Seit Wochen dominiert eine Frage die Compliance-Diskussionen in europäischen Unternehmen: Wird die EU DSGVO und AI Act tatsächlich aufweichen — und was bedeutet das für KMU, die gerade ihre Compliance-Roadmap aufsetzen?
Auslöser der aktuellen Debatte ist ein Vereinfachungspaket, das die EU-Kommission seit dem Draghi-Bericht zur europäischen Wettbewerbsfähigkeit konzipiert. KI-Forscher Rohan Paul fasste die Nachrichtenlage auf X prägnant zusammen: "Europe is moving to relax parts of its strict GDPR and AI Act to cut compliance costs and push growth." Die Reaktionen auf X reichen von Erleichterung bis Skepsis — und beides ist berechtigt.
Für deutsche KMU, die heute eine KI-Strategie entwickeln oder laufende Compliance-Investitionen bewerten, stellt sich eine konkrete Frage: Einfrieren, abwarten — oder trotzdem weitermachen?
Was die EU-Kommission konkret plant
Die Kommission hat im Rahmen ihres Competitiveness Compass (Januar 2025) das Ziel formuliert, die Verwaltungsbelastung für Unternehmen um 25 Prozent zu reduzieren. Im geplanten DSGVO-Omnibus-Paket geht es gemäß unserem Verständnis vor allem um vier Hebel:
Pseudonymisierung als vereinfachter Rechtsrahmen: Wer personenbezogene Daten technisch pseudonymisiert, soll leichter auf das "berechtigte Interesse" als Rechtsgrundlage zurückgreifen können — ohne für jede Verarbeitung eine aufwändige Interessenabwägung schriftlich dokumentieren zu müssen. Rohan Paul berichtete auf X: ein "new plan gives companies more room to move data around if they strip out direct identifiers."
KMU-Erleichterungen bei Dokumentationspflichten: Kleinere Unternehmen sollen von der vollständigen Verarbeitungsverzeichnispflicht nach Art. 30 DSGVO ganz oder teilweise befreit werden — die genaue Schwelle ist noch offen.
Lockerungen beim AI Act für Niedrig-Risiko-Systeme: Anwendungen, die nicht in Hochrisiko-Kategorien fallen (Personal, Kredit, Biometrie), könnten von vereinfachten Konformitätsnachweisen profitieren.
Drittland-Transfers bei pseudonymisierten Daten: Die Übermittlung ins Drittland soll erleichtert werden, wenn direkte Identifikatoren technisch entfernt wurden.
Wichtig: Alles oben Beschriebene ist Gesetzgebungsvorhaben — kein beschlossenes Recht. Bis ein Omnibus-Paket das ordentliche EU-Gesetzgebungsverfahren (Rat + Parlament + Trilog) vollständig durchläuft, vergehen typischerweise 18 bis 36 Monate nach dem Kommissionsvorschlag.
Was sich nicht ändert
Datenschutzexperte Emmanuel Pernot-Leplay formulierte auf X eine wichtige Einschränkung: "Simplification and clarification are both welcome for GDPR and AI rules." Aber der Fokus müsse auf Prozessen und Papierkram liegen — nicht auf den Grundrechten selbst. Das ist der entscheidende Rahmen.
Was definitiv nicht zur Disposition steht:
- Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten, die für Vertragszwecke erhoben wurden, dürfen auch nach einer Reform nicht ohne weiteres für KI-Training genutzt werden.
- Hochrisiko-Kategorien im AI Act: Personalbewertung, Kreditvergabe, biometrische Identifikation — diese Kategorien bleiben hochreguliert.
- Bußgeldrahmen: Bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes. Die Vereinfachung betrifft die Dokumentation, nicht die Konsequenz bei Verstößen.
- Beschlossenes Recht gilt bis zur Änderung: Wer heute gegen die DSGVO verstößt, kann sich nicht auf ein noch nicht verabschiedetes Reformpaket berufen.
Die Falle des Abwartens
Hier liegt das strategische Missverständnis, das wir bei KMU-Beratungen regelmäßig antreffen: Der Zeitraum des Abwartens ist kein rechtsfreier Raum.
Wer heute Mitarbeiterdaten, Kundenkommunikation oder interne Vertragsdokumente in einen US-amerikanischen Cloud-LLM-Dienst lädt, hat in diesem Moment eine Datenübermittlung vorgenommen. Diese Übermittlung ist entweder rechtmäßig oder sie ist es nicht. Ein Vereinfachungspaket, das in zwei Jahren verabschiedet wird, ändert rückwirkend nichts an der heutigen Rechtslage.
Unternehmen, die stattdessen auf lokale KI-Infrastruktur setzen — also Modelle wie Llama 3.3 70B, Qwen2.5 72B oder DeepSeek-V3 auf eigener Hardware betreiben — haben dieses Risiko schlicht nicht. Die Inferenz läuft auf eigenen Servern, kein Datum verlässt das Unternehmen, und das bleibt so — egal wie die DSGVO-Reform ausgeht.
Das ist keine ideologische Position zur Datensouveränität. Es ist ein konkretes Risikokalkül: Die lokale Infrastruktur funktioniert als Compliance-Hedge in beide Richtungen — sowohl bei strengem als auch bei vereinfachtem Datenschutzrecht.
Was KMU heute konkret tun sollten
Verarbeitungsverzeichnis aktuell halten
Auch wenn KMU-Erleichterungen kommen, ist ein Verarbeitungsverzeichnis nach Art. 30 DSGVO die Grundlage für jede Datenschutz-Prüfung. Wer es jetzt pflegt, hat im Reformfall weniger — nicht mehr — Aufwand beim Nachweis der Compliance.
KI-Systeme nach Risikokategorie klassifizieren
Der AI Act unterscheidet klar zwischen Niedrig-, Mittel- und Hochrisiko-Systemen. Wer heute dokumentiert, welche Tools im Unternehmen in welche Kategorie fallen, profitiert von jeder Vereinfachung und ist bei einer Aufsichtsprüfung abgesichert. Das ist kein großes Projekt: Eine einfache Tabelle mit Tool-Name, Einsatzzweck und vorläufiger Risikoklasse reicht als Ausgangsbasis.
Infrastrukturentscheidungen zukunftssicher treffen
Die Frage, ob sensitive Verarbeitungsprozesse auf eigener Hardware oder in der Cloud laufen, lässt sich nach der Datenübermittlung nicht rückwirkend korrigieren. Lokale Modelle auf einem Mac Studio M3 Ultra (192 GB Unified Memory) oder einem dedizierten Server mit NVIDIA L40S erreichen für die meisten KMU-Workloads ausreichende Qualität. Laut Berichten aus der Community liegen die Inferenzraten bei Llama 3.3 70B auf Apple Silicon im Bereich von 20–35 tok/s — für asynchrone Dokumentenverarbeitung, Zusammenfassungen und interne Suchsysteme vollkommen ausreichend.
Mehr dazu: Datensouveränität mit lokalem LLM.
Reformprozess aktiv beobachten
Das laufende Gesetzgebungsverfahren verdient echtes Monitoring, nicht Panik und nicht Gleichgültigkeit. Sobald ein offizieller Kommissionsvorschlag vorliegt, beginnt die Phase, in der Trilog-Verhandlungen und nationale Umsetzung die tatsächliche Reichweite der Reform festlegen. Wer jetzt gut dokumentiert ist, hat in dieser Phase eine stärkere Ausgangsposition — etwa wenn Schwellenwerte für KMU-Erleichterungen noch verhandelbar sind.
Was das für Ihre laufende Compliance-Roadmap bedeutet
Wenn Ihr Unternehmen bis August 2026 GPAI-Deployer-Pflichten nach dem AI Act erfüllen muss — und gemäß unserem Verständnis trifft das auf die meisten KMU zu, die ChatGPT, Claude oder Gemini beruflich einsetzen — ist es unwahrscheinlich, dass das laufende Reformpaket diesen Zeitplan verschiebt. Beschlossenes Recht gilt bis zu seiner Änderung. Mehr zu den konkreten August-Pflichten finden Sie auf Freshlab.de.
Der sinnvollste Ansatz: Infrastruktur jetzt so aufbauen, dass sie bei strengem Datenschutzrecht genauso funktioniert wie bei einem vereinfachten — und die Reformentwicklung parallel durch informiertes Monitoring begleiten. Das ist keine Absicherung gegen jedes Szenario, aber gegen das Wesentliche.
Wir begleiten KMU bei genau diesem Prozess: von der initialen Risikoklassifizierung über die Auswahl der richtigen lokalen Modelle bis zur produktiven Pilotsetzung eines eigenen KI-Systems.
→ Jetzt Pilotprojekt anfragen — oder direkt Kontakt aufnehmen.