EU Digital Omnibus: DSGVO-Reform für KI-Training – Was Unternehmen jetzt wissen müssen

DSGVO KI Training steht vor einer Zeitenwende: Mit dem sogenannten "Digital Omnibus"-Paket hat die Europäische Kommission am 19. November 2025 einen Vorschlag vorgelegt, der die Datenschutz-Grundverordnung in einem für die KI-Wirtschaft zentralen Punkt reformieren soll. Unternehmen, die KI-Modelle trainieren oder einsetzen, sollten diesen Prozess aufmerksam verfolgen – die Auswirkungen könnten erheblich sein.

Was ist das EU Digital Omnibus-Paket?

Das "Digital Omnibus"-Paket ist ein Gesetzgebungsvorhaben der Europäischen Kommission, das mehrere bestehende EU-Digitalgesetze in einer einzigen Omnibus-Verordnung bündeln und vereinfachen soll. Ziel ist es, Widersprüche zwischen verschiedenen Rechtsakten zu beseitigen und den bürokratischen Aufwand für Unternehmen zu reduzieren.

Zum Paket gehören unter anderem Änderungsvorschläge für die DSGVO (Datenschutz-Grundverordnung), die KI-Verordnung (EU AI Act), die Produkthaftungsrichtlinie sowie den Data Act. Im Kern geht es der Kommission darum, Europa im globalen KI-Wettbewerb handlungsfähiger zu machen – ohne, so die offizielle Linie, grundlegende Datenschutzstandards aufzugeben.

Die entscheidende DSGVO-Änderung: Legitimes Interesse für KI-Training

Der für die KI-Branche bedeutsamste Punkt betrifft Artikel 6 DSGVO – die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Nach geltendem Recht müssen Unternehmen für jede Verarbeitung personenbezogener Daten eine klare Rechtsgrundlage vorweisen: in der Regel Einwilligung, Vertragserfüllung oder – unter strengen Voraussetzungen – ein berechtigtes Interesse.

Der Digital-Omnibus-Entwurf schlägt vor, KI-Training explizit als berechtigtes Interesse ("Legitimate Interest") nach Art. 6 Abs. 1 lit. f DSGVO anzuerkennen. Das würde bedeuten: Unternehmen könnten unter bestimmten Bedingungen vorhandene Geschäftsdaten zum Training eigener KI-Modelle nutzen – ohne explizite Einwilligung der betroffenen Personen.

Was das in der Praxis bedeutet

Bislang war die Frage, ob das Training von KI-Modellen auf personenbezogenen Unternehmensdaten – etwa Kundenkommunikation, Verträge, interne Dokumente – datenschutzrechtlich zulässig ist, eine der größten Rechtsunsicherheiten im deutschen und europäischen KI-Markt. Datenschutzbehörden in verschiedenen EU-Mitgliedsstaaten haben dazu unterschiedliche Positionen eingenommen.

Eine explizite DSGVO-Grundlage für KI-Training würde:

• Rechtssicherheit schaffen für Unternehmen, die auf Basis ihrer eigenen Kundendaten oder Geschäftsdaten spezialisierte KI-Modelle entwickeln wollen
• Den Verzicht auf Einwilligungen ermöglichen, soweit das berechtigte Interesse die Interessen oder Rechte der betroffenen Personen nicht überwiegt
• Wettbewerbsgleichheit mit US-Anbietern verbessern, die unter anderen rechtlichen Rahmenbedingungen operieren

Die Grenzen des berechtigten Interesses

Kritisch ist: Die Anerkennung als berechtigtes Interesse ist keine Freifahrtkarte. Es gilt weiterhin der Interessenabwägungstest: Unternehmen müssen dokumentieren, dass ihr Interesse am KI-Training die schutzwürdigen Interessen der betroffenen Personen nicht überwiegt. Sensible Datenkategorien nach Art. 9 DSGVO – Gesundheitsdaten, biometrische Daten, politische Überzeugungen – sind ausdrücklich ausgenommen und erfordern weiterhin eine Einwilligung oder eine andere spezifische Rechtsgrundlage.

Datenschutzbeauftragte werden die Abwägung im Einzelfall prüfen. Unternehmen, die sich auf das berechtigte Interesse stützen wollen, müssen diese Abwägung sorgfältig dokumentieren.

Was ändert sich konkret für deutsche Unternehmen?

Deutsche Unternehmen profitieren potenziell in mehreren Szenarien:

Szenario 1: Training interner Sprachmodelle Ein Unternehmen möchte ein firmeninternes LLM auf Basis historischer Kundenanfragen und Support-Tickets trainieren. Bislang war die Rechtsgrundlage dafür unklar. Mit dem Digital Omnibus käme das berechtigte Interesse als Grundlage in Betracht – sofern die Daten pseudonymisiert werden und keine sensiblen Kategorien enthalten.

Szenario 2: Verbesserung bestehender KI-Systeme Ein Softwareanbieter möchte sein eingesetztes KI-Klassifikationsmodell auf Basis von Transaktionsdaten seiner Bestandskunden verfeinern. Auch hier könnte das berechtigte Interesse greifen – mit entsprechender Interessenabwägung und transparenter Information der Betroffenen.

Szenario 3: Branchen-Modelle im B2B-Bereich Mehrere Unternehmen einer Branche wollen gemeinsam ein spezialisiertes Modell trainieren. Die DSGVO-Reform könnte hier kollaborative Trainingsprojekte rechtlich einfacher handhabbar machen.

Was sich nicht ändert

Einige Grundprinzipien der DSGVO bleiben unberührt:

• Zweckbindung: Daten dürfen nur für den ursprünglich kommunizierten Zweck genutzt werden, sofern kein Kompatibilitätstest für die neue Nutzung zum Training durchgeführt wird
• Datensparsamkeit: Nur tatsächlich benötigte Datenpunkte dürfen verarbeitet werden
• Betroffenenrechte: Auskunfts-, Lösch- und Widerspruchsrechte bleiben vollständig erhalten – inklusive des Widerspruchsrechts gegen Verarbeitung auf Basis berechtigter Interessen
• Rechenschaftspflicht: Die Dokumentation der Interessenabwägung bleibt eine Pflichtaufgabe

EU AI Act: Fristverlängerungen im Überblick

Parallel zur DSGVO-Reform enthält das Digital Omnibus-Paket auch Anpassungen am EU AI Act. Die ursprünglich für August 2026 vorgesehene vollständige Anwendbarkeit der Hochrisiko-KI-Anforderungen soll deutlich verschoben werden. Der Entwurf sieht konkret vor:

• Annex-III-Systeme (u.a. Recruitment-KI, Kreditscoring, Emotionserkennung): neue Frist 2. Dezember 2027 statt 2. August 2026
• Annex-I-Systeme (in sicherheitsrelevante Produkte eingebettete KI): neue Frist 2. August 2028 statt 2. August 2027
• Die Benannten Stellen für externe Konformitätsbewertungen sind in vielen Mitgliedstaaten noch nicht akkreditiert – die Fristverlängerung trägt dieser Realität Rechnung

Wichtig: Die Verschiebungen sind an eine Bedingung geknüpft – die Änderungsverordnung muss vor dem 2. August 2026 in Kraft treten. Ist das nicht der Fall, gelten die ursprünglichen Fristen.

Wichtig: Es handelt sich um Verschiebungen im Rahmen des laufenden Gesetzgebungsprozesses – nicht um eine Abschwächung der inhaltlichen Anforderungen. Unternehmen, die bereits mit der Compliance-Vorbereitung begonnen haben, sollten diese Arbeit fortführen.

Aktueller Stand des Gesetzgebungsverfahrens

Das Gesetzgebungsverfahren hat Stand April 2026 deutlich an Fahrt aufgenommen:

• 19. November 2025: Kommission veröffentlicht den Digital Omnibus-Entwurf
• 11. Februar 2026: EDPB und EDPS veröffentlichen gemeinsame Stellungnahme — sie akzeptieren legitimes Interesse als mögliche Grundlage, betonen aber bestehende DSGVO-Spielräume
• 13. März 2026: Rat der EU beschließt seine Verhandlungsposition
• 26. März 2026: Europäisches Parlament bestätigt seine Position im Plenum
• Ab April 2026: Trilog-Verhandlungen zwischen Kommission, Parlament und Rat beginnen

Ein erstes Einigungsziel wurde für den zweiten Trilog am 28. April 2026 gesetzt. Der Entwurf kann sich im Trilog noch verändern – der EDPB hat ausdrücklich betont, dass das bestehende DSGVO-Recht legitimes Interesse für KI-Training bereits heute ermöglicht und kein neuer Artikel erforderlich sei.

Was sollten Unternehmen jetzt tun?

1. KI-Trainingsprojekte inventarisieren Erstellen Sie eine vollständige Liste aller KI-Projekte, bei denen personenbezogene Daten für Training, Fine-Tuning oder Evaluation genutzt werden oder werden sollen. Dokumentieren Sie die aktuell verwendete Rechtsgrundlage.

2. Datenschutzbeauftragten einbeziehen Diskutieren Sie die potenziellen Auswirkungen des Digital Omnibus mit Ihrem Datenschutzbeauftragten. Prüfen Sie gemeinsam, welche Projekte von einer Rechtsgrundlagenerweiterung profitieren könnten.

3. Interessenabwägung vorbereiten Für Projekte, bei denen das berechtigte Interesse zukünftig relevant sein könnte, empfiehlt es sich, bereits jetzt eine Interessenabwägungsdokumentation (Legitimate Interest Assessment, LIA) vorzubereiten. Das verschafft einen Vorsprung, wenn die Reform in Kraft tritt.

4. Nicht auf die Reform warten Projekte, die nach geltendem Recht auf Einwilligung oder Vertragserfüllung basieren, sollten nicht auf die Reform warten. Die Fristverlängerung beim EU AI Act darf nicht als Aufschub der Compliance-Arbeit missverstanden werden.

5. Entwicklungen beobachten Verfolgen Sie die Entwicklungen beim EDPB und bei den nationalen Datenschutzbehörden. Die deutsche Datenschutzkonferenz (DSK) wird voraussichtlich eine eigene Stellungnahme veröffentlichen.

Fazit

Der EU Digital Omnibus könnte für Unternehmen, die KI auf Basis eigener Geschäftsdaten trainieren wollen, eine signifikante Erleichterung bringen. Die Anerkennung von KI-Training als berechtigtes Interesse würde langjährige Rechtsunsicherheit beseitigen – wenn auch mit klaren Grenzen für sensible Datenkategorien und unter Beibehaltung der Betroffenenrechte.

Gleichzeitig gilt: Der Entwurf ist noch kein Gesetz. Unternehmen sollten sich strategisch vorbereiten, aber keine laufenden Datenschutzpraktiken auf Basis eines noch nicht verabschiedeten Textes ändern. Wer jetzt die Grundlagenarbeit – Inventarisierung, Interessenabwägung, Dokumentation – erledigt, ist gut positioniert, sobald die Reform rechtskräftig wird.

---

*Sie planen KI-Projekte und möchten wissen, wie sich die DSGVO-Reform auf Ihre Trainingsdaten auswirkt? Sophera Consulting berät Sie zur datenschutzkonformen KI-Implementierung in der Region Bergheim und Köln – von der Rechtsgrundlagenanalyse bis zur technischen Umsetzung. Jetzt kostenloses Erstgespräch vereinbaren.*