Standardisierungsspezifikation: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 40 AI Act erlaubt der Kommission, technische Spezifikationen (von internationalen Standardisierungsgremien) als „Standardisierungsspezifikationen" anzuerkennen. Einhaltung wirkt als Konformitätsvermutung für die AI-Act-Anforderungen — eine Alternative zu harmonisierten Normen (Art. 41). Voraussetzung: die Spezifikation erfüllt die Anforderungen, ist international anerkannt, ergänzt harmonisierte Normen. Beispiele: ISO/IEC 42001 (KI-Managementsystem), ISO/IEC 23894 (KI-Risikomanagement), NIST AI RMF. Standardisierungsspezifikationen sind insbesondere relevant, wenn harmonisierte Normen noch nicht verfügbar sind oder eine schnellere Aktualisierung erfordern. Sie sind kein Ersatz, sondern Ergänzung; bei Konflikt haben harmonisierte Normen Vorrang. Praktisch: ein AI-Act-konformer KI-Anbieter kann ISO/IEC 42001 + ISO/IEC 23894 + Spezifikationen kombinieren, um Konformität nachzuweisen.
Steve Baka
Rolle und Konformitätsvermutung (Art. 40)
Art. 40 AI Act: die Kommission kann technische Spezifikationen, die von internationalen Standardisierungsgremien ausgearbeitet wurden, als „Standardisierungsspezifikationen" anerkennen. Einhaltung wirkt als Konformitätsvermutung für die AI-Act-Anforderungen (ähnlich harmonisierten Normen nach Art. 41). Voraussetzung: (1) die Spezifikation erfüllt die Anforderungen des AI Act; (2) keine entsprechenden harmonisierten Normen sind verfügbar oder in naher Aussicht; (3) internationale Anerkennung. Die Anerkennung erfolgt durch Rechtsakt der Kommission. Zweck: schnellere Operationalisierung als harmonisierte Normen (die CEN/CENELEC-JTC-21-Normung dauert), flexiblere Anpassung an technologische Entwicklung. Standardisierungsspezifikationen sind „soft standard" mit „hard effect" (Konformitätsvermutung).
Beispiele und Beziehung zu Normen
Relevante internationale Spezifikationen für den AI Act: (1) ISO/IEC 42001 (AI Managementsystem — Governance, Politik, Prozesse); (2) ISO/IEC 23894 (AI Risk Management — Risikoidentifikation, -bewertung, -minderung); (3) ISO/IEC 24028 (Trustworthiness); (4) ISO/IEC 25059 (Software Quality AI); (5) NIST AI RMF (US-Risikomanagement-Framework); (6) IEEE 7000-Serie (Ethics/Trustworthiness). Beziehung zu harmonisierten Normen: harmonisierte Normen (CEN/CENELEC JTC 21) haben Vorrang; Standardisierungsspezifikationen sind Ergänzung/Alternative, insbesondere wenn harmonisierte Normen fehlen oder Spezifikationen aktueller sind. Bei Konflikt zwischen Spezifikation und harmonisierter Norm entscheidet die Kommission; in der Praxis sind sie oft kompatibel (harmonisierte Normen bauen auf internationalen Spezifikationen auf).
Praxis: Kombination und Nachweis
Praktisch relevant für AI-Act-konforme Anbieter: Standardisierungsspezifikationen ermöglichen Konformitätsnachweis über internationale Standards, ohne auf EU-harmonisierte Normen zu warten. Kombinationsstrategie: (1) ISO/IEC 42001 für das KI-Managementsystem (Governance); (2) ISO/IEC 23894 für das Risikomanagement; (3) produktspezifische Standards (ISO 14971 Medizin, ISO 26262 Automotive); (4) Cybersecurity-Standards (ISO/IEC 27001, IEC 62443). Nachweis: Zertifikate durch akkreditierte Stelle (z. B. TÜV, BSI, DEKRA, Bureau Veritas), Audit-Berichte, Dokumentation. Vorteil: internationale Interoperabilität (auch für Drittland-Märkte relevant), etablierte Methoden, Experten-Ökosystem. Herausforderung: Update-Gefahr (Specs ändern sich schneller als AI Act), Auswahl der relevanten Specs, Audit-Kosten. Eine sorgfältige, kombinierte Standardisierungstrategie ist Haftschutz, AI-Act-Compliance und Wettbewerbsvorteil zugleich.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
OECD AI PrinciplesOECD. Internationaler Referenzrahmen für vertrauenswürdige KI.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
ISO/IEC 42001 — AI Management SystemISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).
Häufige Fragen
Was ist eine Standardisierungsspezifikation (Art. 41)?
Von der Kommission anerkannte gemeinsame Spezifikation (common specification). Einhaltung wirkt als Konformitätsvermutung — Alternative zu harmonisierten Normen (Art. 40).
Welche Spezifikationen sind relevant?
ISO/IEC 42001 (KI-Management), 23894 (Risiko), 24028 (Trustworthiness), NIST AI RMF, IEEE 7000-Serie. Bei Konflikt haben harmonisierte Normen Vorrang.
Wie weise ich Konformität nach?
Zertifikate durch akkreditierte Stelle (TÜV, BSI, DEKRA), Audit-Berichte, Dokumentation. Kombination: ISO/IEC 42001 + 23894 + produktspezifisch + Cybersecurity. International interoperabel.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.