Kurz vor der erwarteten offiziellen Annahme durch das Kollegium der EU-Kommission am 19. November 2025 ist ein Zwischenstand des Gesetzespakets veröffentlicht worden (gekennzeichnet als „XXX draft“). Die Veröffentlichung folgt auf die Konsultationsphase, die am 14. Oktober 2025 endete.
Das Paket adressiert bestehende Compliance-Herausforderungen, indem es den regulatorischen Aufwand ("radically lighten the regulatory load") reduzieren soll, ohne die etablierten Grundrechtsstandards zu senken.
Dies beendet Spekulationen über Verzögerungen, die unter anderem durch die eher liberale Ausrichtung der US-Gesetzgebung im Bereich KI befeuert wurden. Die Kommission betont "klare Definitionen" und einen "pragmatischen Ansatz".
worum geht es in den entwürfen?
Kontext und Betroffenheit
Die Vorschläge richten sich primär an Anbieter und Betreiber von KI-Systemen (vgl. Art. 3 AI Act) sowie Datenverarbeiter (vgl. Art. 4 DSGVO).
Wer keine sensiblen Daten für KI-Training nutzt oder keine Plattformen betreibt, ist weniger direkt betroffen – die Rolle beschränkt sich potenziell auf die des Anwenders. Dennoch können Anforderungen indirekt ausstrahlen (z.B. durch das zentrale Meldesystem). Insbesondere in Grauzonen (z.B. bei signifikanten Modifikationen eines Modells) ist eine klare Rollenabgrenzung essenziell, um Compliance-Risiken zu vermeiden.
Inhaltliche Schwerpunkte
Die Entwürfe gliedern sich in zwei Kernbereiche:
1. Omnibus A: Daten (Data Act, DSGVO, ePrivacy)
Dieses Paket fokussiert sich auf die Konsolidierung der Datenwirtschaft und eine praxisnähere Anpassung der DSGVO.
Data Act wird zum zentralen Instrument:
- Die Verordnungen über Data Governance (DGA), den freien Fluss nicht-personenbezogener Daten (FFDR) und die Open-Data-Richtlinie (ODD) werden vereinheitlicht und in ihrer bisherigen Struktur aufgeboben.
- Ihre Kerninhalte werden gestrafft und in den Data Act überführt, der "one single consolidated instrument" werden soll.
Gezielte Lockerung der DSGVO:
- Meldepflicht (Art. 33 DSGVO): Die Schwelle für die Meldung von Datenschutzverstößen an Behörden wird von "einem Risiko" auf ein "hohes Risiko" angehoben.
- Meldefrist (Art. 33 DSGVO): Die Frist für die Meldung wird von 72 auf 96 Stunden verlängert.
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Der Europäische Datenschutzausschuss (EDSA) soll EU-weit einheitliche Listen für erforderliche DSFAs erstellen, um die aktuelle Zersplitterung zu beenden.
Neuregelung der ePrivacy-Regeln (Cookie-Banner):
- Zur Minimierung der Zustimmungsmüdigkeit von Cookie-Bannern soll die Verarbeitung von Daten von Endgeräten ausschließlich der DSGVO unterliegen.
- Dies öffnet die Tür, statt der pauschalen Einwilligung, auch andere Rechtsgrundlagen (z.B. berechtigtes Interesse) zu nutzen und automatisierte Signale (z.B. Browser-Einstellungen) zuzulassen.
Zentrales Cyber-Meldeportal:
- Ein "Single-Entry Point" bei der ENISA soll doppelte Meldepflichten (z.B. nach NIS2, DORA, DSGVO) nach dem Prinzip "report once, share many" beenden.
2. Omnibus B: Künstliche Intelligenz (AI Act)
Dieses Paket zielt auf eine klarere und vereinfachte Implementierung des AI Acts ab.
Neue Rechtsgrundlage für KI-Bias-Training (Neuer Art. 4a AI Act):
- Es wird explizit erlaubt, besondere Datenkategorien (Art. 9 DSGVO) zu verarbeiten, sofern dies ausschließlich zur Erkennung und Korrektur von Voreingenommenheit (Bias) notwendig ist.
Vereinfachte Compliance:
- Wegfall der Registrierungspflicht (Art. 49 AI Act): KI-Systeme, die zwar in einen Hochrisiko-Bereich fallen, vom Anbieter aber (nach Art. 6(3)) als nicht-hohes Risiko eingestuft werden, müssen nicht mehr in der EU-Datenbank registriert werden.
- Post-Market Monitoring (Art. 72 AI Act): Die Pflicht zum Plan bleibt, aber die Kommission wird kein starres Template vorschreiben, sondern flexiblere Leitlinien veröffentlichen.
Übergangsfristen und Erleichterungen:
- Watermarking (Art. 50/111 AI Act): Für generative KI-Systeme, die bereits vor dem 2. August 2026 auf dem Markt waren, wird eine Übergangsfrist bis zum 2. August 2027 für die Implementierung der Watermarking-Pflicht gewährt.
- Erleichterungen für "Small Mid-Caps" (SMCs): Regulatorische Vorteile (z.B. vereinfachte Doku), die bisher oft nur für KMU galten, werden explizit auf "Small Mid-Caps" ausgeweitet.
Zentralisierung der KI-Aufsicht:
- Das AI Office erhält eine gestärkte Aufsichtsrolle, insbesondere für KI-Systeme, die in sehr große Online-Plattformen (VLOPs) integriert sind.
Wir halten Sie wie gewohnt auf dem Laufenden, sobald die finalen Texte vorliegen und der Gesetzesentwurf verabschiedet wurde. Wir freuen uns auf einen Dialog mit Ihnen, um individuelle Auswirkungen und strategische sowie fachliche Implikationen zu besprechen.