Wie das neue Kooperationsabkommen zwischen CEN/CENELEC und der EU‑Grundrechteagentur die technischen Standards zum AI Act verändert

Einordnung: Warum dieses Abkommen mehr ist als Formalität

Die EU‑Agentur für Grundrechte (FRA) und die europäischen Normungsorganisationen CEN und CENELEC haben am 20. Januar 2026 ein Memorandum of Understanding (MoU) unterzeichnet, um bei der Ausarbeitung von KI‑Normen eng zu kooperieren. Damit werden Grundrechte nicht mehr nur auf Ebene des Gesetzestextes des EU AI Act adressiert, sondern systematisch in die technischen Standards integriert, die die praktische Umsetzung des Gesetzes steuern.

Für Unternehmen verschiebt sich die Perspektive: Was bislang häufig als juristische Compliance‑Frage verstanden wurde, wird zu einer technischen und organisatorischen Design‑Aufgabe. Daten-Governance, Modellierung, Test- und Monitoringkonzepte sowie Dokumentation werden zukünftig explizit daran gemessen, ob sie Grund- und Menschenrechte wirksam schützen.

Im Folgenden wird erläutert, was genau passiert ist, wie sich dies in das Standardisierungsvorfeld des AI Act einfügt, welche konkreten Auswirkungen sich auf Entwicklung, Beschaffung und Betrieb von KI‑Systemen ergeben und wie Unternehmen sich darauf vorbereiten sollten.

Kontext: Wer ist beteiligt und was wurde vereinbart?

Die beteiligten Akteure

• CEN und CENELEC sind die zentralen europäischen Normungsorganisationen für allgemeine bzw. elektrotechnische Standards. Sie entwickeln u. a. die harmonisierten europäischen Normen, die dem AI Act unterlegt werden.

• CEN‑CENELEC JTC 21 „Artificial Intelligence“ ist das gemeinsame technische Komitee, das die AI‑Standards erarbeitet. Es verantwortet u. a. Standards zu:

- KI‑Risikomanagement (Unterstützung von Art. 9 AI Act),

- KI‑Qualitätsmanagementsystemen (Unterstützung von Art. 17 AI Act),

- Konformitätsbewertung und Vertrauenswürdigkeits‑Frameworks.

• Die EU‑Agentur für Grundrechte (FRA) ist die spezialisierte EU‑Einrichtung, die Daten, Analysen und Beratung zu Grundrechten – einschließlich Datenschutz, Nichtdiskriminierung, Zugang zu Rechtsbehelfen – bereitstellt.

Das Memorandum of Understanding (MoU)

Mit der nun geschlossenen Vereinbarung verpflichten sich CEN/CENELEC und FRA, bei der Entwicklung von KI‑bezogenen Normen systematisch zusammenzuarbeiten. Wesentliche Elemente sind:

• Einbindung von Grundrechts-Expertise in die Standardisierungsarbeit, insbesondere in JTC 21 und dessen Arbeitsgruppen.

• Gemeinsame Entwicklung von methodischen Ansätzen, z. B. für Grundrechts‑Folgenabschätzungen (Fundamental Rights Impact Assessments, FRIA) im Kontext von Hochrisiko‑KI.

• Beratung bei der Bewertung von Entwürfen harmonisierter Normen daraufhin, ob sie Grundrechte effektiv operationalisieren.

Damit entsteht eine institutionalisierte Schnittstelle zwischen jurischer Grundrechteperspektive und technischer Normung.

Einbettung in den Zeitplan des EU AI Act

Der AI Act ist bereits in Kraft; die Vollanwendbarkeit der zentralen Pflichten für Hochrisiko‑Systeme fällt in die Jahre 2026/2027. Parallel arbeiten CEN/CENELEC im Auftrag der Kommission an einem umfangreichen Paket harmonisierter Standards. Diese sollen Unternehmen eine Vermutungswirkung der Konformität verschaffen, wenn sie eingehalten werden.

Bisher waren Grundrechtsanforderungen vor allem im Gesetzestext verankert. Die neue Kooperation stellt sicher, dass die technischen Ausführungsnormen dies nicht verwässern, sondern konkretisieren und messbar machen.

Was sich in der Praxis ändert: Vom Rechtsprinzip zur technischen Anforderung

1. Grundrechte werden zu Engineering‑Parametern

Bisher war es möglich, Grundrechte vor allem als Thema der Rechts‑ oder Ethikabteilung zu betrachten. Mit dem MoU wird klar:

• Schutz vor Diskriminierung,

• Achtung der Privatsphäre,

• Transparenz und Erklärbarkeit,

• Zugang zu wirksamen Rechtsbehelfen

werden in den Normen als technische und prozessuale Anforderungen ausgestaltet.

Beispiele möglicher Konkretisierungen in künftigen Standards:

• Daten-Governance: Anforderungen an Dokumentation und Prüfung der Datenherkunft (Provenance), Repräsentativität, dokumentierte Abwägung von Fairness‑Zielen und Vermeidung struktureller Benachteiligung.

• Modell- und Systemdokumentation: Pflicht zur Beschreibung, welchen Einfluss das System auf die Rechte bestimmter Personengruppen haben kann (Impact‑Profile), inklusive dokumentierter Annahmen und Grenzen.

• Testing & Monitoring: Vorgaben für rechtsgüterbezogene Testfälle (z. B. systematisches Fairness‑Testing entlang gesetzlich geschützter Merkmale, Robustheitsprüfungen gegen missbräuchliche Nutzung, Monitoring auf rechtsrelevante Fehlerraten in sensiblen Szenarien).

2. Konformitätsbewertung wird substanzieller

Konformitätsbewertungen für Hochrisiko‑KI (z. B. im Gesundheitswesen, im Arbeitskontext, in Bildung, biometrische Identifizierung) stützten sich bislang vielfach auf formale Kriterien und Checklisten.

Mit grundrechtszentrierten Standards ist zu erwarten, dass:

• Prüfinstanzen (Notified Bodies) tiefer in Datensätze, Modellarchitekturen, Evaluationsmetriken und Monitoring-Konzepte einsteigen müssen.

• Simulationen und Szenariotests erforderlich werden, die konkrete Grundrechtsszenarien abdecken (z. B. systematisch unterschiedliche Behandlung nach Geschlecht, Alter, Herkunft oder Behinderung).

• Nachweise über die Wirksamkeit von Mitigationsmaßnahmen (z. B. Bias‑Korrekturen, menschliche Aufsicht) eingefordert werden, statt bloß deren Existenz zu dokumentieren.

3. Standardisierung von Grundrechts-Folgenabschätzungen

Bereits heute diskutierte Frameworks zu Fundamental Rights Impact Assessments (FRIA) werden durch die FRA‑Kooperation wahrscheinlicher Bestandteil harmonisierter Standards.

Zu erwarten sind standardisierte Bausteine wie:

• systematische Beschreibung des Anwendungszwecks und der betroffenen Grundrechte,

• strukturierte Risikoidentifikation entlang definierter Rechtsgüter (z. B. Diskriminierungsrisiko, Eingriff in Privatleben, Informationsasymmetrien),

• Risikobewertung unter Bezug auf Schweregrad, Eintrittswahrscheinlichkeit und Betroffenheit schutzwürdiger Gruppen,

• verbindliche Risikominderungshierarchien (z. B. zuerst Design‑Änderung, dann organisatorische Maßnahmen, zuletzt Information/Transparenz),

• Dokumentation von Rest-Risiken und Entscheidungsbegründungen.

Damit wird die FRIA nicht nur ein rechtspolitisches Konzept, sondern ein prüfbarer, auditerbarer Prozess, den Unternehmen implementieren müssen.

4. Mehr Gewicht für multidisziplinäre Teams

Der Standardisierungsprozess berücksichtigt bereits heute „Inclusiveness“ und zivilgesellschaftliche Perspektiven. Durch die FRA‑Kooperation steigt der Druck auf Unternehmen, intern ähnlich vorzugehen:

• Jurist:innen, Grundrechtsexpert:innen, Ethiker:innen und Technikteams müssen gemeinsame Artefakte erarbeiten (z. B. Risiko- und Impact‑Analysen, Policy‑Guidelines, technische Kontrollkataloge).

• Reine „AI Governance“‑Teams ohne technischen Tiefgang oder umgekehrt rein technisch ausgerichtete ML‑Teams ohne Grundrechtskompetenz werden künftig nicht mehr ausreichen, um harmonisierte Standards vollumfänglich zu erfüllen.

Konkrete Anwendungs- und Branchenszenarien

Beispiel 1: KI‑gestütztes Recruiting in einem internationalen Konzern

Ein europäischer Industriekonzern setzt KI‑Systeme zur Vorselektion von Bewerbungen ein. Das System fällt unter das Hochrisiko‑Regime des AI Act (Beschäftigung). Zukünftige grundrechtsorientierte Standards können u. a. verlangen:

• Dateninventar und Provenance‑Dokumentation: Herkunft der Trainingsdaten, Repräsentativität nach Regionen, Geschlecht, Alter, Migrationshintergrund und beruflichen Hintergründen.

• Fairness‑Tests vor Produktivsetzung: Nachweise, dass Einstufungen nicht systematisch bestimmte Gruppen benachteiligen (z. B. Auswertung von Selektionsraten und Fehlerraten pro geschütztem Merkmal).

• Kontinuierliches Monitoring: Regelmäßige Re‑Evaluation, z. B. quartalsweise, inklusive Schwellenwerte, bei deren Überschreitung das System automatisch deaktiviert oder in einen „review required“‑Modus versetzt wird.

• Rechtsbehelfsmechanismen: Technische Unterstützung für Betroffene, um Entscheidungen nachvollziehen und anfechten zu können (z. B. strukturierte Begründungstexte, Kontaktkanal, Logging für rückwirkende Analyse).

Für den Konzern bedeutet das:

• Erweiterung des Qualitätssicherungssystems um grundrechtsbezogene KPIs,

• Anpassung von Ausschreibungen an Anbieter (Vorgaben zu Fairness-Metriken, Audits, Nachweisen),

• Aufbau eines internen AI & Fundamental Rights Boards, das technische Entscheidungen ex‑ante bewertet.

Beispiel 2: KI‑basierte Priorisierung im Gesundheitswesen

Ein Krankenhausnetzwerk nutzt ein KI‑System, um Patient:innen für bestimmte Behandlungen oder Diagnostikpfade zu priorisieren.

Mögliche künftige Standardanforderungen:

• Explizite Definition des Anwendungsbereichs (Population, Erkrankungen, Versorgungssituation), um Diskriminierung und inadäquate Generalisierung zu begrenzen.

• Risikoszenarien gegenüber schutzbedürftigen Gruppen, etwa älteren Menschen, Personen mit Behinderung oder Menschen mit geringem sozioökonomischem Status.

• Mechanismen menschlicher Aufsicht: z. B. Cut‑off‑Schwellen, ab denen ärztliche Prüfung obligatorisch ist, samt Dokumentation der Abweichungen vom KI‑Vorschlag.

• Transparenz gegenüber Patient:innen, soweit rechtlich und praktisch möglich (z. B. Information, dass ein KI‑System an der Priorisierung beteiligt ist, und Hinweise auf Beschwerdemöglichkeiten).

Dies zwingt das Netzwerk, klinische Governance, IT‑Sicherheit, Datenschutz und Grundrechtsfragen in einem konsistenten AI Risk & Rights Management System zusammenzuführen.

Beispiel 3: Öffentliche Verwaltung und Beschaffung

Eine nationale Behörde schreibt ein System zur automatisierten Bearbeitung von Sozialleistungen aus.

Im Lichte der neuen FRA‑Kooperation ist zu erwarten, dass:

• Vergabeunterlagen explizite Anforderungen an die Einhaltung harmonisierter Grundrechts-Standards enthalten (z. B. Mindestanforderungen an FRIA, Bias‑Mitigation, Transparenz für Betroffene).

• Anbieter detaillierte technische Dossiers vorlegen müssen, in denen sie zeigen, wie ihr System spezifische Grundrechte schützt.

• Nachhaltige Auditierbarkeit und Zugang zu Logs als Bedingung verankert werden, damit Aufsichtsbehörden Rechtskonformität prüfen können.

Für Softwareanbieter im Public‑Sector‑Umfeld wird die Fähigkeit, grundrechtskonforme Architektur und Entwicklungsprozesse nachzuweisen, zu einem zentralen Wettbewerbsfaktor.

Was Unternehmen jetzt tun sollten

1. Governance‑Strukturen auf Grundrechts‑Compliance ausrichten

• Einrichtung oder Stärkung eines AI Governance Committees mit verbindlichem Mandat, das technische KI‑Entscheidungen (Architektur, Datenquellen, Deployment‑Modelle) auf Grundrechtsimplikationen prüft.

• Integration von Grundrechtszielen in bestehende Risikomanagement- und Compliance‑Systeme (z. B. Erweiterung von Risikoregister, Kontrollkatalogen und internen Policies).

2. Technische und organisatorische Fähigkeiten aufbauen

• Schulung von Data‑Science‑, ML‑ und MLOps‑Teams in rechtlichen Grundlagen (Diskriminierungsverbote, Datenschutzgrundsätze, Informationspflichten, Recht auf wirksame Rechtsbehelfe).

• Aufbau von Tooling für:

- Fairness- und Bias‑Analysen,

- erklärbare KI (XAI),

- Datenschutz‑by‑Design (z. B. Pseudonymisierung, Differenzielle Privatsphäre, Zugriffsbeschränkungen).

3. Entwicklungsprozesse an kommende Standards anlehnen

Auch wenn viele harmonisierte Normen erst 2026 vollständig vorliegen werden, geben Entwürfe und internationale Vorarbeiten bereits eine Richtung vor. Unternehmen sollten:

• Entwicklungsprozesse entlang typischer Standard‑Kapitel strukturieren (Scope, Terminologie, Governance, Risikoanalyse, Designkontrollen, Verifizierung/Validierung, Monitoring, Dokumentation).

• Bereits heute Grundrechts‑Checkpoints in ihren Software‑ und KI‑Lifecycle integrieren, z. B.:

- frühe Impact‑Analyse vor Projektstart,

- verpflichtende FRIA vor produktivem Roll‑out,

- jährliche oder anlassbezogene Re‑Evaluierungen.

4. Lieferketten- und Beschaffungsverträge anpassen

• Aufnahme von KI‑ und Grundrechts‑Klauseln in Lieferantenverträge, einschließlich Zugriff auf technische Dokumentation, Logs und Testdaten für Konformitätsbewertungen.

• Definition von Mindeststandards für Drittanbieter (z. B. Verpflichtung zur Implementierung eines KI‑QMS im Sinne der künftigen Standards, konkrete Metriken und Reportings).

5. Frühzeitiger Dialog mit Aufsichts- und Standardisierungsgremien

• Teilnahme an nationalen Standardisierungsspiegelgremien oder Konsultationen, um branchenspezifische Perspektiven einzubringen.

• Aufbau eines strukturierten Austauschs mit zuständigen Behörden, um Interpretationsspielräume frühzeitig zu klären.

Fazit: Grundrechte als Kernanforderung an KI‑Standards – und an Ihr Engineering

Die Kooperationsvereinbarung zwischen CEN/CENELEC und der FRA markiert einen Wendepunkt: Grundrechte werden zum maßgeblichen Referenzrahmen der technischen Standards, die den EU AI Act operativ machen. Für Unternehmen bedeutet das einen Übergang von formaler Compliance hin zu substanzieller, nachweisbarer Grundrechtsorientierung im KI‑Engineering.

Zentrale Takeaways für Entscheider:innen

• Grundrechte werden messbar: Künftige AI‑Standards werden technische und prozessuale Mindestanforderungen zur Wahrung von Grundrechten enthalten – Compliance wird an konkreten Metriken und Prozessen gemessen.

• Konformitätsbewertungen gehen in die Tiefe: Prüfungen werden Datensätze, Modelle, Tests und Monitoring im Lichte von Grundrechten analysieren, nicht nur Policies und Checklisten.

• FRIA wird operationalisiert: Grundrechts-Folgenabschätzungen werden standardisierte, auditierbare Verfahren mit klar definierten Schritten und Dokumentationspflichten.

• Multidisziplinarität ist Pflicht: Erfolgreiche KI‑Programme werden Recht, Ethik, Technik, Operations und Beschaffung integrativ zusammenbringen müssen.

• Frühe Vorbereitung zahlt sich aus: Unternehmen, die bereits jetzt Governance, Prozesse und Tools an grundrechtsorientierte Standards anlehnen, sichern sich regulatorische Resilienz und Wettbewerbsvorteile im europäischen Markt.

Häufig gestellte Fragen (FAQ)

Was regelt das neue Kooperationsabkommen zwischen CEN/CENELEC und der EU‑Grundrechteagentur zur KI‑Standardisierung?

Das Memorandum of Understanding vom 20. Januar 2026 verankert die systematische Zusammenarbeit zwischen den Normungsorganisationen CEN/CENELEC und der EU‑Grundrechteagentur FRA bei der Erarbeitung von KI‑Standards. Ziel ist es, Grund- und Menschenrechte direkt in die technischen Normen zum EU AI Act zu integrieren und so deren praktische Umsetzung zu steuern.

Wie verändert das Abkommen die technischen Standards zum EU AI Act für Unternehmen konkret?

Die künftigen harmonisierten Normen sollen Grundrechte in Form technischer und prozessualer Anforderungen operationalisieren, etwa in Daten-Governance, Test- und Monitoringkonzepten sowie Dokumentation. Für Unternehmen wird Compliance damit stärker zu einer Engineering‑Aufgabe, bei der nachweisbare Fairness, Transparenz und wirksame Rechtsbehelfe gefordert werden.

Welche Auswirkungen hat die FRA‑Kooperation auf Risikomanagement und Grundrechts-Folgenabschätzungen (FRIA)?

Durch die Einbindung der FRA ist zu erwarten, dass standardisierte Frameworks für Grundrechts-Folgenabschätzungen Teil harmonisierter KI‑Standards werden. Unternehmen müssen Risiken entlang definierter Rechtsgüter systematisch identifizieren, bewerten, mitigieren und als prüf- und auditierbaren Prozess dokumentieren.

Was ist der Unterschied zwischen bisheriger KI‑Compliance und der neuen grundrechtsorientierten Standardisierung?

Bisher stand häufig formale, dokumentationsbasierte Compliance im Vordergrund, etwa über Policies und Checklisten. Mit der neuen Standardisierung rückt die tatsächliche Wirksamkeit von Maßnahmen in den Fokus: Datensätze, Modelle, Tests, Monitoring und Rechtsbehelfsmechanismen werden inhaltlich auf ihren Beitrag zum Schutz von Grundrechten geprüft.

Wie beeinflusst das Abkommen Konformitätsbewertungen von Hochrisiko‑KI‑Systemen?

Konformitätsbewertungen werden voraussichtlich deutlich tiefgehender, da Notified Bodies Datengrundlagen, Modellarchitekturen, Evaluationsmetriken und Monitoring‑Konzepte aus grundrechtlicher Perspektive analysieren müssen. Unternehmen werden nicht nur das Vorhandensein, sondern auch die Effektivität von Mitigationsmaßnahmen wie Bias‑Korrekturen oder menschlicher Aufsicht nachweisen müssen.

Welche praktischen Schritte sollten Unternehmen jetzt einleiten, um auf die neuen Standards vorbereitet zu sein?

Unternehmen sollten ihre AI‑Governance‑Strukturen auf Grundrechts‑Compliance ausrichten, multidisziplinäre Teams aufbauen und Grundrechts‑Checkpoints in den KI‑Lifecycle integrieren. Dazu gehören Schulungen von Technik-Teams in Rechtsgrundlagen, Tooling für Fairness‑Analysen und XAI, angepasste Beschaffungsverträge sowie ein früher Dialog mit Aufsichts‑ und Standardisierungsgremien.

Welche Branchen sind besonders von den grundrechtsorientierten KI‑Standards betroffen?

Besonders betroffen sind Hochrisiko‑Bereiche wie Beschäftigung (z. B. Recruiting‑Systeme), Gesundheitswesen (z. B. KI‑basierte Priorisierung von Behandlungen) und öffentliche Verwaltung inklusive Sozialleistungsbearbeitung. In diesen Sektoren werden detaillierte Anforderungen an Datenqualität, Fairness‑Tests, Monitoring, Transparenz und Rechtsbehelfsmechanismen zu zentralen Wettbewerbs- und Zulassungskriterien.