Digital-Paket der EU: Große Chance für Vereinfachungen
IHK-Präsident Paal mahnt: Gut gemeint reicht nicht, es muss auch gut gemacht sein
Die IHK Region Stuttgart sieht im heute von der EU-Kommission vorgestellten Entwurf für den „Digital-Omnibus“ zwar die Chance auf mehr Übersichtlichkeit im digitalen Regelwerk, warnt jedoch davor, dass die angekündigte Vereinfachung am Ende zu neuen Belastungen für Unternehmen führen könnte.
„Gut gemeint reicht nicht – es muss auch gut gemacht sein“, sagt IHK-Präsident Claus Paal. „Wenn Planbarkeit, Transparenz, Datenschutz und Cybersicherheit das Ziel sind, dann müssen die Regeln so gestaltet sein, dass Unternehmen diese Ziele auch tatsächlich erreichen können, ohne dass Innovationen ausgebremst werden. Denn die Entwicklungen gehen in anderen Regionen weiter, die Welt wartet nicht auf uns. “
Der Entwurf der EU-Kommission bündelt zwar zentrale Digitalgesetze – von Datenschutz über Datennutzung bis zu Cybersecurity und KI. Doch für die IHK ist klar: Diese Reform darf nicht dazu führen, neue Aufsichtsebenen, Meldepflichten oder Kontrollen aufzubauen.
Die einzelnen Maßnahmen-Pakete im Überblick:
DSGVO-Vereinfachungen – wichtig, aber unzureichend
Um den praktischen Nutzen der Datenschutzgrundverordnung (DSGVO) zu erhöhen, braucht es aus Sicht der IHK vor allem eine deutliche Entlastung beim bürokratischen Aufwand – orientiert am tatsächlichen Risikoniveau der Datenverarbeitung. Vorgänge mit geringem oder normalem Risiko sollten ganz von bestimmten Pflichten ausgenommen oder nur in deutlich reduzierter Form geregelt werden. Der risikobasierte Ansatz muss konsequenter in der DSGVO verankert werden, insbesondere bei Dokumentations- und Informationspflichten. Für kleine Unternehmen sollten aufwändige Nachweise wie das Verzeichnis der Verarbeitungstätigkeiten vollständig entfallen. „Datenschutz muss alltagstauglich sein. Wenn Unternehmen mehr Zeit für Dokumentation als für Entwicklung brauchen, läuft etwas grundlegend falsch“, so Paal.
Meldungen von Datenpannen sollten entfallen, wenn lediglich ein geringes Risiko für Betroffene besteht. Zudem ist die starre 72-Stunden-Frist in der Praxis – insbesondere an Wochenenden und Feiertagen – kaum einzuhalten. Auch der derzeitige Schadensersatzrahmen sorgt für erhebliche Unsicherheit: Der unklare Schadenbegriff schafft weitreichende Haftungsrisiken, insbesondere im Umfeld möglicher Sammelklagen. „Diese Rechtsunsicherheit bremst Innovationen“, mahnt Paal.
Datenrecht bündeln – ohne neue Unsicherheiten
Die geplante Konsolidierung von Data Act, Data Governance Act und weiteren Vorgaben kann für mehr Übersicht sorgen. Gleichzeitig warnt die IHK davor, durch zusätzliche Prüfpflichten den Schutz von Geschäftsgeheimnissen zu verkomplizieren und den Datenaustausch zu erschweren. „Wir brauchen pragmatische, verlässliche Regeln – kein neues Dickicht von Ausnahmen“, betont Paal. Für die Umsetzung des Data Act sind klare Begriffe – etwa Dateninhaber und Nutzer – sowie eindeutige Regeln für Mischdatensätze entscheidend. Insgesamt fordert die IHK eine engere Abstimmung mit der DSGVO, damit Unternehmen verlässliche Orientierung erhalten.
Cybersecurity Act: Cybersicherheit stärken – ohne neue Bürokratielasten
Die IHK Region Stuttgart unterstützt das Ziel, ein hohes und einheitliches Schutzniveau für Cybersicherheit in der EU zu schaffen. Danach sollen IT-Produkte, Cloud-Dienste, Software, Hardware und bestimmte Prozesse nach einheitlichen Kriterien zertifiziert werden, um mehr Vertrauen und Transparenz und weniger Flickenteppich zwischen den Mitgliedstaaten zu erreichen. Damit Unternehmen neue Anforderungen wirksam umsetzen können, braucht es jedoch klare Regeln, angemessene Übergangsfristen und praxisnahe Verfahren. „Cybersicherheit darf nicht zum Bürokratiemonster werden. Unternehmen brauchen umsetzbare Vorgaben statt zusätzlicher Hürden“, betont Paal.
Besonders kleine und mittlere Betriebe benötigen verlässliche und einfache Prozesse. Ein mehrstufiges Zertifizierungssystem kann helfen, unterschiedliche Unternehmensgrößen besser zu berücksichtigen – vorausgesetzt, der Aufwand bleibt realistisch und handhabbar.
Dringenden Handlungsbedarf sieht die IHK bei überschneidenden Vorgaben aus der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2), der EU-Verordnung speziell für den Finanzsektor (DORA) und dem Cyber Resilience Act. Harmonisierte Berichtspflichten und eine zentrale digitale Meldeplattform würden die wirtschaftliche Belastung deutlich reduzieren. „Nur wenn Sicherheit und Wirtschaftlichkeit zusammen gedacht werden, erreichen wir echte Cyberresilienz“, so Paal. Daher setzt sich die IHK Region Stuttgart für eine koordinierte, wirksame und zugleich unbürokratische Umsetzung der europäischen Cybervorgaben ein.
AI Act: IHK fordert praxistaugliche Umsetzung für Unternehmen
Die IHK Region Stuttgart sieht im AI Act die Chance auf einen klaren europäischen Rahmen für Künstliche Intelligenz. Damit Unternehmen KI jedoch effektiv nutzen können – laut DIHK-Digitalisierungsumfrage 2025 setzen 70 Prozent der Unternehmen KI ein oder planen dies – müssen die Vorgaben verständlich, handhabbar und wirtschaftsfreundlich gestaltet sein. „Der AI Act darf nicht zum Innovationshemmnis werden“, so Paal. „Unternehmen brauchen Regeln, die in der Praxis funktionieren und ihnen Sicherheit geben.“
Viele Betriebe kämpfen derzeit mit komplexen Regelungen, unklaren Begriffen und Überschneidungen mit DSGVO-, Urheberrechts- und Cybersicherheitsvorgaben. Die IHK fordert daher frühe Leitlinien, einheitliche Definitionen und konkrete Beispiele, damit Unternehmen ihre Pflichten zuverlässig einordnen können. Für KI-Anwendungen brauchen Unternehmen Klarheit beim Umgang mit personenbezogenen Daten und praktikable Anonymisierungsverfahren. Fehlende Standards bremsen aktuell zahlreiche Projekte – insbesondere im Mittelstand.
Gerade kleinere Unternehmen benötigen einfache, kostengünstige Unterstützung. Das geplante AI Office sollte deshalb Selbsteinschätzungs-Tools, branchenspezifische Beispiele und klare Risikoeinstufungen bereitstellen. Da viele Standards und Leitlinien noch fehlen, sollten neue Pflichten erst greifen, wenn ausreichende Orientierung veröffentlicht wurde. „Europa braucht starke KI aus der Wirtschaft“, so Paal. „Dafür müssen wir Unternehmen befähigen – nicht überfordern.“