Die EU-Kommission plant mit dem Digitalen Omnibus, eine Vielzahl europäische Digitalverordnungen abzuschwächen. Betroffen sind zum Beispiel Regulierungen zu Datenschutz (DSGVO), Online-Plattformen (DSA) und Künstlicher Intelligenz (KI-VO). Dies würde die Rechte von Verbraucherinnen und Verbrauchern sowie digitale Schutzmaßnahmen gegen Überwachung stark abschwächen. Dieser Maßnahmen zugrunde liegt das altbekannte Argument, dass Regulierung Innovation und Wettbewerb schwäche. Eine Fehlannahme, wie inzwischen eine Reihe von Studien belegen.

Laut dem Oxford Institute for Ethics in AI gab es vor 2010 in Europa kaum Regeln für Tech-Unternehmen – also genau zu der Zeit, als Meta und Google entstanden sind. Zu viele Regeln sind demnach nicht das Problem, weshalb Europa keine eigenen “Tech-Riesen” hervorgebracht hat. Auch das Europäische Parlament weist auf die fehlende Kausalität zwischen Regulierung und Innovationsschwäche hin. Expertinnen und Experten nennen stattdessen vor allem zwei Gründe für Europas Rückstand: Es fehle ein gemeinsamer digitaler Markt und ein einheitlicher Kapitalmarkt in der EU.

Doch von diesen Erkenntnissen scheint die EU-Kommission nicht wissen zu wollen. Stattdessen plant sie unter dem Deckmantel von Vereinfachung und Entbürokratisierung eine weitreichende Deregulierungsagenda.

Wie die EU-Kommission Digitalrechte abbauen will

Mit dem digitalen Omnibus plant die EU-Kommission die Datenschutzgrundverordnung (DSGVO) abzuschwächen. Das ist eines der wichtigsten Gesetze zum Schutz der Privatsphäre, dem Recht an den eigenen Daten und der informationellen Selbstbestimmung. Zentrale Begriffe wie „personenbezogene Daten“ und „sensible Informationen“ sollen neu definiert werden. Damit würden intime Informationen von Bürgerinnen und Bürgern sowie deren Nutzungsverhalten, etwa auf welchen Internetseiten man sich aufhält oder welche Musik und Videos man streamt, nicht mehr unter den bisherigen strengen Datenschutz fallen. Unternehmen, Datenhändler und KI-Entwicklerinnen könnten solche Daten viel umfassender sammeln und nutzen – etwa zum Training von KI-Systemen oder für personalisierte Werbung – ohne die Menschen vorher zu informieren oder um ihre Einwilligung zu bitten. Die Missachtung des Datenschutzes, eines der wichtigsten Schutzmaßnahmen für Bürgerinnen und Bürger, wird damit legitimiert. Anbieter wie Meta oder OpenAI, die das ohnehin schon machen, können dann auch nicht mehr bestraft werden.

"Die Kommission will die Verwendung hochsensibler personenbezogener Daten für KI Training erleichtern. Dazu gehören auch persönliche Inhalte aus vielen Jahren Social Media Nutzung. Dies soll ohne vorherige Information oder Einwilligung möglich werden. Damit würde eine bisher unzulässige Praxis nachträglich legitimiert und der Schutz der Nutzer reduziert."
Ramak Molavi Vasse'i, Head of Advocacy, Zentrum für Digitalrechte und Demokratie

Auf dem Digitalgipfel verkündete Präsident Macron, dass Deutschland und Frankreich zusammen noch weiter auf die EU-Kommission einwirken wollen, um den rechtebasierten Ansatz der DSGVO durch das risikobasierte Modell der geplanten KI-Verordnung zu ersetzen. Das würde einen Systemwechsel bedeuten: Nicht mehr klar definierte Rechte und Pflichten wären für die Verarbeitung von Daten maßgeblich, sondern vorrangig die Einschätzung, ob durch die Datenerhebung und Verarbeitung ein Risikos oder eine Beeinträchtigung für Betroffene vorliegt. Bürgerinnen und Bürger müsste proaktiv für ihre informationelle Selbstbestimmung einstehen und ein solches Risiko erst einmal nachweisen. Das ist praktisch kaum möglich ist, Datenschutz wird zur Worthülle.

Bürger bleiben weitere 1,5 Jahre ohne versprochenen Schutz vor Risiko-KI

Ein weiterer Vorschlag der Kommission betrifft die Hochrisiko-Regel der KI-Verordnung. Die   sollen nun erst ein Jahr später als geplant umgesetzt werden. Hochrisiko KI-Systeme bewerten zum Beispiel Kredite, Jobbewerber oder die Sicherheit kritischer Infrastruktur. Anbieter müssen ihre Systeme kontinuierlich überwachen und auf Risiken für Datenschutz, Grundrechte und Sicherheit überprüfen. Je höher das Risiko, dass Menschen durch KI Schaden nehmen, desto strenger sind die zu erfüllenden Auflagen. Das soll Unternehmen dazu bringen, ihre KI-Systeme möglichst sicher zu gestalten anstatt möglichst schnell neue Produkte auf den Markt zu bringen.

Unternehmen haben mit dem Digitalen Omnibus nun bis Dezember 2027 statt August 2026 Zeit, diese Regelung umzusetzen. Je später die Regelung greift, desto länger können Hochrisiko-Systeme ohne volle Schutzmechanismen betrieben werden. Für Verbraucher:innen bedeutet das konkret, dass sie noch länger KI-Entscheidungen ausgesetzt wären, die sie weder nachvollziehen noch wirksam anfechten können.

"Die KI-VO ist bereits im August 2024 in Kraft getreten. Die Regeln für Hochrisiko Systeme – etwa Anwendungen in Schule, Justiz, der Auswahl von Bewerbern und der medizinischen Diagnostik, bei denen ein hoher möglicher Schaden droht und der Eintritt dieses Schadens von der EU Kommission selbst als wahrscheinlich bewertet wurde – sollten ab August 2026 gelten. Nun werden diese Vorgaben jedoch auf Dezember 2027 verschoben. Bürger bleiben für weitere zwei Jahre ohne die vorgesehenen Basis-Schutzmechanismen wie einer Risikofolgenabschätzung wehrlos ausgeliefert.
Ramak Molavi Vasse'i, Head of Advocacy, Zentrum für Digitalrechte und Demokratie

Hinzu kommt, dass Kommission und Mitgliedstaaten die zusätzliche Wartezeit dazu nutzen können, Regelungen weiter abzuschwächen. Dabei wurden Unternehmen bereits früh über die Änderungen informiert und konnten entsprechende Maßnahmen ergreifen. Mehr noch, Unternehmen wie SAP oder Telekom sowie Lobbyorganisationen wie Bitkom oder der Bundesverband der deutschen Industrie haben die Verordnung aktiv mitgestaltet. Eine erneute Verschiebung würde jene Unternehmen bestrafen, die in Rechtskonformität investiert haben und ihre Abläufe an die neuen Regeln angepasst haben, und diejenigen begünstigen, die die regulatorischen Vorgaben ignoriert haben.

Dokumentations- und Meldepflichten im Rahmen der KI-VO sind notwendig und verhältnismäßig. Die KI-VO enthält nur wenige aktive Berichtspflichten, die sich im Wesentlichen auf Transparenz und Nachvollziehbarkeit beschränken:

• Technische Dokumentation

• Registrierung von Hochrisiko-KI-Systemen

• Meldung schwerwiegender Vorfälle

• Zusammenfassung der Trainingsdaten bei GPAI-Modellen

Diese Anforderungen sind keine bürokratische Belastung, sondern eine wichtige Voraussetzung für wirksame Marktaufsicht, Rechenschaftspflicht und Vertrauen in KI-Anwendungen – sowohl seitens der Nutzerinnen und Nutzer als auch von Unternehmen.

Generell enthält die KI-Verordnung nur wenige Verbote und konzentriert die zentralen Pflichten auf Transparenzvorgaben und Vorgaben zur KI-Governance (KI-Steuerung). Das geplante Digital Omnibus ist ein weiterer Schritt in Richtung Deregulierung zugunsten kommerzieller Anbieter. Unternehmen wird der Anreiz genommen, vertrauenswürdige KI zu entwickeln.

Reformvorschläge verlangen Gegenmaßnahmen

Anders als von Digitalminister Wildberger beim Europäischen Digitalgipfel behauptet, sind die Deutschen nicht per se Technologie- oder Innovationskritisch. Im Gegenteil: Laut einer Umfrage stehen 65 Prozent der befragten Deutschen neuen Technologien aufgeschlossen gegenüber. Mit steigender KI-Kompetenz wächst jedoch die Forderung nach einer gezielten Steuerung. Dies ist keine Skepsis, sondern der Ausdruck von Wissen und klaren Qualitätsanforderungen an die Systeme – insbesondere angesichts der nach und nach ans Licht kommenden Fehlentwicklungen und manifestierten Schäden.

Ein mögliches Vorbild kann in diesem Fall China sein, das neben den USA als Weltmarktführer in Sachen KI gilt. China verfügt bereits über einen ausgebauten und verbindlich angewendeten Regulierungsrahmen. Die dortigen Regelwerke verlangen klare Vorgaben zu Transparenz, Sicherheit, Datenherkunft und Kennzeichnung. Sie beinhalten ebenfalls die Offenlegung eingesetzter Empfehlungsalgorithmen, Abschaltmöglichkeiten für personalisierte Empfehlungen, regelmäßiger Prüfungen von Modellen und Daten, Maßnahmen zur Missbrauchs- und Suchtprävention sowie funktionierender Beschwerdekanäle. Seit Jahren müssen beispielsweise KI-generierte Inhalte (Deepfakes) gekennzeichnet werden.

Fest steht: Innovation und Wettbewerb dürfen nicht gegen digitalen Grundrechte wie Datenschutz und informationelle Selbstbestimmung ausgespielt werden. Stattdessen muss die Stärkung des Wirtschaftsstandorts Hand in Hand mit den Schutz der Bürgerinnen und Bürger gehen. Diese Reform stellt zentrale europäische Schutzstandards in Frage und verlangt entschiedene Gegenmaßnahmen. Deshalb hat das Zentrum für Digitalrechte und Demokratie zusammen mit anderen zivilgesellschaftlichen Akteuren einen offenen Brief „Die EU muss hart erkämpften Schutz für digitale Menschenrechte bewahren“ unterzeichnet. Mehr Infos dazu gibt es in diesem Artikel.

1. Omnibus-Verfahren

• Keine Aufschiebung der KI-VO: Die Geltung der KI-Verordnung muss wie geplant erfolgen.

• Keine Ausnahmen für Small-Caps: Unternehmen mit bis zu 750 Mitarbeitern dürfen nicht pauschal aus der KI-VO ausgenommen werden. Auch kleinere Anbieter können Hochrisiko-KI-Systeme entwickeln – siehe Replika mit seinen problematischen Companion-AI-Produkten.

• Durchsetzung stärken: Aufsichtsbehörden brauchen angemessene personelle und finanzielle Ressourcen sowie Rückhalt aus der Politik

• DSGVO-Schutz erhalten: Keine Aufweichung des Datenschutzes ohne umfassende Evaluierung unter gleichrangiger Berücksichtigung von Bürgerinteressen.

• Nutzer:innen first: Keine Veränderung des Rechtebasierten Ansatzes der DSGVO zugunsten eines Risikobasierten Ansatzes.

2. Evidenzbasierte und wirksame Gesetzgebung

• Rechtskohärenz sicherstellen: Verbesserung der Gesetzgebungstechnik durch den Einsatz von Foresight und geeigneten Evaluationskriterien sowie sorgfältige Prüfung möglicher Überlappungen und Widersprüche zwischen bestehenden Gesetzen vor Erlass neuer Regelungen.

• Demokratische Legitimation wahren: Verzicht auf intransparente Verfahren außerhalb des regulären Gesetzgebungsprozesses.

• Bürgerinteressen priorisieren: Gemeinwohlinteressen müssen gleichberechtigt zu wirtschaftlichen Einzelinteressen stehen, um Vertrauensverlust zu verhindern.

• Evaluierung verbessern:

• Regelmäßige Gesetzesüberprüfung mit ausreichenden Konsultationszeiten

• Repräsentative Partizipation und sachgerechte Auswertung aller Eingaben

• Mehr rechtsempirische Forschung zu tatsächlichen Regulierungskosten und Zielerreichung

• Verbesserter Zugang zu EU-Konsultationsdaten durch API-Schnittstellen oder Datenvisualisierung für unabhängige Analysen.

3. Bessere Information und KI-Kompetenz

• Medienverantwortung: Journalist:innen müssen in einzelnen Mitgliedsstaaten die Bürger proaktiver und wesentlich umfassender über EU-Gesetzgebungsvorhaben informieren. Digital Rechte sind komplex und werden oft ohne nationale Öffentlichkeit verhandelt.

• KI-Kompetenz und wissenschaftliche Fundierung: Förderung echter KI-Kompetenz beim Gesetzgeber statt unkritischer Übernahme industriegeprägter Narrative. Der EUobserver-Bericht belegt: Aussagen von Big-Tech-CEOs prägen die Informationslage der EU-Abgeordneten stärker als belastbare wissenschaftliche Evidenz. Die Kommission benötigt deutlich höhere KI-Kompetenz für neutrale, nicht unternehmensgetriebene Informationsgewinnung. Wir fordern eine konsequente Orientierung an unabhängiger wissenschaftlicher Forschung statt an Industrienarrativen.

Pressekontakt:

Zentrum für Digitalrechte und Demokratie 
Ramak Molavi Vasse’i, ramak.molavi@digitalrechte.de