Industrielle KI : Auf den Omnibus wird jahrelange Rechtsunsicherheit folgen

In den frühen Morgenstunden des 7. Mai erzielten das Europäische Parlament und der Rat eine Einigung über den KI‑Omnibus. Maschinen wurden aus Anhang I, Abschnitt A gestrichen. Die Pflichten für Hochrisiko-Anwendungen wurden aufgeschoben. Die Fristen für die Kennzeichnung mittels Wasserzeichen verschieben sich ebenfalls. Apps zur Erstellung von Nacktbildern (sogenannte „Nudification-Apps“) wurden verboten.

Der Großteil der politischen Berichterstattung konzentrierte sich auf das Drängen von Kanzler Friedrich Merz (CDU) auf eine Ausnahmeregelung für industrielle Künstliche Intelligenz (KI) sowie auf die diesbezüglichen internen Meinungsverschiedenheiten innerhalb der deutschen Regierung. Weniger Beachtung fand hingegen die Frage, welche Auswirkungen diese Einigung auf die Architektur des europäischen Produktsicherheitsrechts hat – und auf jene Normen, die dessen praktische Anwendung gewährleisten sollen.

Ich arbeite an der Entwicklung technischer Normen, die diese Regulierung unterstützen sollen. Aus dieser Perspektive betrachtet war die Ausnahmeregelung für Maschinen unnötig. Mehr noch: Die Folgen sind kaum vorherzusehen.

Keine Doppelregulierung

Das Argument für die Herausnahme der Maschinen aus Abschnitt A stützte sich auf die Behauptung einer doppelten Regulierung: KI-Anbieter, die Sicherheitskomponenten auf den Markt bringen, sähen sich demnach gleichzeitig zwei unterschiedlichen Regelwerken mit widersprüchlichen Anforderungen ausgesetzt. Industrievertreter brachten dieses Argument sowohl in Berlin als auch in Brüssel mit Nachdruck vor.

Diese Behauptung hält einer technischen Prüfung nicht stand. Die Maschinenverordnung enthält im Rahmen ihrer grundlegenden Sicherheits- und Gesundheitsanforderungen zwar einige Bestimmungen, die Software und KI tangieren. Sie enthält jedoch keine Vorschriften zur Daten-Governance für Trainingsdatensätze. Sie enthält keine Vorschriften zum Umgang mit Verzerrungen (Bias-Management). Und sie enthält keine Transparenzpflichten, die mit jenen der KI-Verordnung vergleichbar wären. Am wichtigsten ist: Die Maschinenverordnung ist ein Instrument des Gesundheits- und Arbeitsschutzes. Sie berücksichtigt Grundrechte überhaupt nicht. Die KI‑Verordnung hingegen tut dies – und genau deshalb existiert sie auf horizontaler, sektorübergreifender Ebene innerhalb des Produktsicherheitsregimes.

Die Herausnahme von Maschinen aus Abschnitt A beseitigt keine Doppelungen, da es solche von vornherein kaum gab. Vielmehr setzt dieser Schritt die Anwendung KI-spezifischer Anforderungen auf KI-Sicherheitskomponenten in Maschinenprodukten aus – und zwar so lange, bis die EU-Kommission über einen delegierten Rechtsakt gleichwertige Bestimmungen in die Maschinenverordnung aufnimmt. Dies bedeutet jedoch mehr Komplexität, nicht weniger.

Unternehmen, die Produkte herstellen, die der Maschinenverordnung unterliegen, werden ihnen versichern, dass von ihren Produkten keinerlei Gefahr für Grundrechte ausgeht und das KI-Gesetz folglich für sie irrelevant sei. Sie haben insofern recht, als die meisten öffentlichkeitswirksamen Problematiken im Zusammenhang mit KI und Grundrechten nicht offensichtlich in den Anwendungsbereich der Maschinenverordnung fallen. Andererseits ist offensichtlich, dass KI künftig verstärkt in Maschinen zum Einsatz kommen wird. Und die Liste potenzieller künftiger Problematiken ist beträchtlich.

Regulatorische Überschneidungen sind völlig normal

Nun steht fest: Die Maschinen wurden herausgenommen. Die ernste Gefahr besteht in einem „Ansteckungseffekt“. Wenn Maschinen, warum dann nicht Spielzeug? Wenn Spielzeug, warum dann nicht Funkanlagen? Warum nicht Druckgeräte, Aufzüge oder Seilbahnen?

Regulatorische Überschneidungen werden häufig als ungewöhnlich dargestellt. Das ist weit von der Realität entfernt. Tatsächlich sind solche Überschneidungen im Produktsicherheitsrecht normal und erwartbar. Man denke nur an die Funkanlagenrichtlinie und die Niederspannungsrichtlinie: Ein vernetzter Smart Speaker fällt potenziell unter beide Regelwerke. Sie existieren nebeneinander, da das New Legislative Framework genau für diese Art der Modularität konzipiert wurde. Unterschiedliche Regelungssysteme adressieren unterschiedliche Risiken bei ein und demselben Produkt. Dies ist gewolltes Design – und kein Fehler.

Sobald die EU beginnt, bestimmte Sektoren aus Abschnitt A herauszunehmen – mit dem Argument, dass horizontale KI-Verpflichtungen lediglich eine Doppelung sektorspezifischer Vorgaben darstellen –, gerät die gesamte Architektur des Produktsicherheitsregimes ins Wanken. Der Cyber Resilience Act wird sich mit genau den gleichen Argumenten konfrontiert sehen.

Jede horizontale Digitalregulierung beruht auf der Annahme, dass übergreifende Anforderungen über das sektorspezifische Produktrecht geschichtet werden können, ohne dass das sektorspezifische Recht das horizontale Recht „verschluckt“. Wird diese Annahme nur ein einziges Mal durchbrochen, lässt sich der daraus entstehende Präzedenzfall nur schwer ignorieren.

Offene Fragen bleiben

Der KI-Omnibus-Kompromiss weist die Kommission an, delegierte Rechtsakte zu erlassen, um dem Anhang III der Maschinenverordnung bis August 2028 gesundheits- und sicherheitsrelevante Anforderungen im Zusammenhang mit KI hinzuzufügen. Zudem wird Cen-Cenelec aufgefordert, Standardisierungsergebnisse zu erarbeiten, die eine Brücke zwischen den Anforderungen des AI Act und der sektorspezifischen Gesetzgebung schlagen. Hinter keinem dieser beiden Vorhaben steht derzeit ein praktikabler Plan.

Die erste Frage lautet: Welche Überschneidungen wird die Kommission überhaupt als standardisierungsbedürftig einstufen? Die Antwort darauf ist derzeit offen. Die Kommission muss zunächst ermitteln, welche Verpflichtungen aus dem KI-Gesetz in der Maschinenverordnung abgebildet werden sollen. Anschließend muss sie die delegierten Rechtsakte entwerfen – und erst dann kann sie einen Standardisierungsauftrag erteilen. Dieser gesamte Prozess wird Jahre in Anspruch nehmen.

Wer schreibt die neuen Standards?

Die zweite Frage ist: Welche Normungsorganisation und welches Komitee wird diesen Auftrag erhalten? Das Europäische Komitee für elektrotechnische Normung (Cen-Cenelec) entwickelt die horizontalen KI-Normen. Eine maschinenspezifische KI-Norm ist nicht horizontal. Sie würde normalerweise einem sektoralen Komitee obliegen, doch kein sektorales Komitee verfügt über die notwendige KI-Expertise, um sie allein zu erarbeiten. Der Normungsauftrag kann erst gestellt werden, wenn die delegierten Rechtsakte vorliegen. Diese wiederum können erst in Kraft treten, wenn die Kommission über ihren Inhalt entschieden hat.

Der Kompromiss wurde als Vereinfachung angepriesen. Im Maschinenbau schafft er jedoch jahrelange Rechtsunsicherheit und einen architektonischen Präzedenzfall, der den rechtlichen Rahmen für Produktsicherheit schwächt, und öffnet eine Normungslücke, für deren Schließung noch niemand einen Plan hat. Die Lehre für die übrigen Sektoren im Anhang I ist eindeutig: So etwas darf nicht wieder vorkommen.

Adam Leon Smith ist unabhängiger Berater für KI-Regulierung. Er leitet Normungsprojekte sowohl bei Cen-Cenelec als auch bei ISO/IEC.