EU-Kommission will Datenschutz und KI-Recht vereinfachen: Was bringt der "Digital-Omnibus"?

Die Europäische Kommission hat unter anderem Änderungen bei Daten- und KI-Regulierung präsentiert. Balsam für die digitale Lunge?

Der Regulierung folgt die De-Regulierung, der "Omnibus" ist da. Ein Begriff, der zu vielerlei Wortspielen einlädt, jedoch Reichhaltiges in sich trägt. Mit dem sogenannten "Digital Omnibus" hat die Europäische Kommission einen Gesetzesvorschlag präsentiert, durch den viele Bereiche der digitalen Regulierung Änderungen erfahren sollen, allen voran die Datenschutz-Grundverordnung (DSGVO) und die KI-Verordnung. Ein bloßes Aufweichen des Rechts oder eine Anpassung an die Realität – was steckt dahinter?

Datenschutz

Zuerst der Blick auf die Daten. Die DSGVO ist Datenschutzrecht, und Datenschutzrecht ist ein Schutzrecht. Es ist zur Zeit der Röhrencomputer entstanden. In guter Voraussicht erkannte der Gesetzgeber die digitale Kraft und, damit verbunden, das Risiko dieser Technologie, weshalb er das Datenschutzrecht als Schutzrecht konzipierte: Der Schutz der Daten vor der Macht der Technologie.

Über die Jahrzehnte hat sich die Welt gewandelt. Die Menschen sind vom Schutzsubjekt zum (Mit-)Gestalter geworden. Anders formuliert: Während die Röhrencomputer der 70er-Jahre hauptsächlich in der Welt der Forschung und der Regierungen existierten, nutzt heutzutage jeder Social Media, Google Maps und KI-Tools, gestaltet Videos, erstellt Blogs oder Podcasts. Dies macht den ursprünglichen Schutzgedanken des Datenschutzrechts obsolet, es verlangt nach einer Datenregulierung. Denn es geht am Sinn des Rechts vorbei, wenn es die Menschen vor etwas schützen will, das die Menschen wollen, benötigen und tagtäglich nutzen.

Neue Kalibrierung

Diesem Wandel der Zeit zollt der Omnibus durch Präzisierungen Tribut. So betrifft eine der vorgeschlagenen Änderungen eine Kalibrierung des Datenbegriffs, wonach nur dann von einem Personenbezug auszugehen ist, wenn ein Datum mit vernünftigen Mitteln einer Person zuordenbar ist. Bisher war es in der Tat kaum verständlich, wieso nahezu jedes Datum als geschütztes, personenbezogenes Datum zu verstehen ist, nur weil theoretisch irgendwer dessen Personenbezug herbeiführen könnte.

Der Omnibus folgt aber auch einem Lerngedanken. So war (und ist) der Urgedanke der Rechte im Datenschutz, dass der Einzelne die Integrität und Vertraulichkeit seiner Daten schützen kann. Dies als höchstes Gut, denn der Datenschutz ist ein Grundrecht. Ein Grundrecht wirkt nicht beiläufig, sondern fundamental. Ist man in seinem Grundrecht berührt, dann spürt man es. Man benötigt keinen Prozessfinanzierer, der einen inspiriert, in seinem Grundrecht verletzt zu sein. Letzteres war aber eine aggressive Entwicklung der Neuzeit. Furcht, Zorn und Ärger wegen der Verwendung von Daten zu verspüren, die man selbst bedenkenlos auf diversen Plattformen offenlegt, um Schadenersatz zu reklamieren, hat mit einer Grundrechtsverletzung nichts zu tun. Ebenso wenig das "Abkaufen" von Auskunftsbegehren. Indem der Omnibus nun Missbrauchsschranken einzieht, bedeutet das kein Aufweichen des Datenschutzes, wie mancherorts behauptet, sondern schlicht eine Reaktion des Gesetzgebers.

KI-Regulierung

Nun der Blick auf die KI. Der Omnibus spezifiziert den bisherigen "one size fits all" Regulierungsansatz der KI-Verordnung, indem er den Pflichtenumfang für KMUs reduziert. In Kombination mit Änderungen der DSGVO soll das Terrain zur Verwendung von Trainingsdaten erweitert werden. Zusammengefasst möchte der Omnibus damit einen vertieften Schwerpunkt auf die Richtigkeit von KIs und auf deren Bias-Vermeidung setzen.

Interessant sind auch die vorgeschlagenen Änderungen zur "AI Literacy". Die bisher inhaltsleere Rechtspflicht der Unternehmen zur Schaffung von KI-Kompetenz innerhalb der Belegschaft wird durch die Pflicht des Staates zur Schaffung von Schulungsvorgaben ersetzt. Mit diesem Abgehen vom bisherigen "schult euch selbst, wie auch immer" – Ansatz folgt der Omnibus dem Versuch, das Recht realitätsnäher zu gestalten. Im gleichen Sinn begegnet der Omnibus dem "consent fatigue" Phänomen, also dem bloßen Wegklicken ungelesener Informationen, indem die Anforderungen an Cookie Banner und an Datenverarbeitungsinformationen reduziert werden sollen. Ebenso steht eine Vereinfachung des zwischen der DSGVO, der KI-Verordnung, NIS und DORA wuchernden Behördendschungels bei der Meldung von Sicherheitsvorfällen am Programm.

Ambitioniertes Vorhaben

In einer Gesamtbetrachtung ist der Omnibus sehr ambitioniert. Er enthält eine Vielzahl an Änderungsvorschlägen, auch in anderen Rechtsbereichen. Wird die Regulierung nun aufgeweicht, kann die Wirtschaft aufatmen? Mitnichten. Denn weniger als De-Regulierung bedeutet der Omnibus Kalibrierung. Durch ihn werden Teile des Rechts realistischer, verständlicher – und damit auch umsetzbarer. Das ist kein Abschaffen des Schutzes der Daten oder KI-Lobbying, sondern ein Verlangen nach unternehmensseitiger, gezielter Auseinandersetzung mit Rechtspflichten und deren Umsetzung. Ein entspanntes Aufatmen und Zurücklehnen ist darin nicht zu erkennen. Vielmehr könnte man sagen, dass das Recht nun erwachsen wird.

Ambition bedeutet Diskussion. Der Omnibus ist Ambition, nun folgt in Brüssel die Diskussion. Deren Ergebnisse bleiben abzuwarten, die Zeichen der Zeit sind allerdings gesetzt: Schneller, höher, strenger – ein Regulierungsansatz, dessen Tauglichkeit sich nicht bewahrheitet hat. Dies hat die Europäische Kommission erkannt. Das Handeln des Gesetzgebers bleibt abzuwarten. (Günther Leissler, 2.12.2025)

Autor: Günther Leissler