Die europäische Normung stößt an ihre Grenzen. Das wegweisende KI-Gesetz der EU (AI Act) ist seit August 2024 in Kraft, doch Unternehmen in ganz Europa tappen weiterhin im Dunkeln, wenn es um die praktische Umsetzung geht. Der Grund: Das System, das eigentlich dafür zuständig ist, Regulierung in umsetzbare technische Normen zu übersetzen – CEN und CENELEC – ist strukturell nicht auf das Tempo und die Komplexität moderner Technologien wie künstliche Intelligenz ausgelegt.
Diese Diskrepanz zwischen regulatorischem Anspruch und technischer Umsetzung droht Europas KI-Strategie zu einem Akt symbolischer Politik zu machen, statt zu wirksamer Governance zu führen.
Was sind CEN und CENELEC?
CEN (Europäisches Komitee für Normung) und CENELEC (Europäisches Komitee für elektrotechnische Normung) sind die offiziellen europäischen Organisationen zur Entwicklung technischer Normen. Gegründet 1961 bzw. 1973, haben beide ihren Sitz in Brüssel und vertreten 34 europäische Länder.
Ihr Modell hat sich für klassische Industrien bewährt:
- Elektrotechnik: klar definierte physikalische Gesetze und messbare Schwellenwerte
- Maschinenbau: lang etablierte Sicherheitsnormen und Prüfverfahren
- Chemie- und Lebensmittelsicherheit: quantifizierbare Risiken und jahrzehntelange regulatorische Erfahrung
Künstliche Intelligenz entzieht sich jedoch dieser Logik. KI-Systeme sind kontextabhängig, entwickeln sich rasant weiter und sind hochgradig heterogen. Was für ein Bilderkennungsmodell sinnvoll ist, gilt nicht für einen generativen Chatbot – und schon gar nicht für ein autonomes Fahrzeug.
Der Zeitplan des AI Acts: Ein vorhersehbares Scheitern
Im Mai 2023 beauftragte die Europäische Kommission CEN und CENELEC mit der Entwicklung der Normen, die dem AI Act praktische Durchsetzungskraft verleihen sollten. Dafür wurde das neue Gemeinsame Technische Komitee 21 (JTC 21) eingerichtet, mit einer Frist bis zum 30. April 2025.
Diese Frist ist bereits gescheitert.
- August 2024: Der Vorsitzende von JTC 21 räumte eine Verzögerung von acht Monaten ein.
- Mai 2025: Es wurde deutlich, dass die meisten Normen erst nach August 2026 vorliegen würden – also zwei Jahre, nachdem der AI Act in Kraft getreten ist.
Die Lage war so kritisch, dass die Europäische Kommission sogar erwog, die Durchsetzung des Gesetzes auszusetzen.
Das Ergebnis: Unternehmen sind rechtlich an Vorschriften gebunden, die sich praktisch nicht umsetzen lassen.
Warum Normen immer nach der Regulierung kommen
Mehrere strukturelle Faktoren erklären, warum CEN und CENELEC die Zeitpläne des AI Acts nicht einhalten können.
1. Die Komplexität von KI
KI ist nicht mit Elektrizität oder Lebensmittelchemie vergleichbar. Es gibt keine universellen Messgrößen. „Risiko“ in der KI hängt von Anwendung, Datenbasis und Kontext ab. Sicherheitskriterien für eine medizinische Diagnose-KI haben kaum Überschneidungen mit der Regulierung eines Empfehlungssystems im E-Commerce.
2. Freiwilliger, konsensbasierter Prozess
CEN und CENELEC stützen sich auf die freiwillige Mitarbeit von über 200.000 Expertinnen und Experten. Diese müssen über nationale Delegationen und Branchen hinweg Konsens erzielen – ein langsamer und mühsamer Prozess, insbesondere bei kontroversen und dynamischen Themen wie KI-Ethik, Bias oder Transparenz.
Hinzu kommen strenge Vertraulichkeitsregeln, die Transparenz einschränken und Unternehmen wie Öffentlichkeit jahrelang im Unklaren über den Fortschritt lassen.
3. Prozessbedingte Trägheit
Der sechsstufige Normungsprozess wurde für stabile Technologien entwickelt. Von der ersten Anfrage bis zur Veröffentlichung können Jahre vergehen. Erschwerend kommt die sogenannte Stillhalteverpflichtung hinzu, die es Mitgliedstaaten untersagt, während eines laufenden europäischen Verfahrens nationale Normen zu entwickeln – und damit schnellere lokale Lösungen blockiert.
Die Folgen für Unternehmen
Für Unternehmen entsteht dadurch ein regulatorisches Paradoxon: Sie müssen den AI Act einhalten, ohne zu wissen, wie konkrete Compliance aussieht.
- Großunternehmen können interne Rahmenwerke entwickeln und darauf hoffen, dass diese später mit den offiziellen Normen übereinstimmen.
- Kleine und mittlere Unternehmen (KMU) verfügen nicht über diese Ressourcen und sind daher rechtlicher Unsicherheit und Wettbewerbsnachteilen ausgesetzt.
Die Unschärfe von Begriffen wie „akzeptables Risiko“ oder „vertrauenswürdige KI“ führt dazu, dass die Durchsetzung faktisch willkürlich bleibt, solange die Normen fehlen.
Ein System an seinen Grenzen
CEN und CENELEC sind weiterhin unverzichtbar für Branchen, die auf physikalischen und messbaren Parametern beruhen. Doch in schnelllebigen, softwaregetriebenen Bereichen wie der KI agieren sie außerhalb ihrer ursprünglichen Auslegung.
Der AI Act macht ein tieferliegendes strukturelles Problem sichtbar: Europas Normungsapparat ist zu langsam, zu stark konsensorientiert und zu bürokratisch für digitale Technologien, die sich in Echtzeit weiterentwickeln.
Ohne alternative Modelle – etwa agile, offene und iterative Normungsprozesse, die Industrie, Wissenschaft und Zivilgesellschaft in Echtzeit einbinden – riskiert Europa, seine KI-Ambitionen unter dem eigenen prozeduralen Gewicht zu ersticken.
Regulierung ohne Normen = symbolische Politik
Der AI Act ist ein mutiger Versuch, die globale KI-Landschaft mit europäischen Werten wie Sicherheit, Transparenz und Verantwortlichkeit zu prägen. Doch ohne technische Normen, die diese Prinzipien konkret umsetzbar machen, droht die Regulierung symbolisch zu bleiben.
Will Europa im Bereich KI führend sein, muss es neu darüber nachdenken, wie Regulierung und Umsetzung miteinander verknüpft werden. Andernfalls könnte der AI Act als warnendes Beispiel dafür enden, wie gute Absichten an veralteten bürokratischen Strukturen scheitern.