Prof. Dr. Christian Heinze, LL.M. (Cambridge)
147431ba-3d54-4dbd-bd92-771fefdaf5eb.jpg?sfvrsn=5a015e49_1)
KIR 2026, 25 Auch wenn heutige Gesetze kaum mehr die langen Geltungszeiten der Kodifikationen des 19. Jahrhunderts erreichen, so ist die Änderung eines Gesetzes noch vor seinem Inkrafttreten ein bemerkenswerter Vorgang. Sie legt nahe, dass das gerade erst erlassene Gesetz fehlerhaft ist und dieser Fehler so offensichtlich oder schwerwiegend ist, dass er noch vor Inkrafttreten erkannt wird und korrigiert werden muss – oder dass sich der politische Wind seit dem Erlass vollkommen gedreht hat. Bei dem im November 2025 veröffentlichten Vorschlag für eine Digital-Omnibus Verordnung zur KI (EU-Kommission, COM(2025) 836 final, im Folgenden: KOM-Vorschlag) – dem Parallelvorschlag zur im letzten Editorial (Forgó KIR 2026, 1) im Hinblick auf die KI-Datenschutzvorschriften vorgestellten Digital-Omnibus-Verordnung COM(2025) 837 final – präsentiert uns die Kommission einen dritten – harmloseren – Grund für eine derart schnelle gesetzliche Anpassung: Erfahrungen mit den (wenigen) bereits geltenden Vorschriften der KI-VO, ein höherer Befolgungsaufwand wegen Verzögerungen bei der Ausarbeitung technischer Normen und der Einrichtung von Governance- und Konformitätsbewertungsrahmen auf nationaler Ebene sowie die durch Konsultationen erreichte Einsicht in „zusätzliche Maß nahmen …, die die Umsetzung und Einhaltung der Vorschriften erleichtern und präzisieren“ machen „gezielte Änderungen“ der KI-VO erforderlich, um „bestimmte Herausforderungen bei der Durchführung im Hinblick auf die wirksame Anwendung der einschlägigen Vorschriften zu bewältigen“ (Erwägungsgrund 2, 3 KOM-Vorschlag). Mit anderen Worten: Es geht nur um die einfachere Anwendung der neuen Regeln, nicht um eine grundlegende Reform.
Die zurückhaltende Rhetorik der EU-Kommission setzt sich in ihren konkreten Änderungsvorschlägen fort. Während die Kritik an der KI-VO – wenn man Fundamentalopposition ausklammert – vor allem die unzureichende Rechtssicherheit wegen hoher Komplexität und zum Teil überlappender und/oder widersprüchlicher Einzelregeln sowie den zu hohen Befolgungsaufwand vor allem für kleinere, mittlere und jüngere Unternehmen hervorhebt, präsentiert die EU-Kommission eine Liste von mehr als 30 Einzelanpassungen, die trotz ihrer Summe wenig ambitioniert und etwas ziellos wirken. Sie werden weder das Problem fehlender Rechtssicherheit noch des hohen Befolgungsaufwands lösen.
Zwar geht es in die richtige Richtung, wenn neben den kleinen und mittleren Unternehmen (KMU) (weniger als 250 Mitarbeiter, Jahresumsatz von maximal 50 Mio. EUR oder Bilanzsumme von höchstens 43 Mio. EUR, Art. 2 des Anhangs der Empfehlung 2003/361/EG) die Kategorie der „kleines Midcap-Unternehmen“ (750 Mitarbeiter und jährlicher Umsatz bis 150 Mio. EUR oder Bilanzsumme bis 129 Mio. EUR, Nr. 2 des Anhangs der Empfehlung (EU) 2025/1099) in Art. 3 Nr. 14b KI-VO nF aufgenommen werden soll (Art. 1 Nr. 1 und Nr. 3 KOM-Vorschlag) und einige der Erleichterungen für KMU auch auf die Midcaps erstreckt werden. Allerdings sind diese Erleichterungen sehr begrenzt: Es kann eine vereinfachte technische Dokumentation anhand eines vereinfachten Kommissionsformulars erstellt werden (Art. 11 Abs. 1 UAbs. 2 KI-VO idF des Art. 1 Nr. 8 KOM-Vorschlag und Art. 63 Abs. 1 KI-VO idF des Art. 1 Nr. 21 KOM-Vorschlag) und die Anforderungen an das Qualitätsmanagement sollen – auch bei Midcaps – angemessen zur Unternehmensgröße sein (Art. 17 Abs. 2 KI-VO idF des Art. 1 Nr. 9 KOM-Vorschlag).
Hinzu kommen einige administrative Punkte: Die „Anleitung und Beratung“, die die nationalen Behörden nach Art. 70 Abs. 8 KI-VO „ggf.“ bereitstellen „können“, wird von KMU auf Midcaps ausgeweitet (Art. 1 Nr. 23 KOM-Vorschlag), bei der Aufstellung von Verhaltenskodizes und Leitlinien nach Art. 95 und Art. 96 KI-VO müssen auch die Bedürfnisse von Midcaps berücksichtigt werden (Art. 1 Nr. 27, 28 KOM-Vorschlag) und „regulatorische Privilegien“ – konkret die Berücksichtigung der Interessen von Midcaps bei Sanktionsverhängung und die Geltung des jeweils niedrigeren Betrags nach Art. 99 Abs. 3-5 KI-VO – bei den Sanktionen werden auf Midcaps erstreckt (Art. 99 Abs. 1, 6 KI-VO idF des Art. 1 Nr. 29 KOM-Vorschlags). Der überwiegende Teil dieser Anpassungen wie die Berücksichtigung der Interessen von Midcaps und die Möglichkeit der Beratung durch Behörden sind eher klarstellender oder appellhafter Natur; sie werden geringe Auswirkungen haben.
Eine spürbare Rücknahme materieller Compliance-Pflichten für KMU und Midcaps (oder gar alle Akteure) findet sich nicht, und auch echte administrative Erleichterungen – wie die Gestattung einer verbindlichen Behördenauskunft über die Einstufung oder Rechtmäßigkeit von KI-Anwendungen mit der Folge einer Bußgeldimmunität (dazu Heinze KIR 2024, 149) – fehlen.
Im Kern bleibt es also dabei: Der weit überwiegende Teil der KI-VO gilt weiterhin für Unternehmen jeder Größe, womit die EU ein Hochregulierungsstandort auch für KMU und Midcaps bleibt. Eher symbolischen Wert hat auch die Änderung des Art. 4 KI-VO zur Vermittlung von KI-Kompetenz: Künftig sind nicht mehr Anbieter und Betreiber von KI-Systemen direkt verpflichtet, sondern sie sollen von Kommission und Mitgliedstaaten dazu angehalten werden, Maßnahmen zur Vermittlung von KI-Kompetenz zu ergreifen (Art. 4 KI-VO idF des Art. 1 Nr. 4 KOM-Vorschlag). Da Art. 4 KI-VO auch jetzt schon lediglich eine „best effort“-Klausel („nach besten Kräften“ sicherstellen) und nicht bußgeldbewehrt ist, dürften die Folgen dieser Änderung kaum bemerkbar sein.
Wirksamer dürften die Änderungsvorschläge sein, die Parallelregeln oder Parallelverfahren zu beseitigen suchen oder Regelungsunklarheiten auflösen. Eine tatsächliche Reduzierung von Compliance liegt in der – kontroversen – Streichung der Verpflichtung für Anbieter, ihre KI-Systeme in der EU-Datenbank für Hochrisiko-KI-Systeme gem. Anhang III zu registrieren, wenn sie gem. Art. 6 Abs. 3 KI-VO von der Einstufung als hochriskant zB wegen ihres nur vorbereitenden Einsatzes ausgenommen wurden. Zur Vermeidung von Parallelregeln diente auch Art. 1 Nr. 14 des KOM-Vorschlags in der Fassung des Leaks, demzufolge durch einen neuen Art. 42 Abs. 3 KI-VO klargestellt werden sollte, dass bei Erfüllen der Anforderungen des Cyber Resilience Act (CRA) auch die Cybersicherheitsanforderungen des Art. 15 KI-VO als erfüllt gelten (so wohl auch Erwägungsgrund 51 CRA).
Im finalen KOM-Vorschlag ist diese Klarstellung bedauerlicherweise entfallen. Erhalten geblieben sind immerhin einige Bemühungen um Vereinheitlichung der Anträge und Verfahren (s. etwa Art. 1 Nr. 10, Nr. 11, Nr. 13 KOM-Vorschlag zu Art. 28 Abs. 8 nF, Art. 29 Abs. 4 und Art. 43 Abs. 3 KI-VO). Sinnvoll erscheinen auch die Klarstellungen zur datenschutzrechtlichen Zulässigkeit von Debiasing-Maßnahmen auch außerhalb von Hochrisiko-Systemen durch Neuplatzierung des bisherigen Art. 10 Abs. 5 KI-VO in einen neuen Art. 4a KI-VO (Art. 1 Nr. 5 KOM-Vorschlag), sodass die Anwendbarkeit für alle KI-Systeme klargestellt wird, was allerdings wohl bereits jetzt durch Erst-Recht-Schluss aus Art. 10 Abs. 5 KI-VO möglich ist.
Und schließlich ist der Ausbau und die Präzisierung der Regeln für KI-Reallabore (Art. 1 Nr. 17 und Nr. 18 KOM-Vorschlag zu Art. 57 und Art. 58 Abs. 1 KI-VO) und der Tests unter Realbedingungen (Art. 1 Nr. 19 und Nr. 20 KOM-Vorschlag zu Art. 60 und Art. 60a nF KI-VO) zu begrüßen, auch wenn noch nicht absehbar ist, wie hilfreich sich diese Instrumente in der Praxis erweisen werden. Zuletzt schafft der verlängerte Bestandsschutz für bereits in Verkehr gebrachte KI-Systeme und das Hinausschieben der Kennzeichnungspflicht nach Art. 50 Abs. 2 KI-VO und der Verpflichtungen für Hochrisiko-KI-Systeme (Art. 1 Nr. 30 und Nr. 31 KOM-Vorschlag) den vielfach gewünschten zusätzlichen zeitlichen Spielraum für die Umsetzung der KI-VO in der Unternehmenspraxis.
Zusammenfassend kann man festhalten: Der Digital-Omnibus-Vorschlag zu KI schlägt einige sinnvolle Konzentrationen im Verfahrensrecht vor. Zu befürworten ist auch die Ausdehnung der Erleichterungen für KMU auf Midcaps, selbst wenn die konkreten Erleichterungen praktisch wohl nur geringe Bedeutung haben. Sinnvoll erscheint ferner die Stärkung von KI-Reallaboren und Tests unter Realbedingungen. Eher symbolisch ist die Begrenzung der – ohnehin kaum durchsetzbaren – Verpflichtung zur Vermittlung von KI-Kompetenz.
Auch wenn viele der Änderungsvorschläge also für sich genommen sinnvoll sind, so bleibt der Digital-Omnibus-Vorschlag zu KI im Gesamturteil eine Enttäuschung, weil er kaum eine Reduzierung und Vereinheitlichung materieller Pflichten und des daran anknüpfenden Compliance-Aufwands leistet. Das Kernproblem der hohen Regelungsdichte, der Regelungsüberlappung und der unzureichenden Rechtssicherheit wird nicht gelöst und eigentlich auch nicht angegangen. Dazu wäre eine Präzisierung der materiellen Pflichten und/oder eine Lösung über behördliche Zusicherungen, verbunden mit Bußgeldimmunität (Heinze KIR 2024, 149), vielleicht sogar der partielle Übergang von der behördlichen ex ante zur haftungsrechtlichen ex post-Kontrolle erforderlich gewesen. Mit diesem Ansatz wäre keineswegs zwangsläufig ein Verlust materieller Schutzstandards verbunden gewesen, denn es geht den Akteuren regelmäßig nicht um ein materielles „race to the bottom“, sondern um ein rechtssicheres Umfeld für die Entwicklung und Vermarktung von KI-Systemen, das aktuell weder die KI-VO noch der Digital-Omnibus-Vorschlag zu KI bieten. Dieser Befund und seine absehbar nachteiligen Folgen für Innovationskraft und Wettbewerbsfähigkeit der Union auf dem Gebiet der KI sind umso schmerzlicher, wenn man sieht, dass im parallelen Vorschlag für eine Digital-Omnibus-Verordnung COM(2025) 837 die Kraft gefunden wurde, um unter dem Etikett der Stärkung der Wettbewerbsfähigkeit zentrale datenschutzrechtliche Betroffenenrechte wie den Auskunfts- und Kopieanspruch durch eine inhaltlich obskure und sachlich verfehlte Anpassung des Art. 12 Abs. 5 DS-GVO ihrem Wesenskern zu berauben. Der Abbau datenschutzrechtlicher Betroffenenrechte scheint der Kommission also wichtiger für die Wettbewerbsfähigkeit Europas als die Straffung und Vereinfachung der KI-Regulierung – eine bittere Erkenntnis gerade für diejenigen unter uns, die leidenschaftliche Befürworter der europäischen Sache sind.
Prof. Dr. Christian Heinze, LL.M. (Cambridge), ist Inhaber des Lehrstuhls für Bürgerliches Recht, Gewerblichen Rechtsschutz und Digitalisierung sowie Direktor am Institut für Digitalisierung und am Institut für Gewerblichen Rechtsschutz und Urheberrecht (IGRU) an der Universität zu Köln. Zudem ist er Schriftleiter der KIR.