Bericht : Digital-Omnibus-Verordnung zur KI: Die Streitpunkte im Trilog : aus der RDV 3/2026, Seite 177 bis 180
Die Trilogverhandlungen zur Digital-Omnibus-Verordnung zur KI prägen die Zukunft der europäischen KI-Regulierung. Streitpunkte sind insbesondere der Geltungsbeginn für Hochrisiko-KI-Systeme, die Pflicht zur KI-Kompetenz sowie die rechtlichen Grundlagen für das Training von KI mit personenbezogenen Daten.
Die Diskussionen um die europäische Verordnung über Künstliche Intelligenz[1] halten an. Erst im Sommer 2024 hat der Rechtsakt nach einem Verhandlungsmarathon im Trilog das Licht der Welt erblickt.[2] Die anschließende Debatte über die Wirksamkeit und die Innovationsoffenheit der KI-VO mündete bereits im November 2025 in einen Änderungsvorschlag der Kommission, die Digital-Omnibus-Verordnung zur KI.[3] Das Europäische Parlament hat am 26.3.2026 seine Änderungsvorschläge für die DigitalOmnibus-Verordnung zur KI angenommen.[4] Unmittelbar danach ging es für die Vertreter von Kommission, Parlament und Rat zum ersten Trilog, dem sogenannten Handshake-Trilog, bei dem sich die Beteiligten kennenlernen und ein erstes Gefühl dafür entwickeln, was in den kommenden Wochen verhandelt werden soll.[5]
Zeitliche Anwendbarkeit der Vorgaben für Hochrisiko-KISysteme
In den Trilogverhandlungen stehen die entscheidenden Institutionen im ordentlichen Gesetzgebungsverfahren, das Parlament, der Rat und die Kommission, unter Zeitdruck: Der ursprüngliche Zeitplan der KI-VO sieht einen Geltungsbeginn zentraler Vorgaben für Hochrisiko-KI-Systeme im August 2026 vor.[6]
Allerdings fehlt es weiterhin an Standards der europäischen Normungsorganisationen CEN und CENELEC, die die Unternehmen bei der Einhaltung der Vorgaben der KI-VO unterstützen sollen. Die gesetzlich vorgesehenen Anforderungen an Hochrisiko-KI-Systeme beruhen, wie im Produktsicherheitsrecht üblich, zu einem großen Teil auf offenen Rechtsbegriffen. So müssen Hochrisiko-KI-Systeme gemäß Art. 15 Abs. 1 KI-VO „ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus beständig funktionieren“. Da für Anbieter von Hochrisiko-KI-Systemen schwer absehbar ist, welches Maß an Genauigkeit, Robustheit und Cybersicherheit angemessen im Sinne der Vorschrift ist, sieht Art. 40 KIVO eine gesetzliche Vermutung vor, wonach Hochrisiko-KISysteme den Anforderungen der KI-VO entsprechen, wenn sie mit entsprechenden harmonisierten Normen, die weit technischere Vorgaben machen, übereinstimmen.
Bereits kurz nach Inkrafttreten der KI-VO war allerdings absehbar, dass bis zum Geltungsbeginn der Anforderungen an Hochrisiko-KI-Systeme keine entsprechenden harmonisierten Normen vorliegen werden.[7] Mit der Digital-OmnibusVerordnung zur KI soll den adressierten Unternehmen und den Normungsorganisationen etwas Luft verschafft werden, darüber herrscht Einigkeit. Wie der benötigte zeitliche Puffer konkret ausgestaltet sein soll, war zu Beginn der Trilogverhandlungen allerdings unklar. Der Vorschlag der Kommission sieht vor, dass sich der Geltungsbeginn der Vorschriften an einer Entscheidung der Kommission orientieren soll, die bestätigt, dass angemessene Maßnahmen zur Unterstützung der Einhaltung der Vorgaben verfügbar sind.[8] Nur wenn eine solche Entscheidung bis zum 2.12.2027 nicht getroffen sein sollte, würden die Vorschriften ohne weitere Maßnahmen gelten.[9]Das Parlament bevorzugt wenig überraschend eine Lösung, die die faktische Entscheidungshoheit über den Geltungsbeginn der Vorschriften nicht allein bei der Kommission ansiedelt. Demnach sollen die Vorgaben für Hochrisiko-KISysteme ab Dezember 2027 (Anhang III) bzw. ab August 2028 (Anhang I) gelten.[10]
KI-Kompetenz
Ein viel diskutierter Artikel der KI-VO ist seit Inkrafttreten des Rechtsakts Art. 4 KI-VO. Die Vorschrift verpflichtet in ihrer ursprünglichen Fassung Anbieter und Betreiber von KI-Systemen dazu, Maßnahmen zu ergreifen, „um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI‑Systemen befasst sind, über ein ausreichendes Maß an KI‑Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI‑Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI‑Systeme eingesetzt werden sollen, zu berücksichtigen sind“. Insbesondere aus der Industrie begegnete diese Vorgabe einige Kritik, die vor allem mit einem unverhältnismäßig hohen Bürokratieaufwand begründet wurde.
Die Kommission schlug als Reaktion auf diese Kritik vor, den Adressatenkreis der Vorschrift zu ändern.[11] Demnach sollen Anbieter und Betreiber von KI-Systemen nicht länger unmittelbar zur Vermittlung von KI-Kompetenz verpflichtet sein. Der Vorschlag der Kommission sieht vor, dass Kommission und Mitgliedstaaten die Anbieter und Betreiber von KISystemen dazu anhalten, entsprechende Maßnahmen zur Vermittlung von KI-Kompetenz zu ergreifen. An die Stelle einer unmittelbar geltenden Pflicht sollten also horizontal eingerichtete Programme treten.[12]
Die Europäische Volkspartei (EVP) stand diesem Vorschlag zwar zunächst offen gegenüber, konnte sich in den Ausschussberatungen damit aber nicht durchsetzen. In seinen Änderungsvorschlägen hat das Europäische Parlament zwar einige Konkretisierungen des Art. 4 KI-VO vorgesehen, dabei allerdings an der bereits geltenden unmittelbaren Verpflichtung der Anbieter und Betreiber von KI-Systemen festgehalten.[13]
Inhaltlich ist dieses Ergebnis zu begrüßen: Viele Unternehmen haben bereits Maßnahmen ergriffen, um ihre seit 2.2.2025 geltende Pflicht zur Vermittlung von KI-Kompetenz zu erfüllen. Außerdem verlangen zahlreiche Anforderungen an Hochrisiko-KI-Systeme und entsprechende Betreiberpflichten wie das Risikomanagement und die menschliche Aufsicht eine strukturell belastbare KI-Kompetenz in den adressierten Unternehmen.[14] Welcher Vorschlag sich im Trilog durchsetzt, war bei Redaktionsschluss noch offen. Der Rat unterstützte allerdings zumindest in Teilen den Vorschlag des Europäischen Parlaments, an der unmittelbaren Verpflichtung von Anbietern und Betreibern festzuhalten.[15]
KI-Training mit besonderen Kategorien personenbezoge‑ ner Daten Ein weiterer zentraler Punkt der Trilogverhandlungen betrifft das KI-Training mit besonderen Kategorien personenbezogener Daten. Laut der bislang geltenden Fassung der KI-VO soll die Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen des Trainings von Hochrisiko-KI-Systemen ausnahmsweise zulässig sein, soweit „dies für die Erkennung und Korrektur von Verzerrungen im Zusammenhang mit Hochrisiko-KI‑Systemen […] unbedingt erforderlich ist“.[16]
Dass die Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen der KI-Entwicklung aber weit über den Anwendungsbereich dieser Vorschrift hinaus problembehaftet ist, zeigte sich spätestens am Urteil des OLG Köln in einem Eilrechtsschutzverfahren, das die Verbraucherzentrale NRW gegen Meta angestrengt hatte.[17] Der Technologiekonzern wollte mit den öffentlich verfügbaren Daten der Nutzer seiner Plattformen Facebook und Instagram ein Large Language Model trainieren. Dabei sollten auch besondere Kategorien personenbezogener Daten Dritter verarbeitet werden, die die Nutzer auf ihren Profilen veröffentlicht haben. Das OLG Köln hielt die Verarbeitung nach einer summarischen Prüfung für zulässig. Das Urteil wurde in der Öffentlichkeit zwar teilweise scharf kritisiert, löste aber zugleich eine dringend erforderliche Diskussion über das Erfordernis neuer datenschutzrechtlicher Rechtsgrundlagen für das KI-Training aus.
Die Kommission griff diese Debatte in ihrem Vorschlag für eine Digital-Omnibus-Verordnung zur KI auf. Die bislang auf Hochrisiko-KI-Systeme begrenzte Rechtsgrundlage sollte demnach auf alle KI-Systeme ausgeweitet werden.[18] Im Parlament war die Änderung der Vorgaben zu Datenverarbeitungen während des KI-Trainings zunächst äußerst umstritten. Während insbesondere die konservativen und liberalen Parteien die Neufassung weiterhin für zu restriktiv hielten und auf Überlappungen zu einer entsprechenden Vorschrift im Vorschlag zur Digital-Omnibus-Verordnung zur Änderung der DS‑GVO[19] hinwiesen, waren die linken Parteien im Parlament der Ansicht, dass der Vorschlag der Kommission zu weit geht.[20] Der nun in die Änderungsvorschläge des Parlaments aufgenommene Kompromiss orientiert sich an der gemeinsamen Stellungnahme von Europäischem Datenschutzausschuss und Europäischem Datenschutzbeauftragten.[21] Demnach soll die Verarbeitung besonderer Kategorien personenbezogener Daten zu Zwecken des KI-Trainings künftig unter strengen Voraussetzungen zulässig sein.[22]
Änderung von Anhang I
Ein neu eingeführter Änderungsvorschlag des Europäischen Parlaments könnte große Auswirkungen auf den Pflichtenkatalog für Anbieter und Betreiber von bestimmten KI-Systemen haben. Die KI-VO sieht in erster Linie Pflichten für Anbieter und Betreiber von Hochrisiko-KI-Systemen vor, für einfache KI-Systeme gelten hingegen keine besonderen Vorgaben. Die Klassifizierung eines Hochrisiko-KI-Systems ist also zentral bei der Bestimmung des Pflichtenkatalogs von Anbietern und Betreibern.
Bei der Klassifizierung sind nach bisheriger Fassung der KI-VO zwei Wege zu unterscheiden: Ein KI-System gilt gemäß Art. 6 Abs. 1 KI-VO als hochriskant, wenn es entweder einem der in Anhang III näher bestimmten Lebensbereiche zuzuordnen ist oder wenn es als Sicherheitsbauteil eines unter die in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden soll oder wenn es selbst ein solches Produkt ist. Anhang I führt in Abschnitt A Rechtsakte des europäischen Produktsicherheitsrechts auf, die dem New Legislative Framework unterfallen. In Abschnitt B finden sich weitere Harmonisierungsrechtsvorschriften der Union. Die Differenzierung zwischen Abschnitt A und B ist von zentraler Bedeutung für die gemäß der KI-VO geltenden Pflichten. Denn während für KI-Systeme, die unter Abschnitt A fallen, die Anforderungen an Hochrisiko-KISysteme unmittelbar gelten sollen, entfalten die Vorgaben der KI-VO für KI-Systeme, die unter Abschnitt B fallen, gemäß Art. 2 Abs. 2 KI-VO nur mittelbare Geltung. Verpflichtet sind in diesem Fall nicht Anbieter und Betreiber der Hochrisiko-KISysteme, sondern die europäischen Institutionen, die die Anforderungen der KI-VO etwa beim Erlass delegierter Rechtsakte berücksichtigen müssen.
Der Änderungsvorschlag des Europäischen Parlaments betrifft die zentrale Frage des Charakters der KI-VO im europäischen Normenkontext. Während die beschriebene, derzeit geltende Fassung einen horizontalen Regulierungsansatz verfolgt, der mit kontextspezifischer KI-Regulierung etwa im Bereich der Medizinprodukte in Konkurrenz tritt und diese grundsätzlich als lex specialis überschreibt, soll die KI-VO nach dem Vorschlag des Parlaments als lex generalis fungieren und die jeweilige KI-Regulierung spezifisch im Zusammenhang mit den jeweils vorgesehenen Rechtsakten wie der Medizinprodukte-VO[23] erfolgen.[24] Dazu soll der gesamte Anhang I Abschnitt A gestrichen und die darin genannten Rechtsakte in Anhang I Abschnitt B geschoben werden.[25] So soll die KI-Regulierung unter Einhaltung des Sicherheitsniveaus der KI-VO auf die jeweiligen Sektoren beschränkt und eine Doppelregulierung verhindert werden.
Ausblick
Die Trilogverhandlungen waren eng getaktet, um dem ursprünglich vorgesehenen Geltungsbeginn zentraler Vorgaben der KI-VO im August 2026 zuvorzukommen. Der zweite Verhandlungstermin Ende April 2026 sollte bereits eine Einigung hervorbringen.[26] Bei Redaktionsschluss war das Gelingen dieses Zeitplans noch nicht vorhersehbar. Kai Zenner, Büroleiter und Digitalpolitikberater von Axel Voss, hielt eine rechtzeitige Einigung Mitte April 2026 unabhängig von den unterschiedlichen Positionen für äußerst wahrscheinlich: Demnach pochen die linken Parteien im Parlament auf eine zügige Einigung, um weitere Änderungen des Rechtsakts zu verhindern, während die konservativen und liberalen Parteien um jeden Preis den Geltungsbeginn Anfang August 2026 abwenden wollen.[27]Betroffene Unternehmen werden die Entwicklungen gespannt verfolgt haben. Sie brauchen Planungssicherheit und müssen deshalb so früh wie möglich wissen, welche Vorgaben sie ab wann zu beachten haben. Zumindest darüber sind sich alle Beteiligten einig.
* Axel Voss ist Mitglied des Europäischen Parlaments für die EVP. Er ist Berichterstatter des hier besprochenen Initiativberichts. Dr. Moritz Köhler Referendar am Landgericht Mainz und beobachtet für die Gesellschaft für Datenschutz und Datensicherheit das politische Geschehen in Brüssel.
[1] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13.6.2024 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über Künstliche Intelligenz), ABl. L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj, im Folgenden: KI-VO.
[2] Vgl. Art. 113 KI-VO.
[3] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2018/1139 im Hinblick auf die Vereinfachung der Umsetzung harmonisierter Vorschriften für Künstliche Intelligenz (Digital-Omnibus-Verordnung zur KI), COM/2025/836 final, im Folgenden: Vorschlag für eine Digital-Omnibus-Verordnung zur KI.
[4] Abänderungen des Europäischen Parlaments vom 26.3.2026 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2018/1139 im Hinblick auf die Vereinfachung der Umsetzung harmonisierter Vorschriften für Künstliche Intelligenz (Digital-Omnibus-Verordnung zur KI) (COM(2025)0836 – C10- 0304/2025 – 2025/0359(COD)).
[5] Zenner im DataAgenda Datenschutz Podcast, Folge 89 ab Minute 4:08, abrufbar unter https://dataagenda.podigee.io/97-kai-zenner (zuletzt abgerufen am 20.4.2026).
[6] Vgl. Art. 113 UAbs. 2 KI-VO
[7] Dazu bereits Voss/Köhler RDV 2026, 57 (58)
[8] Art. 1 Nr. 31 des Vorschlags für eine Digital-Omnibus-Verordnung zur KI.
[9] Dazu bereits Voss/Köhler RDV 2026, 57 (58)
[10] Änderungsanträge 77 bis 80 der Abänderungen des Europäischen Parlaments vom 26.3.2026 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2018/1139 im Hinblick auf die Vereinfachung der Umsetzung harmonisierter Vorschriften für Künstliche Intelligenz (Digital-Omnibus-Verordnung zur KI) (COM(2025)0836 – C10-0304/2025 – 2025/0359(COD)).
[11] Art. 1 Nr. 4 des Vorschlags für eine Digital-Omnibus-Verordnung zur KI
[12] Zenner im DataAgenda Datenschutz Podcast, Folge 89 ab Minute 16:02, abrufbar unter https://dataagenda.podigee.io/97-kai-zenner (zuletzt abgerufen am 20.4.2026).
[13] Änderungsanträge 28 bis 30 der Abänderungen des Europäischen Parlaments vom 26.3.2026 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2018/1139 im Hinblick auf die Vereinfachung der Umsetzung harmonisierter Vorschriften für Künstliche Intelligenz (Digital-Omnibus-Verordnung zur KI) (COM(2025)0836 – C10-0304/2025 – 2025/0359(COD)).
[14] Zenner im DataAgenda Datenschutz Podcast, Folge 89 ab Minute 18:23, abrufbar unter https://dataagenda.podigee.io/97-kai-zenner (zuletzt abgerufen am 20.4.2026)
[15] Zenner im DataAgenda Datenschutz Podcast, Folge 89 ab Minute 19:20, abrufbar unter https://dataagenda.podigee.io/97-kai-zenner (zuletzt abgerufen am 20.4.2026)
[16] Art. 10 Abs. 5 S. 1 KI-VO.
[17] OLG Köln, Urt. v. 23.5.2025 – 15 UKI 2/25, RDV 2025, 264. Dazu die Meinungsbeiträge von Schwartmann/Köhler, Brink, Keber, Roderburg und Sohm RDV 2025, 221.
[18] Art. 1 Nr. 5 des Vorschlags für eine Digital-Omnibus-Verordnung zur KI.
[19] Art. 3 Nr. 3 des Vorschlags für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 und der Richtlinien 2002/58/EG, (EU) 2022/2555 und (EU) 2022/2557 hinsichtlich der Vereinfachung des digitalen Rechtsrahmens und zur Aufhebung der Verordnungen (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 und der Richtlinie (EU) 2019/1024 (Digital-Omnibus-Verordnung), COM/2025/837 final.
[20] Zenner im DataAgenda Datenschutz Podcast, Folge 89 ab Minute 21:15, abrufbar unter https://dataagenda.podigee.io/97-kai-zenner (zuletzt abgerufen am 20.4.2026).
[21] EDPB-EDPS JOINT OPINION 1/2026, On the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), S. 6-8, abrufbar unter https://www.edpb.europa.eu/system/files/2026-01/edpb_edps_jointopinion_202601_proposal_ai-omnibus_en.pdf (zuletzt abgerufen am 20.4.2026).
[22] Änderungsanträge 31 und 32 der Abänderungen des Europäischen Parlaments vom 26.3.2026 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2018/1139 im Hinblick auf die Vereinfachung der Umsetzung harmonisierter Vorschriften für Künstliche Intelligenz (Digital-Omnibus-Verordnung zur KI) (COM(2025)0836 – C10-0304/2025 – 2025/0359(COD))
[23] Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5.4.2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates, ABl. L 117 vom 5.5.2017, S. 1 ff.
[24] Zenner im DataAgenda Datenschutz Podcast, Folge 89 ab Minute 36:21, abrufbar unter https://dataagenda.podigee.io/97-kai-zenner (zuletzt abgerufen am 20.4.2026)
[25] Änderungsanträge 81, 82 sowie 75 der Abänderungen des Europäischen Parlaments vom 26.3.2026 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen (EU) 2024/1689 und (EU) 2018/1139 im Hinblick auf die Vereinfachung der Umsetzung harmonisierter Vorschriften für Künstliche Intelligenz (Digital-OmnibusVerordnung zur KI) (COM(2025)0836 – C10-0304/2025 – 2025/0359(COD))
[26] Zenner im DataAgenda Datenschutz Podcast, Folge 89 ab Minute 4:49, abrufbar unter https://dataagenda.podigee.io/97-kai-zenner (zuletzt abgerufen am 20.4.2026).
[27] Zenner im DataAgenda Datenschutz Podcast, Folge 89 ab Minute 8:49, abrufbar unter https://dataagenda.podigee.io/97-kai-zenner (zuletzt abgerufen am 20.4.2026).