Die EU baut still und leise die Regeln ab, an denen sie 5 Jahre gearbeitet hat
Der Digital Omnibus verschiebt die AI-Act-Pflichten bis 2028 und nimmt bereits eingesetzte Systeme dauerhaft aus. Alles unter dem Vorwand der Vereinfachung.
Die EU baut still und leise die Regeln ab, an denen sie 5 Jahre gearbeitet hat
Fünf Jahre Verhandlungen. Hunderttausende Stunden parlamentarischer Debatten. Und am Ende ein Text, den die Kommission der Welt als Modell für die KI-Regulierung präsentierte.
Seit November 2025 wird ein erheblicher Teil dieser Arbeit wieder rückgängig gemacht. Nicht frontal. Durch eine Reihe von Verschiebungen, Ausnahmen und Neudefinitionen, gebündelt in dem, was man heute den Digital Omnibus nennt.
Was ist der Digital Omnibus?
Im November 2025 hat die Europäische Kommission zwei Texte veröffentlicht: einen, der den AI Act ändert, und einen weiteren, der die DSGVO anpasst. Zusammen bilden sie das "Digitalpaket", umbenannt in Digital Omnibus. Die offizielle Begründung? Administrative Vereinfachung. Bürokratie abbauen, damit europäische Unternehmen gegenüber US-amerikanischen und chinesischen Riesen wettbewerbsfähig bleiben.
Dieses "Wettbewerbs"-Argument ist nicht völlig aus der Luft gegriffen. KI entwickelt sich rasant, und die technischen Standards für die Konformität waren noch nicht fertig. Doch wie man vereinfacht, ist genauso wichtig wie die Vereinfachung selbst.
Was sich konkret am AI Act ändert
Der AI Act ordnet KI-Systeme nach Risikostufen ein. Sogenannte Hochrisikosysteme (Bonitätsbewertung, CV-Screening, biometrische Erkennung, Entscheidungen über Wohnraumzugang) sollten ab August 2026 strengen Pflichten unterliegen: Konformitätsbewertungen, Veröffentlichung der Risikoberichte, verpflichtendes Register.
Der Digital Omnibus verschiebt diese Pflichten für die meisten dieser Systeme auf Dezember 2027, und auf August 2028 für Systeme, die in regulierte Produkte (Medizinprodukte, Fahrzeuge) eingebettet sind. Die Watermarking-Pflicht für KI-generierte Inhalte wird für bereits auf dem Markt befindliche Werkzeuge auf Februar 2027 verschoben.
Am bedeutsamsten ist jedoch die Frage der bereits eingesetzten Systeme. Nach dem Vorschlag der Kommission würden Werkzeuge, die vor den neuen Stichtagen im Einsatz sind, den ursprünglich vorgesehenen Regeln nie unterliegen. Das ist keine Übergangsfrist. Es ist eine dauerhafte Ausnahme. Alles, was heute in europäischen Unternehmen läuft, könnte für immer außerhalb des regulatorischen Rahmens bleiben.
Was sich an der DSGVO ändert
Der DSGVO-Teil des Digital Omnibus erhält weniger mediale Aufmerksamkeit, ist aber potenziell ebenso wichtig. Der Vorschlag verengt die Definition dessen, was als personenbezogene Daten gilt, und erweitert das "berechtigte Interesse" als Rechtsgrundlage für die Datenverarbeitung. Es ist, als würde man die Grenzen eines Grundstücks unauffällig verschieben: Im Alltag merkt es niemand, doch die nutzbare Fläche verändert sich.
Konkret könnten sich Unternehmen leichter auf das berechtigte Interesse stützen, um KI-Modelle zu trainieren, ohne die ausdrückliche Zustimmung der Nutzer einholen zu müssen. Solche Änderungen schaffen es selten in die Schlagzeilen, doch sie verschieben die zugrunde liegenden Gleichgewichte.
Wer hat diesen Text geschrieben?
Im Januar 2026 hat das Corporate Europe Observatory eine vergleichende Analyse zwischen den Lobby-Positionen der Tech-Branche und dem Endtext der Kommission veröffentlicht. Ergebnis: Von acht wesentlichen Änderungen im Digital Omnibus entsprechen sieben direkt dem, was die Tech-Akteure forderten.
Das ist kein statistisches Rauschen. Die Lobbying-Zahlen in Brüssel liefern den Kontext: Der Tech-Sektor gibt heute 151 Millionen Euro pro Jahr für EU-Lobbying aus, gegenüber 113 Millionen im Jahr 2023, ein Anstieg von 33% in zwei Jahren. In Brüssel sind inzwischen 890 Tech-Lobbyisten in Vollzeit tätig, mehr als die Zahl der Abgeordneten. Im ersten Halbjahr 2025 hatten die großen Plattformen 146 Treffen mit hochrangigen Kommissionsbeamten, mehr als eines pro Werktag.
Amnesty International hat den gesamten Prozess als "den größten Rückbau digitaler Grundrechte in der Geschichte der EU, durchgeführt im Verborgenen, mit Verfahren, die darauf ausgelegt sind, demokratische Kontrolle zu vermeiden" bezeichnet.
Das Parlament hat sich teilweise gewehrt
Am 26. März 2026 hat das Europäische Parlament seine Verhandlungsposition mit 569 zu 45 Stimmen verabschiedet. Die Abgeordneten haben einige von der Kommission gestrichene Schutzmechanismen wieder eingeführt und engere Fristen festgelegt. Sie haben unter anderem ein Verbot nicht einvernehmlicher sexueller Deepfakes vorgeschlagen, das im ursprünglichen Entwurf fehlte.
Doch die Fristverschiebungen bleiben im Text. Und die Frage der bereits eingesetzten Systeme ist nicht gelöst.
Der finale Trilog zwischen Kommission, Parlament und Mitgliedstaaten beginnt diesen Dienstag, dem 28. April. Diese Sitzung soll den endgültigen Inhalt des Textes festlegen. Was jede der drei Institutionen in den kommenden Stunden bereit ist abzugeben, wird die tatsächliche Reichweite der Verschiebungen und Ausnahmen bestimmen.
Was das für Sie bedeutet
Wenn Sie Kreditdienste nutzen, automatisierte Recruiting-Plattformen durchlaufen oder von algorithmischen Entscheidungen im Wohnungswesen oder bei sozialen Diensten betroffen sind: Die Schutzmaßnahmen, die der AI Act 2026 bringen sollte, kommen frühestens 2027, für einige Systeme erst 2028.
Und die Werkzeuge, die heute schon in diesen Bereichen laufen? Sie könnten diesen Regeln möglicherweise nie unterliegen.
Um zu prüfen, ob ein System, das Sie betrifft, in die Hochrisiko-Kategorien des AI Act (Anhang III) fällt: Das offizielle Register wird über das Portal des Europäischen KI-Büros zugänglich sein, sobald es online geht. Es ist noch nicht da. Doch es lohnt sich zu wissen, wie die Liste aussieht: Bonitätsbewertung, Recruiting, Bildungsbewertung, Crowd-Management, Zugang zu öffentlichen Diensten.
Die Frage ist nicht, ob diese Systeme reguliert werden sollten. Darüber sind sich sogar Kommission und Kritiker einig. Die Frage ist, in welchem Tempo, und wie weit die Regeln auch für bereits eingesetzte Systeme gelten werden.
Quellen: EDRi, Amnesty International, Corporate Europe Observatory, OneTrust, Europäisches Parlament (Legislativ-Tracker Digital Omnibus), IAPP
