Rechtsaufsicht im Bereich der künstlichen Intelligenz durch das KI-Gesetz mit Schwerpunkt auf Governance, Ethik und Regulierung

Bartek / stock.adobe.com

05.11.2025 Fachinformation

AI Act: Normung als Schlüssel zur KI-Regulierung

Der AI Act schafft erstmals einen verbindlichen Rechtsrahmen für den Einsatz von Künstlicher Intelligenz in Europa. Um die darin formulierten Anforderungen wie Sicherheit, Transparenz und Risikomanagement technisch umsetzbar zu machen, werden harmonisierte Europäische Normen erarbeitet.

Standardisierte Verfahren und technische Spezifikationen machen die Einhaltung der gesetzlichen Vorgaben überprüfbar und vergleichbar. Die Normung fungiert so als Brücke zwischen abstrakter Regulierung und praktischer Anwendung. Sie ermöglicht regulatorische Sicherheit und sorgt für gesellschaftliches Vertrauen.

Das erwartet Sie in diesem Artikel:

Was ist der AI Act und wer ist davon betroffen?
Umsetzung der Anforderungen in technische Standards
Fragen und Antworten (FAQ) zum aktuellen Normungsprozess

Was ist der AI Act?

Der AI Act ist eine EU-Verordnung, die einen einheitlichen Rechtsrahmen für die Entwicklung, den Einsatz und die Nutzung von KI-Systemen schafft. Er wurde am 21. Mai 2024 verabschiedet und ist seit 1. August 2024 in Kraft, mit gestaffelten Übergangsfristen bis 2027.

Risikobasierter Ansatz als Herzstück der KI-Regulierung

Der risikobasierte Ansatz des EU AI Act ist das Herzstück der Regulierung und sorgt dafür, dass KI-Systeme je nach Gefährdungspotenzial unterschiedlich streng reguliert werden. Ziel ist ein ausgewogenes Verhältnis zwischen Innovation und Schutz von Grundrechten. Hier sind die vier Risikoklassen im Detail:

1. Minimales Risiko

Hierzu gehören beispielsweise Spamfilter, Rechtschreibkorrektur und KI-Schreibassistenten. Deren Regulierung bedarf keiner besonderen Anforderungen, da diese Systeme kaum Einfluss auf Grundrechte oder Sicherheit haben.

2. Begrenztes Risiko

Hierzu gehören beispielsweise Chatbots, KI-generierte Inhalte, einfache Empfehlungssysteme. Verpflichtend ist eine transparente Kenntlichmachung, sodass Nutzer erkennen können, dass sie mit einer KI interagieren. Manipulative oder irreführende Funktionen sind nicht erlaubt.

3. Hohes Risiko

Hierzu gehören KI-Anwendungen beispielsweise aus den Bereichen Medizin, Personalwesen, Strafverfolgung und KRITIS. Verpflichtend sind hierfür ein Risikomanagementsystem, eine technische Dokumentation, menschliche Aufsicht und eine hohe Datenqualität sowie Robustheit, da diese Systeme direkt in Grundrechte eingreifen können.

4. Unannehmbares Risiko (und damit verboten)

Hierzu gehören beispielsweise Social Scoring (wie in China), Echtzeit-Gesichtserkennung im öffentlichen Raum, Emotionserkennung am Arbeitsplatz oder in Schule und manipulative KI, die den freien Willen untergräbt. Solche Anwendungen sind nach Artikel 5 des AI Act verboten, mit dem Ziel, die Menschenwürde, Demokratie und Rechtsstaatlichkeit zu schützen.

Der AI Act versteht Risiko als Kombination aus der Wahrscheinlichkeit eines Schadens und der Schwere des Schadens. Es werden dabei sowohl materielle als auch immaterielle Schäden berücksichtigt, also beispielsweise physische, psychische, gesellschaftliche oder wirtschaftliche Auswirkungen.

Der AI Act schafft Orientierung für alle Beteiligten

Der EU AI Act betrifft eine breite Gruppe von Akteuren – nicht nur Entwickler von KI-Systemen, sondern auch deren Nutzer.

Betroffen sind KI-Anbieter, also Unternehmen, Forschungsinstitute oder Behörden, die KI-Systeme entwickeln, in Verkehr bringen oder bereitstellen, z. B. über Plattformen oder als Dienstleistung. Betroffen sind auch KI-Betreiber, also Organisationen, die KI-Systeme im eigenen Betrieb einsetzen, z. B in Form von Chatbots, HR-Software oder Analyse-Tools.

Aber auch Mitarbeitende können betroffen sein, wenn auch nur indirekt, da sie mit KI-Systemen arbeiten und deren korrekte Nutzung sicherstellen müssen. Seit Februar 2025 gilt laut Artikel 4 des AI Act deshalb eine Pflicht zur Sicherstellung ausreichender KI-Kompetenz bei Mitarbeitenden.

Außerdem vom AI Act betroffen: Behörden und Aufsichtsstellen, die für die Überwachung und Durchsetzung der Vorschriften zuständig sind. Und natürlich die Nutzer – die vom Schutz der Grundrechte, Sicherheit und Transparenz profitieren.

sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Ich möchte den DKE Newsletter erhalten!

Umsetzen rechtlicher Anforderungen in technische Standards

Der AI Act legt rechtliche Anforderungen fest – etwa zu Sicherheit, Transparenz, Datenqualität oder menschlicher Kontrolle. Diese Anforderungen sind technisch häufig abstrakt. Die Normung übersetzt die rechtlichen Anforderungen in konkrete technische Standards, die Unternehmen, Behörden und Entwickler praktisch anwenden können.

Für die Erarbeitung der Normen beauftragt die EU-Kommission die europäischen Normungsorganisationen CEN und CENELEC. Diese arbeiten mit nationalen Organisationen wie der DKE und dem DIN sowie AFNOR (Frankreich) und UNI (Italien) zusammen. Auch Industrie, Forschung, Zivilgesellschaft und Behörden sind beteiligt.

Diese „harmonisierten Europäischen Normen“ können in der gesamten EU einheitlich umgesetzt werden und helfen dabei, Rechtskonformität für Produkte und Dienstleistungen nachzuweisen.

Die Normung ist nicht allerdings nicht abgeschlossen, sondern entwickelt sich parallel zur Technologie weiter. Neue KI-Anwendungen, wie Generative KI oder autonome Systeme, erfordern laufend neue Standards.

Technik trifft auf Verantwortung: Schnittstellen von KI und Normung

Die Verbindung zwischen Künstlicher Intelligenz und Normung zeigt sich bereits heute in zahlreichen praxisnahen Anwendungsfeldern – von der Industrie über den Schienenverkehr bis hin zur Energiewirtschaft. KI-Systeme übernehmen Aufgaben wie vorausschauende Wartung, autonome Steuerung oder datenbasierte Optimierung, die ein hohes Maß an Sicherheit und Verlässlichkeit erfordern.

Normen schaffen die dafür erforderliche Grundlage, indem sie technische Anforderungen definieren, Risiken systematisch adressieren und die Qualität von KI-Anwendungen sicherstellen. Besonders in sicherheitskritischen Bereichen, etwa im Safety Engineering oder bei der Deepfake-Erkennung, ermöglichen sie eine nachvollziehbare und vertrauenswürdige Nutzung von KI. Gleichzeitig tragen Normen wesentlich dazu bei, ethische Prinzipien wie Fairness, Transparenz und Nachhaltigkeit in die technische Entwicklung zu integrieren – und machen damit Verantwortung messbar und gestaltbar.

Beispiele:

Europäischer AI Act: Fragen und Antworten (FAQ) zum Normungsprozess

Welche Rolle übernimmt die DKE im Normungsprozess?

Auf europäischer Ebene bei CEN und CENELEC bzw. dem JTC 21 gilt das nationale Delegationsprinzip. Sogenannte Spiegelgremien erarbeiten in den Mitgliedsländern die nationalen Stellungnahmen. In Deutschland haben DIN und DKE diese Aufgabe übernommen.

DKE und DIN steuern diesen Prozess effizient, bündeln als Plattform die Interessen und Anliegen deutscher Unternehmen und Stakeholder und bringen sie auf europäischer Ebene ein.

Wie läuft der europäische Normungsprozess zum AI Act ab?

Die Europäische Kommission vergibt einen Normungsauftrag (Standardization Request) an die beiden europäischen Normungsorganisationen CEN und CENELEC. Die beiden Organisationen stimmen mehrheitlich über solche Aufträge ab. CEN und CENELEC haben die Aufgabe übernommen und einen gemeinsamen Ausschuss gebildet, das Joint Technical Committee 21 Artificial Intelligence (JTC 21). Mehr als 140 Expertinnen und Experten aus 25 Ländern beteiligen sich an der Arbeit. Den Vorsitz und die Leitung hat dänische Normungsinstitut Danish Standards übernommen.

Innerhalb dieses Ausschusses erarbeiten Expertinnen und Experten der nationalen Normungsorganisationen in Arbeitsgruppen erste Entwürfe für die neuen Normen. Spiegelgremien in den EU-Mitgliedsstaaten arbeiten den Arbeitsgruppen zu. Im JTC 21 sind fünf Arbeitsgruppen aktiv. In Deutschland werden sie durch die Arbeitskreise des DIN/DKE Gemeinschaftsarbeitsausschusses „Künstliche Intelligenz“ (NA 043-01-42 GA) gespiegelt.

Haben sich die Arbeitsgruppen auf einen Entwurf geeinigt, folgt die öffentliche Entwurfsumfrage, bei der eine Kommentierung nach einem formellen Verfahren möglich ist; die Arbeitsgruppen müssen anschließend alle Kommentare behandeln. Parallel findet die Begutachtung und anschließend die Harmonisierung durch die EU-Kommission statt.

Anschließend veröffentlichen die Normungsorganisationen die Norm und übermitteln sie an die Europäische Kommission, die final über die Listung im Amtsblatt entscheidet.

Welche Akteure sind an der Ausarbeitung der Normen zum AI Act beteiligt?

Die Ausarbeitung von Normen folgt einem Prozess, der eine breite Beteiligung relevanter Stakeholder ermöglicht. Neben Unternehmen sind Fachleute aus den Bereichen Wissenschaft, Verbraucherschutz bzw. Zivilgesellschaft und Interessensgruppen zur aktiven Mitarbeit eingeladen. Durch die Beteiligung aller interessierten Kreise und das Konsensprinzip fließen auch die Ergebnisse gesellschaftlicher Diskussionen und Aushandlungsprozesse in den Normungsprozess ein.

Wo stehen wir aktuell im Normungsprozess zum AI Act?

Seit Juni 2025 läuft die Ausarbeitung der Arbeitsentwürfe für insgesamt neun eigenständige harmonisierte Europäische Normen: Entweder werden dafür erste Arbeitsentwürfe erstellt oder diese liegen bereits intern vor und die Arbeitsgruppen besprechen und bearbeiten bereits die internen Kommentare.

Auf diese Phase folgt die öffentliche Konsultation. Diese erfolgt Schritt für Schritt bzw. Norm für Norm. Die ersten Entwürfe werden voraussichtlich ab Herbst 2025 veröffentlicht. Da einige Normenentwürfe erst später begonnen wurden, wird auch deren Konsultation später starten.

Auf die öffentliche Konsultation folgt die Diskussion und Bearbeitung der Kommentare, eine Editierphase und anschließend eine finale Abstimmung der Beteiligten. Erst dann kann die Veröffentlichung eingeplant werden. Zurzeit ist geplant, dass die ersten Normen ab Herbst 2026 veröffentlich werden.

Wann werden die Normen zum AI Act veröffentlicht?

Die harmonisierten Europäischen Normen zum AI Act werden 2026 veröffentlicht.

Europa übernimmt mit dem ersten Rechtsakt für vertrauenswürdige KI-Systeme weltweit eine Pionierrolle. Die Verantwortlichen haben die Relevanz frühzeitig erkannt und ab 2021 erste Vorabdiskussionen geführt.

Die harmonisierten Europäischen Normen sollen künftig in allen EU-Mitgliedsstaaten gelten. Der Prozess ist entsprechend komplex, die Anzahl der Beteiligten hoch: Wichtig ist, dass im Rahmen des CEN/CLC JTC 21 in allen Ländern parallel dieselben Schritte erfolgen. Europaweit arbeiten dabei so viele Expertinnen und Experten zusammen an einem Normungsvorhaben wie noch nie zuvor. Für viele von ihnen ist es das erste Mal, dass sie an einem solchen Prozess beteiligt sind. Zugleich müssen die Fachleute einen hohen Spezialisierungsgrad aufweisen, die Ressourcen sind also beschränkt. In Deutschland tragen DKE und DIN mit effizienter Organisation zur Beschleunigung des Verfahrens bei.

Weil das Konsensprinzip gilt, in den Gremien aber auch unterschiedliche Vorstellungen etwa von Wirtschaft und Zivilgesellschaft aufeinandertreffen, ist das Verfahren auch auch aufwändig. Die komplexe Architektur der Anforderungen führt zudem dazu, dass eine Vielzahl an technischen Spezifikationen ausgearbeitet werden muss.

Wann können betroffene Akteure die Normentwürfe zum AI Act einsehen?

Der derzeitige Zeitplan sieht vor, dass die ersten Entwürfe der Normen für Hochrisiko-KI-Systeme ab Herbst 2025 veröffentlicht und kommentiert werden können. Eine Veröffentlichung der Schlussentwürfe soll ab August 2026 erfolgen. Insgesamt werden aktuell neun Normen erarbeitet.

Redaktioneller Hinweis:

Der vorliegende Artikel wurde mit KI erstellt, fachlich geprüft und redaktionell bearbeitet.