Pragmatismus oder Programmatik : Was der Digital-Omnibus heute für Unternehmen bedeutet

Der Digital-Omnibus der EU-Kommission wurde lautstark als pragmatisches Bereinigungspaket angekündigt: weniger Bürokratie, klarere Regeln, mehr Rechtssicherheit im Umgang mit Daten und Künstlicher Intelligenz (KI). Eines ist unbestreitbar: Der Entwurf hat eine notwendige Debatte angestoßen. Europa ringt damit, wie Daten für KI genutzt werden können, ohne den Grundrechtsschutz auszuhöhlen.

Zugleich zeigt sich, wie stark der Vorschlag polarisiert. Diese Polarisierung droht die erhoffte Klarheit eher zu verringern als zu erhöhen. Die Materie ist komplex, und diese Komplexität verschwindet nicht durch neue Begrifflichkeiten. Sie muss im Rechtsrahmen abgebildet werden. Ebenso klar: Der Omnibus ist noch kein Gesetz. Parlament und Rat stehen am Anfang ihrer Beratungen, zentrale KI-Regeln sollen erst 2026 greifen. Die Debatte ist notwendig, aber sie geht gerade erst los.

Eine definitorische Reform mit verfassungsrechtlicher Fallhöhe

Im Zentrum der derzeitigen Diskussionen steht die Präzisierung pseudonymisierter Daten. Die Kommission möchte die Identifizierbarkeit stärker am wirtschaftlichen und organisatorischen Aufwand bemessen, um KI-Training zu erleichtern. Genau hier beginnt die juristische Kontroverse.

Der Begriff der personenbezogenen Daten ist grundrechtsgebunden. Unionsrechtlich über Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), in Deutschland zusätzlich über das Recht auf informationelle Selbstbestimmung. Nach ständiger Rechtsprechung des Europäischen Gerichtshofs (EuGH) genügt bereits eine realistische Möglichkeit der Re-Identifizierung. Die zentrale Frage lautet daher: Kann ein Sekundärrechtsakt diesen Schutzbereich überhaupt verengen?

Selbst wenn eine solche Umdeutung politisch durchkäme, würde sie das Grundproblem kaum lösen. Statt über „personenbezogen oder nicht“ zu streiten, würde künftig darüber gestritten, wann Identifizierung „unzumutbar“ ist – eine bewegliche Schwelle in Zeiten rasanter technologischer Entwicklung.

Die Realität ist komplex und der Rechtsrahmen ringt mit ihr

Moderne Datenströme, dynamische Modelle und vielfältige Re-Identifizierungsrisiken machen deutlich: Vereinfachungen sind kein Selbstzweck. Ein fragmentierter Rahmen verliert seine Steuerungswirkung; ein zu offener verlagert Konflikte in spätere Rechtsstreitigkeiten mit entsprechender Unsicherheit für Unternehmen.

Risiko entsteht weniger durch die Komplexität selbst, sondern durch den Versuch, technologische Dynamik über zu enge oder unklare Definitionen zu regeln. Selbst technikneutrale Regelungsansätze geraten an Grenzen, wenn zentrale Begriffe, etwa Identifizierbarkeit oder Pseudonymisierung, bewegliche Ziele adressieren. Neue Auslegungsfragen wären vorprogrammiert und am Ende würde erneut der EuGH entscheiden müssen.

Was bedeutet das für Unternehmen?

Risikomanagement bleibt geschäftskritisch. Mit oder ohne Omnibus. KI-Fehlfunktionen, Verzerrungen, Datenleckagen oder die Preisgabe eigener oder fremder Geschäftsgeheimnisse verursachen Kosten, Haftungsrisiken und Reputationsschäden. Unabhängig von Dokumentationspflichten oder Bußgeldern. Entscheidend ist ein verantwortungsvoller Umgang mit Daten und KI: klare Use Cases statt Technologie-Experimenten und ein Verständnis der Chancen wie Risiken sowohl bei Mitarbeitenden als auch bei Nutzenden.

Unternehmen benötigen belastbare Daten- und KI-Governance. Transparenz über Datenquellen, Datenqualität, Schutzmechanismen und Modellverhalten ist Voraussetzung für Skalierbarkeit und für spätere regulatorische Anpassungen.

Die Betroffenheit ist ungleich verteilt

Datenintensive Branchen wie Finanzbranche, Gesundheitswesen, Mobilität, Handel, Logistik und Plattformökonomie, spüren jede Unklarheit unmittelbar. Kleine und mittlere Unternehmen profitieren zwar von Entlastungen, können regulatorische Volatilität aber am wenigsten abfedern.

Unternehmen sollten den Gesetzgebungsprozess aktiv und konstruktiv begleiten. Nicht, um Regeln abzuschwächen, sondern um technische Realitäten einzubringen. Konsultationen, Expertengruppen und Standardisierungsgremien bieten dafür zahlreiche Ansatzpunkte.

Der pragmatische Weg

Handlungsfähigkeit entsteht weder durch starre Routinen noch dadurch, abzuwarten. Ein pragmatischer Ansatz beruht auf drei Elementen:

• Robuste Grundlagen schaffen: klare Dateninventare, Schutzmechanismen, nachvollziehbare Modelltests, kontinuierliches Monitoring unabhängig vom Ausgang des Trilogs.
• Abhängigkeiten verstehen: Welche Anwendungen reagieren sensibel auf engere oder weitere Identifizierbarkeitsschwellen? Welche Alternativen existieren? Szenarien reduzieren späteren Anpassungsdruck.
• Flexible Strukturen bauen: Gute Governance erhöht die Widerstandsfähigkeit, egal, ob der finale Rahmen strenger, liberaler oder schlicht anders ausfällt.

Die Debatte ist wichtig und Unternehmen spielen darin eine Rolle

Der Omnibus hat eine dringend notwendige Diskussion eröffnet. Das bietet Chancen: Unternehmen können im laufenden Verfahren ihre Expertise einbringen und dazu beitragen, dass die Regeln technisch machbar und rechtlich tragfähig werden. Parallel dazu sollten Unternehmen ihre internen Grundlagen stärken – bessere Governance, klare Prozesse und robuste technische Strukturen. Regulierung folgt stets der technischen Entwicklung, und die wird schneller, nicht einfacher.

Wer beides verbindet, konstruktive Mitwirkung nach außen und strukturelle Stärkung nach innen, bleibt selbst in einer Phase regulatorischer Unsicherheit handlungsfähig und innovativ.

Jyn Schultze-Melling ist Rechtsanwalt und Partner, Holger Schlüter ist Senior Manager im Bereich des Informationstechnologierechts und Datenschutzes bei KPMG Law.