Digital Omnibus package

Nachfolgend skizzieren wir die wichtigsten Aspekte des vorgeschlagenen Digital Omnibus und deren Auswirkungen auf Unternehmen. Da der geleakte Entwurf bereits erhebliche Aufmerksamkeit erzeugt hat, gehen wir zudem auf die Unterschiede zwischen den geleakten Versionen und den offiziellen Entwürfen ein.

Eine Pflicht weniger, längere Umsetzungsfristen für Hochrisiko und Übergangsfristen für Transparenzpflichten

Keine Pflicht zur Vermittlung von KI‑Kompetenz 

Der Vorschlag streicht die derzeit bestehende Pflicht für Anbieter und Verwender von KI‑Systemen, innerhalb ihres Unternehmens ein angemessenes Niveau an KI‑Kompetenz sicherzustellen. Stattdessen sollen die Europäische Kommission und die Mitgliedstaaten Anbieter und Verwender lediglich dazu anhalten, für ein ausreichendes Niveau an KI‑Kompetenz zu sorgen. 

Inkrafttreten und Anwendung der Pflichten für Hochrisiko‑Systeme

Der Anwendungszeitpunkt der Pflichten für Hochrisiko‑KI‑Systeme soll wesentlich geändert werden. Die Anwendbarkeit dieser Pflichten wird an die Verfügbarkeit von Maßnahmen zur Unterstützung der Compliance geknüpft; dazu können harmonisierte Normen, gemeinsame Spezifikationen und Leitlinien der Kommission gehören. Zudem soll sich das Anwendungsdatum danach unterscheiden, ob ein KI‑System als Hochrisiko gemäß Artikel 6 Absatz 2 und Anhang III oder nach Artikel 6 Absatz 1 und Anhang I eingestuft ist. In jedem Fall gelten die Pflichten für Hochrisiko‑KI‑Systeme spätestens ab dem 2. August 2028 bzw. ab dem 2. August 2030, wenn das KI‑System für die Verwendung durch öffentliche Behörden bestimmt ist.

Neue Übergangsfristen für Hochrisiko

Die Anwendung der Übergangsfrist nach Artikel 111 Absatz 2 der KI-Verordnung soll präzisiert werden. Die Übergangsfrist soll breitere Kategorien von Typen und Modellen von Hochrisiko‑KI‑Systemen abdecken und nicht jede einzelne Einheit dieses Hochrisiko‑KI‑Systems. Außerdem ersetzt der Omnibus die feste Ausschlussfrist für die Übergangsregelung vom 2. August 2026 durch eine dynamische Ausschlussfrist, die an das tatsächliche Anwendungsdatum von Kapitel III gemäß Artikel 113 (ausgelöst durch die Entscheidung der Kommission) geknüpft ist, wobei die Frist 2. August 2030 für Systeme, die für öffentliche Behörden bestimmt sind, beibehalten wird (vgl. Punkt 8).

Neue Übergangsfrist für Transparenzpflichten

Der Entwurf sieht eine verlängerte Übergangsfrist für bestimmte Transparenzpflichten vor: Anbieter generativer KI‑Systeme, einschließlich KI‑Systeme mit allgemeinen Zwecken („General‑Purpose‑AI‑Modelle“ – GPAI‑Modelle), die vor dem 2. August 2026 in Verkehr gebracht wurden, müssen Artikel 50 Absatz 2 des KI‑Rechtsakts bis zum 2. Februar 2027 erfüllen statt bis zum 2. August 2026. Nach Artikel 50 Absatz 2 müssen KI‑generierte oder manipulierte Audio‑, Bild‑, Video‑ und Textinhalte in maschinenlesbarer Form gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sein.

Verfahrensvereinfachungen

Entlastung bei Registrierungspflichten

Anbieter von KI‑Systemen müssen KI‑Systeme nach Artikel 6 Absatz 3 der KI-Verordnung nicht mehr registrieren, da diese Systeme unter bestimmten Umständen von der Einstufung als Hochrisiko‑KI‑Systeme ausgenommen sein können, selbst wenn sie in einem Hochrisikobereich eingesetzt werden. Die Anbieter solcher KI‑Systeme müssen lediglich ihre jeweilige Bewertung des betreffenden KI‑Systems dokumentieren.

Konformitätsbewertung vor dem Inverkehrbringen

Für KI‑Systeme nach Artikel 75 Absatz 1 der KI-Verordnung, die Hochrisiko sind und einer Drittbewertung nach Artikel 43 unterliegen, kann die Kommission Vorabtests und Konformitätsbewertungen organisieren und durchführen oder benannte Stellen beauftragen, in ihrem Namen zu prüfen, ob das System der KI-Verordnung entspricht.

Einmalige Anträge

Konformitätsbewertungsstellen können einen einzigen Antrag und eine einzige Bewertung nutzen, um eine Benennung sowohl nach der KI-Verordnung als auch nach der in Anhang I Abschnitt A aufgeführten Harmonisierungsvorschrift der Union zu erhalten, sofern ein solches Verfahren im sektoralen Recht existiert.

Für Hochrisiko‑KI‑Systeme, die unter bestehende Produktregulierung fallen (Anhang I, Abschnitt A, z. B. Funkanlagen und ähnlich regulierte Produkte), bleibt der sektorale Produktkonformitätsnachweis der primäre Weg, und die Anforderungen aus Kapitel III Abschnitt 2 der KI-Verordnung werden Teil dieser Bewertung. Bereits benannte Stellen im primären Weg erhalten somit zusätzlich die Befugnis, die Einhaltung der Regeln für Hochrisiko‑KI zu prüfen.

Erweiterte Regeln für KI‑Sandkästen und Tests in realen Umgebungen

Neben nationalen Sandkästen kann das Büro für Künstliche Intelligenz auf Unionsebene Sandkästen für KI‑Systeme nach Artikel 75 Absatz 1 des KI‑Rechtsakts einrichten. Dies umfasst (i) KI‑Systeme, die auf GPAI‑Modellen basieren, bei denen sowohl System als auch Modell vom selben Anbieter entwickelt werden, ausgenommen KI‑Systeme im Zusammenhang mit Produkten, die unter die in Anhang I aufgeführten Harmonisierungsrechtsakte der Union fallen, und (ii) KI‑Systeme, die eine benannte sehr große Online‑Plattform (Very Large Online Platform – VLOP) oder eine sehr große Online‑Suchmaschine darstellen oder in eine solche integriert sind.

Tests in realen Umgebungen außerhalb von Sandkästen sollen über Anhang III hinaus auf Hochrisiko‑KI‑Systeme nach Anhang I Abschnitt A ausgedehnt werden. Für Hochrisiko‑KI‑Systeme nach Anhang I Abschnitt B können Tests in realen Umgebungen auf Grundlage einer freiwilligen Vereinbarung zwischen der Kommission und interessierten Mitgliedstaaten stattfinden.

Mehr Befugnisse für das Büro für Künstliche Intelligenz

Dem Entwurf zufolge erhält das Büro für Künstliche Intelligenz mehr Befugnisse bei der Überwachung von GPAI‑Modellen und „Very Large Online Platforms“ (VLOPs, wie im DSA definiert). Um diese Kompetenzen auszuüben, soll das Büro für Künstliche Intelligenz „alle Befugnisse einer Marktüberwachungsbehörde“ haben. Zur Unterstützung wird es einen Durchführungsrechtsakt geben, der die Durchsetzungsbefugnisse und Verfahren für deren Ausübung festlegt. Nach dem Aufsichts‑ und Durchsetzungssystem des Digital Services Act (DSA) soll das Büro für Künstliche Intelligenz die Marktüberwachungsbehörde unter der KI-Verordnung sein, wenn ein KI‑System als VLOP oder VLOSE qualifiziert oder in ein solches eingebettet ist.

Datenverarbeitung

Gemäß Artikel 10 Absatz 5 der EU KI-Verordnung dürfen Anbieter von Hochrisiko‑KI‑Systemen sensible Daten zur Erkennung von Verzerrungen (Bias) verarbeiten. Diese Ausnahme soll auf KI‑Modelle und andere KI‑Systeme ausgeweitet werden.

Erleichterungen für kleine und mittelgroße Unternehmen

Die KI-Verordnung sieht bereits geringere Anforderungen für kleine und mittelgroße Unternehmen vor, d. h. Unternehmen mit weniger als 250 Beschäftigten und unter 50 Mio. EUR Umsatz. Der Vorschlag enthält nun zusätzliche Entlastungen für kleine und mittelgroße Unternehmen, also Unternehmen mit weniger als 750 Beschäftigten und einem Jahresumsatz unter 150 Mio. EUR, etwa erleichterte Verfahren und geringere Bußgelder.

Nach Angaben der Europäischen Kommission enthält der vorgeschlagene Omnibus eine Reihe gezielter Änderungen zur Vereinfachung der DSGVO und zur Klarstellung einiger ihrer Bestimmungen, zur Überarbeitung der Cookie‑Regeln in der ePrivacy‑Richtlinie und zur Einrichtung eines Single‑Entry‑Points für vorfallsbezogene Meldepflichten.

Definition personenbezogener Daten

Die Definition personenbezogener Daten in Artikel 4 Absatz 1 DSGVO soll präzisiert werden, um die jüngsten Entscheidungen des EuGH widerzuspiegeln, indem klargestellt wird, dass Daten nicht allein deshalb für jede andere Person oder Stelle als personenbezogen gelten, weil eine andere Stelle die natürliche Person identifizieren kann. Zudem soll klargestellt werden, dass Daten für eine bestimmte Stelle nicht personenbezogen sind, wenn diese Stelle die natürliche Person, auf die sich die Daten beziehen, nicht identifizieren kann. Gleiches soll gelten, wenn ein potenzieller Empfänger über die Mittel verfügt, die vernünftigerweise zur Identifizierung der natürlichen Person eingesetzt würden. Tatsächlich bringen diese Änderungen keine materielle Neuerung, da die Klarstellung ohnehin im Einklang mit der aktuellen EuGH‑Rechtsprechung zum Begriff „personenbezogene Daten“ steht.

Anders als der geleakte Entwurf des Digital Omnibus enthält die offizielle Fassung keine Änderungen zur Definition und Qualifikation sogenannter besonderer Kategorien personenbezogener Daten.

Konkretisierungen bei Betroffenenrechten

Änderungen an Artikel 12 sollen klarstellen, dass das Auskunftsrecht nach Artikel 15 DSGVO nicht missbraucht werden darf, etwa wenn der Betroffene es zu anderen Zwecken als dem Schutz seiner Daten nutzt, z. B. um anschließend Schadensersatz zu verlangen oder lediglich Schaden oder Nachteile zu verursachen. In den vergangenen Jahren hat sich eine gewisse Praxis herausgebildet, Auskunftsanfragen nach Artikel 15 DSGVO unspezifisch und breit zu stellen und damit schwer zu erfüllen – insbesondere im Beschäftigungskontext –, um so Verhandlungsmacht in arbeitsrechtlichen Streitigkeiten aufzubauen. Gleichwohl wird diese Konkretisierung voraussichtlich keine relevanten Verbesserungen bringen, da es für Betroffene leicht sein wird, die wahren Zwecke zu verschleiern, und die im Entwurf genannten Beispiele bereits jetzt in den Leitlinien des EDPB als Missbrauch des Auskunftsrechts anerkannt sind.

Die Ausnahme in Artikel 13 DSGVO zu Transparenzpflichten soll auf Situationen ausgeweitet werden, in denen die Verarbeitung voraussichtlich nicht zu einem hohen Risiko führt (Artikel 35 DSGVO) und in denen vernünftige Gründe dafür bestehen, dass der Betroffene bereits über die Informationen zur Identität und Kontaktdaten des Verantwortlichen sowie zu den Verarbeitungszwecken verfügt. Vermutlich profitieren vor allem kleine Unternehmen mit eher einfachen Verarbeitungstätigkeiten von diesen Ausnahmen; für größere Unternehmen werden umfassende Datenschutzhinweise weiterhin notwendig bleiben. Weitere Ausnahmen von Transparenzpflichten sollen in der wissenschaftlichen Forschung gewährt werden, wenn die Bereitstellung der Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand verursachen würde.

Rechtsgrundlage für sensible Daten im KI‑Kontext

Artikel 9 Absatz 2 DSGVO soll um einen neuen Buchstaben k) ergänzt werden, der die Verarbeitung sensibler Daten im Kontext der Entwicklung und des Betriebs eines KI‑Systems oder KI‑Modells unter weiteren Bedingungen erlaubt, etwa angemessene technische und organisatorische Maßnahmen, um die Erhebung und weitere Verarbeitung sensibler Daten zu vermeiden. Wenn der Verantwortliche trotz solcher Schutzmaßnahmen sensible Daten im Trainings‑ oder Testdatensatz oder sogar im KI‑System oder KI‑Modell identifiziert, sind diese sensiblen Daten zu entfernen. Erfordert eine solche Entfernung einen unverhältnismäßigen Aufwand, hat der Verantwortliche andere Maßnahmen zu ergreifen, um diese Daten davor zu schützen, zur Erzeugung von Ausgaben verwendet, offengelegt oder Dritten anderweitig zur Verfügung gestellt zu werden. Die Europäische Kommission erläutert, dass sensible Daten in Trainings‑, Test‑ oder Validierungsdatensätzen noch vorhanden sein oder im KI‑System oder KI‑Modell gespeichert bleiben können, obwohl die sensiblen Daten für den Zweck der Verarbeitung nicht erforderlich sind. Diese Änderung von Artikel 9 DSGVO soll verhindern, dass die Entwicklung und der Betrieb von KI in diesem Kontext unverhältnismäßig behindert werden. Diese Änderung würde tatsächlich Rechtssicherheit in einer stark diskutierten Frage schaffen. Nationale Gerichte, unter anderem in Deutschland, haben unterschiedliche Urteile zur Zulässigkeit der Nutzung personenbezogener Daten für KI‑Training erlassen, einschließlich zur Frage, ob und wie Artikel 9 DSGVO in diesem Kontext einzuhalten ist.

Berechtigtes Interesse im KI‑Kontext

Ein neuer Artikel 88c DSGVO soll präzisieren, wie das berechtigte Interesse gemäß Artikel 6 Absatz 1 Buchstabe f) DSGVO als Rechtsgrundlage für die Entwicklung und den Betrieb von KI‑Systemen genutzt werden kann. Der Vorschlag schafft jedoch keine pauschale Rechtsgrundlage im KI‑Kontext. Vielmehr kann eine Verarbeitung, die für die Interessen des Verantwortlichen im Kontext der Entwicklung und des Betriebs eines KI‑Systems oder KI‑Modells erforderlich ist, als berechtigtes Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe f) DSGVO angesehen werden, sofern diese Nutzung– solange nicht andere Unions- oder nationale Rechtsvorschriften ausdrücklich eine Einwilligung verlangen – angemessen ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, insbesondere wenn die betroffene Person ein Kind ist. Jede derartige Verarbeitung erfordert geeignete technische und organisatorische Maßnahmen und Garantien, insbesondere zur Datenminimierung und zum Schutz vor Offenlegung residual gespeicherter Daten im KI‑System oder KI‑Modell, zur Transparenz und ein bedingungsloses Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten.

Automatisierte Entscheidungen

Artikel 22 DSGVO soll dahingehend geändert werden, dass klargestellt wird, dass Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen, zulässig sind, wenn die spezifischen Bedingungen gemäß der derzeitigen Fassung von Artikel 22 DSGVO erfüllt sind; damit wird von der gegenwärtigen Formulierung als Betroffenenrecht abgerückt.

Es soll zudem klargestellt werden, dass für die Beurteilung, ob eine Entscheidung für den Abschluss oder die Erfüllung eines Vertrags notwendig ist, nicht erforderlich ist, dass die Entscheidung ausschließlich automatisiert getroffen werden könnte. Diese Änderung hätte Auswirkungen auf KI‑gestützte Entscheidungsfindung, da automatisierte Entscheidungen auch im Vertragsszenario zulässig wären, selbst wenn eine manuelle Entscheidung theoretisch möglich wäre.

Meldung von Datenschutzverletzungen und Single‑Entry‑Point für Vorfallsmeldungen

Um die Belastung für Verantwortliche zu reduzieren, soll die Schwelle für Meldungen an die Aufsichtsbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten an die Schwelle für die Benachrichtigung der betroffenen Personen angeglichen werden, d. h. nur wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Die Meldefrist soll von 72 Stunden auf 96 Stunden verlängert werden. Besonders die Einführung der Hochrisikoschwelle für die Meldepflicht könnte große Auswirkungen haben, da in der Praxis häufig Vorfälle mit geringem Risiko auftreten.

Darüber hinaus soll ein Single‑Entry‑Point für Vorfallsmeldungen entwickelt und angeboten werden. Die Europäische Kommission führt aus, dass mehrere horizontale oder sektorale EU‑Rechtsvorschriften die Meldung desselben Ereignisses an unterschiedliche Behörden unter Nutzung verschiedener technischer Mittel und Kanäle verlangen. Der Single‑Entry‑Point für Vorfallsmeldungen soll es Einrichtungen ermöglichen, Meldepflichten nach NIS2‑Richtlinie, DSGVO, DORA, Verordnung über die europäische digitale Identität (EUDI)“ und CER zu erfüllen.

ePrivacy und Cookies 

Der Digital‑Omnibus‑Vorschlag strukturiert den Rechtsrahmen für Cookies neu, indem das Verhältnis zwischen ePrivacy‑Richtlinie und DSGVO neu kalibriert wird. Künftig soll die ePrivacy‑Richtlinie nicht mehr die Verarbeitung personenbezogener Daten natürlicher Personen in Bezug auf Endgeräte regeln; eine solche Verarbeitung fällt vollständig unter die DSGVO. Zu diesem Zweck soll der Digital Omnibus einen klarstellenden Unterabsatz in Artikel 5 Absatz 3 ePrivacy einfügen und einen neuen Artikel 88a DSGVO einführen, der festlegt, wann das Speichern oder Zugreifen auf Informationen in Endgeräten (einschließlich Cookies) ohne Einwilligung rechtmäßig ist.

Die Einwilligung bleibt dennoch die allgemeine Regel; Artikel 88a Absatz 3 DSGVO enthält eine abschließende Liste von Niedrigrisikozwecken, für die Speichern oder Zugriff ohne Einwilligung zulässig ist. Wie Erwägungsgrund 44 klarstellt, muss jede anschließende Verarbeitung zu anderen Zwecken nach dem gewöhnlichen DSGVO‑Rahmen bewertet werden, einschließlich der strengen Voraussetzungen für die Berufung auf berechtigte Interessen.

Die vorgesehenen Ausnahmen des neuen Artikels 88a Absatz 3 DSGVO für Niedrigrisikozwecke sind eng formuliert und beschränkt auf (i) die Übertragung von Kommunikation, (ii) die Bereitstellung von Diensten, die vom Betroffenen ausdrücklich angefordert wurden, (iii) die Erstellung aggregierter Reichweitenmessungen für den eigenen Online‑Dienst des Anbieters und (iv) die Aufrechterhaltung oder Wiederherstellung der Sicherheit eines vom Verantwortlichen bereitgestellten Dienstes oder des dafür verwendeten Endgeräts. Artikel 88a Absatz 4 verschärft zudem den Umgang mit Einwilligungen, indem eine Ein‑Klick‑Ablehnung verlangt, erneute Anfragen untersagt werden, solange die Einwilligung noch gültig ist, und nach einer Ablehnung für denselben Zweck eine sechsmonatige Wartefrist vorgesehen wird.

Artikel 88b fügt eine technische Ebene hinzu, indem vorgeschrieben wird, dass Einwilligungen, Ablehnungen und Widersprüche mit automatisierten und maschinenlesbaren Mittel erklärt werden können müssen und von Verantwortlichen zu respektieren sind, während Nicht‑KMU‑Browseranbieter verpflichtet werden, die notwendigen technischen Fähigkeiten zu implementieren. Eine begrenzte Ausnahme für Medienanbieter entbindet diese lediglich von diesen technischen Pflichten, ohne eine ausdrückliche Rechtsgrundlage für die Verarbeitung zu begründen. In der Praxis dürfte erhebliche Unsicherheit bestehen bleiben: Die Ausnahmen in Artikel 88a Absatz 3 sind eng, die ePrivacy-Richtlinie bleibt weiterhin relevant und viele Anbieter stützen sich derzeit auf Cookie‑Banner, um Transparenzpflichten zu erfüllen. Mit Blick auf die Zeit, die zur Entwicklung und Einführung interoperabler technischer Standards für maschinenlesbare Einwilligungen benötigt wird, erscheint ein schneller und reibungsloser Abschied von der aktuellen Cookie‑Banner-Landschaft wenig wahrscheinlich.

Zudem schlägt der Digital Omnibus die Aufhebung von Artikel 4 der ePrivacy‑Richtlinie vor. Sicherheits‑ und Meldepflichten bei Verletzungen personenbezogener Daten für Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste sollen stattdessen kohärent durch die DSGVO und die NIS2‑Richtlinie geregelt werden.

P2B‑Verordnung

Im Interesse der Vereinfachung des EU‑Rechts im Bereich Online‑Vermittler und Online‑Plattformen und angesichts der Überschneidungen mit DSA und DMA soll die P2B‑Verordnung aufgehoben werden, wobei bestimmte Bestimmungen vorübergehend weiter gelten.

Darüber hinaus sieht der vorgeschlagene Digital Omnibus eine Konsolidierung des Datenrechtsacquis vor: Die Open‑Data‑Directive (Richtlinie (EU) 2019/1024), die Verordnung über den freien Verkehr nicht personenbezogener Daten (Verordnung (EU) 2018/1807) und der Data Governance Act (Verordnung (EU) 2022/868) sollen im Data Act zusammengeführt werden. Der Data Act wird damit mehr denn je zu einem Potpourri verschiedener regulatorischer Aspekte ohne umfassendes, harmonisiertes Leitmotiv.

Präzisierung der Definitionen

Über die Konsolidierung hinaus enthält der Entwurf des Digital Omnibus zahlreiche Klarstellungen zu Definitionen, die derzeit im Data Act verwendet werden. So sollen die Schlüsselbegriffe („Nutzer“, „Dateninhaber“, „öffentlicher Notstand“) harmonisiert und präzisiert werden. Tatsächlich war insbesondere die Definition des Dateninhabers von Beginn an als fehlerhaft kritisiert worden.

Stärkerer Schutz von Geschäftsgeheimnissen

Zudem wird der Schutz von Geschäftsgeheimnissen weiter gestärkt, indem Dateninhaber die Offenlegung verweigern dürfen, wenn dies dazu führen könnte, dass sensible Informationen in Drittstaaten mit unzureichendem Schutzniveau übermittelt werden oder die wesentlichen Sicherheitsinteressen der EU gefährdet werden. An dieser Stelle sind Konflikte zwischen Unternehmen, die um Daten konkurrieren, mehr denn je zu erwarten. Weitere Änderungen dürften kurzfristig eher geringe Auswirkungen auf Organisationen haben, etwa die Beschränkung der Zugriffsrechte für öffentliche Behörden auf Fälle der „öffentlicher Notstand“, womit man sich vom ursprünglich vorgesehenen Erlaubnistatbestand der „außergewöhnlichen Notwendigkeit“ abwendet.

Die Wechselverpflichtungen nach Abschnitt 26 ff. des Data Act sollen ebenfalls leicht angepasst werden. Insbesondere sind maßgeschneiderte Dienste von den Interoperabilitätsanforderungen in bestehenden Verträgen ausgenommen, und kleine und mittelgroße Unternehmen (bis zu 750 Beschäftigte) sollen dauerhaft von zusätzlichen Pflichten befreit werden.