Im Juni 2024 verabschiedete die EU den AI Act — die weltweit erste umfassende KI-Regulierung. Fünfzehn Monate später begann sie, ihn wieder zu demontieren.
Am 19. November 2025 stellte die Europäische Kommission ihr "Digital Omnibus Package" vor — ein Maßnahmenpaket, das offiziell der "Vereinfachung" und "Stärkung der Wettbewerbsfähigkeit" dienen soll. In der Praxis handelt es sich um einen beispiellosen Rückbau genau jener Schutzmaßnahmen, die den AI Act zu einem wegweisenden Gesetz machten. Der EU-Rat einigte sich im März 2026 auf seine Position. Die zuständigen Ausschüsse des Europäischen Parlaments stimmten mit überwältigender Mehrheit zu. Und die Zivilgesellschaft schlägt Alarm.
Das ist keine Vereinfachung. Das ist Kapitulation.
Was tatsächlich passiert
Das Digital Omnibus on AI schlägt gezielte Änderungen am AI Act vor, die zusammengenommen eine grundlegende Schwächung seiner Kernschutzmaßnahmen darstellen:
- Fristen für Hochrisiko-KI um 16 Monate verschoben — von August 2026 auf Dezember 2027. Das betrifft die Regeln für KI im Gesundheitswesen, bei Einstellungsverfahren, in der Sozialverwaltung, bei Grenzkontrollen und im Justizsystem. Systeme, die buchstäblich über Ihre Lebenschancen entscheiden können, werden weitere anderthalb Jahre ohne angemessene Schutzmaßnahmen betrieben.
- Transparenzanforderungen ausgehöhlt — Nach dem aktuellen AI Act muss ein Unternehmen, das sein KI-System als nicht hochriskant einstuft, diese Bewertung öffentlich registrieren. Das Omnibus streicht diese Pflicht ersatzlos. Unternehmen dürfen ihr eigenes Risikoniveau im Verborgenen bewerten.
- Deepfake-Kennzeichnung verschoben — Regeln zur Kennzeichnung von KI-generierten Inhalten werden aufgeschoben, während Deepfakes immer schwerer von der Realität zu unterscheiden sind. Die Auswirkungen auf Wahlen und den öffentlichen Diskurs liegen auf der Hand.
- Bestandsschutz-Schlupfloch — Hochrisiko-KI-Systeme, die vor der (nun verschobenen) Frist eingesetzt werden, bleiben von vielen Pflichten befreit. Bringen Sie Ihr KI-System vor dem Stichtag auf den Markt, und Sie sind weitgehend aus dem Schneider.
Die Kommission hat sogar ihre eigene Folgenabschätzung für diese Änderungen übersprungen — mit der Begründung, sie hätten "keine Auswirkungen auf Grundrechte" — während sie direkt Grundrechtsschutzmaßnahmen abschwächt.
Die Fingerabdrücke der Lobbyisten
Im Januar 2026 veröffentlichten Corporate Europe Observatory und LobbyControl eine detaillierte Analyse, die Big Techs Fingerabdrücke auf den Digital-Omnibus-Vorschlägen nachzeichnet. Die Ergebnisse sind vernichtend.
Die jährlichen Lobbyausgaben der Digitalindustrie in Brüssel sind von 113 Millionen Euro im Jahr 2023 auf 151 Millionen Euro gestiegen — ein Anstieg von 33,6 % in nur zwei Jahren. Amazon allein gab in einem einzigen Jahr 7 Millionen Euro für EU-Lobbying aus. Unternehmen wie Google, Meta, Microsoft und ihre Branchenverbände verbreiten eine konsistente Botschaft: Der AI Act "bedrohe Innovation" und sei "zu teuer" in der Umsetzung.
Vergleicht man die Lobbypositionen von Big Tech mit den vorgeschlagenen Textänderungen der Kommission, ist die Überschneidung frappierend. Wie Damini Satija von Amnesty International es ausdrückte: "Der anhaltende Deregulierungskurs der EU wird zu einer Schwächung der Rechte der Menschen führen und sie digitaler Unterdrückung aussetzen."
Der AI Action Plan der Trump-Administration übte zusätzlichen Druck von außen aus, forderte die Beseitigung von "Bürokratie" und drängte die EU direkt zur Lockerung ihrer Digitalregulierung. Die europäische Rechte hat dieses Narrativ im Inland verstärkt. Wie Politico schrieb: "Washington bestimmt jetzt das Tempo der Deregulierung in Europa."
Die DSGVO ist als nächstes dran
Das KI-Omnibus existiert nicht isoliert. Es ist Teil eines breiteren Digital Omnibus, der auch die DSGVO ins Visier nimmt — Europas Flaggschiff-Datenschutzgesetz. Vorgeschlagene Änderungen umfassen:
- Neudefinition personenbezogener Daten — Pseudonymisierte Daten würden nicht mehr als personenbezogene Daten gelten, wenn das haltende Unternehmen behauptet, die Person "nicht identifizieren" zu können. Das schafft ein massives Schlupfloch: Ein Unternehmen kann Namen entfernen, die Daten als anonym deklarieren, sie an Datenhändler verkaufen, die Personen re-identifizieren können — und sich die DSGVO-Pflichten sparen.
- Spezielle KI-Ausnahmen — Unternehmen müssten personenbezogene Daten aus KI-Trainingsdatensätzen nur löschen, wenn dies keinen "unverhältnismäßigen Aufwand" erfordert. Ein praktisch vager Standard, den Betreiber großer Sprachmodelle maximal ausnutzen werden.
- Einschränkung der Auskunftsrechte — Ihr Recht zu erfahren, welche Daten Unternehmen über Sie speichern? Das Omnibus würde es Unternehmen erlauben, Anfragen abzulehnen, wenn sie entscheiden, dass Sie nach Daten fragen, die "nicht dem Schutz Ihrer Daten dienen."
Was das für den Mittelstand bedeutet
Hier liegt die bittere Ironie: Während das Omnibus als Hilfe für die europäische Wirtschaft verkauft wird, profitieren in erster Linie die US-Tech-Giganten, die den KI-Markt dominieren. Kleine und mittelständische europäische Unternehmen — der Mittelstand — geraten zwischen alle Stühle.
Viele deutsche Unternehmen haben in den letzten zwei Jahren in die Compliance mit dem AI Act investiert. Sie haben Berater engagiert, Governance-Frameworks aufgebaut, Teams geschult und Prozesse umgestaltet. Sie haben die Regulierung ernst genommen, weil sie glaubten, die EU meint es ernst.
Jetzt verschieben sich die Regeln unter ihren Füßen. Fristen werden verschoben. Anforderungen verschwinden. Und die Unternehmen, die am härtesten gegen den AI Act lobbyiert haben — die mit 151 Millionen Euro jährlichem Lobbybudget — sind diejenigen, die vom Rückbau profitieren.
Für ein deutsches Mittelstandsunternehmen, das 200.000 Euro in Compliance investiert hat, ist die Botschaft klar: Sie haben sich an die Regeln gehalten, während die Großen sie umgeschrieben haben.
Bei Cierra arbeiten wir mit mittelständischen Unternehmen an der verantwortungsvollen Implementierung von KI. Unser Rat hat sich nicht geändert: Lassen Sie politische Unsicherheit nicht zur Ausrede werden, gute Governance aufzugeben. Unternehmen, die vertrauenswürdige KI-Systeme aufbauen — mit ordnungsgemäßen Risikobewertungen, Transparenz und menschlicher Aufsicht — sind besser aufgestellt, egal wohin das regulatorische Pendel ausschlägt. Compliance bedeutet nicht nur, Bußgelder zu vermeiden. Es bedeutet, KI zu bauen, der Ihre Kunden, Mitarbeiter und Partner tatsächlich vertrauen können.
Das große Ganze
Was mit dem AI Act geschieht, ist Teil eines Musters. Die EU schwächt systematisch ihren eigenen digitalen Regulierungsrahmen unter dem Banner der "Wettbewerbsfähigkeit" — einen Rahmen, dessen Aufbau Jahre dauerte und der einst als globales Vorbild galt.
Ein "Digital Fitness Check" ist bereits geplant, der den Digital Services Act und den Digital Markets Act auf ihre Auswirkungen auf die Wettbewerbsfähigkeit prüfen soll. Weitere "Vereinfachungs"-Vorschläge sind in der Pipeline. Die Richtung ist klar.
Amnesty International, die Civil Liberties Union for Europe, EDRi, noyb und Dutzende weiterer Organisationen haben Alarm geschlagen. Aber angesichts von 151 Millionen Euro jährlicher Tech-Lobbyausgaben, rekordhohem Unternehmenszugang zu EU-Institutionen und geopolitischem Druck aus Washington werden die Stimmen der Zivilgesellschaft übertönt.
Europas AI Act sollte beweisen, dass man Technologie regulieren kann, ohne Innovation zu ersticken. Stattdessen beobachten wir in Echtzeit, wie Unternehmenslobbying Regulierung von innen heraus demontieren kann — nicht durch offene Bekämpfung, sondern durch "Vereinfachung" bis zur Bedeutungslosigkeit.
Die Falle liegt nicht in der Komplexität. Sie liegt in der Vereinfachung.
Quellen: Amnesty International (April 2026), Corporate Europe Observatory / LobbyControl (Januar 2026), Amnesty International (November 2025), Civil Liberties Union for Europe, Reuters, EU-Rat (März 2026), Europäisches Parlament
