Digitalgesetzgebung made in EU – komplex, widersprüchlich, unübersichtlich?

10. Juni 2025

Digitalgesetzgebung made in EU – komplex, widersprüchlich, unübersichtlich?Die Digitalisierung schreitet rasant voran und damit auch die Bemühungen der Europäischen Union, einen umfassenden Rechtsrahmen für die digitale Wirtschaft zu schaffen. Einzelne Rechtsakte wie die DSGVO, der KI-VO oder der Data Act stellen wichtige Meilensteine dar. Doch die Vielzahl und Komplexität der EU-Digitalgesetzgebung führt zunehmend zu Herausforderungen in der praktischen Anwendung. Unternehmen stehen vor der Aufgabe, eine Vielzahl von Vorschriften gleichzeitig zu verstehen und einzuhalten, was oft mit Rechtsunsicherheit und erheblichem Verwaltungsaufwand verbunden ist. Das Bitkom-Papier “Digitalgesetzgebung der EU: Konfliktzonen und Wege zur Kohärenz” beleuchtet diese zentralen Herausforderungen und zeigt konkrete Konfliktlinien und systemische Spannungsfelder auf und wie diesen begegnet werden könnte.

Der Beitrag soll einen Überblick über das Bitkom-Papier geben, wobei der Schwerpunkt auf den Bezügen und Konflikten der KI-Verordnung zur weiteren Digitalgesetzgebung der EU liegt.

I. Welche Rechtsakte werden im Papier verglichen?

Das Papier analysiert die Überschneidungen und Konflikte zwischen einer Reihe von zentralen europäischen Digitalrechtsakten. Dazu gehören insbesondere die Datenschutz-Grundverordnung (DSGVO), die Verordnung über künstliche Intelligenz (KI-VO), sowie die Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act). Darüber hinaus wird auch weitere EU-Digitalgesetzgebung wie u.A. die Richtlinie zur Netz- und Informationssicherheit 2 (NIS-2-RL), oder der Cyber Resilience Act (CRA) analysiert.

Innerhalb der spezifischen Abschnitte des Papiers werden die Wechselwirkungen dieser Hauptrechtsakte mit weiteren relevanten europäischen Rechtsakten, Richtlinien oder Rechtsbereichen dargestellt und diskutiert. Dazu gehören beispielsweise die Digitale operationale Resilienz Verordnung (DORA-VO), oder die ePrivacy Richtlinie, die Medizinprodukte-Verordnung (MDR). Ebenso werden diverse Finanzsektor-Regulierungen oder das Produkthaftungsrecht hinzugezogen.

II. Übergreifende Konflikte und Inkonsistenzen der EU-Digitalgesetzgebung

Abseits der Konflikte zwischen spezifischen Rechtsakten identifiziert das Papier zwei übergeordnete Probleme, die die Kohärenz der EU-Digitalgesetzgebung maßgeblich beeinträchtigen.

Zum einen ist dies das Problem uneinheitlicher Begriffsdefinitionen. Viele Rechtsakte verwenden zwar ähnliche Begriffe, definieren diese jedoch unterschiedlich oder lassen deren Bedeutung unklar. Ein prominentes Beispiel hierfür ist der Begriff der “Dark Patterns”, der im Data Act, im DSA und im DMA verwendet wird, dessen genaue Definition aber noch immer Gegenstand von Diskussionen ist. Diese Inkonsistenz führt nach Auffassung von Bitkom zu erheblicher Rechtsunsicherheit.

Zum anderen wird das Problem der “Unberührt-Regelungen” hervorgehoben. Obwohl viele neue Digitalrechtsakte, wie der KI-VO oder der Data Act, explizit festlegen, dass die DSGVO von ihren Bestimmungen unberührt bleibt, lösen solche Klauseln die praktischen Zielkonflikte und Überschneidungen in der Umsetzung nicht auf. Dies führt dazu, dass Unternehmen gezwungen sind, widersprüchliche Anforderungen parallel zu erfüllen.

III. Verhältnis der KI-Verordnung zu anderen Digitalakten

Mit dem Inkrafttreten der KI-Verordnung (EU) 2024/1689 (KI-VO), treten für Unternehmen und Organisationen neue Pflichten in Kraft, die zum Teil mit anderen Regelwerken wie der DSGVO in Konflikt stehen.

1. Konflikte zwischen KI-VO und DSGVO

Das Verhältnis zwischen der KI-VO und der DSGVO ist besonders komplex und von zahlreichen Überschneidungen und Konflikten geprägt, obwohl die KI-VO besagt, dass die DSGVO unberührt bleibt.

  • Überschneidungen bei Dokumentations- und Risikobewertungspflichten: Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VvV) nach Art. 30 DSGVO ähnelt den Risikobewertungs- und Post-Market-Monitoring-Pflichten der KI-VO. Diese Überschneidungen können zu redundanten administrativen Belastungen führen. Auch bei den IT-Sicherheitsanforderungen verlangen sowohl Art. 32 DSGVO als auch Art. 16 KI-VO geeignete Sicherheitsmaßnahmen. Nach Auffassung von Bitkom sei aber das Verhältnis unklar.
  • Divergierende Risikoklassifizierung: Die Kriterien für “Hochrisiko” nach der KI-VO und “hohes Risiko” nach der DSGVO (relevant für die DSFA) sind nicht deckungsgleich. Beispielsweise gilt KI-gestütztes Profiling unter der DSGVO fast immer als hohes Risiko, aber nicht zwangsläufig unter dem KI-VO.
  • Konflikt zwischen Datensparsamkeit und Anforderungen an KI: Ein zentrales Spannungsfeld besteht nach dem Bitkom-Papier zufolge zwischen dem DSGVO-Grundsatz der Datensparsamkeit und den Anforderungen an KI-Systeme, insbesondere bezüglich Anti-Bias-Maßnahmen und Performance. Die Verarbeitung sensibler Daten (Art. 9 DSGVO), die grundsätzlich verboten ist, kann für die Entwicklung diskriminierungsfreier und leistungsfähiger KI-Modelle (z.B. im medizinischen Bereich) notwendig sein. Dies setze Entwickler einem hohen Haftungsrisiko aus.
  • Wiederverwendung von Daten für KI-Training: Es fehlt eine klare Regelung zur Wiederverwendung bereits erhobener personenbezogener Daten für das Training von KI-Modellen. Dies ist insbesondere vor dem Hintergrund des DSGVO-Zweckbindungsgrundsatzes problematisch, da die nachträgliche Einholung von Einwilligungen oft nicht praktikabel ist. Meta und eBay stützten sich zuletzt auf ein berechtigtes Interesse.
  • Anbieter-Betreiber-Umkehr: Die DSGVO macht primär den Betreiber des KI-Systems zum Verantwortlichen für den Datenschutz. Die KI-VO sieht die Hauptpflichten jedoch beim Anbieter. Diese Umkehr könne laut Bitkom zu Unsicherheiten bei der Haftung führen.
  • Dopplung bei Meldepflichten: Datenschutzverletzungen nach Art. 33 DSGVO und schwerwiegende Vorfälle bei Hochrisiko-KI-Systemen nach Art. 73 KI-VO können dasselbe Ereignis betreffen. Dies kann zu Doppelmeldungen an unterschiedliche Behörden führen.

2. Weitere Konflikte der KI-VO

Neben den genannten Konflikten mit der DSGVO sieht Bitkom auch Spannungen zwischen der KI-VO und anderen sektorspezifischen Rechtsakten:

  • Data Act: Auch zwischen der KI-VO und dem Data Act gibt es Überschneidungen, die zu Unklarheiten führen können. Konkret betreffe dies die Anforderungen an Datenqualität, Datenmanagement und Data Governance. Art. 10 KI-VO regelt diese Aspekte für Hochrisiko-KI-Systeme, während Art. 33 Data Act allgemeine Anforderungen an die Data Governance stellt. Laut Bitkom sei es unklar, wie sich diese Anforderungen zueinander verhalten und wie sie praktisch umzusetzen sind.
  • Medizinprodukte-Verordnung (MDR): Die Risikoklassifizierung der KI-VO stehe ebenfalls im Konflikt mit der MDR. Software im medizinischen Bereich ist oft drittzertifizierungspflichtig nach MDR, was dazu führt, dass sie automatisch als Hochrisiko-KI nach der KI-VO eingestuft wird, unabhängig von ihrem tatsächlichen Gefährdungspotenzial. Dies wird als unverhältnismäßige Belastung angesehen.
  • Finanzsektor-Regulierung: Es bestehen Unklarheiten, inwieweit Anforderungen an Daten-Governance oder Cybersicherheit (DORA) bereits Anforderungen der KI-VO abdecken und anrechenbar sind.
  • Urheberrecht: Ein Erwägungsgrund der KI-VO (EwG 106) wird als potenzieller Widerspruch zum urheberrechtlichen Territorialitätsprinzip gesehen.
  • Produkthaftungsrecht: Während ein Verstoß gegen die KI-VO oft zu einer Haftung nach Produkthaftungsrecht führt, könnten Unternehmen nach der Auffassung von Bitkom paradoxerweise auch haftbar sein, obwohl sie die KI-VO erfüllen. Zudem sei unklar, wann ein KI-Modell nach der Product Liability Guideline als Produkt gilt.

IV. Lösungsansätze zur Steigerung der Kohärenz in der EU-Digitalgesetzgebung

Um die aufgezeigten Konflikte und Inkonsistenzen zu minimieren und die Kohärenz der EU-Digitalgesetzgebung zu erhöhen, schlägt das Bitkom-Papier verschiedene Lösungsansätze vor:

1. Übergreifende Lösungsansätze für allgemeine Probleme

Zur Harmonisierung der verwendeten Begriffe sind nach Auffassung von Bitkom klare und einheitliche Definitionen wichtiger Rechtsbegriffe über alle Rechtsakte hinweg unerlässlich. Für “Dark Patterns” könnte man sich beispielsweise an der Definition im DSA orientieren, so Bitkom. Wiederum statt allgemeiner “Unberührt-Regelungen” sollten klare Vorrangregeln geschaffen werden, um Zielkonflikte aufzulösen. Insgesamt sollten die EU Kommission und andere relevante Behörden nach Ansicht der Bitkom Handreichungen entwickeln, die typische Konfliktszenarien in der praktischen Umsetzung beschreiben und Lösungen aufzeigen.

2. Spezifische Lösungsansätze für Konflikte zwischen einzelnen Rechtsakten

Zudem schlägt Bitkom auch spezifische Lösungen für die einzelnen Konflikte der EU-Digitalgesetzgebung vor. Für die DSGVO, die KI-VO und den Data Act lässt sich dies folgendermaßen zusammenfassen:

  • DSGVO und KI-VO: Entwicklung einheitlicher Leitlinien für Dokumentation, Risikobewertung und Überwachung, die beide Regelwerke berücksichtigen. Integration der Risikobewertungen der KI-VO (z.B. Grundrechte-Risikoanalysen) in die Datenschutz-Folgenabschätzungen (DSFA) nach der DSGVO, um Doppelarbeit zu vermeiden. Erweiterung der DSGVO-Ausnahmen für die Verarbeitung sensibler Daten unter strengen Auflagen, um die notwendige Bias-Reduktion und Performance bei KI-Systemen zu ermöglichen. Schaffung einer klaren, einheitlichen Rechtsgrundlage unter strengen Voraussetzungen für die Wiederverwendung personenbezogener Daten zum KI-Training. Klarstellung der Verantwortlichkeiten von Anbietern und Betreibern in KI-VO und DSGVO. Regelungen zur Vermeidung von Doppelmeldepflichten bei Vorfällen, die sowohl unter DSGVO als auch unter KI-VO fallen. Zusammenlegung von Berichtspflichten bei IT-Sicherheitsanforderungen.
  • KI-VO und Data Act: Schaffung einer einheitlichen Dokumentation für Verarbeitungstätigkeiten und Produkt-/Daten-Inventarisierung.
  • DSGVO und Data Act: Bereitstellung klarer, rechtsverbindlicher Vorgaben zur Pseudonymisierung und Anonymisierung, um den Datenzugang nach Data Act mit dem Datenschutz in Einklang zu bringen. Möglicherweise sei das Recht auf Datenzugang nach Data Act im Zweifel höher gewichten, wenn personenbezogene Daten nach anerkannten Standards pseudonymisiert sind, so Bitkom. Angleichung oder kritische Evaluierung von Regelungen zum Profiling, die potenziell bei nicht-personenbezogenen Daten strenger sind als bei personenbezogenen.

V. Auswirkungen auf Unternehmen

Die vielfältigen Überschneidungen und Inkonsistenzen der EU-Digitalgesetzgebung können direkte und signifikante Auswirkungen auf betroffene Unternehmen haben.

  • Erhöhter Verwaltungsaufwand und operative Schwierigkeiten: Unternehmen müssen sich mit komplexen und sich teilweise widersprechenden Anforderungen auseinandersetzen. Dies kann zu redundantem Aufwand bei Dokumentation, Risikobewertung und Meldepflichten führen. Die Notwendigkeit, dieselben Vorfälle an verschiedene Behörden zu melden, oder doppelte Anforderungen an IT-Sicherheit und Daten-Governance erhöhen zudem den operativen Aufwand.
  • Rechtsunsicherheit durch unklare Abgrenzung und divergierende Definitionen: Die fehlende Einheitlichkeit bei Begriffsdefinitionen und die unklare Abgrenzung der Anwendungsbereiche erschweren es Unternehmen, die Vorschriften korrekt auszulegen und anzuwenden. Dies gilt insbesondere für “Unberührt-Regelungen”, die praktische Zielkonflikte offenlassen.
  • Haftungsrisiken und Zielkonflikte: Unklare Regeln und sich widersprechende Anforderungen können Unternehmen einem zusätzlichen Haftungsrisiko aussetzen. Unternehmen können in die Situation geraten, zwischen der Einhaltung verschiedener Gesetze wählen zu müssen oder Vorschriften zu verletzen, wenn die Anforderungen nicht miteinander vereinbar sind.

VI. BfDI Specht-Riemenschneider für mehr Kohärenz in Brüssel

Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich zuletzt kritisch zur Fragmentierung der EU-Digitalgesetzgebung. In der Praxis sehen wir, dass sich etwa Fragen der Datenverarbeitung, der Zweckbindung oder der Rechtsgrundlagen in den verschiedenen Rechtsakten vielfach überschneidensagt Louisa Specht-Riemenschneider bei einer Diskussion in Brüssel. So betonte die BfDI, dass der europäische Rechtsrahmen dringend stärker koordiniert werden müsse. Die Vielzahl neuer Digitalgesetze laufe Gefahr, bestehende Grundrechte zu untergraben, wenn Kohärenz, Rechtsklarheit und einheitliche Datenschutzstandards nicht gewahrt blieben. “Wir brauchen eine vorausschauende Regulierung, die Grundrechte, Innovation und Marktregeln gemeinsam denkt – nicht nebeneinander. Die DSGVO darf dabei nicht isoliert betrachtet werden, sondern muss strukturell mit den anderen Digitalgesetzen verzahnt werden, plädiert Specht-Riemenschneider.

VI. Fazit

Die EU hat mit einer Reihe ambitionierter Digitalrechtsakte den Weg in eine regulierte digitale Zukunft geebnet. Die Analyse im Bitkom-Papier zeigt jedoch deutlich, dass die Vielzahl und die Art der EU-Digitalgesetzgebung erhebliche Herausforderungen für die praktische Umsetzung mit sich bringen. Überschneidungen, doppelte Regelungen und inkonsistente Definitionen führen zu Rechtsunsicherheit und erhöhtem Verwaltungsaufwand für Unternehmen. Besonders das komplexe Zusammenspiel von DSGVO, KI-VO und Data Act birgt zahlreiche Konfliktpotenziale. Um die Ziele der EU-Digitalgesetzgebung – die Förderung von Innovation, Wettbewerb und die Stärkung der Rechte der Bürger – tatsächlich zu erreichen, ist eine dringende Verbesserung der Kohärenz zwischen den einzelnen Rechtsakten geboten. Dies erfordert klare Vorrangregeln, harmonisierte Definitionen und eine bessere Abstimmung der Pflichten, idealerweise durch integrierte Prozesse und Meldewege. Nur so kann der Dschungel der Vorschriften für Unternehmen navigierbar gemacht und Deutschland als leistungsfähiger und souveräner Digitalstandort gestärkt werden.

Um hier den rechtlichen Überblick zu behalten, kontaktieren Sie uns gerne für eine maßgescheiderte Beratung.

Kategorien: Anonymisierung & Pseudonymisierung · Data Act · Datenschutz im Finanzsektor · Datenschutz in der Arztpraxis · Datenschutz-Basics · DORA · DSGVO · EU-Datenschutzgrundverordnung · Europäische Union · Europäisches Recht · KI-News · KI-Verordnung · Künstliche Intelligenz · Privacy by Design · Verantwortliche