KI-Komponente in Maschinen (Sicherheitsfunktion): Risikoklasse und Pflichten im EU-KI-Recht
Eine KI-Komponente, die eine Sicherheitsfunktion in einer Maschine oder einem anderen regulierten Produkt übernimmt, ist nach Anhang I AI Act HOCHRISKANT. Der Hersteller der Maschine übernimmt zugleich die Pflichten des KI-Anbieters (Art. 25 Abs. 3) — er muss sowohl die Maschinenverordnung (EU) 2023/1230 als auch den AI Act (Art. 8–15) erfüllen. Eine einzige CE-Kennzeichnung deckt beide Regime ab (Art. 48 Abs. 5); die Konformitätsbewertung erfolgt nach dem strengeren Verfahren (meist notifizierte Stelle). Beispiele: KI-gestützte Schutztrennung an Pressen, kollaborative Roboter mit KI-Kollisionserkennung, autonome Flurförderzeuge. Überlagert: Produkthaftungsrecht, Arbeitsschutz, CE-/Maschinenrichtlinien-Praxis.
Steve Baka
Hochrisiko nach Anhang I (Sicherheitsbestandteil)
Anhang I AI Act stuft als hochriskant ein: KI, die Sicherheitsbestandteil ist (a) nach unionsrechtlichen Harmonisierungsvorschriften über die Sicherheit von Produkten (z. B. Maschinenverordnung, Medizinprodukte-VO, Spielzeug-RL, Aufzugs-RL), oder (b) die selbst als Produkt einer solchen Vorschrift einer Konformitätsbewertung bedarf. Beispiele: KI-Schutzfunktionen an Maschinen (Schutztrennung, Not-Aus-KI), kollaborative Roboter mit KI-Kollisionserkennung, autonome Fahrerlose Transportsysteme, KI in medizinischen Geräten. Der Schwerpunkt liegt auf KI, die Leib und Leben, Sicherheit oder Eigentum direkt schützt.
Hersteller = KI-Anbieter (Art. 25)
Wer ein reguliertes Produkt mit KI-Sicherheitsfunktion in Verkehr bringt, übernimmt automatisch die Pflichten des KI-Anbieters (Art. 25 Abs. 1). Das bedeutet kumulative Pflichten: Maschinenverordnung 2023/1230 (Konformität, CE, Risikobeurteilung, Betriebsanleitung) PLUS AI Act Art. 8–15 (Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersecurity, QMS). Eine einzige CE-Kennzeichnung deckt beide Regime ab (Art. 48 Abs. 5); die Konformitätsbewertung erfolgt nach dem strengeren anwendbaren Verfahren — bei Maschinen mit KI-Sicherheitsfunktion in der Regel über eine notifizierte Stelle. Praktisch: ein gemeinsames Konformitätsdossier, integrierte Risikobeurteilung.
Praxis: CE-Doppelregime und Haftung
In der Praxis entsteht ein „CE-Doppelregime": die Maschinen-CE umfasst die KI-CE, das Konformitätsdossier integriert beide. Besonderheiten: Risikobeurteilung nach ISO 12100 (Maschinen) muss die KI-spezifischen Risiken (Bias, Adversarial, Fehlverhalten) einbeziehen; Cybersecurity (Art. 15 AI Act) überlappt mit Maschinensicherheit; Aufzeichnung (Art. 12) für lernende Systeme, die im Feld adaptieren. Überlagert: Produkthaftung (Richtlinie 85/374/EWG, revidiert 2024/2853), Arbeitsschutz (Betriebssicherheitsverordnung), CE-Marktaufsicht. Für Maschinenbauer ist die Integration der KI-Pflichten in die bestehende CE-Praxis der wichtigste Schritt — nicht der Aufbau paralleler Strukturen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist KI in Maschinen hochriskant?
Ja, wenn sie eine Sicherheitsfunktion übernimmt (Anhang I). Der Hersteller übernimmt zugleich die KI-Anbieter-Pflichten (Art. 25 Abs. 3).
Brauche ich zwei CE-Zeichen?
Nein. Eine CE-Kennzeichnung deckt Maschinenverordnung und AI Act ab; die Konformitätsbewertung erfolgt nach dem strengeren Verfahren (meist notifizierte Stelle, Art. 47 Abs. 2–4).
Was gilt bei Schäden?
Produkthaftung (RL 85/374/EWG, revidiert 2024/2853) und AI Liability Directive ergänzen. Arbeitsschutz (BetrSV), CE-Marktaufsicht. Maschinenbauer integrieren KI-Pflichten in die CE-Praxis.
Rechtskonforme Umsetzung für KI-Komponente in Maschinen (Sicherheitsfunktion)?
Wenn du KI-Komponente in Maschinen (Sicherheitsfunktion) rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.