Die Europäische Kommission verfolgt in der aktuellen Legislaturperiode konsequent das Ziel, bestehende EU-Vorschriften zu entbürokratisieren. Dieses Vorhaben soll nun auch die Digitalgesetzgebung betreffen. Mit dem sogenannten Omnibus-IV-Paket sollen Regelungen zu Künstlicher Intelligenz, Cybersicherheit, Daten und Datenschutz vereinfacht und besser aufeinander abgestimmt werden. Nachfolgend werden die zentralen Inhalte des Reformpakets dargestellt, die auch für Unternehmen im Kfz-Gewerbe relevant sein können.
1. Digital-Omnibus-Paket zu KI, Cybersicherheit und Daten
KI-Kompetenz und Schulungsanforderungen (Artikel 4)
Nach dem Vorschlag der EU-Kommission soll die bislang vorgesehene Pflicht für KI-Anbieter und KI-Verwender entfallen, die KI-Kompetenz der Beschäftigten verbindlich sicherzustellen. Stattdessen sollen die Mitgliedstaaten Unternehmen künftig lediglich dazu anregen, entsprechendes Know-how aufzubauen, etwa durch Leitlinien oder Best-Practice-Empfehlungen. Verbindliche Schulungspflichten sollen nur noch für Verwender hochriskanter KI-Systeme gelten. Für die Mehrheit der Unternehmen und Verbände wären damit nur noch Ausnahmefälle relevant.
Ausweitung der Erleichterungen auf Small Mid-Cap-Enterprises (SMC)
Die im AI Act vorgesehenen Erleichterungen für kleine und mittlere Unternehmen, etwa beim Qualitätsmanagement oder bei der technischen Dokumentation, sollen künftig auch für eine neue Unternehmensgruppe gelten: die sogenannten Small Mid-Cap-Enterprises. Diese Kategorie umfasst Unternehmen mit 250 bis 750 Beschäftigten, die entweder einen Jahresumsatz zwischen 50 und 150 Millionen Euro erzielen oder eine Bilanzsumme zwischen 43 und 129 Millionen Euro aufweisen. Ziel dieser Neuerung ist es, mittelständische Unternehmen vor einer Überregulierung zwischen KMU- und Großunternehmensregelungen zu schützen.
Cybersicherheit
Das Omnibus-Paket sieht zudem eine Vereinheitlichung der bislang getrennten Meldepflichten bei Cybersicherheitsvorfällen vor. Meldungen nach NIS2, DSGVO und DORA sollen künftig über eine zentrale europäische Meldestelle erfolgen. Diese soll von der Europäischen Agentur für Cybersicherheit (ENISA) betrieben werden und auf der bereits vorgesehenen Meldeplattform des Cyber-Resilience-Acts basieren. Damit sollen widersprüchliche Vorgaben und unklare Zuständigkeiten vermieden werden.
2. Digital-Omnibus-Paket zu Daten und DSGVO
Data Act
Mehrere bestehende Regelungen sollen im Rahmen des Digital-Omnibus in der Data-Act-Verordnung (EU) 2023/2854 gebündelt werden. Ziel ist ein einheitliches europäisches Datengesetz mit teilweise abgeschwächten Vorgaben. Entlastungsregelungen des Data Acts sollen künftig nicht nur für KMU, sondern auch für Small Mid-Cap-Enterprises gelten.
Inhaltlich soll der Data Act jedoch in seiner Grundstruktur erhalten bleiben, insbesondere das Prinzip des fairen Datenzugangs. Gleichzeitig ist vorgesehen, den Schutz europäischer Daten gegenüber Zugriffen aus Drittstaaten zu stärken. Ein erweiterter Schutz von Geschäftsgeheimnissen bei Daten aus vernetzten Produkten soll es Herstellern erleichtern, besonders sensible Daten zurückzuhalten. Dies könnte in der Praxis zu einer Abschwächung von Zugangsrechten führen.
DSGVO
Im Datenschutzrecht stellt der Digital-Omnibus klar, dass KI-Trainings unter Verwendung personenbezogener Daten künftig auch auf das „berechtigte Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden können, sofern dies angemessen ist. Damit soll der Einsatz weniger risikoreicher KI-Anwendungen erleichtert werden, solange keine spezielleren Regelungen eine Einwilligung erfordern oder überwiegende Interessen der Betroffenen – etwa von Kindern – entgegenstehen.
Zudem sollen Daten künftig nicht mehr als personenbezogen gelten, wenn eine Identifizierung der betroffenen Person mit vernünftigen Mitteln nicht möglich ist. Pseudonymisierte Daten würden damit häufig nicht mehr unter die DSGVO fallen, was unkritische Datenverarbeitungen vereinfachen kann.
Digitale EU-Brieftasche für Unternehmen (European Business Wallet)
Ein weiterer Bestandteil des Omnibus-Pakets ist die Einführung einer digitalen EU-Brieftasche für Unternehmen. Diese soll einen einheitlichen digitalen Kanal für die Unternehmensidentität und den Dokumentenaustausch innerhalb der EU schaffen. Vorgesehen ist eine freiwillige Nutzung, um sich digital gegenüber Behörden und anderen Unternehmen auszuweisen sowie Unterlagen sicher, grenzüberschreitend und rechtsverbindlich auszutauschen. Die European Business Wallet soll langfristig als zentraler Baustein einer sogenannten „One-Click-Compliance“ dienen.
Fazit
Die geplanten Maßnahmen der EU-Kommission zielen insgesamt auf eine spürbare Vereinfachung und bessere Verzahnung der digitalen Regulierung ab. Die Vorschläge werden nun im ordentlichen EU-Gesetzgebungsverfahren im Rat und im Europäischen Parlament beraten. Mit Trilog-Verhandlungen zwischen Parlament, Rat und Kommission ist voraussichtlich im zweiten Halbjahr 2026 zu rechnen.