Darum zwingt der AI Act der EU die Autobranche zum Umdenken
Ab August greifen die zentralen Pflichten des EU AI Act. Für Hochrisiko-KI-Systeme im Fahrzeug gilt zwar eine verlängerte Übergangsfrist bis 2027. Doch OEMs und Zulieferer müssen ihre Rollen, Prozesse und Verantwortlichkeiten schon jetzt neu definieren.
Chris Löwer Chris Löwer
3 min
Der AI Act bringt neue Rollenlogiken in die Lieferkette: Entscheidend ist nicht allein, wer ein KI-System entwickelt, sondern wer es unter eigenem Namen vermarktet oder dessen Zweck bestimmt. Im Fahrzeugkontext dürfte diese Provider-Rolle häufig beim OEM liegen.Adobe Stock / ImageFlow
Anzeige
automotiveIT Kongress 2026
Am 14. Oktober 2026 geht Deutschlands größtes Branchentreffen der Automobil- und IT-Industrie in Berlin in die nächste Runde. CIOs und IT-Experten stellen in Ingolstadt ihre Strategien und Projekte vor. Erleben Sie spannende Vorträge, Paneldiskussionen, Insights auf unseren Deep Dive-Bühnen, die Verleihung der nächsten IT Team Awards und natürlich das Networking mit der Community hautnah.
Ein Spurhalteassistent, der das Fahrverhalten per Machine Learning adaptiert. Ein KI-basiertes Notbremssystem, das Fußgänger in Millisekunden erkennt. Ein Fahrerassistenz-Stack, dessen Entscheidungslogik selbst Entwickler nicht mehr vollständig nachvollziehen können. Neue Welt, neue Regeln. Demnächst erreicht der EU AI Act die Automobilindustrie dort, wo Software zum bestimmenden Faktor der Fahrzeugentwicklung wird.
Für Hersteller und Zulieferer entsteht damit ein regulatorisches Spannungsfeld: Auf der einen Seite existiert mit EU-Typgenehmigung, UNECE-Regelwerken und ECE-R157 bereits ein etabliertes Sicherheits- und Zulassungssystem. Auf der anderen Seite legt sich der AI Act darüber – mit eigenen Rollenbildern, neuen Nachweispflichten und zusätzlichen Konformitätsanforderungen.
Anzeige
Wie werden KI-Systeme im Fahrzeug eingestuft?
Offen ist derzeit die Frage, wie sich die KI-Konformitätsbewertung künftig in die Fahrzeugtypgenehmigung integrieren lässt. Vollständig getrennte Prüfverfahren gelten zwar als unwahrscheinlich, endgültig geklärt ist die Verzahnung jedoch nicht. Eine VDA-Sprecherin sagt: „Wenn KI-Systeme im Fahrzeug künftig als High-Risk-Systeme nach dem EU AI Act eingestuft werden, ist es wahrscheinlich, dass deren Konformitätsbewertung in die bestehenden Typgenehmigungs- und Zulassungsverfahren integriert wird und kein vollständig separates Prüfverfahren entsteht.“
Der AI Act setze bewusst auf die Verzahnung mit sektoralen Regelwerken wie Typgenehmigungsrecht und UNECE-Vorschriften. Entscheidend sei nun eine „risikobasierte und verhältnismäßige Ausgestaltung der High-Risk-Klassifizierung“ sowie die Vermeidung von Doppelregulierung.
Anzeige
Auch bei der DEKRA geht man davon aus, dass bestehende Verfahren erweitert werden. Sergio Frauca Roca, Manager AI Testing & Certification bei der Prüforganisation, verweist auf die Änderungen durch den sogenannten Digital Omnibus (ein von der EU-Kommission vorgeschlagenes Gesetzespaket zur Entbürokratisierung): „Es wird erwartet, dass selbst dann, wenn das KI-System als Hochrisiko eingestuft wird, die Typgenehmigung erweitert wird, um die erforderlichen Prüfungen und Bewertungen einzubeziehen, die sicherstellen, dass die KI sicher und geschützt ist.“ Gleichzeitig bleibe vieles unklar. Zwar könne innerhalb der Typgenehmigung künftig auf harmonisierte Normen des AI Act verwiesen werden, „dies ist jedoch weiterhin ein unklarer Bereich“.
Definitionen und Anwendungsbereiche: Die Kompromissvereinbarung passt die Definition von KI-Systemen an die OECD-Richtlinien an und klärt, dass die Verordnung nicht für bestimmte Bereiche, darunter militärische Zwecke oder Forschungszwecke gilt.
Risikoeinstufung von KI-Systemen: Die Vereinbarung führt eine horizontale Schutzebene für KI-Systeme ein und legt Transparenzverpflichtungen fest. Hochrisiko-KI-Systeme unterliegen strengeren Anforderungen, während bestimmte KI-Praktiken wie kognitive Verhaltensmanipulation oder biometrische Kategorisierung verboten sind.
Ausnahmen für Strafverfolgungsbehörden: Spezielle Regelungen für die Verwendung von KI durch Strafverfolgungsbehörden, einschließlich Notfallverfahren und Schutz der Grundrechte werden im Rahmen des AI Act festgehalten.
Governance-Architektur: Ein Amt für Künstliche Intelligenz wird zur Überwachung von GPAI-Modellen eingerichtet, begleitet von einem wissenschaftlichen Gremium und einem beratenden Forum.
Regelungen für Verstöße: Geldbußen für Verstöße gegen das KI-Gesetz basieren auf dem Jahresumsatz des jeweiligen Unternehmens und ein entsprechendes Höchstmaß wird für KMU und Startups festgelegt.
Maßnahmen Innovationsförderung: Es sollen KI-Sandkästen, Erprobung unter realen Bedingungen und Ausnahmeregelungen für kleinere Unternehmen eingeführt werden, um Innovationen zu fördern.
Wer übernimmt die Verantwortung für die KI-Kontrolle?
Praktisch bedeutet das: Unternehmen müssen sich auf parallele Compliance-Welten einstellen. Die klassische Typgenehmigung prüft bislang vor allem Fahrzeugfunktionen und Sicherheitsverhalten, nicht jedoch Trainingsdaten, Modell-Governance oder algorithmische Nachvollziehbarkeit. Der AI Act erweitert die regulatorische Perspektive deutlich. Als brisant könnte sich die neue Rollenlogik des Gesetzes erweisen: Der AI Act unterscheidet strikt zwischen Provider und Deployer. Kategorien, die nur bedingt zu den bisherigen Lieferkettenmodellen der Branche passen. Der Provider trägt die regulatorische Hauptverantwortung: Er muss Konformitätsbewertungen durchführen, technische Dokumentation erstellen, Risiken überwachen und Systeme registrieren. Der Deployer nutzt das KI-System unter eigener Verantwortung.
Anzeige
Wer diese Rolle tatsächlich übernimmt, hängt weniger von der technischen Entwicklung als von der Kontrolle über Zweckbestimmung und Vermarktung ab. Die VDA-Sprecherin formuliert es so: „Die Rollenverteilung hängt im EU AI Act nicht primär davon ab, wer ein KI-System technisch entwickelt, sondern wer es unter eigenem Namen in den Verkehr bringt oder dessen Zweckbestimmung kontrolliert.“ Im Fahrzeugkontext sei das häufig der OEM. Zulieferer würden „nicht automatisch zum Provider, wenn sie Modelle lediglich integrieren oder anpassen, ohne deren Zweck wesentlich zu verändern“.
Doch genau diese „wesentliche Veränderung“ entwickelt sich zum Graubereich der Branche. Sobald ein Zulieferer ein Foundation Model auf Fahrzeugszenarien feintrainiert, eigene Modelle branded oder deren Funktionalität verändert, kann er regulatorisch selbst zum Provider werden. Frauca Roca verweist auf die Definition des AI Act: Anbieter sei jede juristische Person, „die ein KI-System entwickelt oder entwickeln lässt und dieses unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt“. Sein Beispiel zeigt die Komplexität: „Ein OEM kauft ein von Unternehmen X entwickeltes KI-System und integriert dieses in ein Fahrzeug. In diesem Fall übernimmt der OEM beide Rollen – die des Anbieters und die des Deployers.“
Damit verschiebt sich Verantwortung entlang der gesamten Lieferkette. Viele Unternehmen beginnen deshalb erst jetzt damit, vollständige KI-Inventare aufzubauen. Ohne Transparenz über eingesetzte Modelle lässt sich weder die Risikoklassifizierung noch die Rollenzuweisung sauber durchführen.
Hinzu kommen umfangreiche neue Pflichten. Für Hochrisiko-KI-Systeme verlangt der AI Act ein durchgängiges Risikomanagement, dokumentierte Daten-Governance, technische Dokumentation, Logging, menschliche Aufsicht und Nachweise zu Genauigkeit sowie Cybersicherheit. Frauca Roca verweist insbesondere auf die Artikel 9 bis 15 des AI Act, die Anforderungen zu Risikomanagement, Daten-Governance, Transparenz und Human Oversight definieren.
Der VDA verweist auf den Mehraufwand: „Statt zu entlasten, erweitert der EU AI Act die bestehenden Anforderungen aus Bereichen wie funktionaler Sicherheit, Cybersecurity und Software-Update-Management um zusätzliche Governance-, Dokumentations- und Nachweispflichten“, erklärt die Sprecherin. Besonders anspruchsvoll werde dies über den gesamten Lebenszyklus eines Fahrzeugs hinweg. OTA-Updates, Modelländerungen oder sogenannte Distributional Shifts machen KI-Systeme dynamisch. Und damit regulatorisch schwerer kontrollierbar als klassische Software.
In der Praxis scheitern viele Unternehmen derzeit weniger an der Technik als an der Organisation: „Die größte Herausforderung besteht nicht in der Auslegung der Verordnung, sondern darin, sie in konkrete Engineering-Prozesse, Governance-Strukturen und messbare technische Kontrollen zu überführen“, beobachtet Frauca Roca Gleichzeitig fehlen oft klare Zuständigkeiten zwischen Entwicklung, Recht, Einkauf, Datenschutz und Qualitätssicherung.
Anzeige
Auch der VDA sieht operative Defizite. Besonders schwierig seien die „Identifikation relevanter KI-Systeme, die klare Zuordnung regulatorischer Rollen sowie der Aufbau durchgängiger Dokumentations- und Governance-Prozesse entlang des gesamten KI-Lebenszyklus“. Hinzu kämen ungelöste Fragen bei Nachweisführung, Modellversionierung und Monitoring.
Vieles spricht deshalb dafür, dass OEMs künftig die Verantwortung übernehmen werden. Sie kontrollieren Fahrzeugarchitektur, Systemintegration, Typgenehmigung und Markteinführung. „Dadurch sind sie prädestiniert, die Provider-Rolle für das Gesamtsystem im Fahrzeug zu übernehmen“, sagt die VDA-Sprecherin. Frauca Roca formuliert es noch direkter: „Letztlich wird die endgültige Verpflichtung meist beim OEM liegen.“
Anzeige
Für Zulieferer bedeutet das allerdings keine Entlastung. Wer eigenständige KI-Systeme entwickelt oder wesentlich verändert, bleibt selbst regulierter Akteur. Gleichzeitig steigen die Anforderungen an Transparenz, Dokumentation und Auditierbarkeit in der Lieferkette deutlich. Der AI Act wird damit nicht nur zum Compliance-Projekt, sondern zum Umbau der Verantwortungsarchitektur im Automotive-Ökosystem.
