EU AI ACT
Mai 6, 2026
Kim Icon 
Am 19. November 2025 legte die EU-Kommission das sogenannte Digitale Omnibuspaket vor – und seither herrscht Ausnahmezustand in der europäischen Datenschutz-Community. Der Kern: KI-Training soll künftig auf Basis von „berechtigtem Interesse“ zulässig sein, ohne dass Nutzerinnen und Nutzer explizit einwilligen müssen. Datenschützer sprechen von einem Paradigmenwechsel. Die Industrie jubelt. Und die Wahrheit liegt – wie so oft – komplizierter als beide Lager zugeben wollen.
Wer die Debatte um die DSGVO-Lockerung versteht, muss zuerst verstehen, was das Digitale Omnibuspaket überhaupt ist. Die EU-Kommission legte am 19. November 2025 ein umfangreiches Reformpaket vor, das mehrere Digitalgesetze gleichzeitig ändern soll – darunter die Datenschutz-Grundverordnung, Teile der KI-Verordnung und angrenzende Regelwerke. Das Paket ist kein kleiner Nachtrag, sondern ein struktureller Eingriff in das europäische Digitalrecht, der jahrelang aufgebaut wurde.
Der Begriff „Omnibus“ ist dabei Programm: Alles soll auf einmal in einem einzigen Gesetzgebungsverfahren geändert werden. Das beschleunigt den Prozess erheblich – aber es erschwert auch die parlamentarische Kontrolle. Einzelne Maßnahmen lassen sich schlechter herausverhandeln, wenn sie im Paket mit weniger kontroversen Punkten verknüpft sind. Das ist politisches Handwerk, und es funktioniert.
Konkret schlägt die Kommission vor, KI-Training mit personenbezogenen Daten auf Basis des sogenannten berechtigten Interesses nach Artikel 6 Absatz 1 lit. f DSGVO zu erlauben. Das betrifft nicht nur das eigentliche Training von KI-Modellen, sondern explizit auch das Testen und Validieren. Hinzu kommen Regelungen zu Cookies, zu sensiblen Daten und zu einer Verschiebung des Einwilligungsprinzips an mehreren Stellen gleichzeitig.
Was bleibt: Datenminimierung bleibt Pflicht. Transparenz bleibt Pflicht. Das Widerspruchsrecht der Betroffenen bleibt erhalten. Nur die Einwilligung als Rechtfertigungsgrundlage wird an zentralen Stellen ersetzt. Das klingt nach einem technischen Detail – es ist jedoch eine fundamentale Verschiebung der Machtbalance zwischen Datenverarbeitern und Datenschutzobjekten.
Stand Mai 2026 befinden sich die Verhandlungen noch im Trilog zwischen Kommission, Parlament und Rat. Finale Rechtskraft hat das Paket zu diesem Zeitpunkt noch nicht erlangt. Die Debatten sind scharf, die Positionen verhärtet – und das Ergebnis ist trotz aller Prognosen offen.
Das „berechtigte Interesse“ ist im deutschen Datenschutzrecht schon lange keine Unbekannte. Es erlaubt die Verarbeitung personenbezogener Daten, wenn der Verantwortliche ein legitimes Interesse hat – und dieses Interesse die Rechte der Betroffenen überwiegt. Der entscheidende Punkt: Es braucht keine explizite Zustimmung der Person, deren Daten verarbeitet werden.
Für KI-Training bedeutet das in der Theorie: Unternehmen könnten öffentlich zugängliche Texte, Bilder, Sprachdaten und andere Inhalte nutzen, ohne jeden Betroffenen um Erlaubnis fragen zu müssen – solange sie eine Interessenabwägung durchgeführt haben und technische Schutzmaßnahmen vorhanden sind. Das klingt nach einem Kompromiss. In der Praxis ist es eine Einladung zu Interpretationsspielraum. Eine vertiefende Einordnung bietet EU AI Act + KI-MIG: Der deutsche Sonderweg bei der KI-Regulierung.
Ich halte das für einen der heikelsten Vorschläge der letzten Jahre im europäischen Digitalrecht. Nicht weil KI-Training generell unzulässig sein sollte – das wäre naiv. Sondern weil das berechtigte Interesse erfahrungsgemäß zum meistmissbrauchten Rechtfertigungsgrund der DSGVO geworden ist. Unternehmen interpretieren es großzügig, Aufsichtsbehörden sind überlastet, und Betroffene haben keine reale Möglichkeit, die Abwägung nachzuvollziehen oder anzufechten.
Die Fälle von Meta und LinkedIn, die in den Jahren 2023 bis 2025 im Mittelpunkt juristischer Auseinandersetzungen standen, illustrieren das Problem: Beide Unternehmen hatten Nutzerdaten für KI-Training verwendet und sich dabei auf berechtigtes Interesse berufen. Die Verbraucherzentrale NRW verlor zwar einen Eilantrag vor dem OLG Köln, doch die rechtliche Debatte ist damit nicht beendet – sie illustriert nur, wie schwer es ist, gegen etablierte Interpretationen des berechtigten Interesses vorzugehen. Mehr Kontext liefert EU AI Act DPIA-Vorlage 2026: Warum Unternehmen jetzt handeln müssen.
Der Europäische Datenschutzausschuss (EDPB) hatte bereits vorab in einer Leitlinie angedeutet, dass berechtigtes Interesse grundsätzlich als Rechtsgrundlage für KI-Training in Betracht kommen kann. Darauf baut die Kommission nun – und dehnt diesen Gedanken auf breite Datenkategorien aus, einschließlich sensibler Daten unter bestimmten Bedingungen.
Besonders aufhorchen lassen sollte eine Änderung, die in der öffentlichen Berichterstattung zu kurz kommt: Der Vorschlag greift auch in die Definition sensibler Daten nach Artikel 9 DSGVO ein. Bisher fallen darunter Gesundheitsdaten, religiöse Überzeugungen, politische Meinungen, biometrische Daten und weitere besonders schutzbedürftige Kategorien.
Der Omnibus-Entwurf würde diesen Schutz laut dem Bericht auf direkt offenbare Merkmale beschränken. Daten, die durch Profilerstellung oder statistische Analyse aus anderen Datenpunkten abgeleitet werden – sogenannte inferierte Daten – würden damit aus dem besonderen Schutzbereich herausfallen. Das ist eine massive Veränderung.
Stellen Sie sich vor: Ein KI-System schließt aus Einkaufshistorie, Standortdaten und Browserverhalten auf eine Schwangerschaft, eine psychische Erkrankung oder eine religiöse Zugehörigkeit. Nach geltendem Recht sind solche Rückschlüsse, wenn sie zuverlässig möglich sind, datenschutzrechtlich problematisch. Nach dem neuen Entwurf würden diese inferierten Schlüsse nicht mehr dem besonderen Schutz unterliegen – weil die ursprünglichen Rohdaten keine offenkundigen sensiblen Merkmale enthalten.
Das ist keine Überinterpretation. Netzpolitik.org hat das Thema in einem detaillierten FAQ aufgearbeitet und kommt zu dem Schluss, dass der Vorschlag die Tür für Data-Mining öffnet, das dem Kerngedanken der DSGVO widerspricht. Die Einschätzung teile ich – und ich finde es bemerkenswert, dass gerade dieser Punkt in den politischen Diskussionen kaum thematisiert wird.
Die technische Realität moderner KI-Systeme macht diese Änderung besonders riskant: Inferenz ist das Kerngeschäft von Large Language Models und Empfehlungsalgorithmen. Sie schließen ständig auf sensible Eigenschaften, ohne dass diese explizit in den Trainingsdaten vermerkt sein müssen. Wer den Schutz nur auf direkt offenbare Merkmale beschränkt, versteht nicht, wie diese Systeme funktionieren – oder er versteht es sehr gut und handelt bewusst.
Ein weiterer Baustein des Omnibuspakets betrifft Cookies und Tracking-Technologien. Bisher schreibt die ePrivacy-Richtlinie vor, dass für nicht-notwendige Cookies eine ausdrückliche Einwilligung der Nutzerinnen und Nutzer eingeholt werden muss – das sind jene allgegenwärtigen Cookie-Consent-Banner, die das Web gefühlt unnutzbar machen.
Der Kommissionsvorschlag sieht vor, diese Pflicht zu lockern: Statt Einwilligung könnte für bestimmte Zwecke das berechtigte Interesse genügen, mit einem nachträglichen Widerspruchsrecht. Die Logik dahinter ist verständlich – die meisten Menschen klicken ohnehin auf „Akzeptieren“, ohne den Text zu lesen. Die praktische Auswirkung dieser „Einwilligung“ ist minimal.
Trotzdem ist die Verschiebung von Opt-in zu Opt-out datenschutzrechtlich bedeutsam. Das Opt-in-Prinzip stellt sicher, dass Tracking erst beginnt, wenn die Person aktiv zustimmt. Beim Opt-out dagegen findet Tracking zunächst statt – und die Last liegt bei der Person, die widersprechen muss. Diese Umkehr des Prinzips ist keine Kleinigkeit.
Für Medienunternehmen sieht der Entwurf offenbar Ausnahmen vor. Das ist politisch lesbar: Die Verlagsbranche hat in Brüssel starke Lobby-Strukturen und betreibt Online-Werbung massiv über Tracking-Infrastruktur. Dass gerade diese Branche Sonderregeln bekommt, während gleichzeitig der Datenschutz für alle anderen Nutzergruppen gelockert wird, ist eine bemerkenswerte politische Entscheidung.
Die EU-Kommission begründet die DSGVO-Lockerung mit dem Verweis auf das globale KI-Wettrennen. Das Argument ist bekannt: Europa müsse wettbewerbsfähig bleiben, amerikanische und chinesische Unternehmen hätten weniger regulatorische Hürden, europäische KI-Entwicklung werde durch Datenschutzregeln ausgebremst. Das Argument ist nicht falsch – aber es ist unvollständig.
Wer profitiert konkret von der Möglichkeit, KI-Training großflächig auf Basis von berechtigtem Interesse durchzuführen? Es sind nicht die europäischen KI-Startups, die mangels Rechenkapazität, Finanzierung und Dateninfrastruktur ohnehin nicht mit OpenAI oder Google DeepMind konkurrieren können. Es sind die großen US-Plattformen, die bereits riesige Datenbestände über europäische Nutzerinnen und Nutzer halten – und diese nun leichter für KI-Training-Daten nutzen könnten.
Diese Einschätzung deckt sich mit Kritik, die laut Berichten von Verbänden und zivilgesellschaftlichen Organisationen geäußert wurde: Die Konsultation zum Omnibuspaket sei branchenorientiert gewesen, und die Lockerungen kämen in erster Linie etablierten Tech-Konzernen zugute. Ob das zutrifft, lässt sich nicht abschließend belegen – aber die Frage ist berechtigt.
Auf der anderen Seite gibt es legitime Argumente dafür, dass kleinere europäische Unternehmen durch die bestehenden Regeln überproportional belastet werden. Wer ein mittelständisches Softwareunternehmen führt und ein KI-gestütztes Produkt entwickeln will, muss aktuell aufwendige Einwilligungsprozesse aufbauen, die großen Plattformen durch ihre Marktmacht faktisch schon umgehen – weil die Nutzer ihnen kaum eine Wahl lassen. In diesem Sinne könnte eine Vereinfachung kleinere Akteure sogar entlasten, wie Rechtsexperten in ihrer Analyse des EU Digital Omnibus für 2026 ausführen.
Im Entwurf des Omnibuspakets findet sich auch ein vorgeschlagener neuer Artikel 88a DSGVO. Dieser würde die Verarbeitung sensibler Daten – also Gesundheitsdaten, religiöse Überzeugungen, politische Meinungen und ähnliches – für einen spezifischen Zweck ohne die sonst erforderlichen besonderen Rechtfertigungsgrundlagen erlauben: die Erkennung und Korrektur von Bias in KI-Systemen.
Auf den ersten Blick klingt das sinnvoll. KI-Systeme bilden gesellschaftliche Ungleichheiten ab und verstärken sie unter Umständen. Um das zu erkennen, braucht man Daten über diese Ungleichheiten – also im Zweifelsfall auch sensible Kategorien. Ein System, das bei der Kreditvergabe Diskriminierung erkennen soll, muss wissen, welche Kredite an welche Bevölkerungsgruppen vergeben wurden.
Das Problem: Die Ausnahme ist formulierbar als breites Einfallstor. Jedes KI-Unternehmen kann potenziell argumentieren, dass seine Modelle auf Bias untersucht werden müssen – und damit die Verarbeitung sensibler Daten in großem Umfang legitimieren. Wie diese Ausnahme in der Praxis von Aufsichtsbehörden kontrolliert werden soll, bleibt im Entwurf vage. Kontrolle und Durchsetzung sind aber der entscheidende Punkt.
Die Datenschutz-Grundverordnung ist als Rechtsrahmen stark. Ihre Schwäche liegt in der Durchsetzung. Wenn nun neue Ausnahmetatbestände eingeführt werden, ohne dass gleichzeitig Kontrollkapazitäten aufgebaut werden, entsteht ein Regelwerk mit wohlklingenden Voraussetzungen und faktisch niedriger Compliance-Kontrolle. Das ist der historisch belegte Normalzustand in vielen EU-Mitgliedsstaaten.
Die Kritik aus der Datenschutz-Community ist laut, und sie ist in weiten Teilen substanziell. Organisationen wie noyb und EDRi mobilisieren gegen das Paket – nicht weil sie grundsätzlich gegen KI sind, sondern weil sie spezifische Mechanismen für strukturell gefährlich halten.
Der zentrale Einwand: Das berechtigte Interesse ist als Rechtsgrundlage für KI-Training ungeeignet, weil KI-Risiken systemischer Natur sind und nicht durch eine Einzelfallabwägung zwischen Unternehmensinteresse und individuellem Schutzrecht erfasst werden können. Ein Unternehmen, das seine Trainingsdaten sorgfältig abwägt, kann trotzdem ein diskriminierendes Modell erzeugen – weil die Probleme im Zusammenspiel der Daten entstehen, nicht in einzelnen Datenpunkten.
Ein weiterer Einwand betrifft das Widerspruchsrecht. Nominell bleibt es erhalten – Betroffene können der Verarbeitung ihrer Daten für KI-Training widersprechen. In der Praxis aber: Wer weiß, dass seine Daten für das Training eines bestimmten Modells verwendet werden? Transparenz ist zwar vorgeschrieben, aber ihre Umsetzung in der Praxis des KI-Trainings ist eine technisch und organisatorisch komplexe Aufgabe. Das Widerspruchsrecht ist ein Papiertiger, wenn niemand weiß, dass er es ausüben kann.
Dazu kommt das strukturelle Problem der Ressourcen: Europäische Datenschutzbehörden sind chronisch unterfinanziert. Die irische Datenschutzbehörde DPC, die für viele US-Techkonzerne mit EU-Hauptsitz zuständig ist, ist seit Jahren für ihre schleppende Verfahrensführung bekannt. Mehr Ausnahmetatbestände bedeuten mehr Prüfaufwand – bei gleichbleibenden oder sinkenden Kapazitäten der Aufsicht.
Rhetorik der Industrie vs. Substanz des Entwurfs: Wenn die EU-Kommission sagt, die Einwilligung sei „nicht immer geeignet“ für KI-Training, dann ist das inhaltlich nicht falsch. Aber der Sprung von „Einwilligung ist manchmal unpraktisch“ zu „berechtigtes Interesse ist ausreichend“ ist ein qualitativer Sprung, den der Entwurf nicht ausreichend begründet.
Aus Unternehmensperspektive ist die Erleichterung verständlich. Wer KI-Modelle entwickelt, kämpft aktuell mit einem Flickenteppich aus nationalen Interpretationen der DSGVO, widersprüchlichen Behördenentscheidungen und unklarer Rechtslage beim Einsatz von öffentlich zugänglichen Daten für KI-Training-Daten. Eine klarere Rechtsgrundlage wäre tatsächlich wertvoll.
Die Rechtskanzlei Möhrle Happ Luther hat in ihrer Analyse darauf hingewiesen, dass es sich nicht um eine pauschale Legalisierung handle – die Interessenabwägung bleibe Pflicht. Das ist richtig. Trotzdem verschafft das Paket Unternehmen faktisch mehr Handlungsspielraum, weil die Beweislast für die Interessenabwägung beim Verantwortlichen liegt – und diese Abwägung in der Praxis selten wirklich angefochten wird.
Was die Industrie bei ihrer Zustimmung gerne ausblendet: Mehr Rechtssicherheit für KI-Training bedeutet nicht automatisch bessere KI-Systeme. Die Qualität und Fairness eines Modells hängt nicht davon ab, ob die Daten auf Basis von Einwilligung oder berechtigtem Interesse erhoben wurden. Datenschutzrechtliche Lockerung löst keine technischen Qualitätsprobleme. Sie löst nur juristische Compliance-Probleme – für die Unternehmen, die bereits Zugang zu großen Datensätzen haben.
Für kleinere europäische KI-Unternehmen, die neu in den Markt eintreten wollen, ändert sich durch die DSGVO-Lockerung weniger als erhofft. Das entscheidende Nadelöhr ist nicht die rechtliche Grundlage für die Datennutzung, sondern der tatsächliche Zugang zu hochwertigen, strukturierten Trainingsdaten in ausreichender Menge – und diese Daten halten überwiegend die großen Plattformen.
Das Omnibuspaket greift nicht nur in die DSGVO ein, sondern auch in die KI-Verordnung (KI-VO), die seit 2024 in Kraft ist. Die Verknüpfung beider Regelwerke ist dabei teilweise inkohärent – und das ist kein Zufall, sondern Ausdruck politischer Kompromisse.
Die KI-Verordnung unterscheidet bekanntlich zwischen Hochrisiko-KI-Systemen und solchen mit geringerem Risiko. Hochrisiko-Systeme unterliegen strengen Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht. Der Omnibus-Vorschlag zu KI-Training Daten dagegen gilt allgemein – er unterscheidet nicht danach, ob das trainierte Modell am Ende ein Hochrisiko-System wird oder nicht.
Das schafft eine merkwürdige Asymmetrie: Ein KI-System, das für Kreditentscheidungen eingesetzt wird und als Hochrisiko gilt, muss beim Einsatz strenge Anforderungen erfüllen. Aber beim Training dieses Systems soll das berechtigte Interesse als ausreichende Rechtsgrundlage gelten – auch wenn sensible Daten verarbeitet werden. Der Schutz greift also erst am Ende der Pipeline, nicht am Anfang.
Datenschutzrechtlich wäre es konsequenter, den Schutz genau dort zu verankern, wo das Risiko entsteht – beim Aufbau der Datenbasis, nicht erst bei der Anwendung. Wer das Omnibuspaket im Kontext der KI-Verordnung liest, erkennt: Hier wurden zwei Regelwerke nebeneinander entwickelt, die nicht kohärent zusammenpassen. Das ist ein strukturelles Problem europäischer Digitalgesetzgebung, das durch schnelle Omnibus-Verfahren eher verstärkt als gelöst wird.
Auch wenn das Paket noch in Trilog-Verhandlungen steckt und keine Rechtskraft hat, sollten Unternehmen die Entwicklung nicht ignorieren. Wer jetzt vorbereitet ist, hat einen strukturellen Vorteil – unabhängig davon, in welche Richtung die Verhandlungen endgültig gehen.
Erstens: Bestandsaufnahme der aktuellen Rechtsgrundlagen. Welche personenbezogenen Daten verarbeiten Sie heute für KI-Zwecke – Training, Testing, Validierung – und auf welcher Rechtsgrundlage? Wer diese Frage nicht klar beantworten kann, hat schon heute ein Compliance-Problem, unabhängig vom Omnibus.
Zweitens: Interessenabwägung dokumentieren. Wenn das berechtigte Interesse zur neuen Rechtsgrundlage wird, müssen Unternehmen eine saubere Interessenabwägung dokumentieren – und zwar für jedes Verarbeitungsszenario separat. Das ist kein Formular, das man einmal ausfüllt. Es ist ein Prozess, der bei jeder wesentlichen Änderung des KI-Systems oder der Datennutzung wiederholt werden muss. Wer tiefer einsteigen möchte, findet in Unsichtbare KI 2026: Was Unternehmen jetzt wissen müssen weiteren Hintergrund.
Drittens: Technische Schutzmaßnahmen prüfen. Der Entwurf verknüpft das berechtigte Interesse explizit mit der Pflicht zu technischen und organisatorischen Maßnahmen (TOMs). Pseudonymisierung, Anonymisierung wo möglich, Zugangsbeschränkungen, Löschfristen für Trainingsdaten – das sind keine Optionen, sondern Voraussetzungen für die Rechtmäßigkeit nach dem neuen Modell.
Viertens: Widerspruchsrechte operationalisieren. Wenn Betroffene der KI-Training-Verarbeitung widersprechen können müssen, braucht es einen funktionierenden Mechanismus dafür. Dieser muss für Betroffene auffindbar, verständlich und technisch wirksam sein. Ein Widerspruch, der ins Leere läuft, wäre ein klarer DSGVO-Verstoß – auch unter dem neuen Regime.
Fünftens: Datenschutz-Folgenabschätzung (DPIA) durchführen. Auch wenn das Omnibuspaket in Kraft tritt, bleibt die DPIA-Pflicht für risikoreiche Verarbeitungen bestehen. Wie Rechtsexperten der Kanzlei Möhrle Happ Luther erläutern, ist die Interessenabwägung kein Ersatz für die DPIA – sie ist eine ergänzende Dokumentationspflicht. Unternehmen, die glauben, mit dem berechtigten Interesse alle Hausaufgaben erledigt zu haben, unterschätzen den Prüfaufwand.
Sechstens: Externe Rechtsberatung einplanen. Die Rechtslage ist im Fluss. Was heute als sichere Auslegung gilt, kann in sechs Monaten durch eine Behördenentscheidung oder einen Gerichtsbeschluss überholt sein. Wer das intern ohne externe Expertise managen will, geht ein kalkulierbares, aber reales Risiko ein.
Man kann das Digitale Omnibuspaket nicht bewerten, ohne den politischen Kontext zu verstehen, in dem es entstanden ist. Die neue EU-Kommission unter Ursula von der Leyen hat sich Wettbewerbsfähigkeit und Deregulierung auf die Fahne geschrieben. Der Begriff „Vereinfachung“ fällt in Brüssel derzeit in praktisch jedem Digitalkontext.
Das ist keine neutrale Verwaltungsentscheidung, sondern eine politische Prioritätensetzung. Angesichts des Erfolgs von ChatGPT und der dominanten Marktstellung US-amerikanischer KI-Unternehmen ist die Reflexreaktion in Brüssel verständlich: Wenn Europa reguliert und Amerika nicht, verliert Europa. Also reguliert Europa weniger.
Dieses Argument hat einen strukturellen Fehler: Europas Stärke im globalen KI-Wettbewerb liegt nicht in der Menge verfügbarer Trainingsdaten. Sie liegt – oder könnte liegen – in der Qualität, der Verlässlichkeit und dem Vertrauen in europäische KI-Systeme. Das ist ein Differenzierungsmerkmal, kein Handicap. Wer dieses Alleinstellungsmerkmal für kurzfristige Wettbewerbsanpassung opfert, zerstört langfristig genau den Vorteil, den Europa aufbauen könnte.
Parallel dazu ist interessant, wie der Vorschlag politisch durchgesetzt werden soll. Das Omnibus-Verfahren bündelt viele Änderungen, sodass einzelne kritische Punkte schwerer isoliert bekämpft werden können. Wer die DSGVO-Lockerung ablehnt, stimmt gleichzeitig gegen andere Vereinfachungen, die weniger kontrovers sind. Das ist ein klassisches politisches Paketierungsmanöver – und es ist effektiv.
Der Trilog ist noch nicht abgeschlossen. Das Europäische Parlament hat traditionell stärker auf Datenschutz geachtet als die Kommission. Ob die parlamentarischen Bedenken ausreichen, um die kritischsten Punkte – insbesondere die Einschränkung des Schutzes für inferierte Daten – zu kippen, wird sich zeigen.
Neben der Debatte um die DSGVO-Lockerung gibt es einen parallelen Diskurs, der strategisch wichtiger ist: die Frage der europäischen Datensouveränität. Wie können europäische Unternehmen und Behörden KI-Systeme entwickeln und betreiben, die auf europäischen Daten basieren, europäischen Werten entsprechen und nicht von US-amerikanischer Infrastruktur abhängen?
Diese Frage ist dringlicher als die Frage, ob berechtigtes Interesse oder Einwilligung die richtige Rechtsgrundlage ist. Denn selbst wenn die DSGVO-Lockerung käme und KI-Training rechtlich vereinfacht würde – europäische Unternehmen wären immer noch auf US-amerikanische Cloud-Infrastruktur, US-amerikanische Chiphersteller und US-amerikanische Basismodelle angewiesen.
Das Omnibuspaket adressiert diese strukturelle Abhängigkeit nicht. Es vereinfacht Compliance-Prozesse, löst aber keine Fragen der digitalen Infrastruktur, der Rechenkapazität oder des technologischen Know-hows. Wer das Paket als europäischen KI-Befreiungsschlag verkauft, betreibt Erwartungsmanagement auf niedrigem Niveau.
Gleichzeitig sollte man die symbolische Wirkung des Pakets nicht unterschätzen. Wenn Europa signalisiert, dass es KI-Entwicklung ernstnimmt und bereit ist, pragmatische Anpassungen vorzunehmen, hat das einen Effekt auf Investitionsentscheidungen. Venture Capital, Forschungskooperationen, Unternehmensansiedlungen – all das reagiert auf regulatorische Signale. In diesem Sinne hat das Omnibuspaket eine Funktion, die über seine juristische Substanz hinausgeht.
Szenario 1: Das mittelständische HR-Tech-Unternehmen. Ein deutsches Unternehmen entwickelt ein KI-gestütztes Bewerbermanagementsystem, das Lebensläufe analysiert und Kandidaten vorschlägt. Bisher brauchten Bewerber, deren Daten für das Training genutzt wurden, eine explizite Einwilligung – ein administrativer Albtraum bei zehntausenden historischen Bewerbungen. Nach dem neuen Regime könnte das Unternehmen berechtigtes Interesse geltend machen, wenn es eine saubere Interessenabwägung dokumentiert und technische Schutzmaßnahmen nachweist. Das reduziert den Compliance-Aufwand erheblich. Das Risiko: Das System könnte aus historischen Daten Diskriminierungsmuster lernen – und das ohne explizite Zustimmung der Betroffenen.
Szenario 2: Die Gesundheits-App. Ein europäisches Startup entwickelt eine App zur mentalen Gesundheitsunterstützung. Die Daten der Nutzerinnen und Nutzer sind hochsensibel – psychische Gesundheitszustände fallen eindeutig unter Artikel 9 DSGVO. Für KI-Training auf Basis dieser Daten wäre auch nach dem Omnibus-Entwurf eine explizite Ausnahme erforderlich – außer für Bias-Erkennung nach dem geplanten Artikel 88a. Das bedeutet: Selbst die DSGVO-Lockerung löst dieses Problem nicht vollständig. Das Startup muss nach wie vor auf Einwilligung oder ausdrückliche Ausnahmegründe setzen – für ein KI-Trainingsszenario im Bereich mentale Gesundheit.
Szenario 3: Der internationale Tech-Konzern. Ein US-amerikanischer Konzern mit Europa-Hauptsitz nutzt bestehende Nutzerdaten aus seinem sozialen Netzwerk, um ein neues Large Language Model zu trainieren. Er beruft sich auf berechtigtes Interesse. Die Datenmenge: astronomisch. Die inferierten Rückschlüsse auf sensible Eigenschaften: systemisch. Der Compliance-Aufwand für eine Interessenabwägung: minimal im Vergleich zum Datenwert. Für dieses Szenario ist das Omnibuspaket ein echter Gewinn – und genau das ist der Kritikpunkt der Datenschutz-NGOs.
Szenario 4: Die öffentliche Forschungseinrichtung. Ein deutsches Forschungsinstitut möchte medizinische Behandlungsdaten für das Training eines diagnostischen KI-Modells nutzen. Die Hoffnung auf das berechtigte Interesse trügt hier: Für sensible Gesundheitsdaten gilt auch nach dem Omnibus-Entwurf eine erhöhte Schutzstufe. Das Institut braucht weiterhin spezifische Rechtsgrundlagen – entweder Einwilligung oder gesetzliche Erlaubnistatbestände. Für die Forschung gibt es in der DSGVO seit jeher Ausnahmeregelungen, die diesen Bereich gesondert behandeln. Die DSGVO-Lockerung des Omnibuspakets trifft diesen Sektor also weniger direkt als oft berichtet wird.
Rund um das Digitale Omnibuspaket kursieren Vereinfachungen, die einer Prüfung nicht standhalten. Hier die wichtigsten Klarstellungen:
Mythos 1: „Die DSGVO wird abgeschafft.“ Falsch. Das Paket schlägt gezielte Änderungen einzelner Artikel vor. Die DSGVO als Rechtsrahmen bleibt vollständig erhalten. Es handelt sich um Anpassungen, nicht um eine Abschaffung oder einen strukturellen Neustart.
Mythos 2: „KI-Training mit allen Daten ist jetzt legal.“ Falsch. Auch nach dem neuen Regime gilt die Pflicht zur Interessenabwägung, zur Datenminimierung und zu technischen Schutzmaßnahmen. Es gibt keine Pauschalerlaubnis für KI-Training-Daten. Wer eine solche annimmt, riskiert nach wie vor Aufsichtsverfahren und Bußgelder.
Mythos 3: „Das Widerspruchsrecht entfällt.“ Falsch. Das Widerspruchsrecht bleibt explizit erhalten. Es wird nicht beschränkt. Seine praktische Wirksamkeit ist allerdings eine andere Frage – und die ist berechtigt zu stellen.
Mythos 4: „Das Paket gilt ab sofort.“ Falsch. Stand Mai 2026 befinden sich die Verhandlungen im Trilog. Das Paket hat noch keine Rechtskraft. Mit einer Anwendbarkeit ist frühestens 2026/2027 zu rechnen – und weitere Änderungen im Verhandlungsprozess sind möglich.
Mythos 5: „Sensible Daten sind nicht mehr geschützt.“ Falsch, aber mit Einschränkung. Direkt offenbare sensible Daten behalten ihren Schutz. Der Entwurf zielt auf inferierte Daten ab – und das ist das eigentliche Problem. Die Berichterstattung verkürzt diesen Punkt häufig.
Wenn Sie sich als Privatperson fragen, was das Digitale Omnibuspaket für Sie bedeutet: Die wichtigste Botschaft ist zunächst, dass nichts finale Rechtskraft hat. Ihre aktuellen Datenschutzrechte gelten unverändert. Sie können weiterhin Auskunft über Ihre gespeicherten Daten verlangen, Löschung fordern, und Widerspruch gegen bestimmte Verarbeitungen einlegen.
Was sich langfristig ändern könnte: Sie werden möglicherweise weniger Cookie-Consent-Banner sehen – nicht weil der Datenschutz gestärkt wurde, sondern weil die Einwilligungspflicht entfällt. Das ist eine Veränderung der Oberfläche, nicht des Problems. Im Hintergrund läuft Tracking weiter – Sie müssen es nur aktiv widersprechen statt aktiv zustimmen.
Wenn Sie Interesse daran haben, die Entwicklung zu verfolgen und sich einzumischen: Das Europäische Parlament ist der Akteur, der am stärksten auf Datenschutz gepocht hat. Rückmeldungen an die zuständigen Abgeordneten, Unterstützung für Datenschutz-NGOs wie noyb oder EDRi, und öffentliche Beteiligung an Konsultationsprozessen sind konkrete Handlungsoptionen.
Wer in einem Unternehmen mit Datenschutzverantwortung arbeitet, sollte die Entwicklung des Omnibuspakets aktiv monitoren. Die Rechtslage ist im Wandel, und eine reaktive Compliance-Strategie – die erst handelt, wenn Gesetze in Kraft getreten sind – ist in einem so dynamischen Umfeld zu langsam.
Das Digitale Omnibuspaket ist kein Befreiungsschlag und keine Katastrophe. Es ist das, was EU-Gesetzgebung meistens ist: ein Kompromiss, der niemanden vollständig zufriedenstellt und dessen Auswirkungen von der Qualität der Durchsetzung abhängen. Die DSGVO-Lockerung für KI-Training gibt Unternehmen mehr Spielraum – aber dieser Spielraum ist nicht unbegrenzt, und er wird von Behörden zu interpretieren sein, die schon jetzt überlastet sind.
Die entscheidende Frage ist nicht, ob berechtigtes Interesse eine zulässige Rechtsgrundlage für KI-Training-Daten sein kann. Die entscheidende Frage ist, ob europäische Institutionen in der Lage sind, die Interessenabwägungen, die Unternehmen vornehmen, wirklich zu prüfen und durchzusetzen. Wenn das nicht der Fall ist, ist das neue Regime nicht „weniger Datenschutz, dafür mehr KI“ – sondern schlicht „weniger Datenschutz, Punkt“.
Die Änderung des Schutzes inferierter sensibler Daten ist dabei das Element, das mich am meisten beunruhigt. Nicht weil inferierte Daten heute perfekt geschützt wären – das sind sie nicht. Sondern weil eine explizite Verengung des Schutzes ein politisches Signal sendet: dass das Recht die Realität moderner KI-Systeme anerkennt, indem es sich ihr anpasst – statt zu fordern, dass sich die Systeme den Rechten anpassen.
Was meinen Sie: Kann ein europäisches Datenschutzregime, das berechtigtes Interesse als Standardbegründung für KI-Training akzeptiert, noch glaubwürdig den Menschen in den Mittelpunkt stellen – oder opfert es diesen Anspruch dem Wettbewerbsdruck?
Diskutieren Sie mit uns in den Kommentaren. Und wenn Sie für Ihr Unternehmen konkrete nächste Schritte bei der DSGVO-Compliance für KI-Projekte suchen: Die aktuellen Leitlinien des EDPB sowie die Dokumentationsempfehlungen Ihrer zuständigen Datenschutzbehörde sind der richtige Ausgangspunkt – unabhängig vom Ausgang des Omnibus-Verfahrens.
