KI-Verordnung und Normung: Was folgt daraus für den KI-Sektor?
Nach der Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-Verordnung) hat die Europäische Kommission ab dem 02. August 2026 die Möglichkeit, Normungsaufträge für Hochrisiko-KI-Systeme oder KI-Modelle mit allgemeinem Verwendungszweck zu erteilen. Der Rückgriff auf Normungsaufträge ist nicht neu: Der EU-Gesetzgeber setzt Normung bereits in zahlreichen anderen Gesetzgebungsakten ein, um technische Regeln durch die europäischen Normungsorganisationen definieren zu lassen. Mit der Einführung von harmonisierten Normen für den KI-Bereich stellen sich jedoch für betroffene Unternehmen vielfältige Fragen. Von erheblicher praktischer Bedeutung ist insbesondere, wie die Normung kontrolliert wird und welche Rechtsschutzmöglichkeiten bestehen.
1. Normung als Instrument der technischen Regelung im KI-Sektor
Der EU-Gesetzgeber überlässt die Regelung technischer Details (insbesondere hinsichtlich Produktanforderungen) vielfach den europäischen Normungsorganisationen. Dieses Instrument wird bereits seit vielen Jahren in traditionellen Branchen (z.B. für Bauprodukte und Maschinen) genutzt. In Zukunft soll die Normung nach der KI-Verordnung auch bei Hochrisiko-KI-Systemen oder KI-Modellen mit allgemeinem Verwendungszweck zum Einsatz kommen. Die Konformität mit den Anforderungen der KI-Verordnung kann dann dadurch nachgewiesen werden, dass die Hochrisiko-KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck die einschlägige Norm einhalten.
- Der Begriff „Hochrisiko-KI-System“ ist in Art. 6 der KI-Verordnung definiert. Erfasst sind zum einen Systeme, die Produkte sind, die unter eine bestimmte Harmonisierungsvorschrift (nach Anhang I der KI-Verordnung) fallen, oder Sicherheitsbauteil eines solchen Produkts sind, wenn für diese Produkte nach der jeweiligen Harmonisierungsvorschrift eine Konformitätsbewertung durchzuführen ist. Zum anderen enthält Anhang III der KI-Verordnung eine Liste von KI-Systemen, die unabhängig von den zuvor genannten Kriterien als hochriskant gelten. Abweichend von diesen allgemeinen Einordnungen kann im Einzelfall ausgeschlossen werden, dass ein KI-System hochriskant ist, wenn es kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt.
- Ein „KI-Modell mit allgemeinem Verwendungszweck“ ist definiert als ein KI-Modell, das eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann, ausgenommen KI-Modelle, die vor ihrem Inverkehrbringen für Forschungs- und Entwicklungstätigkeiten oder die Konzipierung von Prototypen eingesetzt werden.
Da für den KI-Bereich anders als in anderen Sektoren noch keine etablierten Normen bestehen, müssen diese Regelwerke neu erarbeitet werden. Dazu haben die Europäischen Normungsorganisationen – das Europäische Komitee für Normung (CEN) und das Europäische Komitee für elektrotechnische Normung (CENELEC) – einen gemeinsamen KI-Ausschuss gebildet: CEN-CENELEC Joint Technical Committee 21 (JTC 21). Bei Interesse können Unternehmen einer nationalen Normungsorganisation vorschlagen, dass ihre Vertreter in diesen Normungsausschuss entsandt werden. Durch die Regelung technischer Anforderungen im Wege der Normung werden der Sachverstand und die Expertise der Vertreterinnen und Vertreter genutzt, um einheitliche technische Lösungen zur Verfügung zu stellen.
2. Aufgaben der Europäischen Kommission in Bezug auf die Normung
Die Kommission muss nach Art. 40 Abs. 2 der KI-Verordnung unverzüglich Normungsaufträge (sog. Mandate) erteilen, auf deren Grundlage die europäischen Normungsorganisationen technische Lösungen in der Form harmonisierter Normen ausarbeiten. Dies gilt für:
- Normungsaufträge, die alle Anforderungen an Hochrisiko-KI-Systeme abdecken und
- gegebenenfalls Normungsaufträge, die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck abdecken.
Jedenfalls in Bezug auf Hochrisiko-KI-Systeme ist eine Mandatierung zwingend erforderlich. Sobald die mandatierte Normungsorganisation eine harmonisierte Norm ausgearbeitet hat, legt sie diese der Europäischen Kommission vor. Die Europäische Kommission hat dann die Norm zu prüfen und darüber zu entscheiden, ob sie dem Mandat und den Anforderungen in der KI-Verordnung entspricht. Im Falle einer positiven Bewertung durch die Kommission wird die Fundstelle der Norm im EU-Amtsblatt veröffentlicht.
Die Europäische Kommission kann selbst gemeinsame Spezifikationen – anstelle von harmonisierten Normen – erlassen, sofern die Regelung durch Normung nicht erfolgreich ist. Dies kommt in Betracht, wenn die Normungsorganisationen ein Mandat nicht annehmen, es nicht rechtzeitig ausführen oder nicht im Einklang mit ihrem Auftrag erfüllen. Gemeinsame Spezifikationen werden von der Europäischen Kommission als Durchführungsrechtsakte erlassen.
3. Harmonisierte Normen als EU-Recht
Auch wenn die harmonisierten Normen nicht durch den EU-Gesetzgeber im ordentlichen Gesetzgebungsverfahren erlassen werden, gelten sie nach der Rechtsprechung der Unionsgerichte als Rechtsvorschriften der EU. Dies beruht darauf, dass solche Normen auf der Grundlage eines Sekundärrechtsakts (Verordnung oder Richtlinie) angenommen, ihre Fundstelle im EU-Amtsblatt veröffentlicht und an die Einhaltung der Norm Rechtsfolgen geknüpft werden. Daraus folgt zum einen, dass die Betroffenen Zugang zu den geltenden Regeln haben müssen (dazu 4.). Zum anderen müssen harmonisierte Normen, da sie Teil des EU-Rechts sind, von den Unionsgerichten geprüft, ausgelegt und sogar für nichtig erklärt werden können (dazu 5.).
Wenn die Europäische Kommission – anstelle von Normen – gemeinsame Spezifikationen erlässt, werden diese als Durchführungsrechtsakte erlassen. Dabei handelt es sich nach Art. 291 Abs. 2 AEUV um Rechtsakte des EU-Rechts. Auch die gemeinsamen Spezifikationen werden im EU-Amtsblatt veröffentlicht (dazu 4.) und können von den Unionsgerichten im Falle von Klagen kontrolliert werden (dazu 5.).
4. Zugang zu harmonisierten Normen und gemeinsamen Spezifikationen
Lange war umstritten, ob die Bürgerinnen und Bürger ein Recht auf kostenlosen Zugang zu dem Inhalt der harmonisierten Normen haben. Denn die Europäische Kommission ist zwar verpflichtet, eine Fundstelle einer harmonisierten Norm zu veröffentlichen. Dagegen ist eine Veröffentlichung des gesamten Normtextes in der KI-Verordnung – im Einklang mit anderen Harmonisierungsrechtsakten – nicht vorgesehen. Die Texte mussten daher gekauft werden, um sie auswerten und nutzen zu können.
Nach der neueren Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) besteht jedoch regelmäßig ein überwiegendes öffentliches Interesse am Zugang zur harmonisierten Norm. Auf Antrag von interessierten Personen wird die Europäische Kommission daher einen Zugang gewähren. Damit ist ein kostenloser Zugang eröffnet, wenn er auch etwas mühselig ist.
Zudem haben die nationalen Normungsorganisation angefangen, Normen online zu stellen. Jedoch erlaubt jedenfalls das Deutsche Institut für Normung (DIN) bisher nur einen Lesezugriff (siehe hier). Insbesondere ein Herunterladen und Verfügbarmachen sind ausdrücklich ausgeschlossen. Bisher bestehen daher noch Hürden für den Zugang zu harmonisierten Normen.
Bei gemeinsamen Spezifikationen besteht ohnehin ein Zugang zu den vollständigen Texten. Als Rechtsakte der EU müssen sie gemäß Art. 297 AEUV im Amtsblatt veröffentlicht werden. Einer Antragstellung bedarf es daher nicht.
5. Rechtsschutz gegen harmonisierte Normen vor den Unionsgerichten
Wer mit dem Ergebnis einer Normgestaltung durch eine europäische Normungsorganisation bzw. deren Annahme durch die Europäische Kommission nicht einverstanden ist, hat die Möglichkeit, diese gerichtlich überprüfen zu lassen. Dies erfordert die Erhebung einer Nichtigkeitsklage (Art. 263 Abs. 4 AEUV) vor dem Gericht der Europäischen Union (EuG) gegen die Entscheidung der Europäischen Kommission, die Fundstelle der harmonisierten Norm im Amtsblatt zu veröffentlichen.
Dazu muss der Kläger fristgemäß eine Klage beim EuG einreichen und insbesondere seine Klagebefugnis darlegen. Das EuG hat dann zu prüfen, ob die Europäische Kommission gegen höherrangiges EU-Recht verstoßen oder Verfahrensfehler gemacht hat.
Zudem kann der EuGH über die Auslegung und Gültigkeit von harmonisierten Normen in sogenannten Vorabentscheidungsverfahren entscheiden. Dies setzt voraus, dass ein nationales Gericht (z.B. ein deutsches Zivil- oder Verwaltungsgericht) – im Rahmen eines anhängigen Verfahrens – dem EuGH gemäß Art. 267 AEUV entsprechende Fragen vorlegt. Nachdem der EuGH über die Auslegung oder Gültigkeit der harmonisierten Norm entschieden hat, muss das nationale Gericht im Kontext des ihm vorliegenden Rechtsstreits seine Schlussfolgerungen daraus ziehen.
Sollte sich die Europäische Kommission dafür entscheiden, gemeinsame Spezifikationen – anstelle von harmonisierten Normen – zu erlassen, kann auch dies Gegenstand einer Nichtigkeitsklage vor dem EuG sein. Dies ergibt sich bereits daraus, dass es Rechtsakte der Europäische Kommission sind. Der Nachweis der Klagebefugnis ist bei derartigen Rechtsakten – im Vergleich zu Rechtsakten im ordentlichen Gesetzgebungsverfahren – insofern erleichtert, als nur die unmittelbare, nicht aber die individuelle Betroffenheit nachzuweisen ist.
FAQ: Häufig gestellte Fragen
Artikel 40 ermöglicht es der Europäischen Kommission, Normungsaufträge für Hochrisiko-KI-Systeme und gegebenenfalls für KI-Modelle mit allgemeinem Verwendungszweck zu erteilen.
Über harmonisierte Normen können technische Anforderungen konkretisiert werden. Die Einhaltung einer solchen Norm kann als Nachweis dienen, dass die Vorgaben der KI-Verordnung erfüllt sind.
Ein Hochrisiko-KI-System ist in Art. 6 der KI-Verordnung definiert. Erfasst sind insbesondere Systeme, die unter bestimmte Harmonisierungsvorschriften fallen oder in Anhang III genannt sind.
Ja. Im Einzelfall kann ausgeschlossen sein, dass ein System hochriskant ist, wenn es kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt.
Ein solches Modell hat eine erhebliche allgemeine Verwendbarkeit, kann ein breites Spektrum von Aufgaben erfüllen und in verschiedene nachgelagerte Systeme oder Anwendungen integriert werden.
Die europäischen Normungsorganisationen CEN und CENELEC haben den Joint Technical Committee 21 gebildet, um die KI-Normung gemeinsam zu erarbeiten.
Die Kommission prüft, ob die Norm dem Mandat und den Anforderungen der KI-Verordnung entspricht. Bei positiver Bewertung wird die Fundstelle der Norm im EU-Amtsblatt veröffentlicht.
Dann kann die Europäische Kommission gemeinsame Spezifikationen als Durchführungsrechtsakte erlassen.
Nach der neueren Rechtsprechung besteht regelmäßig ein überwiegendes öffentliches Interesse am Zugang. Auf Antrag gewährt die Europäische Kommission Zugang; nationale Normungsorganisationen bieten teils nur Lesezugriff.
Gegen die Veröffentlichung der Fundstelle einer harmonisierten Norm kann eine Nichtigkeitsklage vor dem Gericht der Europäischen Union erhoben werden. Außerdem kann ein nationales Gericht dem EuGH Fragen zur Auslegung oder Gültigkeit vorlegen.