Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.

Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.

Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.

Sollen sexualisierte Deepfakes verboten werden?

Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.

Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.

Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.

Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.

KI-Omnibus könnte bald schon am Ziel sein

Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.

Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.

Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.

Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.

Institutionen warnen vor Datenomnibus

Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.

De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.

In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.

Ehemalige Meta-Lobbyistin verhandelt über Datenschutz

Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.

Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.

Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ursprünglich war der AI Act dazu gedacht, die Grundrechte aller EU-Bürger:innen zu schützen. Nun wird er von Unternehmen ausgehöhlt, sagt die Forschungsgruppe Corporate Europe Observatory. Denn die Unternehmen bestimmen die Normen für KI-Systeme in Gremien massiv mit.

Während der im letzten Sommer in Kraft getretene AI Act die Leitlinien für KI-Systeme vorgibt, sollen Normen und Standards für rechtliche Anforderungen sorgen. Diese werden von den europäischen Normierungsorganisationen CEN und CENELEC entwickelt, sie bilden gemeinsam das Joint Technical Committee on Artificial Intelligence (JTC21). Doch dieses Komitee wird entscheidend von Vertretern von Big-Tech-Unternehmen dominiert, hat eine Recherche von Corporate Europe Observatory (CEO) herausgefunden.

Wie Big Tech dominiert

Laut der Recherche von CEO besteht mehr als die Hälfte des JTC21 aus Vertretern von Firmen oder Beratungsunternehmen. Ein Viertel der Firmenvertreter haben laut der Recherche Verbindungen zu US-Tech-Giganten und auch Vertreter mit Verbindungen zum chinesischen Konzern Huawei sind präsent.

Die Gruppe der „Berater“ verstärke den Einfluss von Unternehmen deutlich, so CEO. Es gibt laut der Recherche wenig Transparenz darüber, in wessen Auftrag sie handeln, dabei vertreten die scheinbar unabhängigen Experten regelmäßig identische Meinungen wie die Unternehmensvertreter:innen. Bei kritischer Betrachtung werde deutlich, dass sie scheinbar von den gleichen Big-Tech-Unternehmen beauftragt seien.

Zivilgesellschaftliche Organisationen repräsentieren lediglich neun Prozent der Mitglieder beim JTC21. Sie beklagen ungenügende Mittel und logistische Schwierigkeiten, welche die Teilnahme an Treffen erschweren. Da Big-Tech-Unternehmen Niederlassungen in mehreren europäischen Ländern haben, können sie die Verhandlungen außerdem auf mehreren Landesebenen gleichzeitig steuern und so ihren Einfluss vervielfachen.

Big Tech drängt laut der Recherche darauf, internationale Normen auch auf europäischer Ebene zu übernehmen, obwohl diese oft weniger streng sind als der AI Act es vorsieht. Oft sind sie bereits an internen Standards von Unternehmen orientiert, die die Normen auf internationaler Ebene mitgeschrieben haben. Für eine besonders wichtige Technologie, General Purpose AI, soll es außerdem keine Standards, sondern lediglich einen „Code Of Practice“ geben. Die Umsetzung dieses Codes ist freiwillig und soll von nationalen Behörden und Providern dieser Technologien verfasst werden. Anderen Interessengruppen kommt allein eine unterstützende Aufgabe zu.

Kritik aus der Zivilgesellschaft

Traditionell werden Standards für technische Belange wie zum Beispiel die Sicherheit von Maschinen oder die Grenzwerte von bestimmten Stoffen in Spielzeugen eingesetzt. KI-Systeme haben jedoch auch weitreichende soziale Auswirkungen. Es ist das erste Mal, dass Normen benutzt werden, um fundamentale Rechte, Fairness und Transparenz zu messen.

Bram Vranken von Corporate Europe Observatory kritisiert die Entscheidung der EU, technische Standards zu benutzen: „Dieser undurchsichtige Prozess wird von Unternehmensinteressen dominiert und ist für die Zivilgesellschaft nur schwer zu beeinflussen. Big Tech legt effektiv seine eigenen Regeln für KI-Standards fest und gibt weniger strengen und letztlich schwer durchsetzbaren Regeln Vorrang vor dem öffentlichen Interesse und Grundrechten.“

Dem Ada Lovelace Institut zufolge sind auch die Leitlinien im AI Act oft mehrdeutig formuliert. Nach Artikel 9 muss ein Hoch-Risiko-KI-System nach einer Risiko-Mitigation ein „akzeptables“ Risiko für Grundrechte, Gesundheit und Sicherheit stellen. Doch was heißt das eigentlich?

Normen sind deshalb entscheidend, um beispielsweise festzulegen, wie viel Bias ein System haben kann oder ob ein Datensatz repräsentativ genug ist. Oft fokussieren sich die Standards aber darauf, ob bestimmte Prozesse eingehalten wurden, anstatt auf das Erreichen eines bestimmten Ergebnisses. Das Problem hierbei ist, dass trotz des Einhaltens eines Prozesses, das daraus resultierende KI-System unausgewogen oder unsicher sein kann. Vor dem Hintergrund wird deutlich, dass Standards und Normen ungeeignet erscheinen, wenn Grundrechte auf dem Spiel stehen – insbesondere wenn Big-Tech-Unternehmen mitmischen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.