Ein Aufzug mit KI-gestützter Lastverteilung, ein Spielzeugroboter mit Sprachmodell, eine Fertigungsanlage mit selbstlernender Qualitätskontrolle: Wer entscheidet, ob hier der AI Act greift oder das altbekannte Maschinenrecht? Anfang Juli 2026 kursieren neue juristische Kommentierungen, die genau diese Abgrenzung schärfer ziehen – mit spürbaren Folgen für Hersteller-Haftung und Zertifizierung.
Die Debatte klingt zunächst technisch, ist aber hochpolitisch. Seit Monaten ringen Industrieverbände, Normungsgremien und die EU-Kommission um eine Frage, die banal wirkt und es nicht ist: Wo hört die horizontale KI-Regulierung auf, und wo beginnt das sektorspezifische Sicherheitsrecht, das es für Maschinen, Aufzüge oder Spielzeug längst gibt? Die Antwort entscheidet darüber, ob Hersteller künftig zwei parallele Compliance-Regime bedienen müssen oder eines, das KI-Anforderungen einfach mitdenkt.
Der News-Hook: Warum die Abgrenzung jetzt zum Thema wird
Juristische Kommentierungen und Branchenanalysen beschäftigen sich seit Anfang Juli 2026 intensiv mit der praktischen Klassifizierung von KI in physischen Produkten. Der Auslöser: Die EU-Kommission und Industrieverbände haben in den vergangenen Monaten deutlich gemacht, dass eine strikte Doppelanwendung von AI Act und Produktsicherheitsrecht auf dieselbe Maschine vermieden werden soll. Statt zwei vollständigen Konformitätsverfahren soll es künftig eine klare Zuordnung geben: eigenständige KI-Systeme fallen unter den AI Act mit seiner Risikoklassifizierung, in Produkte eingebettete KI wird primär über das jeweilige Sektorrecht erfasst – ergänzt um KI-spezifische Anforderungen.
Das ist keine akademische Feinjustierung. Für Maschinenbauer, Spielzeughersteller und Anlagenbetreiber bedeutet die neue Lesart, dass die entscheidende Frage nicht mehr lautet „Ist da KI drin?“, sondern „Wie autonom agiert diese KI innerhalb des Produkts?“ Genau an dieser Stelle wird die Klassifizierung in der Praxis kompliziert, und genau deshalb lohnt sich ein genauer Blick auf die Mechanik.
Was der AI Act tatsächlich regelt
Der AI Act ist seit dem 1. August 2024 als EU-Verordnung in Kraft und gilt nach dem Marktortprinzip: Wer KI-Systeme in der EU anbietet oder betreibt, ist erfasst, unabhängig vom Firmensitz. Die Verordnung funktioniert horizontal, das heißt, sie behandelt KI als Querschnittstechnologie und stuft Systeme nach Risikoklassen ein – von verbotenen Praktiken über Hochrisiko-Anwendungen bis zu Systemen mit minimalem Risiko. Verbotene Praktiken, etwa manipulative Beeinflussung oder bestimmte Formen von Social Scoring, gelten bereits seit Februar 2025.
Im Kern geht es dem AI Act um Grundrechte, Transparenz und Governance: Datenqualität, Dokumentationspflichten, menschliche Aufsicht bei Hochrisiko-Systemen, Kennzeichnung künstlich erzeugter Inhalte. Bei schweren Verstößen, etwa gegen das Verbot bestimmter KI-Praktiken, drohen Bußgelder bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Für Verstöße gegen Pflichten bei Hochrisiko-Systemen sind es bis zu 15 Millionen Euro oder drei Prozent – eine Differenzierung, die in vielen vereinfachenden Darstellungen gerne unter den Tisch fällt.
Wichtig für das Verständnis der Abgrenzung: Der AI Act selbst sieht in seinem Anhang eine eigene Kategorie für KI vor, die bereits durch bestehendes EU-Produktrecht reguliert wird – etwa Maschinen, Aufzüge, Spielzeug oder Medizingeräte. Für diese Produktgruppen gilt eine längere Übergangsfrist, weil die KI-spezifischen Anforderungen erst in die jeweiligen Fachverordnungen integriert werden müssen, statt einfach zusätzlich obendrauf zu kommen. Diese Konstruktion ist historisch gewachsen: Das europäische Produktsicherheitsrecht basiert seit den 1980er-Jahren auf dem sogenannten New Approach, bei dem grundlegende Sicherheitsanforderungen in Richtlinien stehen und technische Details über harmonisierte Normen konkretisiert werden. Der AI Act versucht, sich in diese bewährte Architektur einzufügen, statt sie zu ersetzen – ein Anspruch, der in der Theorie elegant klingt, in der praktischen Umsetzung aber genau die Reibungsflächen erzeugt, die aktuell diskutiert werden.
Wo das Maschinenrecht übernimmt
Hier kommt das Maschinenrecht ins Spiel, konkret die neue Maschinenverordnung, die die alte Maschinenrichtlinie ablöst. Sie adressiert nicht KI als Technologie, sondern die physische und funktionale Sicherheit einer konkreten Maschine oder Anlage: Not-Aus-Funktionen, Sicherheitssteuerungen, Performance-Level, CE-Konformität. Bislang war KI darin höchstens implizit mitgedacht.
Der aktuelle Trend, den Branchenanalysen seit Juli 2026 beschreiben, geht in eine klare Richtung: KI-bezogene Sicherheitsanforderungen sollen über delegierte Rechtsakte direkt in die Maschinenverordnung eingebettet werden, statt als separates AI-Act-Prüfregime daneben zu stehen. Das bedeutet praktisch: Eine kollaborative Roboterzelle mit Bildverarbeitung und lernender Objekterkennung würde primär nach Maschinenrecht zertifiziert, das dann um KI-spezifische Module ergänzt wird – etwa zur Robustheit des Algorithmus oder zur Nachvollziehbarkeit von Entscheidungen im Sicherheitskontext.
Der VDE und das zugehörige Normungsinstitut DKE haben dafür bereits einen Fahrplan skizziert. Erste Normentwürfe für Hochrisiko-KI sollen ab Herbst 2025 vorliegen, Schlussentwürfe ab August 2026 folgen. Insgesamt werden derzeit neun Normen erarbeitet, die als Brücke zwischen AI Act und bestehenden Sicherheitsnormen wie der funktionalen Sicherheit nach ISO 13849 fungieren sollen. Diese Normungsarbeit ist der eigentliche Ort, an dem die abstrakte Rechtsfrage konkret wird – nicht im Verordnungstext selbst.
Konkrete Fälle: Aufzüge, Spielzeuge, Industrieanlagen
Drei Beispiele machen die Praxisrelevanz greifbar. Ein Aufzug mit KI-gestützter Lastverteilung und prädiktiver Wartung fällt unter die bestehende Aufzugsrichtlinie; die KI-Komponente wird künftig über deren KI-Ergänzungen erfasst, nicht über eine separate AI-Act-Konformitätserklärung. Ein Spielzeugroboter mit integriertem Sprachmodell, der mit Kindern interagiert, bewegt sich in einem heikleren Feld: Die Spielzeugrichtlinie regelt physische und chemische Sicherheit, doch sobald das System eigenständig Inhalte generiert oder personenbezogene Daten verarbeitet, kann eine zusätzliche Einstufung als Hochrisiko-KI nach AI Act relevant werden – etwa wegen Manipulationsrisiken bei Minderjährigen.
Am komplexesten ist der dritte Fall: Industrieanlagen mit KI-gestützter Prozesssteuerung, die eigenständig Parameter anpasst, ohne dass ein Mensch jeden Schritt freigibt. Hier stellt sich die Kernfrage der ganzen Debatte: Ab welchem Grad an Autonomie handelt es sich nicht mehr um eine „eingebettete“ Funktion, sondern um ein eigenständiges KI-System, das den vollen AI-Act-Pflichtenkatalog auslöst? Eine trennscharfe Antwort gibt es bislang nicht, und das ist aus meiner Sicht das eigentliche Problem der aktuellen Klarstellungsversuche: Sie verschieben die Zuständigkeit, ohne die Definitionsfrage wirklich zu lösen. Für die Nachvollziehbarkeit solcher Entscheidungen wird das in der Praxis zum zentralen Prüfpunkt, gerade wenn ein Störfall nachträglich aufgeklärt werden muss.

Autonomie-Definition als eigentlicher Knackpunkt
Warum tut sich die Regulierung hier so schwer? Weil „Autonomie“ kein binärer Zustand ist, sondern ein Spektrum. Eine Sicherheitssteuerung, die auf Basis von Sensordaten einen Grenzwert anpasst, ist etwas anderes als ein System, das komplette Betriebsentscheidungen ohne Rückkopplung trifft. Der AI Act selbst liefert dafür keine trennscharfe technische Metrik, sondern arbeitet mit funktionalen Beschreibungen und Risikokategorien. Das eröffnet Interpretationsspielraum, den Hersteller einerseits als Flexibilität begrüßen, andererseits als Rechtsunsicherheit beklagen.
Ist das schlecht? Nicht zwangsläufig. Ein starres Autonomie-Kriterium würde technologische Entwicklung schnell überholen, gerade bei lernenden Systemen, die sich nach der Zertifizierung weiterentwickeln. Aber die aktuelle Unschärfe verschiebt die Beweislast in der Praxis auf die Hersteller: Sie müssen selbst begründen, warum ihre KI-Funktion als „eingebettet“ und nicht als „eigenständig“ gilt – und tragen damit auch das Risiko einer Fehleinschätzung.
Ein Praxis-Szenario: Der mittelständische Anlagenbauer
Wie sich diese Unschärfe konkret auswirkt, zeigt ein vorsichtig konstruiertes Beispiel. Ein mittelständischer Anlagenbauer entwickelt eine Sortieranlage, die per Bilderkennung fehlerhafte Werkstücke aussortiert und dabei über die Zeit aus neuen Produktionschargen lernt, um die Trefferquote zu verbessern. Solange das System nur innerhalb fest definierter Toleranzgrenzen agiert und ein Mensch die Lernupdates vor dem Einspielen freigibt, lässt sich gut argumentieren, dass es sich um eine eingebettete Funktion im Sinne der Maschinenverordnung handelt. Beginnt die Anlage jedoch, ihre eigenen Sortierkriterien ohne Freigabeschleife laufend anzupassen, verschiebt sich die Bewertung Richtung eigenständiges KI-System – mit der Folge, dass zusätzliche AI-Act-Pflichten zu Dokumentation, Risikomanagement und menschlicher Aufsicht greifen könnten.
Für den Anlagenbauer bedeutet das in der Praxis: Schon beim Systementwurf sollte festgelegt werden, wo genau die Freigabeschleife sitzt und wie sie dokumentiert wird. Wer diese Entscheidung erst im Nachhinein trifft, wenn die Anlage bereits im Feld steht, gerät leicht in eine Situation, in der weder die Maschinenakte noch eine etwaige AI-Act-Dokumentation vollständig zueinander passen. Genau solche Lücken sind es, die Marktüberwachungsbehörden in Prüfverfahren typischerweise zuerst aufgreifen.
Folgen für Hersteller-Haftung und Zertifizierung
Für die Praxis heißt das: Zertifizierungsstellen müssen künftig beides prüfen können, Maschinensicherheit und KI-spezifische Robustheit, idealerweise in einem Verfahren statt in zwei getrennten Audits. Genau das versprechen die geplanten delegierten Rechtsakte, doch bis die entsprechenden Normen final vorliegen, bleibt eine Grauzone. Wer heute eine KI-gestützte Anlage in Verkehr bringt, sollte beide Rechtsregime parallel im Blick behalten und nicht darauf warten, dass sich die Zuständigkeit von selbst klärt.
Haftungsrechtlich verschärft sich die Lage zusätzlich durch die produktbezogene Beweislastumkehr, die parallel diskutiert wird: Kann ein Hersteller nicht plausibel darlegen, dass sein KI-System nach dem Stand der Technik sicher war, drohen ihm sowohl produkthaftungsrechtliche als auch AI-Act-spezifische Konsequenzen. Für mittelständische Maschinenbauer, die oft nicht über eigene Compliance-Abteilungen verfügen, ist das eine ernste Hürde. Die vielfach kolportierte Hoffnung, man könne KI-Funktionen einfach unter dem Radar des AI Act laufen lassen, weil „es ja nur eine Maschine“ sei, halte ich für gefährlich naiv – die Grenze verläuft nicht dort, wo ein Produkt draufsteht, sondern dort, wo tatsächliche Entscheidungsautonomie beginnt. Auch mit Blick auf aktuelle Sicherheitsrisiken lernender Assistenzsysteme zeigt sich, dass Unterschätzung der eigenen Systemautonomie regelmäßig der Ausgangspunkt späterer Beanstandungen ist.
Normungsfahrplan als Zeitdruck
Der Zeitplan der Normungsgremien ist deshalb keine Nebensächlichkeit, sondern der eigentliche Taktgeber für Unternehmen. Solange die finalen Normen fehlen, bewegen sich Hersteller auf Basis vorläufiger Leitlinien und Branchenkonsens, nicht auf Basis verbindlicher technischer Spezifikationen. Das erhöht das Risiko widersprüchlicher Auslegungen zwischen einzelnen Marktüberwachungsbehörden in verschiedenen Mitgliedstaaten – ein Problem, das in einem Binnenmarkt mit 27 Aufsichtsbehörden nicht trivial ist.
Industrieverbände wie der BDI drängen deshalb offensiv darauf, KI in Maschinen und Robotik klar dem bestehenden Produkt- und Sicherheitsrecht zuzuordnen, ohne ein paralleles zweites Prüfregime. Der Verband warnt, ein doppeltes Compliance-Regime würde die Skalierung industrieller KI in Europa ausbremsen, während Wettbewerber in anderen Weltregionen schneller vorankommen. Diese Position ist nachvollziehbar, aber sie blendet aus, dass gerade die AI-Act-Pflichten zu Transparenz und menschlicher Aufsicht auch im industriellen Kontext einen realen Sicherheitsgewinn bringen können, nicht nur bürokratischen Mehraufwand.
Die Gegenposition: Verbraucherschutz und die Grenzen der Selbstregulierung
Der Industriedruck in Richtung schlanker, integrierter Regulierung ist nur eine Seite der Debatte. Verbraucherschutzorganisationen und Teile der Wissenschaft warnen umgekehrt davor, KI-Risiken zu stark in bestehende Sektorregeln zu verschieben, die historisch auf mechanische oder elektrische Gefahren zugeschnitten sind, nicht auf algorithmische Fehlentscheidungen oder Bias in Trainingsdaten. Ihr Argument: Eine Maschinenverordnung, die primär von Ingenieurinnen und Ingenieuren für physische Gefahrenquellen entwickelt wurde, ist strukturell nicht darauf ausgelegt, Fragen wie Diskriminierung durch fehlerhafte Trainingsdaten oder mangelnde Erklärbarkeit von Entscheidungen angemessen zu erfassen.
Diese Kritik hat einen berechtigten Kern, auch wenn sie in der aktuellen Debatte seltener gehört wird als die Industriesicht. Delegierte Rechtsakte, die KI-Module in bestehende Sektorverordnungen einbetten, müssen deshalb sehr genau definieren, welche Prüfkompetenzen die jeweiligen Zertifizierungsstellen tatsächlich mitbringen. Eine Notified Body, die traditionell mechanische Sicherheit prüft, benötigt für KI-Module andere Fachkenntnisse als für Not-Aus-Schalter oder Schutzzäune. Ob diese Kompetenzerweiterung flächendeckend gelingt, ist derzeit offen – und genau hier liegt ein Risiko, das in der öffentlichen Diskussion um Bürokratieabbau leicht unter den Tisch fällt.
Was Hersteller jetzt konkret tun sollten
Wer heute KI in Maschinen, Anlagen oder Konsumprodukten verbaut, kommt an einer strukturierten Bestandsaufnahme nicht vorbei. Sinnvoll ist ein mehrstufiges Vorgehen:
- Klassifizierung jeder KI-Funktion nach Autonomiegrad: Wird lediglich ein Parameter innerhalb fester Grenzen angepasst, oder trifft das System eigenständige, folgenreiche Entscheidungen?
- Abgleich mit dem jeweils einschlägigen Sektorrecht – Maschinenverordnung, Aufzugsrichtlinie, Spielzeugrichtlinie – und Prüfung, ob dort bereits KI-spezifische Anforderungen formuliert wurden oder in Arbeit sind.
- Beobachtung des Normungsfahrplans von DKE und VDE, um frühzeitig zu erkennen, welche technischen Spezifikationen final werden.
- Dokumentation der Entscheidungsgrundlage für die eigene Klassifizierung, um im Streitfall mit Marktüberwachungsbehörden argumentieren zu können.
- Einbindung von Zertifizierungsstellen frühzeitig im Entwicklungsprozess, nicht erst kurz vor Markteinführung.
- Klare interne Zuständigkeit für die laufende Beobachtung von Regulierungsänderungen, da sich sowohl AI-Act-Leitlinien als auch Normentwürfe im laufenden Jahr noch mehrfach ändern können.
Die Bundesregierung stellt auf ihren offiziellen Seiten eine Übersicht zum AI Act bereit, die als erster Einstiegspunkt für die grundlegende Risikologik taugt, ersetzt aber keine fachjuristische Einzelfallprüfung. Für die technische Umsetzung lohnt sich der direkte Blick in den Normungsfahrplan der DKE, weil dort die eigentliche Übersetzungsarbeit zwischen abstraktem Rechtstext und konkreter Prüfpraxis passiert.
Sektorregulierung als Testfall für die ganze EU-Digitalpolitik
Die aktuelle Abgrenzungsdebatte ist mehr als ein Randthema für Maschinenbauingenieure. Sie zeigt exemplarisch, wie schwer sich eine horizontale Digitalregulierung mit einem historisch gewachsenen, hoch spezialisierten Sicherheitsrecht verzahnen lässt. Der AI Act wurde als übergreifendes Grundrechte- und Governance-Instrument konzipiert, das Sektorrecht dagegen über Jahrzehnte entlang konkreter physischer Risiken entwickelt. Beide Logiken zusammenzubringen, ohne Lücken oder Doppelregulierung zu erzeugen, ist technisch und politisch anspruchsvoll – und die aktuellen Klarstellungen sind eher ein Zwischenstand als ein Endpunkt.
Für Unternehmen bleibt die unbequeme Wahrheit: Rechtssicherheit gibt es in diesem Feld derzeit nur auf Zeit. Wer wartet, bis alle delegierten Rechtsakte final vorliegen, riskiert, spät zu reagieren. Wer zu früh in starre Prozesse investiert, riskiert, an geänderten Normen vorbeizuplanen. Die klügere Strategie liegt vermutlich in flexiblen Compliance-Strukturen, die sich an beide Regelwerke andocken lassen, sobald die letzten Details stehen. Wie viele Hersteller sich diese Flexibilität tatsächlich leisten können, ohne an der Bürokratie zu verzweifeln, wird sich in den kommenden Monaten zeigen.





Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.