Stand: 18.06.2026

Der heute veröffentlichte Warnruf von AlgorithmWatch und mehreren europäischen Bürgerrechtsorganisationen trifft einen empfindlichen Punkt der europäischen Digitalpolitik. Der sogenannte KI-Omnibus soll Regeln rund um die KI-Verordnung vereinfachen. Die Analyse beschreibt ihn aber als Eingriff, der Schutzpflichten verschiebt, Transparenz reduziert und damit auch Datenschutzfragen berührt, bevor zentrale Vorgaben überhaupt praktisch greifen.

Für Unternehmen ist das mehr als ein Brüsseler Verfahrensstreit. Die KI-Verordnung soll festlegen, wann Systeme als Hochrisiko-KI gelten, welche Pflichten Anbieter und Anwender treffen und wie Betroffene, Behörden und Öffentlichkeit erkennen können, wo automatisierte Entscheidungen eingesetzt werden. Wenn solche Pflichten noch vor dem Start abgeschwächt oder verschoben werden, verändert sich die Planungsgrundlage für Compliance, Datenschutz-Folgenabschätzungen und interne KI-Governance.

Warum aus Vereinfachung ein Datenschutzsignal wird

AlgorithmWatch schreibt, die Europäische Kommission habe die KI-Verordnung unter dem Deckmantel der Vereinfachung erneut aufgerollt. Die Organisation verweist dabei auf eine gemeinsame Analyse unter anderem mit EDRi, Access Now und Amnesty International. Der Kernvorwurf lautet: Der Omnibus gehe über technische Anpassungen hinaus und verschiebe wichtige Hochrisiko-Pflichten, schwäche öffentliche Transparenz und verändere die Anwendung der KI-Regeln auf industrielle Systeme.

Besonders relevant ist die Debatte um die EU-Datenbank für KI-Systeme. Nach der Analyse wurde zwar verhindert, dass eine Registrierungspflicht für bestimmte Anbieter vollständig gestrichen wird. Gleichzeitig solle aber weniger Information öffentlich werden. Genau hier beginnt der Datenschutzkern des Falls. Transparenzregister sind nicht nur Formalien. Sie helfen Aufsichtsbehörden, Forschern, Beschäftigten, Kunden und Betroffenen zu erkennen, wo Systeme eingesetzt werden, die Menschen bewerten, sortieren oder in sensiblen Lebensbereichen beeinflussen können.

Wenn Anbieter selbst einschätzen dürfen, dass ein System trotz Einsatz in einem Hochrisikobereich nicht als Hochrisiko-KI gilt, braucht diese Entscheidung nachvollziehbare Spuren. Sonst entsteht ein Kontrollproblem. Datenschutzrechtlich erinnert das an eine bekannte Schwachstelle aus der Praxis: Verantwortliche dokumentieren intern, aber für Betroffene bleibt unklar, wo personenbezogene Daten, Profiling oder automatisierte Bewertungen tatsächlich eine Rolle spielen.

Sensible Daten rücken näher an KI-Entwicklung heran

Die gemeinsame Analyse kritisiert außerdem neue Spielräume für die Verarbeitung besonderer Kategorien personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen. Solche Daten können etwa Gesundheit, Herkunft, Religion oder andere besonders geschützte Merkmale betreffen. Zwar kann Bias-Kontrolle ein legitimes Ziel sein. Datenschutzrechtlich ist aber entscheidend, ob die Verarbeitung wirklich notwendig, eng begrenzt, sicher und überprüfbar bleibt.

Gerade bei KI-Systemen reicht der Hinweis auf Pseudonymisierung oft nicht aus. Hochdimensionale Datensätze können in bestimmten Konstellationen wieder Personenbezug erzeugen oder Rückschlüsse auf Einzelne ermöglichen. Die Analyse warnt deshalb davor, sensible Daten in KI-Pipelines zu normalisieren. Für Datenschutzbeauftragte ist das eine praktische Warnung: Wer KI-Projekte plant, sollte besondere Datenkategorien nicht als Trainings- oder Testmaterial behandeln, nur weil ein künftiger Regeltext mehr Spielraum verspricht.

Hinzu kommt die Schnittstelle zwischen Datenschutz-Folgenabschätzung und Grundrechteprüfung. Die Analyse sieht ein Risiko, dass bestehende Datenschutz-Folgenabschätzungen künftig als Abkürzung für breitere Grundrechteprüfungen genutzt werden. Das wäre fachlich heikel. Eine Datenschutz-Folgenabschätzung prüft Risiken aus der Verarbeitung personenbezogener Daten. Eine Grundrechteprüfung muss aber auch Auswirkungen auf Zugang zu Leistungen, Diskriminierung, Arbeitsbedingungen, Überwachung oder Anfechtbarkeit automatisierter Entscheidungen erfassen.

Was Unternehmen jetzt prüfen sollten

Der Fall zeigt, warum KI-Compliance nicht auf das formale Inkrafttreten einzelner Pflichten warten kann. Unternehmen sollten schon jetzt festhalten, welche KI-Systeme sie einsetzen, welche Daten dafür genutzt werden, ob Profiling oder automatisierte Bewertungen stattfinden und welche Personen von Ergebnissen betroffen sind. Diese Übersicht hilft unabhängig davon, ob einzelne EU-Pflichten später verschoben, geändert oder konkretisiert werden.

Wichtig ist außerdem eine klare Trennung zwischen politischer Deregulierung und eigener Risikosteuerung. Wenn Fristen länger werden oder öffentliche Angaben reduziert werden, verschwindet das Risiko nicht. Im Gegenteil kann die Verantwortung stärker im Unternehmen selbst landen, weil Betroffene, Betriebsräte, Kunden oder Aufsichtsbehörden später genauer wissen wollen, warum ein System ohne erkennbare Transparenz eingesetzt wurde.

Der KI-Omnibus ist deshalb ein same-day Datenschutzthema, obwohl es nicht um ein klassisches Bußgeld geht. Die heutige Veröffentlichung zeigt, wie eng KI-Regulierung, DSGVO, ePrivacy und Grundrechte inzwischen verbunden sind. Für die Praxis folgt daraus eine einfache Lehre: Wer KI einführt, sollte Transparenz, Datenminimierung, sensible Daten, Erklärbarkeit und Beschwerdewege nicht als verschiebbare Zusatzpflichten behandeln, sondern als Kern der eigenen Governance.

Quellen: AlgorithmWatch, „Der KI-Omnibus: Schutzmaßnahmen abschwächen, bevor sie überhaupt in Kraft treten“, veröffentlicht am 18.06.2026, sowie die gemeinsame Analyse „The AI Omnibus: a rollback of AI safeguards before they even apply“ von EDRi, ARTICLE19, Access Now, AlgorithmWatch, Amnesty International und weiteren Organisationen.

Bildquelle: Pexels