Der KI-Omnibus ist ein EU-Gesetzespaket, das Teile des AI Acts verschiebt und entschärft. Anfang Mai haben Rat und Parlament im Trilog die politische Einigung erzielt. Im YouTube-Interview erklärt IT-Fachanwalt Dr. Lutz Keppeler von HEUKING, welche Pflichten Unternehmen jetzt wirklich treffen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
KI-Omnibus und AI Act: Was sich Anfang Mai geändert hat
Der Oberbegriff heißt digitaler Omnibus. Daraus wurde der KI-Omnibus politisch abgespalten, weil sich Brüssel hier schneller einigen konnte. Die DSGVO-Themen bleiben vorerst offen.
Für Hochrisiko-KI-Systeme verschieben sich die Fristen deutlich. Pflichten greifen je nach KI-Typ erst Ende 2027 oder Mitte 2028. Ein paar neue Verpflichtungen kommen dazu, ein paar Erleichterungen für KMU ebenfalls.
Branchenkenner stellen fest: Wer KI-Projekte wegen der Regulierung gestoppt hat, hat das schlechteste Ergebnis erzielt. Eine grundlegende Einordnung des Rahmens liefert die Übersicht zur EU-AI-Act-Rahmengesetzgebung.
Artikel 4 entschärft: Keine teure KI-Schulungspflicht mehr
Beratungsanbieter haben monatelang umfassende KI-Kompetenzschulungen verkauft. Keppeler hatte hier früh zu Pragmatismus geraten. Der Gesetzgeber hat jetzt nachgezogen.
Artikel 4 ist deutlich umgeschrieben. Aus der Verpflichtung wurde eine Bemühenspflicht. Am Ende des ersten Absatzes steht ausdrücklich, dass keine Schulungspflicht des Einzelnen gemeint ist.
Praktisch heißt das: Jeder Geschäftsführer entscheidet selbst, wo seine Mannschaft mehr KI-Kompetenz braucht. Schulungen bleiben sinnvoll, aber nicht erzwungen. Ein Bußgeld an Artikel 4 hing ohnehin nie dran.
Berechtigtes Interesse für KI-Training: Was der digitale Omnibus bringt
Ein zentraler Hebel steckt noch im größeren digitalen Omnibus und ist politisch nicht final beschlossen. Im Erwägungsgrund der DSGVO soll KI-Training explizit als berechtigtes Interesse gelten.
Das ist relevant, weil Unternehmen selten eine saubere Einwilligung haben. Die DSGVO-Hausaufgaben bleiben trotzdem: transparent informieren, Löschpflichten regeln, Dokumentation pflegen.
Für Vektordatenbanken und RAG-Systeme mit Embeddings könnte ein zweiter Punkt zünden. Pseudonyme Daten sollen nur für den Verantwortlichen personenbezogen sein, der reidentifizieren kann. Das wäre für viele KI-Architekturen ein riesiger Hebel.
Cloud Act und DSGVO-Mythen: US-Modelle sind nicht automatisch verboten
Der häufigste Mythos: Wer Claude, ChatGPT oder Codex nutzt, sei nicht DSGVO-konform. Wer EU-hostet, sei automatisch sicher. Beides ist falsch.
Compliance ist eine Checkliste. Internationaler Datentransfer lässt sich über Vertragsklauseln und sichere Drittländer lösen. EU-Hosting allein erledigt keine Löschpflicht, keine Information und kein Verarbeitungsverzeichnis.
Beim Cloud Act gilt: US-Behörden können auf Daten von US-Konzernen weltweit zugreifen. Für eine interne Wissensdatenbank zu Aluminium-Aufträgen ist das selten relevant. Für jeden Use Case zählt die saubere Risikoabwägung. Ein strukturiertes Vorgehen zeigt die Schritt-für-Schritt-Anleitung zum KI-Audit.
Beobachter stellen fest: Wer Microsoft 365 bereits nutzt, hat das Cloud-Act-Restrisiko schon akzeptiert. KI-Projekte zusätzlich zu blockieren, gilt unter Fachjuristen als Augenwischerei.
Geschäftsgeheimnisse schützen: Der oft vergessene Aspekt
Die DSGVO schützt keine technischen Zeichnungen, keine Patente und keine Kundenlisten. Das Geschäftsgeheimnisgesetz greift nur, wenn das Unternehmen die Information nachweislich geschützt hat.
Wer ein patentierbares Konzept im offenen ChatGPT-Chat brainstormt, riskiert den Neuheitsverlust. Das Modell lernt mit und kann den Gedanken später woanders ausgeben.
Die Lösung ist klar: Vertragsklausel, die Training auf eigenen Daten ausschließt, plus Hybridansatz. Cloud-LLMs für Standard-Aufgaben, lokale Modelle für echte Geschäftsgeheimnisse.
AVV-Verträge mit KI-Agenturen: Wann sie wirklich nötig sind
Viele Konzerne legen Standard-AVVs auf den Tisch, bevor das erste KI-Projekt startet. Häufig ist das falsch adressiert. Eine KI-Agentur, die im System des Kunden arbeitet, verarbeitet selten personenbezogene Daten im Auftrag.
Wenn Mock-Daten reichen, wenn nur konfiguriert wird, wenn die KI-Lösung beim Kunden läuft, dann ist der AVV oft überflüssig. Anders liegt der Fall beim HR-Bewerber-Tool oder beim eigenen Hosting der Agentur.
Branchenpraxis zeigt: Jeder KI-Use-Case sollte einzeln geprüft werden. Das spart Monate an Vertragsverhandlungen und vermeidet Pflichten, die der konkrete Auftrag gar nicht auslöst.
Fazit: Wer wegen KI-Omnibus wartet, verliert
Der KI-Omnibus entschärft die größten Compliance-Sorgen und verschiebt die Fristen für Hochrisiko-Systeme. Wer jetzt weiter wartet, riskiert den größten Schaden. Konkurrenz baut Use Cases auf, während die Vorsichtigen Bedenken sammeln.
Drei Schritte funktionieren laut Keppeler in der Praxis: AI Act-Einordnung pro System, DSGVO-Hausaufgaben sauber dokumentieren, Vertragsklauseln rund um KI sinnvoll ergänzen. Das gilt für Unternehmen und für KI-Agenturen gleichermaßen.
Häufige Fragen
Was ist der KI-Omnibus?
Der KI-Omnibus ist ein EU-Gesetzespaket, das Teile des AI Acts verschiebt und entschärft. Anfang Mai haben Rat und Parlament im Trilog die politische Einigung erzielt. Pflichten für Hochrisiko-KI-Systeme greifen je nach Typ erst Ende 2027 oder Mitte 2028. Artikel 4 zur KI-Kompetenz ist auf eine Bemühenspflicht reduziert. Für KMU sind Erleichterungen eingebaut. Die größeren DSGVO-Erleichterungen stehen separat im digitalen Omnibus und sind politisch noch offen.
Müssen Unternehmen wegen Artikel 4 noch KI-Schulungen anbieten?
Eine starre Schulungspflicht besteht nicht mehr. Artikel 4 ist als Bemühenspflicht formuliert. Behörden sollen über FAQs und Schulungsangebote Awareness aufbauen. Am Ende des ersten Absatzes steht ausdrücklich, dass keine Einzelschulungspflicht entsteht. Sinnvoll bleibt es trotzdem, Mitarbeitende kundig im Umgang mit KI zu machen. Die Entscheidung liegt beim Geschäftsführer und folgt der gleichen Logik wie jede andere Business-Judgement-Frage.
Sind US-Modelle wie ChatGPT, Claude oder Codex DSGVO-konform einsetzbar?
Pauschal nein und pauschal ja sind beide falsch. Internationaler Datentransfer lässt sich über Standardvertragsklauseln und vertragliche Mechanismen abbilden. Die übrigen DSGVO-Pflichten wie transparente Information, Löschkonzept und Dokumentation gelten weiter. EU-Hosting allein erfüllt diese Pflichten nicht. Wer Microsoft 365 nutzt, hat das Cloud-Act-Restrisiko bereits akzeptiert. Eine saubere Risikoabwägung pro Use Case liefert in den meisten Fällen ein klares Ja.
Wie schützen Unternehmen Geschäftsgeheimnisse beim KI-Einsatz?
Das Geschäftsgeheimnisgesetz greift nur, wenn der Inhaber die Information nachweislich geschützt hat. Wer patentierbare Ideen im offenen ChatGPT-Chat eingibt, riskiert den Neuheitsverlust. Pflicht ist ein Vertrag, der Training auf den eingegebenen Daten ausschließt. Für sensible Inhalte empfiehlt sich ein Hybridansatz aus Cloud-LLM für Standard-Aufgaben und lokalem Modell für echte Geheimnisse. Technische und organisatorische Schutzmaßnahmen müssen dokumentiert sein.
Wann brauchen Unternehmen einen AVV mit der KI-Agentur?
Ein AVV ist nur nötig, wenn die Agentur im Kern personenbezogene Daten im Auftrag und unter Weisung des Auftraggebers verarbeitet. Reine Beratung, Mock-Daten-Workflows und Konfiguration im Kundensystem lösen die Pflicht meist nicht aus. Anders sieht es beim HR-Bewerber-Tool oder beim eigenen Hosting der Agentur aus. Standard-AVVs aus Konzern-Templates passen oft nicht. Jeder Use Case sollte einzeln geprüft werden, statt monatelang an Vertragsverhandlungen zu blockieren.
