Begleitgesetzgebung

Delegierte Rechtsakte – Durchführungsrechtsakte – Verhaltenskodizes – Leitlinien – Harmonisierte Normen – Gemeinsame Spezifikationen

Der AI Act ist das erste umfassende Regelungswerk weltweit, das sich mit der Regulierung von KI-Systemen und GPAI-Modellen befasst und soll für die nächsten Jahre, im besten Fall Jahrzehnte Rechtssicherheit schaffen. Gelegentlich ist es allerdings erforderlich, bereits erlassene Rechtsakte zu überarbeiten, um sie an aktuelle Entwicklungen in einem bestimmten Bereich anzupassen und so auch ihre wirksame Durchsetzung zu gewährleisten. Das EU-Parlament und der Rat können daher der Kommission die Befugnis übertragen, in bestimmten Angelegenheiten einen delegierten Rechtsakt oder einen Durchführungsrechtsakt zu erlassen.

Um Anbieter und Betreiber so gut wie möglich in der konkreten Umsetzung und Einhaltung der Bestimmungen des AI Act zu unterstützen, wird einerseits die Erstellung von Verhaltenskodizes gefördert und erleichtert, andererseits wird die Kommission ermächtigt, Leitlinien zu erstellen.

Die folgende Auflistung soll einen Überblick geben.

Beteiligte Einrichtungen

Über die Einrichtungen, die auf EU-Ebene im AI Act vorgesehen sind, geben wir auf unserer Übersichtsseite einen Überblick. Untenstehend wird deren Rolle kurz zusammengefasst.

Europäische Kommission

Die Europäische Kommission hat das alleinige Initiativrecht, um einen formalen Vorschlag zu einem EU-Rechtsakt zu machen und diesem dem Rat der Europäischen Union und dem Europäischem Parlament zu unterbreiten. Zudem führt die Kommission regelmäßig sogenannte "Calls for Inputs" und öffentliche Konsultationen durch. Dadurch haben Stakeholder die Möglichkeit, sich an der Entwicklung der Rechtsakte zu beteiligen und ihre Perspektive einzubringen.

AI Board

Das AI Board setzt sich aus Vertreter:innen der Mitgliedstaaten zusammen. Das AI Office nimmt ebenfalls teil, beteiligt sich jedoch nicht an den Abstimmungen. Das AI Board richtet zwei ständige Unterausschüsse ein, die die Zusammenarbeit und den Austausch zwischen den Marktüberwachungsbehörden und den notifizierenden Behörden sicherstellen sollen. Darüber hinaus kann das AI Board zur Erfüllung seiner Aufgaben weitere ständige oder temporäre Unterausschüsse einsetzen. Das AI Board berät und unterstützt die Europäische Kommission sowie die Mitgliedstaaten, um eine einheitliche und wirksame Anwendung des AI Act zu erleichtern.

AI Office

Das bei der Europäischen Kommission angesiedelte AI Office unterstützt ua bei der Vorbereitung von Durchführungs- und delegierten Rechtsakten, Ausarbeitung von Leitlinien zur Unterstützung und praktischen Umsetzung des AI-Acts und soll zur Entwicklung der Sachkenntnis und Fähigkeiten der Union auf dem Gebiet der Künstlichen Intelligenz dienen (Art. 64 AIA). Zudem erfüllt das AI Office zahlreiche weitere Aufgaben, die einerseits im AI Act geregelt und andererseits im Beschluss der Kommission zur Einrichtung des AI Office näher definiert sind. Das AI Office übernimmt auch die Verwaltungsaufgaben für das AI Board. Näheres zum AI-Office ist unter Behörden & Einrichtungen zu finden. 

Delegierte Rechtsakte

Delegierte Rechtsakte sind gemäß Art. 290 AEUV Rechtsakte, die die Kommission in eigener Befugnis erlassen kann. Der Rat und das EU-Parlament können ihre Rechtsetzungskompetenz hierfür teilweise an die Kommission delegieren, was in dem jeweiligen Basisrechtsakt (im konkreten Fall der AI Act) ausdrücklich festgelegt sein muss. Delegierte Rechtsakte dienen dazu, einen bestehenden Rechtsakt in nicht wesentlichen Bereichen abzuändern oder zu ergänzen und werden vor allem dort eingesetzt, wo ein schnelles und flexibles Reagieren notwendig ist (insbesondere in technologiegetriebenen Bereichen). Im Gegensatz zu Verhaltenskodizes und Leitlinien sind die delegierten Rechtsakte verbindlich.

In Art. 97 AIA wird der Ablauf und die Bedingungen an den Erlass eines delegierten Rechtsaktes durch die Kommission klar geregelt. Die Kommission hat im AI Act folgende Rechtssetzungskompetenzen übertragen bekommen:

• Änderungen der Bedingungen, wenn ein Hochrisiko-KI-System doch kein erhebliches Risiko birgt (Art. 6 Abs. 6 und 7)
• Hinzufügen, Streichen oder Ändern von Hochrisiko-KI-Systeme in Anhang III (Art. 7 Abs. 1 und 3)
• Änderung der Mindestinhalte der technischen Dokumentation in Anhang IV (Art. 11 Abs. 3)
• Änderung der Anhänge VI und VII (Art. 43 Abs. 5)
• Änderung, welche Hochrisiko-KI-Systeme gemäß Anhang III Ziffer 2 bis 8 dem Konformitätsbewertungsverfahren gemäß Anhang VII unterworfen sein soll (Art. 43 Abs. 6)
• Aktualisierung des Inhalts der EU-Konformitätserklärung gemäß Anhang V (Art. 47 Abs. 5)
• Änderung der Schwellenwerte sowie Ergänzung von Benchmarks und Indikatoren zur Bestimmung von GPAI-Modellen mit systemischem Risiko (Art. 51 Abs. 3)
• Aktualisierung und Präzisierung der in Anhang VIII genannten Indikatoren (Art. 52 Abs. 4)
• Festlegung von Mess- und Berechnungsmethoden zur Erleichterung der Einhaltung der in Anhang XI genannten Mindestinhalte der technischen Dokumentation (Art. 53 Abs. 5)
• Änderung der Anhänge XI und XII (Art. 53. Abs. 6)

Mit heutigem Stand hat die EK von dieser Befugnis keinen Gebrauch gemacht. 

Durchführungsrechtsakte

Dem Grunde nach sind die Mitgliedstaaten verpflichtet, alle zur Durchführung eines Rechtsakts erforderlichen Maßnahmen nach innerstaatlichem Recht zu ergreifen. Gemäß Art. 291 AEUV kann die Kommission allerdings auch verbindliche Durchführungsrechtsakte erlassen, wenn es einheitlicher Bedingungen für die Durchführung dieser bedarf.

Im AI Act sind Befugnisse zum Erlass von Durchführungsrechtsakten unter anderem in den folgenden Bereichen vorgesehen:

• Aussetzung, Einschränkung oder Widerruf des Status als notifizierte Stelle, sofern Mitgliedstaat säumig ist (Art. 37 Abs. 4 AIA)
• Festlegung gemeinsamer Spezifikationen für die Anforderungen gemäß Kapitel III Abschnitt 2 ("Anforderungen an Hochrisiko-KI-Systeme") oder gegebenenfalls die Pflichten gemäß Kapitel IV (KI-Systeme mit "begrenztem" Risiko) (Art. 41 AIA)
• Genehmigung eines Praxisleitfadens (Art. 56 Abs. 6 AIA und Art 50 Abs 7 AIA)
• Durchführungsrechtsakte können im Falle der nicht rechtzeitigen Fertigstellung von Verhaltenskodizes erlassen werden (Art. 56 Abs. 9 AIA) oder wenn keine harmonisierten Normen existieren (Art. 41 AIA)
• Detaillierte Regelungen, welche die Einrichtung, Entwicklung, Umsetzung, den Betrieb und die Beaufsichtigung der KI-Reallabore vorsehen (Art. 58 AIA)
• Einzelne Elemente eines Plans für einen Test unter realen Bedingungen (Art. 60 Abs 1 AIA)
• Einrichtung eines wissenschaftlichen Gremiums unabhängiger Sachverständiger (Art. 68 Abs. 1)
• Detaillierte Bestimmungen für die Erstellung eines Musters des Plans für die Beobachtung eines Hochrisiko-KI-Systems nach dem Inverkehrbringen (Art. 72 Abs. 3 AIA; Erlass bis spätestens 02.02.2026)
• Detaillierte Regelungen und Voraussetzungen für die Bewertungen eines GPAI-Modells (Art. 92 Abs. 6 AIA)
• Detaillierte Regelungen und Verfahrensgarantien bei Verhängung von Geldbußen durch die Kommission (Art. 101 Abs. 6 AIA)

Praxisleitfäden ("Codes of Practices")

Die EU setzt in jüngerer Zeit vermehrt auf das Instrument der Ko-Regulierung. Sie unterscheidet sich von der traditionellen Gesetzgebung (hard law) dadurch, dass sich die Wirtschaftsteilnehmer selbst Maßnahmen und Praktiken zur Regelung bestimmter wirtschaftlicher und sozialer Interessen auferlegen. Der Ko-Regulierungsprozess wird dabei durch (EU-)Behörden oder eine unabhängige Regulierungsstelle gefördert, gelenkt, gesteuert und/oder kontrolliert. Bei den Praxisleitfäden handelt es sich um keine "Gesetze" im herkömmlichen Sinne, außer sie werden für verbindlich erklärt.

Im AI Act wird in bestimmten Bereichen auf Praxisleitfäden zurückgegriffen. Diese sind freiwillig, die Kommission hat aber die Möglichkeit, im Wege eines Durchführungsrechtsaktes einen Praxisleitfaden zu genehmigen und diesem damit in der Union allgemeine Gültigkeit zu verleihen, d.h. der Praxisleitfaden wird in einem solchen Fall verbindlich (siehe Art. 56 Abs. 6 AIA und Art 50 Abs 7 AIA). Der Ko-Regulierungsprozess im AI Act wird vom AI Office gesteuert.

 Praxisleitfäden sollen bis spätestens 02.05.2025 in folgenden Bereichen aufgestellt werden:

• GPAI-Modelle/GPAI-Modelle mit systemischem Risiko (Art. 56 Abs. 2 AIA)
  Es sollen mindestens die Pflichten in Art 53 und 55 AIA abgedeckt sein, einschließlich folgender Aspekte:
  • Mittel, mit denen sichergestellt wird, dass die in Artikel 53 Absatz 1 Buchstaben a und b genannten Informationen vor dem Hintergrund der Marktentwicklungen und technologischen Entwicklungen auf dem neuesten Stand gehalten werden;
  • die angemessene Detailgenauigkeit bei der Zusammenfassung der für das Training verwendeten Inhalte;
  • die Ermittlung von Art und Wesen der Systemrisiken auf Unionsebene, gegebenenfalls einschließlich ihrer Ursache
  • Maßnahmen, Verfahren und Modalitäten für die Bewertung und das Management der systemischen Risiken auf Unionsebene

Das AI-Office hat am 10.07.2025 diesen sogenannten "GPAI Code of Practice" veröffentlicht. Der Praxisleitfaden besteht aus drei einzelnen Dokumenten, wobei sich das erste Dokument auf die Transparenzmaßnahmen bezieht, das zweite Dokument enthält Regelungen zur Beachtung des Urheberrechts und das Dritte enthält ua Informationen zur Ermittlung und Analyse systemischer Risiken, Dokumentationspflichten und regelt den Rahmen zur Risikoabwehr und -bewertung bei GPAI-Modellen mit systemischem Risiko.  

Weitere Praxisleitfäden (Umsetzung bis 2.8.2026)

• Praxisleitfaden zu Transparenzpflichten: Umsetzung der Pflichten in Bezug auf die Feststellung und Kennzeichnung künstlich erzeugter oder manipulierter Inhalte zu erleichtern (Art. 50 Abs. 7 AIA)

Verhaltenskodizes ("Code of conduct")

Art 95 AIA sieht die Möglichkeit vor, freiwillige Verhaltenskodizes ("Codes of conducts") aufzustellen. Die Kommission ist allerdings nicht befugt, die Anwendung solcher Verhaltenskodizes unionsweit verpflichtend zu erklären. Sie sollen die Anwendung einiger oder aller der für Hochrisiko-KI-Systeme vorgesehenen Anforderungen für "KI-Systeme, die kein hohes Risiko bergen" erleichtern (Art. 95 Abs. 1 AIA)

• Anwendung spezifischer Anforderungen auf alle KI-Systeme, einschließlich Betreiber von KI-Systemen. Unter anderem sollen folgende Elemente erfasst sein:
  • in den Ethik-Leitlinien der Union für eine vertrauenswürdige KI enthaltene anwendbare Elemente;
  • Beurteilung und Minimierung der Auswirkungen von KI-Systemen auf die ökologische Nachhaltigkeit, einschließlich im Hinblick auf energieeffizientes Programmieren, und Techniken, um KI effizient zu gestalten, zu trainieren und zu nutzen;
  • Förderung der KI-Kompetenz, insbesondere der von Personen, die mit der Entwicklung, dem Betrieb und der Nutzung von KI befasst sind;
  • Erleichterung einer inklusiven und vielfältigen Gestaltung von KI-Systemen;
  • Bewertung und Verhinderung der negativen Auswirkungen von KI-Systemen auf schutzbedürftige Personen oder Gruppen schutzbedürftiger Personen.

Leitlinien

Von Verhaltenskodizes und Praxisleitfäden sind sogenannte Leitlinien zur praktischen Umsetzung zu unterscheiden. Bei Leitlinien der Kommission handelt es sich um keine "Gesetze", sondern um Erläuterungen und sonstige von der Kommission erstellte Dokumente, die praktische und informelle Hinweise dazu geben sollen, wie bestimmte Vorschriften des AI Act anzuwenden sind.

Diese von der Kommission herausgegebenen Leitlinien sind nicht rechtsverbindlich, sondern lediglich als praktischer und informeller Leitfaden zu sehen, der erläutert, wie die Rechtsvorschriften der EU anzuwenden sind. Leitlinien führen insbesondere zu einer Selbstbindung der Kommission, da sie aber nicht als Rechtsnorm qualifiziert werden, hat die Verwaltung sie nicht auf jeden Fall zu beachten (siehe allerdings Art. 99 Abs. 1 AIA, wonach beim Erlass von Sanktionen und sonstigen Durchsetzungsmaßnahmen die Leitlinien zu berücksichtigen sind). Der EuGH ist bei seiner Aufgabe der Auslegung des Unionsrechts nicht an die Leitlinien der Kommission gebunden (siehe etwa EuGH, C‑376/20 P, Kommission/ CK Telecoms UK Investments, Rz 125).

Die Kommission erarbeitet gemäß Art. 96 AIA Leitlinien für die praktische Umsetzung dieser Verordnung, die sich insbesondere auf Folgendes beziehen:

• die Anwendung der in den Art. 8 bis 15 und in Art. 25 genannten Anforderungen und Pflichten;
• die in Art. 5 genannten verbotenen Praktiken;
  • Am 04.02.2025 veröffentlichte die Kommission die Leitlinien zur verbotenen KI.
  Leitlinien verbotene KI

• die praktische Durchführung der Bestimmungen über wesentliche Änderungen;
• die praktische Umsetzung der Transparenzpflichten gemäß Art. 50;
• detaillierte Informationen über das Verhältnis dieser Verordnung zu den in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der Union sowie zu anderen einschlägigen Rechtsvorschriften der Union, auch in Bezug auf deren kohärente Durchsetzung;
• die Anwendung der Definition eines KI-Systems gemäß Art. 3 Ziffer 1
  • Am 6.2.2025 veröffentlichte die Kommission die Leitlinien zur Definition eines KI-Systems.
  Leitlinien Definition KI-System

Am 18.07.2025 hat die Kommission Leitlinien zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck  veröffentlicht.

Die Kommission erarbeitet auch Leitlinien in den folgenden Bereichen:

• Praktische Umsetzung des Art. 6 AIA sowie eine umfassende Liste praktischer Beispiele für Anwendungsfälle für KI-Systeme, die hochriskant oder nicht hochriskant sind (Art. 6 Abs. 5 AIA; Erlass bis spätestens 02.02.2026)
• Elemente des Qualitätsmanagementsystems gemäß Art. 17 in vereinfachter Weise für Kleinstunternehmen (Art. 63 Abs. 1 AIA) 
• Meldung von schwerwiegenden Vorfällen bei Hochrisiko-KI-Systeme von Anbieter an die zuständigen Marktüberwachungsbehörden (Art. 73 Abs. 7 AIA; Erlass bis spätestens 02.08.2025)

Zudem wurde innerstaatlich vom Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz das Research Institute- Digital Human Rights Center mit der Erstellung von Leitfäden beauftragt, einen Leitfaden zum Recht auf Erläuterung nach Art 86 AIA zu entwickeln. Dieser ist hier abrufbar:

• Leitfaden für Konsument:innen  https://www.sozialministerium.gv.at/dam/jcr:40ba630c-39af-4b8d-8768-a69192427b09/Final_Aufkl%C3%A4rung%204.0_Konsumentinnenleitfaden_April2025.pdf
• Leitfaden für Unternehmer:innen  https://www.sozialministerium.gv.at/dam/jcr:f1685e43-21b8-48f3-9fe5-2c61898960ae/Final_Aufkl%C3%A4rung%204.0_Unternehmensleitfaden_April2025.pdf
• Grundlagenbericht https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf

Harmonisierte Normen

Normen – oder oftmals auch Standards bezeichnet – sind grundsätzlich unverbindliche Leitlinien mit technischen Spezifikationen für Produkte, Dienstleistungen und Verfahren unterschiedlichster Art. In der Regel werden Normen von privaten Normungsgremien auf Initiative von Interessenträgern entwickelt, die einen entsprechenden Bedarf ermittelt haben. Von "harmonisierten Normen" ist dann die Rede, wenn der Normungsauftrag von Seiten der Europäischen Kommission in Auftrag gegeben und angenommen wurde (vgl. Art. 3 Ziffer 27 iVm. Art. 2 Abs. 1 Buchstabe c VO (EU) Nr. 1025/2012).

Harmonisierte Normen spielen auch im Zusammenhang mit Hochrisiko-KI-Systemen und GPAI-Modellen eine wesentliche Rolle. Mit der Einhaltung harmonisierter Normen wird vermutet, dass Hochrisiko-KI-Systeme und GPAI-Modelle im Einklang mit den Anforderungen des AIA (betrifft die Anforderungen an Hochrisiko-KI-Systeme nach Kapitel III Abschnitt 2 sowie die Anforderungen an GPAI-Modelle und GPAI-Modelle mit systemischem Risiko nach Kapitel V Abschnitt 2 und 3) stehen (vgl. Art. 40 Abs. 1 AIA).

Europäische Normungsorganisationen sind:

• CENELEC für elektrotechnische Normen
• ETSI für Telekommunikationsnormen
• CEN für alle anderen Sektornormen

Die Kommission hat bereits am 22.05.2023 zur Unterstützung der Unionspolitik im Bereich der künstlichen Intelligenz einen Normungsauftrag (siehe hier) an CEN und CENELEC übermittelt. Die beiden Normungsgremien wurden aufgefordert, bis zum 30.04.2025 europäische Normen auszuarbeiten.

Dabei wurden folgende Standards beauftragt:

 1. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zu Risikomanagementsystemen für KI-Systeme (derzeit in Bearbeitung)

 2. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zur Governance und Qualität von Datensätzen, die zur Entwicklung von KI-Systemen verwendet werden (derzeit in Bearbeitung)

 3. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zur Aufzeichnung durch Protokollierungsfunktionen von KI-Systemen

 4. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zur Transparenz und Information der Nutzer von KI-Systemen

 5. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zur menschlichen Aufsicht über KI-Systeme

 6. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zu Spezifikationen für die Genauigkeit von KI-Systemen

 7. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zu Spezifikationen für die Robustheit von KI-Systemen

 8. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zu Spezifikationen für die Cybersicherheit von KI-Systemen (derzeit in Bearbeitung)

 9. Europäische Norm(en) und/oder europäische Normungsunterlage(n) zu Qualitätsmanagementsystemen für Anbieter von KI-Systemen, einschließlich Verfahren zur Beobachtung nach dem Inverkehrbringen

10. Europäische Norm(en) und/oder europäische Normungsunterlagen zur Konformitätsbewertung für KI-Systeme (genehmigt am 25.11.2024)

Das Arbeitsprogramm von CEN-CENELEC ist hier einsehbar: 

Unabhängig vom oben genannten Normungsauftrag der Europäischen Kommission hat das Europäische Institut für Telekommunikationsnormen – ETSI – bereits technische Berichte und Spezifikationen veröffentlicht, welche hier zu finden sind. 

Weiters ist auch auf die international anerkannten ISO-Standards hinzuweisen, wenngleich diese keine harmonisierten Normen im Sinne des AI Acts darstellen. Derzeit veröffentlichte ISO-Normen sind hier zu finden.

Gemeinsame Spezifikationen

Bei gemeinsame Spezifikationen gemäß Art. 41 AIA handelt es sich um eine Reihe technischer Spezifikationen im Sinne des Art. 2 Ziffer 4 der VO (EU) Nr. 1025/2012, deren Befolgung es ermöglicht, bestimmte Anforderungen des AIA zu erfüllen. Gemeinsame Spezifikationen dürfen von der Kommission im Wege von Durchführungsrechtsakten nur dann erlassen werden, wenn es keine harmonisierten Normen gibt.

AI-Pact

Aufgrund der unterschiedlichen Risikopotentiale bestimmter Praktiken und den dafür notwendigen Adaptierungsaufwand berücksichtigend, sieht der AI-Act einen abgestuften Rahmen für den zeitlichen Geltungsbereich der Bestimmungen vor (siehe Zeitplan & Umsetzung). Der AI-Pact dient daher als Unterstützung bei der Vorausplanung der Umsetzung von Maßnahmen und Anforderungen des AI-Acts. Die Teilnahme am AI-Pact beruht auf Freiwilligkeit und dient vor allem der Zusammenkunft und dem Austausch zwischen Organisationen und Unternehmen. Weitere Informationen dazu sind hier zu finden.

Weiterführende Links

EUR-Lex: Delegierte Rechtsakte

Rat: Durchführungsrechtsakte und delegierte Rechtsakte

Kommission: Durchführungsrechtsakte und delegierte Rechtsakte

Europäischer Wirtschaftsausschuss: Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zum Thema "Selbst- und Ko-Regulierung im EU-Rechtsrahmen"

Harmonisierte Normen: Europäische Normen