Siebte Ausgabe: Umsetzung der KI-Verordnung und Standardisierung

Im Diskurs um die praktische Umsetzung der KI-Verordnung sind sie zentral: harmonisierte europäische Normen. Die siebte Ausgabe unserer Dialogreihe widmete sich deshalb den Fragen, wie der Standardisierungsprozess in Europa abläuft und welche Chancen und Herausforderungen sich im Bereich der Normung aus Sicht der Wissenschaft, der Praxis und aus Sicht der europäischen Normungsorganisationen zeigen. Gemeinsam mit Tina Lassiter, Dr. Lukas Höhndorf und Dr. Sebastian Hallensleben beleuchteten wir diese und weitere Fragen. 

Drei Punkte standen dabei besonders im Vordergrund: 

• Die erfolgreiche Umsetzung des AI Acts hängt maßgeblich von der Qualität der entstehenden KI-Standards ab. Erst durch sie werden die rechtlichen Anforderungen technisch greifbar und überprüfbar. 
• Standardisierung ist kein rein technischer Vorgang, sondern ein gesellschaftlicher und geopolitischer Aushandlungsprozess. Unterschiedliche Interessen – von Industrie über Politik bis Zivilgesellschaft – prägen Inhalt, Prioritäten und Ausgestaltung der Normen. 
• Ungleich verteilte Beteiligung stellt ein strukturelles Risiko dar. Gerade Wissenschaft, Zivilgesellschaft und Start Ups sind bislang zu wenig eingebunden, was Legitimität, Vielfalt und Qualität der Standards gefährden kann. 

Harmonisierte europäische Normen 

Den Auftakt machte Tina Lassiter, die grundlegende Einordnung bot:
Besonders relevant im Kontext des AI Acts sind harmonisierte europäische Normen. Sie werden im Auftrag der Europäischen Kommission im Rahmen eines EU-Rechtsakts erstellt. Unternehmen, die solche Normen anwenden, profitieren von der Konformitätsvermutung – also der Annahme, dass ihr Produkt oder Verfahren die EU-Vorgaben erfüllt. Für den AI Act entsteht so ein mächtiges Instrument, um komplexe Anforderungen technisch präzise und überprüfbar umzusetzen. 

Der Normungsauftrag der EU an CEN und CENELEC für neue KI-Standards (Art. 40 AIA) wird im Joint Technical Committee 21 (JTC 21) bearbeitet. Die ursprünglich gesetzte Frist, April 2025, wurde inzwischen auf 2026 verschoben, was den Umfang und die Komplexität der Aufgabe verdeutlicht. 

Governance, Beteiligung und bisherige Erkenntnisse aus der Forschung 

Lassiter erläuterte zudem die Vielzahl relevanter Akteure in Deutschland:
EU-Kommission, CEN/CENELEC, DIN und DKE, Notifizierungsbehörden und Konformitätsbewertungsstellen – sie alle prägen die Entwicklung, Prüfung und spätere Anwendung der KI-Standards. 

Ihre eigene Forschung zeigt jedoch, dass Zivilgesellschaft und Wissenschaft bislang nur gering im Normungsprozess vertreten sind. Die Gründe: hoher Zeit- und Ressourcenaufwand, fehlende Anreize für akademische Mitarbeit, Sorge vor wachsendem Einfluss großer Industrieakteure. 

Sie betonte, dass weitere Studien dies bestätigen: Langwierige Prozesse, dominante Positionen transnationaler Unternehmen und der Druck, internationale (nicht-europäische) Standards zu übernehmen, führen zu einem Spannungsfeld zwischen ökonomischen Interessen und europäischer technologischer Souveränität. 

Viele Anwender:innen – insbesondere kleinere Unternehmen – empfinden bestehende Normen zudem als zu komplex, teuer und nicht ausreichend praxistauglich. 

Chancen und Risiken der KI-Verordnung aus Sicht der Standardisierung 

Lukas Höhndorf ging auf die Chancen und Risiken von harmonisierten europäischen Normen ein. Als Chancen nannte er folgende: 

• Harmonisierung schafft Marktvertrauen und stärkt europäische Unternehmen. 
• Klare Regeln reduzieren Rechtsunsicherheit und fördern Innovation. 
• Einheitliche Normen ermöglichen vergleichbare Prüf- und Zertifizierungsprozesse. 

Doch auch zentrale Risiken wurden von Höhndorf deutlich angesprochen: 

• Die kurzen Umsetzungsfristen könnten zu erheblichen Engpässen führen – insbesondere, wenn harmonisierte Normen erst nach August 2026 vorliegen. 
• Die Komplexität der KI-Normen kann Markteintrittsbarrieren, vor allem für KMU, erhöhen. 
• Die Qualität der entstehenden Standards ist entscheidend: Werden sie zu abstrakt oder nicht prüfbar, verfehlt die Harmonisierung ihr Ziel. 
• Unterschiedliche Beteiligungsgrade könnten die europäische Einheitlichkeit gefährden. 

Ein zentraler Appell von ihm: Die Wirtschaft muss stärker in den Standardisierungsprozess eingebunden werden, und zwar nicht nur durch große Industrieunternehmen. Enquiry-Phasen (öffentliche Kommentierungsrunden) bieten seiner Meinung nach dafür eine wichtige Chance. 

Normungsarbeit – JTC 21 

Sebastian Hallensleben gab einen vertieften Einblick in die internationale und europäische Standardisierungslandschaft – und in die Entstehung einer neuen Generation von KI-Normen. 

Mit ISO/IEC 42001 existiert seit 2023 erstmals ein internationaler Standard für KI-Managementsysteme. Dennoch erklärte Hallensleben klar, warum eine einfache Übernahme für Europa nicht möglich ist: 

JTC 21 entwickelt deshalb EU-spezifische Standards, die zwar auf internationale Normen Bezug nehmen, aber auf die Anforderungen des AI Acts zugeschnitten sind.  Der Standardisierungsprozess ist dabei laut Hallensleben historisch groß: circa 200 Expert:innen direkt im JTC 21, etwa 1000 auf nationaler Ebene und 25 beteiligte Länder. Zudem gibt es eine intensive Interaktion mit ISO/IEC, ETSI, ENISA und dem AI Office. 

Hallensleben betonte zwei „Deliverables“ der Standardisierung: 

1. sichtbar: konsistente technische Dokumente 
2. unsichtbar: gesellschaftliche Legitimität durch Konsens aller relevanten Stakeholder 

Er betonte, dass insbesondere letzteres aufgrund zahlreicher Divergenzen herausfordernd ist: Sicherheits- vs. Datenschutzperspektiven, EU- vs. Nicht-EU-Interessen, große vs. kleine Unternehmen, Industrie vs. Zivilgesellschaft. 

Zeitdruck, Interessenkonflikte und die Rolle des AI Office 

Ein weiterer Schwerpunkt lag laut Hallensleben auf den massiven Zeit- und Konsensdruck.
Die Anforderungen sind hoch: Standards sollen gleichzeitig leichtgewichtig, konsistent, detailliert, wissenschaftlich fundiert und rechtlich harmonisierbar sein. 

Zur Risikomitigation setzen CEN/CENELEC und JTC 21 auf die verstärkte Moderation durch das AI Office, Orientierung an JRC-Papieren für kontroverse Themen, direkte Harmonisationsbewertung (keine externen Gutachter) und Prozessanpassungen sowie zusätzliche Ressourcen zur Beschleunigung. 

Als nächste Meilenstein nannte er die öffentliche Konsultation zu ersten Standardentwürfen (u. a. Cybersecurity, QMS, RMS), darauffolgend die Überarbeitung und Finalisierung und schließlich die Umsetzung. 

Für Unternehmen bedeute dies, dass sie jetzt beginnen sollten, KI-Anwendungsfälle zu identifizieren, Risikokategorien zuzuordnen und Implementierungsprojekte vorzubereiten, da harmonisierte Standards nach Hallensleben der zentrale Weg zur compliance mit Rechtssicherheit sein werden. 

Standards und Code of Practice: Zwei Systeme, ein Ziel

Abschließend ging Hallensleben auf das Verhältnis zwischen JTC-21-Standards und dem Code of Practice (CoP) ein. Beide sind freiwillig – aber beide bieten einen anerkannten Pfad zur AI-Act-Konformität:

Damit ergänzen sich beide Instrumente und schaffen Orientierung für verschiedene Akteursgruppen entlang der KI-Wertschöpfungskette.

Die Diskussion zeigte eindrücklich: Der Erfolg des AI Acts wird maßgeblich davon abhängen, ob es Europa gelingt, gute, praktikable und legitimierte technische Standards zu entwickeln. Zusammenfassend zeigt sich, Standardisierung ist kein rein technischer Prozess, sondern ein gesellschaftlicher Aushandlungsprozess, daher ist eine hohe Beteiligung, insbesondere von Wissenschaft, Zivilgesellschaft und KMU, entscheidend für Qualität und Akzeptanz. 

Die kommenden Monate werden prägend sein, um die Vielzahl an Interessen, technologischen Entwicklungen und rechtlichen Anforderungen miteinander zu verzahnen. 

Wir danken allen Referent:innen und Teilnehmenden für die konstruktiven Beiträge und den offenen Austausch in der siebten Ausgabe unserer Dialogreihe. 

Bertelsmann Stiftung x Weizenbaum Institut – zur Kooperation 

Die europäische KI-Verordnung ist seit dem 1. August 2024 in Kraft getreten. Seitdem liegt der Ball vor allem bei den Mitgliedstaaten: Wie packen wir in Deutschland die Umsetzung an? Für unsere Politiker:innen heißt es: Ärmel hochkrempeln und ran an den Text! Die KI-Verordnung ist nämlich keine leichte Lektüre, sondern ein langes Regelwerk mit komplexen Facetten. Den Überblick bei der nationalen Umsetzung zu behalten ist dabei essenziell. Um im Verordnungsdschungel einen Beitrag zu leisten und Wege in der Umsetzung aufzuzeigen, starten das Weizenbaum Institut und wir, das Projekt reframe[Tech] der Bertelsmann Stiftung, eine neue Dialogreihe. In dieser werden Expert:innen aus Politik, Verwaltung, Wissenschaft, Zivilgesellschaft und Wirtschaft in sieben Terminen zusammenkommen, um sich über die vielschichtigen Inhalte, die Auswirkungen, den Einzelheiten und Hintergründen zu den Umsetzungsanforderungen und -optionen der KI-Verordnung vertraut zu machen und um eine kohärente nationale Umsetzung zu gewährleisten. 

Dieser Text ist lizenziert unter einer  Creative Commons Namensnennung 4.0 International Lizenz.