18/01/2026

Deregulierung und AI Act

Mit dem Digital Package 2025 will die EU-Kommission das Digitalrecht verschlanken und gleichzeitig den Schutz der Grundrechte wahren. Hinter Schlagworten wie „Digital Omnibus“ und „AI-Nachjustierung“ verbirgt sich jedoch ein Balanceakt zwischen Entlastung der Wirtschaft und möglicher Deregulierung. Der folgende Beitrag ordnet die Reformen ein und zeigt, welche Folgen sie für Unternehmen und Gesellschaft haben.

Am 19. November 2025 legte die Europäische Kommission ihr Digital Package vor, das unter der Überschrift „Verschlankung des Digitalrechts“ eine Reihe gezielter Änderungsverordnungen enthält. Kernstücke sind der Digital Omnibus, der quer über Datenschutz-, Daten- und Cybersicherheitsrecht nachjustiert, sowie ein eigener Digital Omnibus on AI, der nur wenige Monate nach Inkrafttreten der Verordnung (EU) 2024/1689 – besser bekannt als AI Act – verschiedene Bestimmungen anpasst. Offiziell soll das Paket Doppelregulierungen beseitigen, Pflichten präzisieren und insbesondere kleinen und mittleren Unternehmen mehr Planungssicherheit verschaffen. Die Kommission beziffert das Einsparpotenzial auf rund fünf Milliarden Euro bis 2029 und verweist darauf, dass die Grundrechtsstandards unangetastet blieben

 

Während Brüssel von einer Modernisierung spricht, wertet ein breites Bündnis zivilgesellschaftlicher Organisationen die Initiative als Deregulierungsagenda. In offenen Briefen an die EU-Organe warnen noyb, EDRi und der Irish Council for Civil Liberties vor einem Absenken des Schutzniveaus zugunsten großer Plattformen und kritisieren das Tempo des Gesetzgebungsprozesses. Sie argumentieren, dass scheinbar technische Änderungen der DSGVO mittelfristig zu weitreichenden Ausnahmen für Datenverarbeitung zu Trainingszwecken führen könnten.

 

Gegenstand und Systematik des Digital Omnibus

Der Digital Omnibus ist eine Querschnittsverordnung, die mehr als ein Dutzend existierende Rechtsakte berührt. Im Datenschutzbereich sollen etwa Cookie-Banner verschlankt werden, indem Einwilligungswiederholungen erst nach sechs Monaten zulässig sind. Zudem führt ein einheitliches Meldeportal Meldungen nach DSGVO, Data Act und NIS2 zusammen. Die Schwelle für zwingende Meldungen von Datenschutzverletzungen wird auf Vorfälle mit „hohem Risiko“ angehoben und die Frist von 72 auf 96 Stunden verlängert. Ziel ist eine Konzentration behördlicher Ressourcen auf gravierende Fälle und eine Vereinheitlichung paralleler Berichtspflichten.

 

Die Kommission betont, alle materiellen Grundrechtsgarantien blieben erhalten, da lediglich Verfahren vereinfacht würden. Kritiker entgegnen, dass eine Anhebung der Meldeschwelle den Anreiz mindere, weniger gravierende, aber dennoch rechtswidrige Datenpannen offenzulegen. Außerdem weise die neue Definition „personenbezogener Daten“ im Erwägungsgrund auf eine Öffnungsklausel für anonyme Trainingsdatensätze hin, die Rückschlüsse auf identifizierbare Personen nicht vollständig ausschließe. Die Diskussion erinnert an frühere Debatten um datenschutzfreundliche Technikgestaltung und unterstreicht den Zielkonflikt zwischen Innovationsförderung und Grundrechtsschutz.

 

Digital Omnibus on AI – Nachjustierung des AI Act

Besondere Aufmerksamkeit gilt dem Digital Omnibus on AI, weil er unmittelbar den seit Mitte 2024 geltenden AI Act verändert. Brüssel reagiert damit auf Beschwerden der Industrie, die mangelnde Rechtssicherheit, fehlende technische Standards und Engpässe bei Konformitätsbewertungsstellen moniert hatte. Wesentliche Hochrisiko-Pflichten sollen nun um bis zu sechzehn Monate aufgeschoben werden, sodass zentrale Vorgaben bei biometrischer Identifizierung, Bewerbungs-Scoring oder kritischer Infrastruktursicherung erst Ende 2027 vollständig greifen. Die Kommission begründet die Verzögerung damit, dass andernfalls eine Überforderung von Behörden drohe.

 

NGO-Vertreter warnen jedoch, die Wirksamkeit des AI Act werde damit entscheidend abgeschwächt. Gerade im Arbeits- und Sozialverwaltungsbereich, wo algorithmische Systeme weitreichende Folgen für Individuen entfalten könnten, fehle in der Übergangszeit ein robuster Schutz. Die Kommission entgegnet, der Vollzug gewinne längerfristig an Schlagkraft, weil Aufsichtsstrukturen und Prüfstandards in der Zwischenzeit ausreifen könnten. Der Konflikt verdeutlicht, dass die Frage nach Tempo und Priorisierung regulatorischer Instrumente zunehmend Teil einer grundsätzlichen Debatte über „digitalen Realismus“ wird.

 

Rolle des AI Office und neue Governance-Strukturen

Mit der Reform wird das bereits durch den AI Act etablierte AI Office deutlich gestärkt. Es soll künftig zentrale Aufsicht für General-Purpose-AI-Modelle übernehmen und grenzüberschreitende Fälle koordinieren. Durch die Bündelung in einer europäischen Behörde will die Kommission Fragmentierung zwischen nationalen Stellen verhindern.

 

Zugleich bleibt unklar, ob das AI Office ausreichend Budget erhält, um komplexe Modelle angemessen zu auditieren. Beobachter verweisen auf Erfahrungen mit der Datenschutz-Grundverordnung, wo Engpässe bei nationalen Aufsichtsbehörden oft zu langer Verfahrensdauer geführt haben. Die zentrale Aufsicht könnte Vollzugslücken schließen, birgt jedoch Risiken demokratischer Kontrolle, weil operative Entscheidungen stärker an die Exekutive gebunden werden.

 

Vereinfachte Compliance und Wegfall formaler Pflichten

Der Digital Omnibus on AI adressiert mehrere Pain-Points, die Unternehmen in Konsultationen vorgetragen hatten. Die technische Dokumentation wird stärker risikobasiert ausgestaltet, sodass Anbieter geringerer Hochrisiko-Systeme weniger umfassende Unterlagen vorhalten müssen. Für eng definierte prozedurale Anwendungen, die nach Artikel 6 Abschnitt 3 des AI Act nicht als Hochrisiko gelten, entfällt künftig die Registrierung im EU-Hochrisiko-Register. Außerdem verzichtet die Kommission auf ein verpflichtendes Standard-Template für Post-Market-Monitoring-Pläne; stattdessen sollen Leitfäden Orientierung bieten. Laut Brüssel werden so Over-Compliance-Kosten vermieden, ohne dass die Marktsurveillance ausgehöhlt werde.

 

Gleichzeitig rückt die Förderung von KI-Kompetenz in den Vordergrund. Das AI Office wird beauftragt, Leitlinien, Best-Practice-Sammlungen und Musterdokumente zu erstellen und in Kooperation mit nationalen Stellen Schulungsprogramme zu fördern. Dieser Soft-Law-Ansatz erhöht die Flexibilität, verschiebt aber normative Steuerung von der Legislative zu exekutiven Organen und Expertenforen. Ob ein solches Modell ausreichende Rechtssicherheit bietet oder neue Grauzonen schafft, bleibt eine offene Frage, die sich erst im praktischen Vollzug beantworten lässt

 

Data Union Strategy und European Business Wallets

Ergänzend zu den Omnibus-Verordnungen präsentiert die Kommission eine Data Union Strategy. Sie soll bestehende Datendomänen – von Gesundheits- bis Industrie-Datenräumen – harmonisieren und internationale Datenflüsse erleichtern. Im Mittelpunkt steht die Schaffung interoperabler Governance-Modelle, die sowohl den Schutz personenbezogener Daten als auch den freien Fluss nicht-personengebundener Informationen garantieren.

 

Daneben schlägt Brüssel eine European Business Wallet vor, mit der sich rechtlich verbindliche Signaturen, Zertifikate und KYC-Nachweise digital austauschen lassen. Laut Kommission könnten Unternehmen dadurch jährlich bis zu 150 Milliarden Euro Verwaltungskosten einsparen.

 

Rechtspolitische Bewertung

Vertreter der Industrie und mehrere Fachkanzleien begrüßen das Paket als realistische Nachschärfung. Sie verweisen auf die Notwendigkeit, klare Standards zu etablieren, bevor Sanktionen greifen, und argumentieren, dass eine Verschlankung von Berichtspflichten Innovationskapazitäten freisetze. Demgegenüber befürchten Verbraucherschutz- und Grundrechtsorganisationen, dass gerade die Verschiebung zentraler Pflichten in Hochrisiko-Bereichen Schutzlücken reiße. Die Debatte zeigt, wie schmal der Grat zwischen Wettbewerbsfähigkeit und Grundrechtsschutz verläuft. Brüssel steht vor der Aufgabe, den AI Act effektiv zu vollziehen, ohne die Compliance-Kosten für kleinere Marktteilnehmer in die Höhe zu treiben.

 

Für österreichische Unternehmen eröffnet die Fristverlängerung ein Zeitfenster, Prozesse an die veränderten Dokumentations- und Registerpflichten anzupassen. Betriebe, die bereits ein Risikomanagement nach den Vorgaben des AI Act aufgebaut haben, können interne Abläufe verschlanken, müssen jedoch beobachten, in welchen Bereichen das AI Office weitergehende Leitlinien erlässt. Zugleich empfiehlt es sich, die Entwicklung der Business Wallet im Blick zu behalten. Sie könnte perspektivisch Due-Diligence-Prozesse und digitale Nachweise nach § 82 GmbHG vereinfachen. Die anstehende Umsetzung des Digital Omnibus in nationales Recht bietet Stakeholdern Gelegenheit, sich in Konsultationen einzubringen und branchenspezifische Anforderungen zu adressieren.

0
Feed
Website erstellt von HEROLD Online Marketing von HEROLD

Informationen zu Cookies und Datenschutz

Diese Website verwendet Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an.

Cookies, die unbedingt für das Funktionieren der Website erforderlich sind, setzen wir gemäß Art 6 Abs. 1 lit b) DSGVO (Rechtsgrundlage) ein. Alle anderen Cookies werden nur verwendet, sofern Sie gemäß Art 6 Abs. 1 lit a) DSGVO (Rechtsgrundlage) einwilligen.


Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Sie sind nicht verpflichtet, eine Einwilligung zu erteilen und Sie können die Dienste der Website auch nutzen, wenn Sie Ihre Einwilligung nicht erteilen oder widerrufen. Es kann jedoch sein, dass die Funktionsfähigkeit der Website eingeschränkt ist, wenn Sie Ihre Einwilligung widerrufen oder einschränken.


Das Informationsangebot dieser Website richtet sich nicht an Kinder und Personen, die das 16. Lebensjahr noch nicht vollendet haben.


Um Ihre Einwilligung zu widerrufen oder auf gewisse Cookies einzuschränken, haben Sie insbesondere folgende Möglichkeiten:

Notwendige Cookies:

Die Website kann die folgenden, für die Website essentiellen, Cookies zum Einsatz bringen:


Optionale Cookies zu Marketing- und Analysezwecken:


Cookies, die zu Marketing- und Analysezwecken gesetzt werden, werden zumeist länger als die jeweilige Session gespeichert; die konkrete Speicherdauer ist dem jeweiligen Informationsangebot des Anbieters zu entnehmen.

Weitere Informationen zur Verwendung von personenbezogenen Daten im Zusammenhang mit der Nutzung dieser Website finden Sie in unserer Datenschutzerklärung gemäß Art 13 DSGVO.