Automotive & autonome Systeme: AI Act, Data Act & DSGVO-Pflichten
Automotive & autonome Systeme (autonomes Fahren Level 3+, ADAS, Connected-Vehicle-KI, Fahrerüberwachung) sind hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente eines regulierten Produkts — Kraftfahrzeug) PLUS Kraftfahrzeug-Zulassungsrecht (UN-ECE-Regelungen, EG-Typgenehmigung). Pflichten: volles Art. 8–15-Pflichtenbündel PLUS Kraftfahrzeug-Zulassung; Fahrzeughersteller wird zum KI-Anbieter (Art. 25), notifizierte Stelle, CE/Typgenehmigung. Plus EU Data Act (verbundene Produkte — Fahrdaten-Zugang, Switching), NIS2 (kritische Infrastruktur — vernetzte Fahrzeuge), Cyber Resilience Act. Fahrerüberwachung: aus Sicherheitsgründen erlaubt (Ausnahme vom Art. 5-Verbot), bei Leistungsbezug hochriskant nach Anhang III Nr. 4. Aufsichtlich: KBA (DE), Marktüberwachung, Versicherungs-/Zulassungsbehörden. Besonderheiten: kontinuierliches Lernen (OTA-Updates), Cybersecurity (Art. 15), menschliche Übernahme (Art. 14).
Steve Baka
Hochrisiko nach Anhang I + KFZ-Recht
Automotive & autonome Systeme (autonomes Fahren Level 3+: bedingte Automation, Level 4/5: hohe/vollständige Automation) sind hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente eines regulierten Produkts — Kraftfahrzeug) PLUS Kraftfahrzeug-Zulassungsrecht (UN-ECE-Regelungen wie R157 ALKS, EG-Typgenehmigung Richtlinie 2007/46/EG, Delegierte Rechtsakte). Pflichtenbündel: Art. 8–15 PLUS Kraftfahrzeug-Zulassung. Fahrzeughersteller übernimmt die KI-Anbieter-Pflichten (Art. 25). Eine CE/Typgenehmigung deckt die Regime ab (Art. 47 Abs. 2–4). Fahrerüberwachung (Müdigkeit, Ablenkung): aus Sicherheitsgründen erlaubt (Ausnahme vom Art. 5 Abs. 1 lit. f-Verbot), aber bei Leistungsbezug der Fahrerin/des Fahrers hochriskant nach Anhang III Nr. 4. Infotainment/Navigation/Telematik-KI meist begrenzt (Art. 50 Transparenz).
Praxis: OTA-Updates, Data Act, NIS2
Praktisch: (1) Typgenehmigung + AI Act — Kraftfahrzeug-Zulassung (KBA in DE, UN-ECE) PLUS AI-Act-Risikoanalyse/-Tests; (2) kontinuierliches Lernen — OTA-Updates nach Art. 12 aufzeichnen, Konformität erhalten, wesentliche Modifikation erfordert Neubewertung; (3) Cybersecurity (Art. 15) — vernetzte Fahrzeuge sind hoch angreifbar, UN-ECE R155/R156 Cybersecurity/Cyber Security Management; (4) menschliche Übernahme (Art. 14) — klare Übergabe-/Notfall-Mechanismen; (5) Data Act — vernetzte Fahrzeuge sind verbundene Produkte, Fahrer/Besitzer hat Recht auf Datenzugang/-weitergabe (Art. 4–5), FRAND-Weitergabe (Art. 9–11); (6) NIS2 — vernetzte Fahrzeuge in kritischer Infrastruktur (Verkehr), Risikomanagement (Art. 21), Meldepflichten (Art. 23); (7) CRA — Cybersecurity für Automotive-Software. Aufsichtlich: KBA (DE), Marktüberwachungsbehörden (AI Act), Cybersicherheits-Aufsicht (NIS2), Datenschutz-Aufsicht (DSGVO), Versicherungs-/Zulassungsbehörden. Vorfallsmeldungen kumulativ (AI Act Art. 73 + NIS2 Art. 23 + DSGVO Art. 33). Eine integrierte Automotive-/KI-/Data-Compliance ist unverzichtbar — Haftschutz, Sicherheit, Marktzugang.
Grenzen: Übernahme-Pflicht und Versicherungsethik
Die Grenze autonomer Fahrzeuge ist die Übernahme-Pflicht: bei Level 3+ muss der Fahrer/die Fahrerin fähig sein, die Steuerung zu übernehmen (Art. 14 menschliche Aufsicht); bei Level 4/5 ist der Hersteller verantwortlich (System muss fehlersicher in Ruhezustand gehen). Diese Übernahme-Architektur ist technisch und rechtlich anspruchsvoll — klare Übergabe-/Notfall-Mechanismen, Design-Entscheidungen dokumentiert (Risikoanalyse Art. 9). Versicherungsethik: bei Unfällen autonomer Fahrzeuge verschiebt sich die Haftung vom Fahrer zum Hersteller (Produkthaftung, AILD) — Versicherungsmodelle müssen sich anpassen. Telematik-Daten (Data Act) dürfen nicht zu risikobasierter Prämie ohne AGG-/DSGVO-Konformität führen. Fahrerüberwachung darf (aus Sicherheitsgründen erlaubt) nicht zur Leistungsüberwachung umfunktioniert werden (sonst Anhang III Nr. 4 Hochrisiko, BetrVG-Mitbestimmung). Eine ethisch-rechtlich saubere Automotive-KI respektiert Übernahme-Pflicht, Versicherungs-Ethik und Datenschutzhoheit.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
OECD AI PrinciplesOECD. Internationaler Referenzrahmen für vertrauenswürdige KI.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
ISO/IEC 42001 — AI Management SystemISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).
Häufige Fragen
Welche Risikostufe hat autonomes Fahren?
Hochriskant nach Anhang I (KI als Sicherheitskomponente regulierten Produkts) PLUS Kraftfahrzeug-Zulassungsrecht. Fahrzeughersteller = KI-Anbieter (Art. 25).
Greift der EU Data Act?
Ja. Vernetzte Fahrzeuge sind verbundene Produkte. Fahrer/Besitzer hat Recht auf Datenzugang/-weitergabe (Art. 4–5), FRAND-Weitergabe (Art. 9–11). Plus NIS2 (kritische Infrastruktur).
Was gilt für Fahrerüberwachung?
Aus Sicherheitsgründen erlaubt (Ausnahme vom Art. 5-Verbot). Bei Leistungsbezug hochriskant nach Anhang III Nr. 4. OTA-Updates nach Art. 12, Cybersecurity Art. 15 (UN-ECE R155/R156).
KI-Compliance für Automotive & autonome Systeme?
Wenn du im Sektor Automotive & autonome Systeme KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.