Europäische Kommission möchte EU-Digitalgesetzgebung vereinfachen.

Am 19. November hat die Europäische Kommission ihren insgesamt siebten Omnibus-Vorschlag vorgestellt – diesmal zur Digitalgesetzgebung. Ziel ist es, die Vorschriften der Europäischen Union (EU) in den Bereichen künstliche Intelligenz (KI), Daten und Cybersicherheit zu harmonisieren und zu vereinfachen. Dazu wurden zwei Verordnungsvorschläge vorgelegt. Der erste Verordnungsvorschlag betrifft ausschließlich das Thema KI, während der zweite Vorschlag alle übrigen Themen abdeckt. Der Digital-Omnibus ist Teil des „Digital Package“, das darüber hinaus die Data Union Strategy und das European Business Wallet (EBW) enthielt.

Längere Fristen zur Umsetzung des AI Act

Im KI-Bereich zielt der Vorschlag der Europäischen Kommission auf Änderungen am AI Act. Zentral ist geplant, den Zeitpunkt des Inkrafttretens der Vorschriften für Hochrisiko-KI nach hinten zu verlegen und an die Verfügbarkeit von Unterstützungsinstrumenten, einschließlich der notwendigen Normen, zu knüpfen. Zuletzt war immer wieder über eine Verschiebung der Fristen gesprochen worden; auch die deutsche Bundesregierung hatte sich dafür eingesetzt. Dies gilt vor allem angesichts der deutlich verspäteten Normen, mit denen die gesetzlichen Vorgaben für den Hochrisiko-Bereich konkretisiert werden sollen. Diese sollten ursprünglich im August 2025 – und damit ein Jahr vor Inkrafttreten der Vorschriften – vorliegen. Nach aktuellem Stand werden sie allerdings erst ein Jahr später verfügbar sein.

Der Vorschlag zum Digital-Omnibus sieht vor diesem Hintergrund einen flexiblen Ansatz vor: Die Vorschriften zu Hochrisiko-KI nach Annex III sollen erst dann anwendbar werden, wenn die Europäische Kommission bestätigt, dass die erforderlichen Normen und Unterstützungsinstrumente, etwa einschlägige Leitlinien, zur Verfügung stehen. Der Zeitplan für die Anwendung soll entsprechend um höchstens 16 Monate nach hinten verschoben werden. Ab dem Moment, zu dem die Europäische Kommission eine Umsetzung für machbar hält, soll sechs Monate Zeit für die Umsetzung bleiben. Spätestens werden die Regeln nach 16 Monaten anwendbar – also im Dezember 2027. Für die Umsetzung der Regeln zu den Harmonisierungsrechtsakten in Annex I sieht der Vorschlag vor, dass 12 Monate Zeit zur Umsetzung bleiben, sobald die Europäische Kommission das Vorliegen aller nötigen Unterstützungsinstrumente bestätigt. Diese Regeln sollen damit spätestens im August 2028 anwendbar werden.

Schlankere Regeln in den Bereichen Cybersicherheit und Daten

Um die Berichterstattung zur Cybersicherheit zu vereinfachen, sieht der Digital-Omnibus vor, eine zentrale Anlaufstelle einzuführen, über die Unternehmen und Behörden all ihren Meldepflichten bei Sicherheitsvorfällen nachkommen können. Derzeit müssen Cybersicherheitsvorfälle nach mehreren Rechtsakten gemeldet werden, unter anderem nach der NIS2-Richtlinie, der Datenschutz-Grundverordnung (DSGVO), dem Digital Operational Resilience Act (DORA) und der eIDAS-Verordnung.

Ferner sollen durch den Digital-Omnibus gezielte Änderungen an der DSGVO vorgenommen werden, um den Datenschutzrahmen innovationsfreundlicher zu machen, ohne das hohe Schutzniveau für personenbezogene Daten zu senken. Die ePrivacy-Richtlinie soll dahingehend geändert werden, dass die Regeln für die Verarbeitung personenbezogener Daten auf und von Endgeräten in Einklang mit denen der DSGVO stehen. Bei der Verarbeitung von nicht-personenbezogenen Daten bleiben die Vorschriften zum Schutz der Integrität des Endgeräts nach der Richtlinie bestehen.

Außerdem soll der Datenzugang als Basis aller Innovation verbessert werden. Mit diesem Ziel sollen unter anderem drei einschlägige Rechtsakte – Free Flow of Data Regulation, Data Governance Act, Open Data Directive – zurückgenommen werden und deren Inhalte im Data Act aufgehen, um die Rechtssicherheit zu erhöhen. Darüber hinaus sollen neue Leitlinien durch Mustervertragsklauseln für den Datenzugang und die Datennutzung sowie Standardvertragsklauseln für Cloud-Computing-Verträge die Umsetzung des Data Act unterstützen. Schließlich sollen europäische KI-Unternehmen gestärkt werden, indem der Zugang zu hochwertigen und aktuellen Datensätzen für die KI-Entwicklung verbessert wird.

Kommender Gesetzgebungsprozess

Der Rat der EU und das Europäische Parlament müssen dem Digital-Omnibus zustimmen. Die Aufteilung des Omnibusses in zwei Verordnungsvorschläge wird als Möglichkeit interpretiert, den KI-Teil wegen der geplanten Fristverschiebungen bevorzugt zu behandeln. Dadurch soll in diesem Bereich schneller eine Einigung erzielt werden können, auch wenn andere Themen mehr Zeit im Gesetzgebungsprozess benötigen.

Im Rat wurde eine eigene Ratsarbeitsgruppe eingerichtet, die sich mit den Omnibus-Vorschlägen befasst. Gleichzeitig zeichnen sich im Europäischen Parlament schwierige Verhandlungen ab. Sowohl Grüne als auch S&D haben sich unter anderem gegen Änderungen am AI Act ausgesprochen. Renew hat Bedenken geäußert, dass der vorliegende Vorschlag auf Kosten von Datenschutzstandards und Grundrechtsschutz gehe. Damit sehen außer der EVP alle Fraktionen der proeuropäischen Mehrheit im Europäischen Parlament Nachbesserungsbedarf.

Ausblick

Die Europäische Kommission betrachtet den Digital-Omnibus als ersten Schritt zur Vereinfachung des digitalen Regelwerks der EU. In einem nächsten Schritt soll eine umfänglichere Eignungsprüfung der bestehenden Digitalgesetzgebung folgen. Dazu hat die Europäische Kommission gleichzeitig mit der Veröffentlichung des Digital-Omnibus eine Sondierung gestartet, die bis zum 11. März 2026 geöffnet bleibt. Die Eignungsprüfung bezieht sich auf die Gesamtheit der EU-Rechtsvorschriften mit einem signifikanten digitalen Bezug und schließt auch ihre Umsetzung ein. Ziel ist, das Zusammenspiel der Gesetze kohärent und wirksam zu gestalten sowie Vereinfachungspotenzial – insbesondere für kleine und mittlere Unternehmen – auszumachen.