Maschine robotik wirtschaft automation

EU-Maschinenverordnung (Verordnung über sichere Maschinenprodukte 2027)

Im Juni 2022 einigten sich die EU-Mitgliedstaaten auf ein Mandat für Verhandlungen mit dem Europäischen Parlament über den Vorschlag für eine Verordnung über Maschinenprodukte. Mit diesem Vorschlag wurde die Maschinenrichtlinie aus dem Jahr 2006 schließlich in eine Verordnung umgewandelt und diese neue EU-Maschinenverordnung verschiebt die Verantwortung für die Maschinensicherheit bei Produkten mit integrierter KI noch stärker ins Management.

Wer Maschinen entwickelt, beschafft oder betreibt, muss seine Produktstrategie, Compliance und Governance bis 2027 an das deutlich komplexere Zusammenspiel von Maschinenverordnung, KI-Verordnung, Cyber-Resilience-Act und allgemeinem Produktsicherheitsrecht anpassen. Zugleich eröffnet der Rechtsrahmen die Chance, Safety, Cybersecurity und datengetriebene Geschäftsmodelle konsistent zu verzahnen. Wer früh strukturiert vorgeht, kann Rechtssicherheit und Wettbewerbsvorteile verbinden.

Hinweis, Update Januar 2026: Dieser Beitrag wurde ursprünglich im Jahr 2022 verfasst und wird seitdem laufend aktualisiert, um alle Entwicklungen möglichst zu beachten. Beachten Sie auch, dass dieser Beitrag bei Wikipedia referenziert wird.

Rahmen: Was sich für Maschinen mit KI ändert

Die Maschinenverordnung (EU) 2023/1230 gilt ab 20. Januar 2027 für das erstmalige Bereitstellen von Maschinen und dazugehörigen Produkten auf dem EU-Markt; bis dahin läuft eine Übergangsphase neben der bisherigen Maschinenrichtlinie. Sie zieht Software als Sicherheitsbauteil ausdrücklich ein und adressiert erstmals Maschinen mit sich „selbstentwickelndem Verhalten“ – also insbesondere KI-gestützte Steuerungen und Sicherheitsfunktionen.

Parallel regelt die KI-Verordnung (EU) 2024/1689 horizontal alle KI-Systeme und stuft KI, die als Sicherheitsbauteil oder sicherheitsrelevanter Bestandteil von Maschinen drittzertifizierungspflichtig ist, als Hochrisiko-KI mit eigenem Pflichtenprogramm ein.​

Integrierte KI: neue Risikokategorien und Zertifizierung

Die Maschinenverordnung umschreibt KI über „sich selbstentwickelndes Verhalten“ und knüpft daran verschärfte Sicherheits- und Dokumentationsanforderungen, etwa zur Begrenzung von Aufgaben- und Bewegungsbereich, zur Aufzeichnung sicherheitsrelevanter Entscheidungen und zur jederzeitigen Korrigierbarkeit der Maschine.

KI-basierte Sicherheitsbauteile oder eingebettete Systeme mit selbstentwickelnder Logik, die Sicherheitsfunktionen gewährleisten, rutschen in Anhang I Teil A der Verordnung und werden damit grundsätzlich drittzertifizierungspflichtig. Trifft diese Drittzertifizierungspflicht zu, qualifiziert die KI-VO das zugrunde liegende KI-System automatisch als Hochrisiko-KI – mit zusätzlichen Anforderungen an Risikomanagement, Daten-Governance, Transparenz, Logging und menschliche Aufsicht.

Maschinen und Produktsicherheit

Die neue Produktsicherheit im EU-Recht entsteht aus einem Dreiklang: der allgemeinen Produktsicherheitsregulierung (allen voran der General Product Safety Regulation und den sektorspezifischen Harmonisierungsrechtsakten), der neuen Maschinenverordnung und der KI-Verordnung mit ihrem Hochrisiko-Regime. Für Unternehmen, die Maschinen mit integrierter KI entwickeln, vertreiben oder betreiben, wirkt dieses Geflecht nicht additiv, sondern verzahnt: Die Regelwerke greifen wechselseitig ineinander, legen unterschiedliche Schwerpunkte und nutzen sich teilweise gegenseitig als Anknüpfungspunkt.​

Horizontale Produktsicherheit und sektorspezifische Akte

Ausgangspunkt bleibt das europäische Produktsicherheitsrecht mit seinem „New Legislative Framework“, in dem die einzelnen Harmonisierungsrechtsakte (Maschinen, Funkanlagen, Druckgeräte, Spielzeug, Medizinprodukte etc.) nebeneinander stehen und von der allgemeinen Produktsicherheitsverordnung nur dort überlagert werden, wo keine spezielleren Sicherheitsanforderungen bestehen. Für Robotik- und Anlagenhersteller bedeutet dies, dass sie zunächst klären müssen, welche sektorspezifischen Rechtsakte nach Produktfunktion greifen und ob eine Konformitätsbewertung durch Dritte vorgeschrieben ist, bevor sie überhaupt bei der KI-Verordnung ansetzen können.​

Maschinenverordnung als vertikaler Anker

Die Maschinenverordnung (EU) 2023/1230 ist der zentrale vertikale Rechtsakt für industrielle Maschinen und viele professionelle Robotersysteme und ersetzt ab 2027 die Maschinenrichtlinie. Sie modernisiert das bekannte CE-System, erweitert den Maschinenbegriff auf Gesamtheiten von Maschinen und sicherheitsrelevanter Software und führt eigene Kategorien für autonome Maschinen und Systeme mit selbstentwickelndem Verhalten ein. Damit adressiert sie einerseits klassische physische Risiken, andererseits erstmals systematisch digitale Gefahren, etwa durch Manipulation von Steuerungen, Datenintegrität oder unvorhersehbare Änderungen der Maschinenlogik.​

KI-Verordnung als horizontaler Layer

Die KI-Verordnung legt horizontal einen eigenständigen Rechtsrahmen für KI-Systeme, unabhängig davon, ob diese als eigenständiges Produkt oder als Bestandteil eines anderen Produkts, etwa einer Maschine, auf den Markt kommen. Zentral ist ihr risikobasierter Ansatz: KI-Systeme werden nur dann zum Hochrisiko-System, wenn sie entweder in sensiblen Grundrechtsbereichen eingesetzt oder als Sicherheitsbauteil bzw. sicherheitsrelevanter Bestandteil eines Produkts nach einem in Anhang I gelisteten Harmonisierungsrechtsakt drittzertifizierungspflichtig sind. Für Maschinen mit integrierter KI bedeutet das: Nicht die KI „an sich“, sondern ihre Rolle als sicherheitsrelevante Funktion im Rahmen eines bereits regulierten Produkts triggert die schärfsten KI-Anforderungen.​

Verzahnungspunkt 1: Hochrisiko-KI über Maschinenrecht

Die vielleicht wichtigste Verzahnung verläuft über die Drittzertifizierung: Maschinen und Sicherheitsbauteile, die nach der Maschinenverordnung in Anhang I Teil A fallen oder in Teil B nur mit Einbindung einer notifizierten Stelle in Verkehr gebracht werden dürfen, ziehen die Hochrisiko-Einstufung ihrer KI-Funktionen nach der KI-VO nach sich. Praktisch heißt das: Wird eine KI-basierte Sicherheitsfunktion (z.B. Personendetektion am kollaborativen Roboter oder Zustandsüberwachung einer industriellen Waschmaschine) als Sicherheitsbauteil mit Drittzertifizierungspflicht ausgelegt, unterliegt das zugrunde liegende KI-System zugleich den Artikeln 9–15 KI-VO zu Risikomanagement, Datenqualität, Transparenz, Logging, menschlicher Aufsicht sowie Genauigkeit, Robustheit und Cybersicherheit.​

Verzahnungspunkt 2: Konformitätsbewertung und Dokumentation

Bei der Konformitätsbewertung sollen Hersteller nicht zwei vollständig getrennte Verfahren durchlaufen, sondern auf der sektorspezifischen Produktregulierung aufsetzen und die KI-Anforderungen integrieren. Für Maschinen mit Hochrisiko-KI sieht die KI-Verordnung ausdrücklich vor, dass das Konformitätsbewertungsverfahren der Maschinenverordnung genutzt und um die zusätzlichen KI-Pflichten ergänzt wird, so dass am Ende eine einheitliche technische Dokumentation und eine gemeinsame Konformitätserklärung stehen. Damit wird die Maschinenverordnung zur prozessualen „Tragschicht“, in die das KI-Regime eingehängt wird; zugleich müssen Hersteller ihre Unterlagen um KI-spezifische Inhalte (Modellbeschreibung, Daten-Governance, Evaluierungs- und Monitoringkonzepte) anreichern.​

Verzahnungspunkt 3: Wesentliche Veränderung und Lifecycle

Sowohl die Maschinenverordnung als auch die KI-VO arbeiten mit dem Konzept der wesentlichen Veränderung, um nachträgliche Modifikationen – insbesondere software- und datengetriebene – in die Verantwortung desjenigen zu ziehen, der faktisch „neue“ Produkte schafft. Während die Maschinenverordnung vor allem auf sicherheitsrelevante Veränderungen der Maschine abstellt, fokussiert die KI-VO auf Änderungen von Zweckbestimmung, Leistung und Funktionsweise des KI-Systems; beide Ansätze zielen aber darauf, risikosteigernde Updates oder Retrofit-Lösungen als neue Inverkehrbringen zu qualifizieren, die eine erneute Konformitätsbewertung und gegebenenfalls Übernahme der Herstellerrolle auslösen. Dadurch verknüpft sich das klassische Produktsicherheitsrecht mit dem dynamischen Lebenszyklus von KI-Systemen, was insbesondere Betreiber mit eigenem Retrofit oder Feld-Training in die produktrechtliche Verantwortung ziehen kann.​

Verzahnungspunkt 4: Daten, Logging und Aufsicht

Die Maschinenverordnung verlangt für autonome Maschinen und solche mit selbstentwickelndem Verhalten, dass sicherheitsrelevante Entscheidungsprozesse aufgezeichnet und nachvollziehbar gespeichert werden und dass die Maschine jederzeit korrigierbar bleibt. Die KI-Verordnung nimmt diesen Faden auf, indem sie für Hochrisiko-KI eine Protokollierung von Ereignissen, Transparenz gegenüber Betreibern sowie wirksame menschliche Aufsicht verlangt, damit Ausgaben angemessen verstanden und eingesetzt werden können. Zusammen entsteht eine Daten- und Aufzeichnungspflicht, die zugleich Nachweis der Konformität, Grundlage für Marktüberwachung und faktisch auch Basis für spätere Haftungsfragen bildet.​

Governance-Aufgabe des Managements

Für Unternehmensleitungen heißt das: Produktsicherheit, KI-Compliance und IT-Sicherheit lassen sich nicht mehr isoliert in Fachabteilungen delegieren, sondern müssen als integrierte Governance-Aufgabe verstanden und gesteuert werden. Strategisch erforderlich sind insbesondere:

  • ein verbindliches Compliance-Design, das Maschinenverordnung, KI-VO, Cyber Resilience Act, GPSR und gegebenenfalls branchenspezifische Regelwerke systematisch verknüpft, statt nur „CE-Etiketten“ zu verwalten;
  • klare Rollen entlang der Wertschöpfungskette – vom Maschinenhersteller über KI-Anbieter und Systemintegratoren bis zum Betreiber – einschließlich vertraglicher Zuordnung von Entwicklungs-, Dokumentations-, Update- und Haftungspflichten;
  • ein dokumentiertes Risikomanagement für Hochrisiko-KI-Systeme, das technische, organisatorische und rechtliche Aspekte (inklusive Grundrechts- und Datenschutzfolgenabschätzung) zusammenführt.

Dabei darf nicht aus dem Blick verloren werden, dass neben der Maschinenverordnung und der KI-Verordnung auch horizontale Akte wie der Cyber Resilience Act hinzukommen, der für „Produkte mit digitalen Elementen“ eigenständige Cybersicherheitsanforderungen definiert.

In vielen KI-basierten Maschinenprojekten wirken am Ende drei Ebenen gleichzeitig: mechanisch-physische Sicherheit über die Maschinenverordnung, digitale Sicherheit über den CRA und algorithmisch-datengetriebene Sicherheit sowie Grundrechtsschutz über die KI-Verordnung, jeweils ergänzt durch die allgemeine Produktsicherheit. Die Verzahnung der drei Ebenen erfolgt über gemeinsame Begriffe (z. B. „Produkte mit digitalen Elementen”), über Normungsaufträge, die Synergien zwischen Maschinen-, KI- und Cyberrecht adressieren, sowie über das Prinzip, dass ein Produkt nur dann in Verkehr gebracht werden darf, wenn es kumulativ alle anwendbaren Harmonisierungsrechtsakte erfüllt.

Handlungsempfehlungen für die nächsten 24 Monate?

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Für das Top-Management empfiehlt es sich, die Übergangszeit bis 2027 als strukturiertes Transformationsfenster zu nutzen und frühzeitig Leitplanken zu setzen. Dazu gehört der Aufbau eines interdisziplinären Product-Compliance-Boards (Recht, Technik, IT-Security, Datenschutz), das die Einstufung von KI-Funktionen nach Maschinenverordnung und KI-VO steuert. Außerdem müssen die Entwicklungs- und Beschaffungsprozesse (inklusive Lasten- und Pflichtenheften) überarbeitet werden, um KI- und Sicherheitsanforderungen von Beginn an zu berücksichtigen. Des Weiteren ist ein Vertrags-Rollout mit Zulieferern und Betreibern erforderlich, der Rollen, Datenzugriffe, Updatepflichten und Haftung entlang der Wertschöpfungskette sauber abbildet. Wer diese Punkte berücksichtigt, wird die neue Regulierung weniger als Belastung, sondern als Treiber für robuste, vertrauenswürdige und wirtschaftlich attraktive Maschinen mit integrierter KI erleben.

Aus Unternehmenssicht entsteht kein beliebig kombinierbares „Regel-Buffet“, sondern ein gestuftes System: Zunächst bestimmt das Produktsicherheitsrecht (insbesondere die Maschinenverordnung), ob und wie ein Produkt in den Binnenmarkt gelangt. Darauf aufbauend greift die KI-Verordnung, sobald KI-Funktionen sicherheits- oder grundrechtsrelevant werden. Horizontale Akte wie der CRA und die GPSR schließen Lücken und stellen zusätzliche Querschnittsanforderungen. Unternehmen, die Maschinen mit integrierter KI anbieten oder betreiben, müssen diese Verzahnung in Governance, Vertragsgestaltung und Entwicklungsprozessen abbilden – mit einem integrierten Risikomanagement, das Mechanik, Software, Daten und Organisation zusammen denkt und nicht in separaten Compliance-Silos verwaltet.

Operative Schwerpunkte: von CE-Kennzeichnung bis Daten-Logging

Operativ verschärft sich die Verantwortung an mehreren Stellen: Die Pflicht zur CE-Kennzeichnung verbleibt beim Hersteller, wird aber inhaltlich anspruchsvoller, weil technische Unterlagen künftig auch Sicherheitslogik, Sensorik und – soweit einschlägig – KI-Modelle und Lernmechanismen nachvollziehbar abbilden müssen. Der Begriff der „wesentlichen Veränderung“ führt dazu, dass Retrofit-Projekte und Software-Updates den Betreiber schnell selbst zum Hersteller mit voller Verantwortung für Konformitätsbewertung, Dokumentation und CE-Kennzeichnung machen können. Hinzu kommt eine deutlich erweiterte Pflicht zur Aufzeichnung sicherheitsrelevanter Entscheidungen und Ereignisse über den Lebenszyklus, die sowohl die Nachweisführung gegenüber Behörden als auch interne Haftungsprävention und Incident-Response-Strukturen beeinflusst.

FAQ zur Maschinenverordnung 2027

Ab wann gilt die neue EU-Maschinenverordnung und was bedeutet das für bestehende Maschinen?

Die Maschinenverordnung (EU) 2023/1230 gilt ab dem 20. Januar 2027 für das erstmalige Bereitstellen neuer Maschinen und dazugehöriger Produkte im EU-Binnenmarkt. Bereits in Verkehr gebrachte Maschinen genießen Bestandsschutz, werden aber bei wesentlichen Veränderungen praktisch wie neue Produkte behandelt.

Welche Rolle spielt die Maschinenverordnung im Zusammenspiel mit der KI-Verordnung?

Die Maschinenverordnung bleibt der zentrale Produktsicherheitsrahmen für industrielle Maschinen und viele Robotersysteme. Sobald KI sicherheitsrelevante Funktionen übernimmt und eine Drittzertifizierung notwendig ist, greift zusätzlich das Hochrisiko-Regime der KI-Verordnung – beide Regelwerke sind dann parallel einzuhalten.

Trifft die Maschinenverordnung eher Entwicklung oder Betrieb?

Primär adressiert sie Hersteller und andere Wirtschaftsakteure beim Inverkehrbringen, inklusive Konformitätsbewertung, Dokumentation und CE-Kennzeichnung. Betreiber geraten aber in die Verantwortung, wenn sie wesentliche Veränderungen vornehmen und dadurch selbst zum Hersteller werden.

Was sind typische „red Flags“ für Drittzertifizierung nach der Maschinenverordnung?

Kritisch sind Maschinen und Sicherheitsbauteile des Anhangs I Teil A sowie bestimmte Konstellationen des Teils B, bei denen keine vollständige Abdeckung durch harmonisierte Normen besteht. In diesen Fällen ist eine Einbindung einer notifizierten Stelle Pflicht – und damit häufig auch eine Hochrisiko-Einstufung nach KI-Verordnung.

Welche Neuerungen betreffen autonome und KI-gestützte Maschinen konkret?

Die Maschinenverordnung verlangt u.a. Begrenzung von Aufgaben- und Bewegungsbereich, Aufzeichnung sicherheitsrelevanter Entscheidungen, Schutz vor Manipulation sowie jederzeitige Korrigierbarkeit. Außerdem müssen Mensch-Maschine-Schnittstellen so gestaltet sein, dass vorhersehbare Handlungen und Reaktionen der Maschine für Bediener klar erkennbar bleiben.

Was sollten Management und Aufsichtsorgane jetzt strategisch tun?

Wesentlich ist der Aufbau einer integrierten Product-Compliance-Struktur, die Maschinenverordnung, KI-VO, Cyber-Resilience-Act und GPSR gemeinsam betrachtet. Dazu gehören klare Rollen entlang der Wertschöpfungskette, angepasste Entwicklungs- und Beschaffungsprozesse sowie eine frühzeitig geplante Dokumentations- und Zertifizierungsstrategie bis 2027.

Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafrecht) (Alle anzeigen)

Veröffentlicht von

noreply

Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafrecht)

Rechtsanwalt Jens Ferner ist erfahrener und hochspezialisierter Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - spezialisiert auf Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist Lehrbeauftragter für IT-Compliance (FH Aachen), zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.Er beschäftigt sich intensiv im technologischen Bereich mit Fragen der Softwareentwicklung, KI und Robotik - nicht nur als Jurist, sondern eben auch selbst als Entwickler. In diesem Blog werden Inhalte vor allem rund um Robotik bzw. Roboterrecht und ergänzend zum Thema K geteiltI. Es werden Unternehmen im gesamten IT-Recht beraten und vertreten, dies vor allem strategisch und nicht juristisch nach "Schema F".