Bericht : Der Fahrplan der Kommission für den Digitalen Omnibus : aus der RDV 1/2026, Seite 52 bis 57

Im Bereich des Datenschutzrechts will die Europäische Kommission die Schaffung einer eigenen ePrivacy-VO endgültig aufgeben. Bereits am 12.2.2025 hatte sie die Rücknahme des Kommissionsvorschlags angekündigt, am 6.10.2025 wurde die Ankündigung vollzogen. An die Stelle einer eigenen Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation sollen spezielle Regeln über die Verarbeitung personenbezogener Daten in den Endgeräten natürlicher Personen treten. Diese speziellen Regeln sollen nach dem Willen der Europäischen Kommission in die DS‑GVO integriert werden. Auffällig daran ist, dass die Einwilligung im Einzelfall nicht mehr der einzig gangbare Weg zur Rechtfertigung der Verarbeitung sein soll. Der Cookie-Banner könnte damit bald Geschichte sein.

Klarstellungen bei der Definition personenbezogener Daten

Jedenfalls auf den ersten Blick von herausragender Bedeutung ist die vorgeschlagene Änderung der Legaldefinition des Begriffs der personenbezogenen Daten. Der bestehenden Begriffsbestimmung soll folgender Zusatz angefügt werden:

„Informationen über eine natürliche Person sind nicht unbedingt personenbezogene Daten für jede andere Person oder Entität, nur weil eine andere Entität diese natürliche Person identifizieren kann. Informationen gelten für eine bestimmte Entität nicht als personenbezogene Daten, wenn diese Entität die natürliche Person, auf die sich die Informationen beziehen, nicht identifizieren kann, unter Berücksichtigung der Mittel, die von dieser Entität vernünftigerweise eingesetzt werden können. Solche Informationen werden für diese Entität nicht allein deshalb zu personenbezogenen Daten, weil ein potenzieller späterer Empfänger über Mittel verfügt, die vernünftigerweise eingesetzt werden können, um die natürliche Person, auf die sich die Informationen beziehen, zu identifizieren.“

Letztlich will die Europäische Kommission damit lediglich die Rechtsprechung des EuGH, ganz aktuell aus der Rechtssache SRB,^[9] in den Verordnungstext aufnehmen, was aus Gründen der Rechtssicherheit und -klarheit begrüßenswert ist.

Datenverarbeitungen zur KI-Entwicklung und zum KI-Betrieb

Ein weiterer Gegenstand aktueller Debatten, den die Europäische Kommission im Digitalen Omnibus adressiert, ist die Zulässigkeit von Datenverarbeitungen zum KI-Training. Betroffen ist einerseits die Rechtmäßigkeit der Datenverarbeitungen gem. Art. 6 Abs. 1 KI-VO, andererseits die Zulässigkeit einer Verarbeitung besonderer Kategorien personenbezogener Daten. Obwohl das KI-Training als berechtigtes Interesse jedenfalls in der deutschen rechtswissenschaftlichen Literatur bislang nicht ernsthaft bezweifelt wurde,^[10] will die Kommission im Verordnungstext ausdrücklich festhalten, dass Datenverarbeitungen zur KI-Entwicklung grundsätzlich auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO gestützt werden können.

Von erheblich größerer Bedeutung sind die Änderungsvorschläge zur Verarbeitung besonderer Kategorien personenbezogener Daten. Art.  9 Abs.  1 DS-GVO stellt nach geltendem Recht ein Verarbeitungsverbot auf, das nur in eng umgrenzten Ausnahmefällen, die in Art. 9 Abs. 2 DS-GVO genannt werden, durchbrochen werden darf. Die existierenden Ausnahmetatbestände helfen KI-Entwicklern in zahlreichen Anwendungsfällen indes nicht weiter. Da ein konsequentes Prüfen und Filtern von Datensätzen unter Berücksichtigung sensibler Daten im Sinne von Art. 9 Abs. 1 DS-GVO in der Praxis nicht konsequent umsetzbar ist und auch keine Einwilligung aller betroffenen Personen eingeholt werden kann, bestand die Gefahr, dass das Verarbeitungsverbot für besondere Kategorien personenbezogener Daten zum Sargnagel für datenschutzkonforme KI-Entwicklung in der Europäischen Union wird. Der Europäische Datenschutzausschuss hatte sich in einer Stellungnahme zur Entwicklung von generativen KI-Modellen im Dezember 2024 jedenfalls auffällig um eine Position zu diesem Problem gedrückt, das er erkannt, aber nicht berücksichtigt hat.^[11]Das OLG Köln stellte sich der Herausforderung und erklärte das Verbot des Art. 9 Abs. 1 DS-GVO in einer Eilentscheidung im Mai 2025 auf Verarbeitungsvorgänge im Rahmen der KI-Entwicklung erst nach einer „Aktivierung“ durch Betroffene für anwendbar.^[12]Diese Auslegung sah sich in der Folge allerdings einiger Kritik ausgesetzt.^[13]

Die Europäische Kommission schlägt nun einen neuen Ausnahmetatbestand vor, der die Verarbeitung besonderer Kategorien personenbezogener Daten für die Entwicklung und den Betrieb von KI-Systemen und KI-Modellen zulässt. Einschränkend sollen in einem neuen Art.  9 Abs.  5 DS-GVO technische und organisatorische Maßnahmen verlangt werden, die eine Erhebung und anderweitige Verarbeitung besonderer Kategorien personenbezogener Daten im Grundsatz ausschließen. Sofern der Verantwortliche erkennt, dass trotz dieser Maßnahmen sensible Daten verarbeitet werden, soll er diese entfernen. Sofern das mit einem unverhältnismäßigen Aufwand verbunden ist, soll der Verantwortliche zumindest sicherstellen müssen, dass die Daten nicht im Output des KI-Systems reproduziert oder anderweitig gegenüber Dritten veröffentlicht werden. Es wird eine vertiefte Prüfung und Debatte zur Klärung erforderlich sein, ob diese Maßnahmen ausreichen, um dem grundrechtlich vorgesehenen Schutzniveau für sensible Daten im Sinne von Art. 9 Abs. 1 DS-GVO zu genügen.

Neue Fristen für Hochrisiko-KI-Systeme

Mit Spannung haben Beobachter außerdem die Reformvorschläge zur KI-VO erwartet.^[14] Der Druck war entsprechend hoch, doch jedenfalls den Hoffnungen der Industrie dürfte die Europäische Kommission in weiten Teilen gerecht geworden sein. Dafür war eine Aussetzung der Fristen für den Geltungsbeginn der Vorgaben für Hochrisiko-KI-Systeme zentral. Wie die Kommission in den Erwägungsgründen zum Digitalen Omnibus ausführt, würde es Unternehmen vor erhebliche Herausforderungen und beträchtliche Umsetzungskosten stellen, wenn an den existierenden Geltungsfristen festgehalten wird. Sie begründet diese unvorhergesehenen Auswirkungen zuvorderst mit der verspäteten Bereitstellung von harmonisierten Normen, gemeinsamen Spezifi kationen und alternativer Hilfestellung.^[15]

In den vergangenen Wochen war tatsächlich aus der Industrie zu hören, dass eine Umsetzung der Vorgaben für Hochrisiko-KI-Systeme ohne Standards der europäischen Normungsorganisationen CEN und CENELEC unsicher und kostspielig sei.^[16] Die KI-VO enthält als allgemeines Produktsicherheitsrecht für KI-Systeme eine ganze Reihe unbestimmter Rechtsbegriffe, die es zu konkretisieren gilt. Um die Unternehmen dabei zu unterstützen, statuiert Art. 40 Abs. 1 KI-VO eine gesetzliche Vermutung, wonach Hochrisiko-KI-Systeme den Anforderungen der KI-VO entsprechen, wenn sie mit entsprechenden harmonisierten Normen übereinstimmen. Der Haken: Bereits im September 2024, einen Monat nach Inkrafttreten der KI-VO und knapp zwei Jahre vor dem ursprünglich geplanten Geltungsbeginn der Vorschriften am 2.8.2026, gaben CEN und CENELEC Verzögerungen bei den Normungstätigkeiten bekannt. Es stellte sich heraus, dass die technisch komplexen und neuartigen Fragen einer KI-Regulierung nicht nur Unternehmen, sondern auch Normungsorganisationen vor Herausforderungen stellen. Die Kommission erließ daraufhin am 23.6.2025 einen neuen Durchführungsbeschluss über einen Normungsauftrag. Demnach sollten die Organisationen harmonisierte Normen bis zum 31.8.2025 ausarbeiten, also knapp einen Monat nach geplantem Geltungsbeginn der entsprechenden Vorschriften.

Mit dem Digitalen Omnibus will die Kommission den Unternehmen und den Normungsorganisationen nun also gleichermaßen etwas Luft verschaffen: Der Vorschlag für eine neue Fassung des Art. 113 KI-VO sieht vor, dass sich der Geltungsbeginn der Vorschriften für Hochrisiko-KI-Systeme an einer Entscheidung der Kommission orientieren soll, der bestätigt, dass angemessene Maßnahmen zur Unterstützung der Einhaltung der Vorgaben verfügbar sind. Erst zum 2.12.2027 sollen die Vorschriften auch ohne Entscheidung der Kommission gelten. Bis zu diesem Zeitpunkt hätte die Kommission eine faktische Entscheidungshoheit über den Geltungsbeginn, zumal die „Entscheidung über angemessene Maßnahmen“ zumindest nicht ausdrücklich an das Vorliegen der harmonisierten Normen gekoppelt ist. Es bleibt abzuwarten, ob das Parlament eine derart wichtige Entscheidung an die Kommission abtritt oder ob im Gesetzgebungsprozess weitere Sicherungsmechanismen aufgenommen werden.

Fazit

Eines muss sich die Europäische Kommission mit den Vorschlägen zum Digitalen Omnibus nicht vorwerfen lassen: Die vorgeschlagenen Änderungen sind mehr als bloße Kosmetik. Wurde im Laufe des Jahres als wesentliche Änderung der DS-GVO noch eine Einschränkung der Pfl icht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten als große Reform gepriesen,[17] enthalten die Vorschläge nun tiefgreifende materielle Änderungen des europäischen Digitalrechts. Von manchen werden sie angesichts des immer wieder betonten Reformbedarfs entsprechend gelobt.[18] Andere sehen in dem Vorschlagspaket einen Ausverkauf des Grundrechts auf Privatheit.[19] Gerade hinsichtlich der Änderungen der DS-GVO darf deshalb ein intensives Trilog-Verfahren erwartet werden. Vor diesem Hintergrund ist zu begrüßen, dass die Kommission die Änderungsvorschläge, insbesondere hinsichtlich der Geltungsfristen, in ein eigenes Omnibus-Paket ausgelagert hat, über das nun separat beraten werden kann.

Jede Verzögerung bedeutet hier weitere Rechts- und Planungsunsicherheit.

* Axel Voss ist Mitglied des Europäischen Parlaments für die EVP.

Moritz Köhler ist wissenschaftlicher Mitarbeiter der Kölner Forschungsstelle für Medienrecht an der TH Köln und beobachtet für die Gesellschaft für Datenschutz und Datensicherheit das politische Geschehen in Brüssel.

_{[1] Proposal for a Regulation of the European Parliament and of the Council Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), COM(2025) 836 final.}

_{[2] Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.}

_{[3] Europäische Kommission, Simplification, https://commission.europa.eu/law/law-making-process/better-regulation/simplification-and-implementation/simplification_en (zuletzt abgerufen am 5.12.2025).}

_{[4] Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30.5.2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt), ABl. L 152 S. 1, 2023 ABl. L 90204 S. 1.}

_{[5] Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union, ABl. L 303 S. 59.}

_{[6] Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl. L 172 S. 56.}

_{[7] Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13.12.2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl. L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj.}

_{[8] COM(2025) 836 final, S. 5 (Übersetzung durch die Verfasser).}

_{[9] EuGH Urt. v. 4.9.2025 – C‑413/23 P, RDV 2026, 39.}

_{[10] Ausführlich Paal, ZfDR 2024, 129 (149-154). Ebenso Franke, RDi 2023, 565 (566-568); Hüger, ZfDR 2024, 263 (271-275); Piltz/Weiss, EuDIR 2025, 90 (92 f.); Werry, MMR 2023, 911 (912 f.).}

_{[11] Europäischer Datenschutzausschuss, Stellungnahme 28/2024 zu gewissen Datenschutzaspekten der Verarbeitung personenbezogener Daten im Zusammenhang mit KI-Modellen, https://www.edpb.europa.eu/our-worktools/our-documents/opinion-board-art-64/opinion-282024-certain-dataprotection-aspects_de, Rn. 17 (zuletzt aberufen am 5.12.2025).}

_{[12] OLG Köln, Urt. v. 23.5.2025 – 15 UKI 2/25, RDV 2025, 264 (271 f.)}

_{[13] Glocker, RDi 2025, 427 (431); Hornung, KIR 2025, 407 (411); Paal, RDV 2025, 230 (234 f.); Wasilewski, CR 2025, 461 (463). In einem obiter dictum hat auch das OLG Schleswig diese Auslegung kritisch beurteilt, OLG Schleswig, Urt. v. 12.8.2025 – 6 UKI 3/25, GRUR-RS 2025, 19976 Rn. 30 f.}

_{[14] Dazu bereits Voss/Köhler, RDV 2025, 342.}

_{[15] ErwG 22 des Digital Omnibus on AI.}

_{[16] Dazu bereits Voss/Köhler, RDV 2025, 342.}

_{[17] Dazu ausführlich Dugall, Müssen wir bald kein Verarbeitungsverzeichnis mehr führen?, https://www.datenschutz-notizen.de/muessen-wir-baldkein-verarbeitungsverzeichnis-mehr-fuehren-1854886/ (zuletzt abgerufen am 5.12.2025).}

_{[18] Hennemann/Kühling, Entschlackung des EU-Rechts dringend nötig, https://www.faz.net/pro/digitalwirtschaft/kuenstliche-intelligenz/digital-omnibus-juraprofessoren-fordern-entschlackung-des-eu-rechtsaccg-200240064.html (zuletzt abgerufen am 5.12.2025).}

_{[19] Dachwitz, Auf Crash-Kurs mit digitalen Grundrechten, https://netzpolitik.org/2025/digitaler-omnibus-auf-crash-kurs-mit-digitalen-grundrechten/ (zuletzt abgerufen am 5.12.2025)}