Connected & Autonomous Vehicles: AI Act, Data Act & DSGVO-Pflichten
Connected & Autonomous Vehicles (C/AV — vernetzte/autonome Fahrzeuge Level 3+, Fahrzeug-Flotten, Mobilitätsdienste) sind hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente regulierten Produkts — Kraftfahrzeug) PLUS Kraftfahrzeug-Zulassungsrecht (UN-ECE R157 ALKS, EG-Typgenehmigung). Fahrzeughersteller wird zum KI-Anbieter (Art. 25), notifizierte Stelle, CE/Typgenehmigung decken die Regime (Art. 47 Abs. 2–4). Überlagert: EU Data Act (verbundene Produkte — Fahrdaten-Zugang/-weitergabe), NIS2 (kritische Infrastruktur Verkehr), Cyber Resilience Act, Versicherungs-/Haftungsrecht (Produkthaftung, AILD). Fahrerüberwachung aus Sicherheitsgründen erlaubt (Ausnahme vom Art. 5-Verbot), bei Leistungsbezug hochriskant (Anhang III Nr. 4). Aufsichtlich: KBA (DE), Marktüberwachung, Versicherungs-/Zulassungsbehörden. C/AV ist der anspruchsvollste Automotive-KI-Bereich.
Steve Baka
Hochrisiko nach Anhang I + KFZ-Zulassung
Connected & Autonomous Vehicles (autonomes Fahren Level 3+: bedingte Automation, Level 4/5: hohe/vollständige Automation; Fahrzeug-Flotten, Mobilitätsdienste wie Robo-Taxis) sind hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente regulierten Produkts — Kraftfahrzeug) PLUS Kraftfahrzeug-Zulassungsrecht (UN-ECE-Regelungen wie R157 ALKS Automated Lane Keeping Systems, EG-Typgenehmigung Richtlinie 2007/46/EG, Delegierte Rechtsakte). Fahrzeughersteller übernimmt die KI-Anbieter-Pflichten (Art. 25). Eine CE/Typgenehmigung deckt die Regime (Art. 47 Abs. 2–4). Pflichtenbündel: Art. 8–15 PLUS Kraftfahrzeug-Zulassung. Fahrerüberwachung (Müdigkeit, Ablenkung): aus Sicherheitsgründen erlaubt (Ausnahme vom Art. 5 Abs. 1 lit. f-Verbot), bei Leistungsbezug hochriskant nach Anhang III Nr. 4. Mobilitätsdienste (Robo-Taxis, autonome Lieferdienste): zusätzliche Pflichten (Personen-/Gütertransport-Sicherheit).
Praxis: OTA-Updates, Data Act, NIS2, Versicherung
Praktisch: (1) Typgenehmigung + AI Act — Kraftfahrzeug-Zulassung (KBA DE, UN-ECE) PLUS AI-Act-Risikoanalyse/-Tests; (2) kontinuierliches Lernen — OTA-Updates nach Art. 12 aufzeichnen, Konformität erhalten, wesentliche Modifikation erfordert Neubewertung; (3) Cybersecurity (Art. 15) — vernetzte Fahrzeuge sind hoch angreifbar, UN-ECE R155/R156 Cybersecurity Management System; (4) menschliche Übernahme (Art. 14) — klare Übergabe-/Notfall-Mechanismen (Level 3+), fehlersicherer Ruhezustand (Level 4/5); (5) Data Act — vernetzte Fahrzeuge sind verbundene Produkte, Fahrer/Besitzer hat Recht auf Datenzugang/-weitergabe (Art. 4–5), FRAND (Art. 9–11); (6) NIS2 — C/AV in kritischer Infrastruktur (Verkehr), Risikomanagement (Art. 21), Meldepflichten (Art. 23); (7) Versicherungs-/Haftungsrecht — bei Unfällen autonome Fahrzeuge verschiebt sich Haftung vom Fahrer zum Hersteller (Produkthaftung, AI Liability Directive), Pflichtversicherung (PfVG), Haftungs-Deckung; (8) CRA — Cybersecurity für Automotive-Software. Aufsichtlich: KBA (DE), Marktüberwachung, Cybersicherheits-Aufsicht (NIS2), Datenschutz-Aufsicht (DSGVO), Versicherungs-/Zulassungsbehörden. Vorfallsmeldungen kumulativ (AI Act Art. 73 + NIS2 Art. 23 + DSGVO Art. 33).
Grenzen: Übernahme-Pflicht und Versicherungsethik
Die Grenze der C/AV-KI ist die Übernahme-Pflicht: bei Level 3+ muss der Fahrer/die Fahrerin fähig sein, die Steuerung zu übernehmen (Art. 14 menschliche Aufsicht) — klare Übergabezeit (z. B. 10 Sekunden Warnung), Notfall-Systeme; bei Level 4/5 ist der Hersteller verantwortlich (System muss fehlersicher in Ruhezustand gehen). Diese Übernahme-Architektur ist technisch und rechtlich anspruchsvoll — Design-Entscheidungen dokumentiert (Risikoanalyse Art. 9), ethisch umstritten („Trolley Problem" der Programmierung). Versicherungsethik: bei Unfällen verschiebt sich die Haftung vom Fahrer zum Hersteller — Versicherungsmodelle müssen sich anpassen (Hersteller-Versicherung, Haftungsfonds). Telematik-Daten (Data Act) dürfen nicht zu risikobasierter Prämie ohne AGG-/DSGVO-Konformität führen. Fahrerüberwachung darf (aus Sicherheitsgründen erlaubt) nicht zur Leistungsüberwachung umfunktioniert werden (sonst Anhang III Nr. 4 Hochrisiko, BetrVG-Mitbestimmung bei gewerblichen Fahrern). Eine ethisch-rechtlich saubere C/AV-KI respektiert Übernahme-Pflicht, Versicherungsethik, Datenschutzhoheit und menschliche Letztverantwortung — Sicherheit hat Vorrang vor Effizienz.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Welche Risikostufe haben autonome Fahrzeuge?
Hochriskant nach Anhang I (KI als Sicherheitskomponente regulierten Produkts) PLUS Kraftfahrzeug-Zulassung. Fahrzeughersteller = KI-Anbieter (Art. 25). CE/Typgenehmigung deckt beide.
Was gilt bei OTA-Updates?
Art. 12 Aufzeichnung, Konformität erhalten. Wesentliche Modifikation erfordert Neubewertung. UN-ECE R155/R156 Cybersecurity Management. Versions-/Konformitäts-Management.
Wer haftet bei C/AV-Unfällen?
Bei Level 3+ Fahrer-/Hersteller-Mischung; bei Level 4/5 Hersteller (Produkthaftung, AILD). Pflichtversicherung (PfVG), Haftungs-Deckung. Versicherungsmodelle passen sich an (Hersteller-Versicherung, Fonds).
KI-Compliance für Connected & Autonomous Vehicles?
Wenn du im Sektor Connected & Autonomous Vehicles KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.