Am 7. Mai haben das Europäische Parlament und der Rat der EU (der „Rat“) eine vorläufige Einigung über das „Digital Omnibus“-Paket zur künstlichen Intelligenz (das „KI-Omnibus“) erzielt. Diese Einigung ist der letzte Verfahrensschritt vor der endgültigen Abstimmung. Die endgültige Einigung schwächt mehrere wichtige Schutzvorkehrungen im KI-Gesetz erheblich, wovor Liberties und andere zivilgesellschaftliche Organisationen bereits gewarnt hatten. Dies ist zudem ein bedrohliches Zeichen, da die Gesetzgeber weiterhin über einen zusätzlichen Omnibus-Vorschlag verhandeln, der ebenfalls wichtige EU-Datenschutzvorschriften schwächen könnte.
Das Digital-Omnibus-Paket
Im November 2025 veröffentlichte die Europäische Kommission ihr Digital-Omnibus-Paket, das zwei Deregulierungsvorschläge umfasst: den Digital-Omnibus und den KI-Omnibus. Unter dem Deckmantel der „Vereinfachung“ – Verringerung des Verwaltungsaufwands für Unternehmen, um die wirtschaftliche Wettbewerbsfähigkeit der EU zu stärken – drohen beide Omnibus-Pakete, viele der hart erkämpften Schutzmaßnahmen für Datenschutz, Privatsphäre und vor schädlichen KI-Anwendungen zunichte zu machen. Tatsächlich verbirgt sich hinter dem Euphemismus „Vereinfachung“ die Realität, dass die neuen Vorschläge wesentliche Grundrechtsgarantien verzögern und den Big-Tech-Unternehmen genau das geben werden, wofür sie sich eingesetzt haben. Der Digital Omnibus zielt darauf ab, zentrale Aspekte des KI-Gesetzes (im KI-Omnibus), der Datenschutz-Grundverordnung (DSGVO) und der ePrivacy-Richtlinie (im Daten-Omnibus) zu deregulieren, wobei er dem Druck der Industrie nachgibt und gleichzeitig den europäischen Markt für riskantere Technologien öffnet, was zu Marktverzerrungen und Rechtsunsicherheit führt.
Liberties hat sich entschieden gegen diese beiden Vorschläge ausgesprochen und wird dies auch weiterhin tun, während sie durch diesen beschleunigten, beispiellosen Gesetzgebungsprozess vorangetrieben werden.
KI Omnibus zielt auf wichtige Schutzmaßnahmen ab
Das Risiko wird bereits Realität. Der KI Omnibus, auf den sich die EU-Gesetzgeber am 7. Mai geeinigt haben und der im Juni endgültig verabschiedet werden soll, wird die Anwendung der Verpflichtungen des KI-Gesetzes für risikoreiche KI-Systeme formell verzögern. Grundrechtsschutzmaßnahmen, die eigentlich im August 2026 in Kraft treten sollten, werden stattdessen um mehr als ein Jahr, bis Dezember 2027, verschoben:
Die Einigung wird nun die Durchsetzung des KI-Gesetzes für risikoreiche KI-Systeme hinsichtlich bestimmter Verpflichtungen bis Dezember 2027 aufschieben. Neben anderen Änderungen bewirkt der KI Omnibus
-eine erweiterte Nutzung sensibler personenbezogener Daten zur Erkennung und Minderung von Verzerrungen in allen KI-Systemen, unabhängig davon, ob diese als risikoreich eingestuft werden oder nicht;
-eine Abschwächung der Anforderungen an die KI-Kompetenz für Anbieter und Betreiber von KI-Systemen, wodurch die Schutzmaßnahme der menschlichen Aufsicht ausgehöhlt wird;
-befreit KI in industriellen Anwendungen von bestimmten Aspekten des Geltungsbereichs des Gesetzes, bis spezifische sektorale Rechtsvorschriften verabschiedet sind;
-reduziert die Informationen, die Anbieter von risikoreichen Anwendungen im öffentlichen Datenbankregister offenlegen müssen.
Die einzige gute Nachricht ist, dass die EU-Datenbankregistrierungspflicht für nicht risikoreiche Systeme weitgehend erhalten blieb. Der KI-Omnibus wird voraussichtlich in der Plenarsitzung des Europäischen Parlaments im Juni 2026 verabschiedet. Sollte dies geschehen, wäre dies eines der schnellsten Verfahren zur Verabschiedung von Digitalrecht in den letzten zehn Jahren und ein schwerwiegender Rückschritt für die Grundrechte. Es wird wahrscheinlich den Weg dafür ebnen, dass noch weniger Belastungen für Unternehmen und weniger Schutzmaßnahmen für Menschen gefordert werden. Deregulierung hat für die meisten Regierungen und Unternehmen hohe Priorität, was sich in der Eile bei der Verabschiedung dieses Gesetzesentwurfs zeigt. Unsere Hauptforderungen bezüglich des KI-Omnibus-Gesetzes lauteten:
Erstens: der Vorschlag hätte gar nicht erst vorgelegt werden dürfen, insbesondere da das KI-Gesetz noch nicht in Kraft getreten ist. Darüber hinaus hätte es vor dem Vorschlag von Änderungen eine ordnungsgemäße Folgenabschätzung und einen ernsthaften Konsultationsprozess geben müssen. Nichts davon ist geschehen.
Das öffentliche Register ist unerlässlich: Nach dem derzeitigen KI-Gesetz muss ein Unternehmen, öffentlich registrieren, wenn es entscheidet, dass ein System, was risikoreich erscheint, vom Unternehmen selber als nicht Risiko eingestuft wird. Dies ermöglicht es Journalisten, Forschern und der Zivilgesellschaft, diese Unternehmen zu untersuchen. Der ursprüngliche Vorschlag hätte diese Anforderung vollständig gestrichen, was gleichbedeutend gewesen wäre mit der Abschaffung der Verpflichtung für Lebensmittelunternehmen, Inhaltsstoffe aufzulisten. Glücklicherweise wurde diese Anforderung größtenteils beibehalten.
Die Verzögerung des Inkrafttretens des KI-Gesetzes, insbesondere in Bezug auf risikoreiche Systeme, bedeutet, dass diese Systeme ohne angemessene Sicherheitsvorkehrungen weiterbetrieben werden können. Wir kennen Fälle mit schrecklichen Folgen, durch die Menschen weitaus länger Fehlern, Voreingenommenheit und Diskriminierung ausgesetzt sind.
Wenn man den Data Omnibus (siehe unten) hinzunimmt, wird der Angriff auf den Schutz der Grundrechte noch gefährlicher.
Daten- Omnibus kommt nur langsam voran
Der Daten Omnibus hingegen kommt nur langsam voran. Die Diskussionen im Parlament werden im Mai ernsthaft beginnen, und alles deutet darauf hin, dass es Zeit brauchen wird, um im Parlament und im Rat zu einer Einigung zu gelangen. Der Herbst wird entscheidend sein, daher sollten alle, die daran interessiert sind, Änderungsanträge vorzubereiten und Entscheidungsträger in Brüssel oder in den Hauptstädten der Mitgliedstaaten zu beeinflussen, dies im Hinterkopf behalten. Am 1. Juli übernimmt Irland die EU-Ratspräsidentschaft. Obwohl Präsidentschaften (theoretisch) eher eine leitende als eine entscheidende Rolle im Rat spielen, könnte eine lasche Durchsetzung der DSGVO in Irland dazu führen, dass aggressive Änderungen an der DSGVO und der ePrivacy-Richtlinie schnell durchgesetzt werden. Gleichzeitig ist es auch möglich, dass die irische Ratspräsidentschaft beschließt, sich zurückzuhalten, um ihr Image als Zufluchtsort für Big Tech (sowohl in Bezug auf Steuern als auch auf den Datenschutz) aufzupolieren. Ein überraschender Faktor beim Data Omnibus ist, dass der Rat die Rolle der Verteidigung der Kernschutzbestimmungen in der DSGVO übernimmt, während das Parlament (trotz einiger bemerkenswerter Ausnahmen) möglicherweise bereit ist, den Schutz für die Bürger zu verringern, um Geschäftsinteressen zu verteidigen. Für den Data Omnibus sind unsere Hauptarbeitsbereiche:
-Definition personenbezogener Daten: Der vorgeschlagene Text definiert neu, was personenbezogene Daten ausmacht, was zu einer vageren Definition führt, die den Weg für den (Miss-)Brauch personenbezogener Daten ebnen könnte, insbesondere durch KI-Anwendungen.
-Legitimer Missbrauch: KI wird Ihre personenbezogenen Daten unter der Ausnahme des „berechtigten Interesses“ nutzen, die für Situationen mit geringem Risiko geschaffen wurde. Wenn diese Änderung durchkommt, können KI-Unternehmen unsere personenbezogenen Daten (einschließlich intimer Fotos, privater Dokumente oder Chat-Verläufe) missbrauchen, ohne um Erlaubnis zu fragen.
-Auskunftsrecht: Die vorgeschlagenen Änderungen an Artikel 12, der den Zugang zu personenbezogenen Daten regelt, werden es den Menschen erschweren, auf ihre bei Unternehmen gespeicherten personenbezogenen Daten zuzugreifen.
-Automatisierte Sozialhilfe: Die automatisierte Entscheidungsfindung (ADM) war Gegenstand zahlreicher Kontroversen, darunter unter anderem der berüchtigte Skandal bei der Verteilung von Sozialhilfe in den Niederlanden. Die Änderungen an Artikel 22 könnten einen intensiveren Einsatz von ADM ermöglichen, da unser Recht, Entscheidungen von Maschinen in Fragen wie Bewerbungsverfahren zu widersprechen, eingeschränkt wird.
-Cookies: Nichts sorgt für mehr Einigkeit als die Wut über Cookie-Banner. Obwohl der Gesetzgeber Gelegenheiten verpasst hat, Überwachungswerbung zu verbieten, könnte es möglich (wenn auch sehr schwierig) sein, sicherzustellen, dass Nutzer in ihren Browsern und Betriebssystemen ein „Do Not Track“-Signal (DNT) für nicht-technische Cookies senden können, um endlich sowohl die Überwachung durch Unternehmen als auch die Cookie-Banner loszuwerden. Angesichts der Abhängigkeit der Publisher von der bestehenden Ad-Tech-Branche wird dies jedoch ein harter Kampf werden.
Liberties verfolgt die Entwicklungen rund um beide Omnibus-Gesetze aufmerksam und wird weiterhin Updates bereitstellen, sobald diese verfügbar sind. Bleiben Sie auf dem Laufenden, indem Sie unseren Newsletter abonnieren und erwägen, Liberties oder Ihr lokales Liberties-Mitglied zu unterstützen, damit wir unsere Arbeit fortsetzen können.
Weiterführende Literatur:Liberties’ Kampagnenseite zum Digital OmnibusLiberties’ Stellungnahme zum Aufruf zur Stellungnahme der Europäischen Kommission zur Vereinfachungsagenda des Digital OmnibusLiberties’ Analyse der Digital-Omnibus-Vorschläge.
