-KI-Systeme gemäß Anhang III der KI-Verordnung sollen nicht mehr starr ab dem 02. August 2026 gelten. Nach den Änderungen sollen diese erst dann in Kraft treten, wenn die erforderlichen technischen Normen und unterstützenden Instrumente verfügbar sind. Betroffen sind insbesondere Hochrisiko-KI-Systeme in Beschäftigungsverhältnissen, Migration und biometrischer Überwachung. Als spätester Termin für die Umsetzungspflicht wird Dezember 2027 genannt. Allerdings ist eine Geltung deutlich früher möglich, sofern die Standardisierung vorzeitig abgeschlossen wird.
2. Erleichterungen für kleinere Unternehmen
Für kleine und mittelständische Unternehmen (KMU) sowie sogenannte Small Mid-Caps (SMC) sieht der Digital-Omnibus reduzierte formale Pflichten vor. Hierzu zählen insbesondere Vereinfachungen bei Dokumentationsanforderungen und technischen Maßnahmen im Compliance-Prozess. Ziel ist es, die wirtschaftliche Belastung kleinerer Marktteilnehmer abzufedern, ohne das Schutzniveau zu senken.
3. Zentralisierung der Aufsicht bei der EU-Behörde
Die neu gestärkte EU-Behörde (oft als „AI Office“ bezeichnet) soll künftig für KI-Systeme mit allgemeinem Verwendungszweck desselben Anbieters sowie für KI-Systeme auf großen Online-Plattformen bzw. Suchmaschinen zuständig sein. Das AI Office soll dafür mit weitreichenden Überwachungs- und Prüfkompetenzen ausgestattet werden. Die Fragmentierung der Aufsicht zwischen nationalen Behörden soll damit reduziert und eine einheitlichere europäische Durchsetzung ermöglicht werden.
4. Wegfall bestimmter Registrierungspflichten
Anbieter, deren Systeme zwar technisch in den Anwendungsbereich der KI-Verordnung fallen könnten, die jedoch intern und nachvollziehbar dokumentieren, dass kein Hochrisiko-Einsatz vorliegt, sollen von der Pflicht zur Registrierung in der öffentlichen EU-Datenbank befreit werden. Stattdessen soll die interne Dokumentation ausreichen, welche jedoch auf Nachfrage vorgelegt werden muss.
5. Aufweichung der Pflicht zur Vermittlung von KI-Kompetenz
Die ursprünglich verbindliche Pflicht für Anbieter und Betreiber, für ausreichende KI-Kompetenz bei Mitarbeitenden zu sorgen, soll in eine Empfehlung überführt werden. Stattdessen liegt der Fokus künftig auf einer Empfehlung durch die Kommission und die Mitgliedstaaten. Gleichwohl wertet die Kommission nachweisbare Schulungs- und Befähigungsmaßnehmen weiterhin als mildernden Umstand im Rahmen behördlicher Prüfungen.
6. Datenschutzrechtliche Anpassungen für KI-Systeme
Die vorgeschlagenen Anpassungen durch den Digital-Omnibus betreffen auch das Datenschutzrecht im Kontext von KI-Systemen. Sensible Daten sollen künftig zu Entwicklungs-, Trainings- und Betriebszwecken verarbeitet werden dürfen, sofern wirksame technische und organisatorische Maßnahmen bestehen. Zudem soll die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO für das Trainieren von KI-Systemen ausdrücklich anerkannt werden. Dies erhöht die Rechtssicherheit, erfordert aber eine präzise Interessenabwägung und angemessene interne Dokumentationen.
Was bedeutet das für die Unternehmenspraxis?
Für Unternehmen, die mit KI-Systemen arbeiten ermöglicht der Digital-Omnibus eine flexiblere Planung von KI-Projekten, verlangt jedoch zugleich eine vorausschauende Strukturierung interner Prozesse. Besonders relevant wird es sein, interne Einstufungen von KI-Systemen nachvollziehbar zu dokumentieren, Risikoanalysen zu aktualisieren und bestehende Governance-Strukturen an die zukünftige EU-weite Aufsicht anzupassen. Unternehmen sollten zudem beobachten, in welchen Etappen die technischen Standards fertiggestellt werden, denn hiervon hängt ab, wann welche Pflichten tatsächlich greifen.
Fazit
Der Digital-Omnibus ist ein Hinweis darauf, dass sich die europäische KI-Regulierung dynamisch weiterentwickelt. Das Paket erleichtert einzelne Prozesse, schafft aber zugleich neuen, unmittelbaren Handlungsbedarf.
Unternehmen sollten die Übergangszeit daher nicht abwarten. Vielmehr sollten sie diese aktiv zur Stabilisierung ihrer KI-Compliance nutzen, interne Strukturen überprüfen und zukünftige Anforderungen bereits jetzt in ihre strategische Planung integrieren. In der Praxis ergibt sich ein unmittelbarer Bedarf an rechtlicher und technischer Beratung. Gerade im Hinblick auf die korrekte Klassifizierung von KI-Systemen und die fortlaufende Optimierung bestehender Compliance-Strukturen kann Unterstützung entscheidend sein.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
