Digitales Paket

Das digitale Paket der Kommission soll den Unternehmen in der EU dabei helfen, Innovationen zu entwickeln, zu skalieren und Verwaltungskosten zu sparen. Es umfasst einen digitalen Omnibus zur Vereinfachung der Vorschriften für Daten, Cybersicherheit und KI, der von der Strategie für die Datenunion begleitet wird, und einen Vorschlag für europäische Geschäftsbrieftaschen. Diese Komponenten zielen darauf ab, hochwertige Daten für KI freizusetzen und den digitalen Papierkram zu erleichtern, was den Empfehlungen des Draghi-Berichts entspricht, die Produktivität durch Innovationen im digitalen Bereich zu steigern, Hindernisse für die Einhaltung gesetzlicher Vorschriften zu beseitigen, den Zugang zu hochwertigen Daten in ganz Europa zu verbessern und europäische Geschäftsbrieftaschen bereitzustellen, um die Geschäftstätigkeit in der gesamten EU zu vereinfachen.  

Zu den wichtigsten Elementen des Pakets gehört ein digitaler Omnibus, in dem Änderungen unserer Vorschriften für personenbezogene und nicht personenbezogene Daten und Cybersicherheit sowie bestimmter Elemente des KI-Gesetzes vorgeschlagen werden. Sie umfasst auch eine Mitteilung über die Strategie für die Datenunion, Mustervertragsklauseln für den Datenzugang und die Datennutzung und Standardvertragsklauseln für Cloud-Computing-Verträge sowie eine Verordnung für europäische Geschäftsbrieftaschen. Darüber hinaus umfasst das Paket eine öffentliche Konsultation zum digitalen Fitness-Check. 

Ziel der Kommission ist es, die Wettbewerbsfähigkeit der Technologie zu steigern und Geld für EU-Unternehmen zu sparen, indem die Vorschriften vereinfacht, die Verfahren gestrafft, Lösungen aus einer Hand angeboten und Überschneidungen und veraltete Bestimmungen beseitigt werden. Dieser Ansatz erleichtert die Einhaltung der Vorschriften, spiegelt die Bedürfnisse des digitalen Sektors wider und erschließt Innovationsmöglichkeiten, ohne den Schutz der Rechte der europäischen Bürger und Unternehmen zu beeinträchtigen.

Die zehn wichtigsten Vorteile:

1. Kleine und mittlere Unternehmen (KMU) und kleine Midcap-Unternehmen (KMU) können dank spezifischer Vorschriften im Datengesetz und im Gesetz über künstliche Intelligenz und freiwilliger Vertrauenszeichen für Datenvermittlungsdienste anstelle regulatorischer Verpflichtungen Geld und Zeit sparen;
2. Einfachere, gestraffte Vorschriften für Daten mit gezielten Klarstellungen. Wir werden zwei Gesetze haben, nicht fünf: das Datengesetz und die Datenschutz-Grundverordnung (DSGVO);
3. Besserer Schutz der Geschäftsgeheimnisse von Unternehmen vor potenzieller Weitergabe an Drittländer und Klärung und Fokussierung von Vorschriften, bei denen Unternehmen Daten mit Behörden austauschen müssen, um Notsituationen im Datengesetz zu bewältigen;
4. Mehr Klarheit in Bezug auf die „Pseudonymisierung“ personenbezogener Daten, was zeigt, dass Datenschutz Sorgfalt erfordert, aber kein Innovationshemmnis darstellt: mit den neuen Vorschriften können Datensätze nach geeigneten Behandlungen zum Schutz der Identität der Personen unter klaren Bedingungen weitergegeben und verwendet werden;
5. klarere Vorschriften für den Umgang mit personenbezogenen Daten bei der Entwicklung von KI-Systemen und -Modellen und im Zusammenhang mit wissenschaftlicher Forschung und Innovation;
6. einfachere Cookie-Anforderungen und „Whitelist“ für harmlose Zwecke, für die Unternehmen die Nutzer nicht um Zustimmung bitten müssen;
7. Unterstützungsmaßnahmen bei der Anwendung des KI-Gesetzes zur Angleichung der Verpflichtungen an die Verfügbarkeit von Standards;
8. Innovationsmöglichkeiten bei der Entwicklung vertrauenswürdiger KI mit EU-Sandkästen und realen Testeinrichtungen;
9. europäische Geschäftsbrieftaschen, um Daten auf sichere und benutzerfreundliche Weise mit öffentlichen Stellen zu identifizieren, zu authentifizieren und auszutauschen;
10. Straffung der Meldepflichten bei Cybervorfällen über eine zentrale Anlaufstelle.   

Die fünf wichtigsten Vorteile:

1. Die Bürgerinnen und Bürger behalten die Kontrolle: Sie entscheiden, wann auf ihre Geräte zugegriffen werden kann, um Cookies zu platzieren.
2. Einfachere Online-Navigation: Klicken Sie nicht mehr fünf Mal in einem Labyrinth von Formularen, nur um einen Einkaufswagen beim Online-Shopping auf dem neuesten Stand zu halten. Überarbeitetes, benutzerfreundliches Design für die Auswahl von Cookies mit Ein-Klick-Zustimmung;
3. Bessere Durchsetzung der Verbraucherrechte: Die Vorschriften über den Zugang zu Endgeräten bei der Verarbeitung personenbezogener Daten werden von der Datenschutzrichtlinie für elektronische Kommunikation in die DSGVO verschoben. Dies bedeutet Geldbußen für bis zu 4 % des Jahresumsatzes eines Unternehmens, das das Gerät des Verbrauchers ohne Vereinbarung überschreitet;
4. Eindeutigerer Schutz, wenn personenbezogene Daten von Verbrauchern für die Schulung von KI verwendet werden: Klarstellungen, was von Unternehmen erwartet wird, wenn sie personenbezogene Daten in ihren KI-Schulungen verwenden, um die Interessen der Bürger zu schützen;
5. Effizientere Durchsetzung der Vorschriften zum Schutz und zur Stärkung der Handlungskompetenz der Bürgerinnen und Bürger im Internet: Da das Amt für künstliche Intelligenz die Aufsicht über die KI-Systeme und -Modelle übernimmt, die von sehr großen Plattformen und Suchmaschinen im Rahmen des KI-Gesetzes verwendet werden, kann die Kommission die Durchsetzungsprioritäten aufeinander abstimmen und für eine kohärentere und wirksamere Aufsichtsstrategie sowohl im KI-Gesetz als auch im Gesetz über digitale Dienste sorgen.

Sowohl große als auch kleine Unternehmen in der gesamten EU werden von den Vereinfachungen im Omnibus sowie von europäischen Geschäftsbrieftaschen profitieren.

Wenn alle Unternehmen europäische Geschäftsbrieftaschen nutzen, könnten die Unternehmen in der EU Schätzungen zufolge Einsparungen von bis zu 150 Mrd. EUR pro Jahr erzielen. Unterdessen wird davon ausgegangen, dass die in unseren Rechtsvorschriften zu Daten, KI und Cyberkriminalität vorgeschlagenen Vereinfachungsmaßnahmen bis 2029 zu zusätzlichen einmaligen Einsparungen von bis zu 5 Mrd. EUR führen werden.

Diese Maßnahmen werden nicht nur mehr Geld in die Taschen der Unternehmen stecken, sondern auch Möglichkeiten für Innovation und Wachstum eröffnen und den Regelungsaufwand verringern.

Durch die Vorlage einer einzigen Unternehmensidentität und eines einzigen Kommunikationskanals mit Regierungen in der gesamten EU verringern europäische Geschäftsbrieftaschen beispielsweise den Aufwand für die Einhaltung von 27 verschiedenen Regelungen.

Unterdessen werden Vorschläge zur Aktualisierung unserer Vorschriften über Daten und KI und die Einführung einer Strategie für die Datenunion den Zugang zu hochwertigen und neuen Datensätzen für KI für das Innovationspotenzial von Unternehmen in der gesamten EU erschließen.

Der heutige digitale Omnibus vereinfacht die EU-Datengesetze und macht die Einhaltung der Rechtsvorschriften zu einem Wettbewerbsvorteil und nicht zu einer kostspieligen Belastung für die Unternehmen in der EU.

Es konsolidiert alle Datenregeln in nur zwei Hauptgesetze: das Datengesetz und die Datenschutz-Grundverordnung, die weiterhin von zentraler Bedeutung sind. Darüber hinaus werden gezielte Änderungen vorgeschlagen, um Unternehmen bei der Überwindung praktischer Hindernisse zu unterstützen, die den Zugang zu Daten als Schlüsselressource für Innovationen erleichtern, und um weiterhin ein Höchstmaß an Schutz der Rechte und Interessen der Bürger sowie der Privatsphäre und der Geschäftsgeheimnisse zu fördern.

Für das Datengesetz schlägt der Omnibus Folgendes vor:

• gezielte Ausnahmen von den Cloud-Switching-Vorschriften für KMU und kleine und mittlere Unternehmen sowie für Anbieter maßgeschneiderter Datenverarbeitungsdienste;
• die obligatorische Registrierung und Kennzeichnung für Anbieter von Datenvermittlungsdiensten zu streichen, um das Wachstum zu fördern, indem Marktzutrittsschranken für Datenvermittlungsdienste abgebaut werden;
• Verringerung der Komplexität des Rahmens für Datenaltruismus, um den Austausch von Daten für die Öffentlichkeit zu erleichtern;
• Konsolidierung der Vorschriften für Daten, die sich im Besitz des öffentlichen Sektors befinden, um datengesteuerte Innovation in der EU zu unterstützen;
• Beschränkung und Klärung des Anwendungsbereichs der Geschäftstätigkeit auf Bestimmungen zur gemeinsamen Nutzung durch die Regierung, um sicherzustellen, dass die Regierungen in Notsituationen (z. B. bei massiven Überschwemmungen oder einer Pandemie) über ausreichende Daten verfügen können, ohne die Unternehmen zusätzlich zu belasten, ihre Daten für Situationen auszutauschen, die nicht mit Notsituationen zusammenhängen. Die Kommission erwartet jährliche Einsparungen von rund 20 Mio. EUR für Unternehmen und eine Verringerung der Rechtsunsicherheit und der Befolgungskosten.

Für die DSGVO schlägt der Omnibus Folgendes vor:

• Modernisierung der „Cookie-Vorschriften“: Benutzer behalten die Kontrolle darüber, wer auf ihr Gerät zugreifen kann, mit einer Ein-Klick-Zustimmung und zentralen Einstellungen für die Art und Weise, wie ihre Daten geteilt und verarbeitet werden sollen. Aktualisierungen der „Cookie-Regeln“ werden die Ermüdung der Cookie-Banner durch ein einfacheres Design verringern, das es den Nutzern ermöglicht, echte Entscheidungen zu treffen, und jährlich mehr als 800 Mio. EUR an Einsparungen für Unternehmen generieren;
• Schaffung von Rechtsklarheit und Verringerung des Compliance-Belastungsaufwands für Unternehmen, wodurch neue Möglichkeiten geschaffen werden, zusätzlich zu personenbezogenen Daten einen Mehrwert zu schaffen und gleichzeitig die Kernprinzipien der DSGVO intakt zu halten. So wird in den Änderungsanträgen beispielsweise die rechtmäßige Verwendung personenbezogener Daten für die Schulung von KI-Modellen festgelegt, um sicherzustellen, dass die Interessen der Nutzer gründlich berücksichtigt und geschützt werden. Sie kodifizieren auch die jüngste Rechtsprechung darüber, wie personenbezogene Datensätze sicher in Daten umgewandelt werden können, die an Dritte weitergegeben werden können, ohne die Identität der betroffenen Personen offenzulegen. Die Maßnahmen werden mit strengen Garantien einhergehen, um sicherzustellen, dass personenbezogene Daten von Bürgern auf höchstem Niveau geschützt bleiben.

Mit dem Vorschlag würde der zeitliche Anwendungsbereich der Bestimmungen des Datengesetzes präzisiert, um den Wechsel von Cloud-Anbietern zu erleichtern. Diese gezielte Ausnahme würde sich auf Cloud-Dienste beschränken, die „maßgeschneidert“ sind oder von kleinen und mittleren Unternehmen oder Small-Mid-Caps (Unternehmen mit weniger als 749 Beschäftigten) bereitgestellt werden und auf Verträgen beruhen, die vor Inkrafttreten des Datengesetzes unterzeichnet wurden.

Dies wird voraussichtlich zu einmaligen Einsparungen in Höhe von rund 1,5 Mrd. EUR für förderfähige Cloud-Anbieter führen, wodurch kostspielige und komplexe Vertragsneuverhandlungen vermieden würden, um sie mit den Bestimmungen über den Cloud-Wechsel in Einklang zu bringen.

Derzeit sind die Bürger mit unzähligen Cookie-Popup-Bannern konfrontiert, die um Zustimmung bitten, wenn sie eine Website besuchen. Sie finden es schwierig zu verstehen, worum sie gebeten werden, und was mit ihren Daten passiert. Aufgrund dieser Komplexität und der schieren Menge an Pop-up-Bannern klicken Benutzer oft auf eine beliebige Schaltfläche, nur um auf die besuchte Website zugreifen zu können. Dies ist keine echte Entscheidung der Bürger, ihre Telefone oder Computer zu schützen und zu wählen, was mit ihren Daten passiert.

Mit dem heutigen Vorschlag werden die „Cookie-Vorschriften“ mit demselben starken Schutz für Geräte modernisiert, sodass die Bürgerinnen und Bürger entscheiden können, welche Cookies auf ihren verbundenen Geräten (z. B. Telefonen oder Computern) platziert werden und was mit ihren Daten geschieht. Die neuen Regeln geben den Nutzern echte Auswahlmöglichkeiten, mit vereinfachtem Design und effektiven Designanforderungen, um die Zustimmung einzuholen oder es den Nutzern zu ermöglichen, sie abzulehnen. Sie bereiten auch den Boden für technologische Lösungen vor, die den Nutzern weitere Vereinfachungen und zentrale Kontrollen bringen werden.

Der Vorschlag vereinfacht auch die Vorschriften für Unternehmen und Mediendienste und schlägt eine „Whitelist“ von Situationen vor, die für die Privatsphäre der Nutzer günstig, aber für die Erbringung von Diensten wie Statistiken und aggregierte Publikumsmessungen wertvoll sind.

Der Vorschlag nimmt die Vorschriften der DSGVO und ihres starken Schutzrahmens auf. Jede Verletzung der Nutzerrechte kann nun zu einer Geldbuße von bis zu 4 % des weltweiten Umsatzes des Unternehmens führen.

Das vorgeschlagene Reformpaket gibt den Bürgern wieder die Kontrolle über ihre Online-Wahlmöglichkeiten:

• Benutzer haben die Kontrolle: Zugang zu Endgeräten auf der Grundlage der Zustimmung der Nutzer
• Ein Klick, um Ja oder Nein zu sagen – und es zählen zu lassen: Bürger können alle Cookies mit einem einzigen Klick ablehnen. Cookie-Banner müssen dies ermöglichen, indem sie einen "Single-Click" -Button enthalten. Websites müssen die Entscheidungen der Bürger mindestens sechs Monate lang respektieren.
• Einfache, zentrale Steuerung: Menschen können ihre Privatsphäre-Präferenzen zentral festlegen – beispielsweise über den Browser – und Websites müssen diese respektieren. Dies wird das Online-Erlebnis der Nutzer drastisch vereinfachen.
• Stärkere Durchsetzung, stärkere Rechte: Der DSGVO-Rahmen wird für Cookie-Regeln gelten, um eine harmonisierte Durchsetzung und sinnvolle Sanktionen gegen Verstöße zu gewährleisten.
• Keine Banner für harmlose Verwendungen: Cookies, die nur für risikofreie Zwecke verwendet werden - wie das Zählen von Website-Besuchen - lösen keine Zustimmungs-Popups mehr aus. Weniger Ärger, mehr Vertrauen.
• Bessere Benutzererfahrung, gleicher starker Schutz: Die Reform schneidet bedeutungslose Klicks ab, ohne die Sicherheitsvorkehrungen zu schwächen. Die Bürgerinnen und Bürger erhalten eine echte Kontrolle, die durch den robusten Schutz der DSGVO unterstützt wird.

Die Kommission schlägt Änderungen vor, um Rechtsklarheit zu schaffen und den Befolgungsaufwand für Unternehmen in Bezug auf die DSGVO zu verringern.

Der Vorschlag sieht unter anderem Folgendes vor:

• Klärung der Definition personenbezogener Daten unter Beibehaltung des höchsten Schutzniveaus für personenbezogene Daten;
• Förderung der Entwicklung und Nutzung verantwortungsvoller KI-Lösungen, indem Rechtsklarheit über die Verwendung personenbezogener Daten für KI geschaffen wird;
• Vereinfachung bestimmter Verpflichtungen für Unternehmen und Organisationen, z. B. indem klargestellt wird, wann sie Datenschutz-Folgenabschätzungen durchführen müssen und wann und wie Datenschutzverletzungen den Aufsichtsbehörden gemeldet werden müssen.

Die Schutzstandards für die Bürger und ihre personenbezogenen Daten werden uneingeschränkt eingehalten. Alle Maßnahmen werden von strengen Sicherheitsvorkehrungen begleitet.

Mit dem Vorschlag für einen digitalen Omnibus wird ein kürzlich ergangenes Urteil des Gerichtshofs kodifiziert. Mit den neuen Regeln können Datensätze freigegeben und verwendet werden, sofern der Dritte, der die Datensätze erhält, nicht in der Lage ist, die Person erneut zu identifizieren. Die für die Verarbeitung Verantwortlichen, die den Datensatz pseudonymisiert haben, tragen weiterhin alle Verpflichtungen aus der DSGVO.

Angesichts des raschen Tempos der technologischen Entwicklungen, aber auch der Vielfalt der Möglichkeiten, die Unternehmen zur Pseudonymisierung oder Umkehrung der Pseudonymisierung von Daten haben können, wird die Kommission in der Lage sein, Durchführungsrechtsakte zu erlassen, um dieser Entwicklung Rechnung zu tragen. Dies sollte mehr Rechtssicherheit für Unternehmen schaffen und einen aktuellen, soliden Schutz der Bürgerrechte gewährleisten.

Gemäß der DSGVO kann die für die Verarbeitung personenbezogener Daten verantwortliche Stelle personenbezogene Daten rechtmäßig im „berechtigten Interesse“ verarbeiten. In dem Vorschlag wird klargestellt, wie dies für KI-Systeme gilt.

Im Einklang mit derStellungnahmedes EDSA können personenbezogene Daten für KI-Modelle verarbeitet werden, solange eine Verwendung in einer bestimmten Situation nicht gegen EU- oder nationales Recht verstößt und die Verarbeitung allen Anforderungen der DSGVO entspricht.

Mit dem Vorschlag wird diese Verarbeitung strengen Garantien unterworfen und sichergestellt, dass betroffene Personen das uneingeschränkte Recht haben, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen.

Nach der DSGVO müssen die für die Verarbeitung Verantwortlichen Einzelpersonen nicht erneut darüber informieren, wie sie ihre personenbezogenen Daten verwenden, wenn die Person diese Informationen bereits erhalten hat. Der Vorschlag würde diese Ausnahme verlängern, wenn berechtigte Gründe für die Annahme bestehen, dass die betreffende Person bereits über diese Informationen verfügt.

Diese Änderung kommt kleinen Betreibern zugute, wie Handwerkern, die personenbezogene Daten verwenden, um ihre Kunden zu kontaktieren, oder Sportvereinen, die ihre Mitglieder über bevorstehende Aktivitäten informieren.

Einzelpersonen haben weiterhin das Recht, Informationen über die Verarbeitung ihrer personenbezogenen Daten anzufordern.

Bislang haben die Meldepflichten für Cybersicherheitsvorfälle zu einer erheblichen Belastung für Organisationen in der gesamten EU geführt. Unternehmen, die sich mitten in der Reaktion auf Cybervorfälle befinden, sind derzeit verpflichtet, im Rahmen mehrerer Rechtsakte, wie der Richtlinie über Netz- und Informationssicherheit (NIS), der Datenschutz-Grundverordnung (DSGVO), dem Gesetz über die digitale Betriebsstabilität und anderen, obligatorische Berichte vorzulegen. Dies kann von einer rechtzeitigen oder umfassenden Berichterstattung abhalten.

Daher führen wir einen Single-Entry-Point ein, über den Unternehmen einen Bericht einreichen können, um gleichzeitig alle ihre Meldepflichten für Vorfälle abzudecken. Dies wird nicht nur die Belastung der Unternehmen verringern, sondern auch die Cybersicherheit erhöhen, indem der Berichterstattungsprozess beschleunigt und gestrafft wird. Für eine große Mehrheit der Organisationen wird dieser neue Single-Entry-Punkt den Berichterstattungsaufwand halbieren.

Die zentrale Anlaufstelle ermöglicht die Übermittlung von Meldungen über eine einzige Schnittstelle und stellt sicher, dass eine einzige Information gleichzeitig zur Erfüllung der Berichtspflichten eines Unternehmens gemäß mehreren Rechtsakten der Union beitragen kann, wenn diese die Mitteilung vergleichbarer und oft sich überschneidender Informationen erfordern.

Der digitale Omnibus schlägt vor, dass die Berichterstattung im Rahmen der einzigen Anlaufstelle gemäß der Richtlinie über Netz- und Informationssicherheit 2 (NIS2-Richtlinie), der DSGVO, der Verordnung über die digitale Betriebsfestigkeit, der Richtlinie über die Resilienz kritischer Einrichtungen und der Verordnung über die digitale Identität der EU vorgeschrieben ist. In einer zweiten Stufe würden auch andere sektorspezifische Vorschriften im Energie- oder Luftfahrtsektor unter den einzigen Eintrag fallen.

Die Agentur der Europäischen Union für Cybersicherheit, ENISA, wird beauftragt, die zentrale Meldestelle einzurichten und zu unterhalten, die auf den Erfahrungen der ENISA mit der zentralen Meldeplattform im Rahmen des Cyberresilienzgesetzes aufbauen wird. Die Einführung der zentralen Meldestelle wird weder die bestehenden Meldepflichten noch die als Empfänger solcher Meldungen benannten Behörden ändern. Die ENISA oder die Kommission haben keinen Zugang zu den gemeldeten Informationen, es sei denn, dies ist in den jeweiligen Rechtsvorschriften vorgesehen.

Das KI-Gesetz trat am 1. August 2024 in Kraft. Es folgt ein gestaffelter Beginn der Anwendung, wobei einige Teile bereits anwendbar sind, wie bestimmte Verbote, KI-Kompetenz und Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck. Andere Teile des Gesetzes sollen am 2. August 2026 und 2. August 2027 gelten.

Diese schrittweise Einführung ermöglicht es uns, auf den Erfahrungen aufzubauen, die bei der Anwendung des ersten Teils der Vorschriften gesammelt wurden. Die Kommission ist entschlossen, kontinuierlich zu lernen und ihre Anstrengungen zu verstärken. Dies ist besonders wichtig im Kontext einer sich schnell entwickelnden Technologie wie KI.

Bei den Konsultationen der Interessenträger im Laufe des Jahres 2025 wurden Herausforderungen bei der Umsetzung aufgezeigt, die angegangen werden müssen, damit das KI-Gesetz erfolgreich umgesetzt werden kann. Dieser Vorschlag enthält diesbezügliche Gesetzesänderungen und ergänzt die laufenden Bemühungen, die Einhaltung des KI-Gesetzes zu erleichtern, wie etwa die Einrichtung eines Service Desk für KI-Gesetze.

Die Kommission setzt sich für eine klare, einfache und innovationsfreundliche Umsetzung des KI-Gesetzes ein, wie im Aktionsplan für den KI-Kontinent und in der KI-Strategie für die Anwendung dargelegt. Mit dem heutigen Vorschlag wird das KI-Gesetz mit diesem Ansatz in Einklang gebracht, indem

Verknüpfung, wenn Regeln für die Verfügbarkeit von Support gelten

• Verknüpfung der Anwendung der Vorschriften für Hochrisiko-KI mit der Verfügbarkeit von Unterstützungsinstrumenten wie Standards. Die Kommission passt den Zeitplan für die Anwendung der Vorschriften mit hohem Risiko auf höchstens 16 Monate an.

Einführung einer Vereinfachung:

• Ausweitung bestimmter vereinfachter Modalitäten für die Erfüllung der rechtlichen Verpflichtungen von KMU auf kleine Unternehmen mit mittlerer Marktkapitalisierung, z. B. vereinfachte technische Dokumentation;
• Verpflichtung der Kommission und der Mitgliedstaaten, KI-Kenntnisse zu fördern und eine kontinuierliche Unterstützung von Unternehmen sicherzustellen, indem sie auf bestehenden Bemühungen aufbauen (z. B. dem Verzeichnis derKI-Kenntnisse des Amtesfür KI-Kenntnisse), anstatt nicht spezifizierte Verpflichtungen für Betreiber durchzusetzen, während die Schulungspflichten für Betreiber mit hohem Risiko bestehen bleiben.
• Abschaffung der Verschreibung eines harmonisierten Plans zur Überwachung nach dem Inverkehrbringen, um den Unternehmen mehr Flexibilität zu geben;
• Verringerung des Registrierungsaufwands für KI-Systeme, die in Bereichen mit hohem Risiko für Aufgaben eingesetzt werden, die nicht als risikoreich gelten.

Verbesserung der Wirksamkeit der Governance des KI-Gesetzes:

• Zentralisierung der Aufsicht über KI-Systeme, die auf KI-Modellen mit allgemeinem Verwendungszweck basieren, mit dem Amt für künstliche Intelligenz, um die Fragmentierung der Governance für Entwickler dieser Modelle und Systeme zu verringern;
• Konzentration der Aufsicht über KI, die in sehr große Online-Plattformen und Suchmaschinen auf Kommissionsebene eingebettet ist, indem diese Aufsicht dem Amt für künstliche Intelligenz zugewiesen wird.

Ausweitung der Maßnahmen zur Unterstützung der Einhaltung der Vorschriften:

• Ermöglichung der Verarbeitung besonderer Kategorien personenbezogener Daten durch Anbieter und Betreiber zur Gewährleistung der Aufdeckung und Korrektur von Verzerrungen, vorbehaltlich geeigneter Garantien;
• Ausweitung des Einsatzes von KI-Reallaboren und realen Tests, damit mehr Innovatoren von diesen Instrumenten profitieren können. Dazu gehört die Einrichtung eines Reallabors auf EU-Ebene ab 2028 zur Unterstützung von Tests unter realen Bedingungen.

Verbesserung der Verfahren und des Betriebs des KI-Gesetzes:

• Klärung des Zusammenspiels zwischen dem KI-Gesetz und anderen EU-Rechtsvorschriften. Vereinfachung der Verfahren zur Förderung der rechtzeitigen Verfügbarkeit von Konformitätsbewertungsstellen.

Den ersten Schätzungen der Kommission zufolge dürften die vorgeschlagenen Maßnahmen zur KI die Befolgungskosten für Unternehmen in der gesamten EU senken.

Gleichzeitig erleichtert die Kommission durch die Ausweitung der Vorteile für KMU auf kleine und mittlere Unternehmen die Umsetzung für weitere 8 250 Unternehmen in Europa.

Insgesamt werden die heute vorgelegten Vorschläge den Unternehmen helfen, ihren Verpflichtungen nachzukommen. Sie eröffnen auch mehr Möglichkeiten für Innovationen in der EU und erleichtern die Einführung des Rechtsrahmens, mit dem ein Binnenmarkt für vertrauenswürdige KI geschaffen werden soll.

In dem Vorschlag wird die Herausforderung anerkannt, die die Verzögerung von Normen und anderen Unterstützungsinstrumenten für die Umsetzung des KI-Gesetzes mit sich bringt.

Der Zeitplan für die Hochrisiko-KI-Vorschriften ist an die Verfügbarkeit von Standards und anderen Unterstützungsinstrumenten angepasst. Sobald die Kommission bestätigt hat, dass diese ausreichend verfügbar sind, werden die Vorschriften nach einem Übergangszeitraum gelten.

Diese Flexibilität hat ein Enddatum: Die Vorschriften für Hochrisiko-KI in sensiblen Bereichen wie Beschäftigung und Strafverfolgung (Anhang III) gelten in jedem Fall höchstens 16 Monate später als ursprünglich vorgesehen, die Vorschriften für Hochrisiko-KI in Produkten wie Medizinprodukten (Anhang I) gelten höchstens 12 Monate später.

In dem Vorschlag wird auch eine Übergangsfrist von sechs Monaten für Anbieter vorgeschlagen, die rückwirkend technische Lösungen in ihre generativen KI-Systeme aufnehmen müssen, um sie nachweisbar zu machen.

In der Strategie werden Maßnahmen vorgeschlagen, die Daten für KI in ganz Europa freisetzen und sicherstellen, dass die Unternehmen in der EU Zugang zu hochwertigen Daten haben, um auf den Weltmärkten zu konkurrieren und Innovationen voranzutreiben. Dies wird insbesondere dazu beitragen, das Gesundheitswesen zu optimieren, die Energiesysteme zu verbessern und unsere industrielle Führungsrolle zu erhalten.

Es konzentriert sich auf drei Aktionsbereiche, um Regeln in Ergebnisse umzuwandeln:

1. Ausweitung des Datenzugangs für KI mit Initiativen wie Data Labs, verstärkte Konzentration auf die Entwicklung gemeinsamer europäischer Datenräume,auch im Verteidigungsbereich, und Entwicklung synthetischer Daten in Bereichen, in denen Daten aus der Praxis knapp sind.
2. Straffung der Datenvorschriften, um die gemeinsame Nutzung von Daten zu erleichtern und gleichzeitig die Rechte zu schützen. Ergänzend zu den Vereinfachungsvorschlägen im Omnibus wird die Kommission weitere Leitlinien und Vorlagen erstellen, um Unternehmen bei der Einhaltung der Datenvorschriften zu unterstützen, und einen rechtlichen Helpdesk für das Datengesetz einführen.
3. Stärkung der globalen Position der EU in Bezug auf internationale Datenströme, um einen fairen grenzüberschreitenden Datenfluss zu gewährleisten und gleichzeitig Schutzvorkehrungen für sensible nicht personenbezogene Daten der EU aufrechtzuerhalten und die Stimme der EU bei der globalen Datengovernance zu stärken. Dies wird den langfristigen EU-Ansatz für den sicheren Verkehr personenbezogener Daten ergänzen, der im Rahmen des EU-Besitzstands im Bereich des Datenschutzes entwickelt wurde.

Data Labs sind spezialisierte Einrichtungen, die Unternehmen, einschließlich kleiner und mittlerer Unternehmen (KMU) und Forschern, den Zugang zu verschiedenen Datensätzen für KI ermöglichen sollen. Sie werden praktische Dienste anbieten, um Organisationen beim sicheren Austausch und der sicheren Nutzung von Daten zu unterstützen.

Wenn ein Unternehmen beispielsweise ein KI-System für einen bestimmten Bereich entwickeln möchte, aber Schwierigkeiten hat, genügend hochwertige Daten zu erhalten, helfen Datenlabors, die in KI-Fabriken integriert sind, diese Barriere zu überwinden.

Über ein Datenlabor könnte das Unternehmen auf vertrauenswürdige Datensätze aus dem relevanten Datenraum, öffentlichen Betreibern und teilnehmenden Unternehmen zugreifen und so die Lücke zwischen Datenräumen und dem KI-Ökosystem schließen, sodass KMU robuste KI-Modelle trainieren können, während die Vertraulichkeit der Unternehmen gewahrt bleibt.

Die europäischen Business Wallets sind digitale Instrumente, die es Unternehmen jeder Größe erleichtern werden, überall in der EU sicher mit Behörden und anderen Unternehmen zu interagieren und zu kommunizieren.

Das Tool verringert den Verwaltungsaufwand, indem es es Unternehmen ermöglicht, ihre Identität nachzuweisen, amtliche Dokumente zu unterzeichnen und zu versenden oder Lizenzen und Zertifikate digital mit vollem Rechtswert zu teilen. Die Nutzung von Business Wallets wird potenzielle Hindernisse in Chancen für Wachstum und Wettbewerbsfähigkeit verwandeln. Diese Leitinitiative für den Binnenmarkt stellt einen großen Wandel für die Unternehmen dar.

Dem Vorschlag der Kommission zufolge haben alle Ebenen der öffentlichen Verwaltung in der EU, einschließlich der Organe, Einrichtungen und sonstigen Stellen der EU, zwei Jahre Zeit, um die Verwendung der Business Wallets mit Übergangsmaßnahmen zur Nutzung bestehender ähnlicher Systeme auf Ebene der Mitgliedstaaten umzusetzen.

Parallel dazu wird die Kommission eng mit den Mitgliedstaaten und dem Privatsektor zusammenarbeiten, um die technischen Standards und Anforderungen für europäische Geschäftsbrieftaschen durch laufende Bemühungen im Rahmen desRahmens für die europäische digitale Identität und in groß angelegten Pilotprojekten, die im Rahmen desProgramms „Digitales Europa“finanziert werden, wie dem WeBuild-Konsortium, festzulegen.

Unternehmen werden nicht verpflichtet sein, die europäischen Business Wallets zu verwenden. Die Verordnung verpflichtet nur öffentliche Stellen, ihre Kernfunktionen zu akzeptieren, während es den Unternehmen freisteht, zu entscheiden, ob sie die Brieftaschen für ihre Geschäftstätigkeit oder ihre Interaktionen mit Behörden verwenden.