Physical AI: Verkörperte KI wirft neue Rechtsfragen auf
Autor:innen
„Verkörperte KI“ (englisch „Embodied AI“ oder „Physical AI“) verändert die Robotik grundlegend. Lernfähige Roboter, autonome Systeme und verkörperte KI verbinden künstliche Intelligenz, Sensorik und Aktorik und stellen Unternehmen vor neue rechtliche Anforderungen. Gleichzeitig treten zahlreiche EU-Regelungen wie die KI-Verordnung, die Maschinenverordnung, der Cyber Resilience Act, der Data Act und die neue Produkthaftung in Kraft.
Ein einziger Roboter kann daher heute zur selben Zeit Pflichten aus dem Produktsicherheits-, KI-, Haftungs-, IT-Sicherheits-, Daten-, Datenschutz- und Wettbewerbsrecht auslösen. Diese Gleichzeitigkeit ist neu – und sie ist der Grund, warum verkörperte KI gerade zu einem der dichtesten Compliance-Knoten des europäischen Technologierechts wird. Mit diesem Beitrag eröffnen wir eine Serie, in der wir die tragenden Säulen dieses Themenkomplexes einzeln beleuchten und zukünftige Entwicklungen aufzeigen.
Physical AI und moderne Robotik: Was verkörperte KI verändert
Klassische Robotik war über Jahrzehnte vor allem eines: vorhersehbar. Ein Industrieroboter führte in einer eigens für ihn eingerichteten, abgeschirmten Zelle eine fest programmierte Bewegung aus – den immer gleichen Schweißpunkt, den immer gleichen Greifvorgang. Verließ ein Werkstück die vorgesehene Position, stand die Anlage still. Die Maschine handelte nicht, sie vollzog ein Skript.
Verkörperte KI bricht mit dieser Logik. Sie verbindet KI-Modelle mit Sensorik und Aktorik, sodass ein System seine Umgebung wahrnimmt, daraus schlussfolgert, handelt und aus dem Ergebnis lernt. „Foundation Models“ liefern eine Form verallgemeinerbaren Welt- und Alltagswissens; „Reinforcement Learning“ und das Training per Simulation („Sim-to-Real“) – auch unter Verwendung sog. Digitaler Zwillinge („Digital Twins“) – erlauben es, mit unstrukturierten, sich verändernden Umgebungen umzugehen, statt sie vorab vollständig definieren zu müssen. Der Roboter verlässt den Käfig – buchstäblich.
Der Begriff trägt entsprechend weit: Er umfasst Industrierobotik und kollaborative Roboter („Cobots“), autonome mobile Roboter (AMR) in der Intralogistik, autonome Fahrzeuge, Drohnen, Verbraucher- und Haushaltsroboter, humanoide Roboter sowie die Medizinrobotik. Allen gemeinsam ist die rechtlich entscheidende Verschiebung: weg vom deterministischen Ablauf, hin zum lernenden, adaptiven Verhalten. Genau diese Verschiebung stellt auch die Annahmen, auf denen das aktuelle Recht ruht, teilweise infrage – beispielsweise die Vorhersehbarkeit eines Produkts, seine feste Funktion und die klare Zurechnung eines Schadens.
Warum Physical AI jetzt zum zentralen Zukunftsthema wird
Dass über Physical AI plötzlich überall gesprochen wird, hat einen handfesten Grund: Mehrere Engpässe der bisherigen Technologien lösen sich annähernd gleichzeitig. Leistungsfähige multimodale „Foundation Models“ verschaffen Maschinen Wahrnehmung und Verallgemeinerungsfähigkeit; realitätsnahe Simulation, synthetische Daten und enorme Rechenkapazität verkürzen das Training; bessere Sensorik und „Edge“-Hardware machen den Schritt aus dem Labor in reale Umgebungen wirtschaftlich. In der Branche kursiert dafür das Bild vom „ChatGPT-Moment der Robotik“; sichtbarster Vorbote sind die humanoiden Roboter.
Der Markt bestätigt die Dynamik auch in Deutschland. Mit der im Juni 2026 berichteten Series-C-Runde (rund EUR 1,2 Mrd., unter den Investor:innen u. a. Bosch und Schaeffler) gilt der Metzinger Hersteller NEURA Robotics als die bis dahin höchstfinanzierte Humanoiden-Entwicklung Europas. International gesehen machen Firmen wie Boston Dynamics beinahe wöchentlich Schlagzeilen, und auch Technologie-Zulieferer wie NVIDIA profitieren erneut stark von dem Physical AI-Boom. Flankiert wird das von einer öffentlichen Förderwelle – etwa dem „KI-Robotikbooster“ der Hightech Agenda Deutschland.
Doch Förderung und Investition beschleunigen das Bauen, nicht den Marktzugang: Für den Schritt „in das Produkt und in die Anwendung“ (beispielsweise als erklärtes Ziel des „KI-Robotikbooster“) führt kein Weg an dem bestehenden und zukünftigen Regulierungsstapel vorbei, der bereits beim Bauen und nicht erst vor Markteintritt zu berücksichtigen ist. Innerhalb von rund 24 Monaten greifen – in chronologischer Folge:
- die Transparenzpflichten der KI-Verordnung (ab 2. August 2026),
- die Meldepflichten des Cyber Resilience Act ((CRA), ab 11. September 2026),
- die „data access by design“-Pflichten des Data Act (ab 12. September 2026),
- die Umsetzungsfrist der neuen Produkthaftungsrichtlinie (9. Dezember 2026),
- der Anwendungsbeginn der Maschinenverordnung (20. Januar 2027),
- die volle Anwendung des CRA (11. Dezember 2027) sowie
- die Hochrisiko-Pflichten der KI-VO (Anhang III ab 2. Dezember 2027, Anhang I ab 2. August 2028).
Jede dieser Fristen ist ein planbarer Handlungsanlass – kein Überraschungsmoment.
Physical AI: Die wichtigsten Rechtsfragen für Unternehmen
Physical AI berührt also mehrere Rechtsgebiete zugleich; wir gliedern sie in Säulen:
Daten an Bord: Wem gehören die Roboterdaten?
Ein vernetzter Roboter ist im Sinne des Data Act (Verordnung (EU) 2023/2854) ein „vernetztes Produkt“. Die Verordnung gilt seit dem 12. September 2025; ab dem 12. September 2026 greifen die Pflichten zum „data access by design“: Nutzer:innen erhalten Zugang zu den durch die Nutzung erzeugten Daten (Art. 4–6), das Wechseln zwischen Datenverarbeitungsdiensten wird erleichtert (Art. 23–31), und für Datenüberlassungsklauseln gelten Fairnessanforderungen (Art. 13). Wer Roboterflotten betreibt oder vertreibt, muss Datenarchitektur und Verträge daran ausrichten – die Frage „Wem gehören die Daten?“ wird vom Streitpunkt zur Gestaltungsaufgabe, die beispielsweise in Verträgen mit Kunden und Zulieferern berücksichtigt werden muss.
Sehende und hörende Maschinen: Datenschutz
Sobald Kameras, Mikrofone und Sensoren personenbezogene Daten erfassen, gilt die DSGVO (Verordnung (EU) 2016/679) samt Bundesdatenschutzgesetz (BDSG) fort. Heikel sind insbesondere biometrische Daten zur Identifikation (besondere Kategorie nach Art. 9 DSGVO), der Beschäftigtendatenschutz an Arbeitsplätzen mit Mensch-Roboter-Kollaboration (§ 26 BDSG) sowie Haushaltsroboter, die Verantwortliche mit „Privacy by Design“-Pflichten konfrontieren. Ein sehender Roboter ist datenschutzrechtlich eine kontinuierliche Verarbeitungsquelle.
IT-Sicherheit – CRA & NIS2
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) behandelt Steuerungen, Embedded-Module und Kommunikationskomponenten als „Produkte mit digitalen Elementen“. Meldepflichten (u. a. 24-/72-Stunden-Fristen bei aktiv ausgenutzten Schwachstellen) greifen ab 11. September 2026, die volle Anwendung – mit Konformitätsbewertung und „Software Bill of Materials“ (SBOM) – folgt am 11. Dezember 2027. Parallel verpflichtet NIS2 (in Deutschland über das reformierte BSIG seit 6. Dezember 2025) Betreiber:innen in betroffenen Sektoren zu Risikomanagement und Meldewegen – mit ausdrücklicher Managementhaftung.
Haftung: Wer haftet, wenn ein lernendes System Schaden anrichtet?
Die reformierte Produkthaftung (Richtlinie (EU) 2024/2853, in Deutschland umzusetzen bis 9. Dezember 2026) ordnet Software und KI ausdrücklich als „Produkt“ ein und unterwirft sie der verschuldensunabhängigen Haftung. Für Geschädigte gelten Beweiserleichterungen bei komplexen Systemen, Beklagte trifft eine Offenlegungspflicht für relevante Beweismittel, und die Haftungskette reicht stärker bis zu Importeur:innen und Händler:innen. Bemerkenswert ist der Kontext: Die separat geplante KI-Haftungsrichtlinie wurde Anfang 2025 zurückgezogen – die (strenge) Produkthaftung trägt damit das Gewicht. Bei lernenden, sich fortlaufend verändernden Systemen werden gerade die klassischen Fragen schwierig: Was ist der „Fehler“, wann liegt er vor, und wie weit reicht die Produktbeobachtungspflicht, wenn sich das Produkt nach dem Inverkehrbringen selbst weiterentwickelt?
Produktsicherheit & Konformität
Die Maschinenverordnung (Verordnung (EU) 2023/1230) löst zum 20. Januar 2027 die alte Maschinenrichtlinie ab und enthält erstmals ausdrückliche Anforderungen an KI-/selbstlernende Funktionen, an Cybersicherheit, an die Mensch-Roboter-Kollaboration und an autonome mobile Maschinen. Hinzu treten die Hochrisiko-Pflichten der KI-VO (Anhang III ab 2. Dezember 2027; Anhang I ab 2. August 2028) mit Konformitätsbewertung, technischer Dokumentation und CE-Kennzeichnung. Bereits heute stellt sich jedoch eine praktische Herausforderung: Die neuen Normen ISO 10218-1/-2:2025 sind veröffentlicht, bislang aber noch nicht als harmonisierte EN-Normen im EU-Amtsblatt gelistet. Ihre Anwendung vermittelt daher derzeit keine Konformitätsvermutung nach der Maschinenrichtlinie und – solange eine Harmonisierung ausbleibt – auch nicht nach der künftigen Maschinenverordnung.
IT-Vertragsrecht und Wettbewerb
Zwei Säulen schließen den Kreis. Im IT-Vertragsrecht geht es um Service-Level, Lizenzierung, „Open-Source“-Compliance, Modelle wie „Robotics as a Service“ (RaaS) und die Strukturierung der Schutzrechte. Und im Wettbewerbsrecht (UWG) wird „AI-Washing“ zum Thema: irreführende Aussagen zu Autonomiegraden, zur „CE-Konformität“ oder zur Sicherheit eines Systems ohne belastbaren Nachweis sind angreifbar.
Offene Rechtsfragen zur KI-Verordnung
- Anhang I vs. Anhang III. Ob ein Cobot, ein Humanoid oder ein Medizinroboter als Hochrisiko-KI gilt, hängt von der Abgrenzung zwischen den Anhängen der KI-VO ab. Leitlinien der Kommission zur Klassifizierung (Art. 6) sind in Arbeit; die Konsultationsfrist wurde auf den 23. Juli 2026 verlängert, die Endfassung wird Ende 2026 erwartet.
- Digital Omnibus on AI. Die oben genannten Hochrisiko-Fristen beruhen auf der politischen Einigung vom 7. Mai 2026; das Europäische Parlament hat am 16. Juni 2026 abgestimmt. Während die förmliche Annahme durch den Rat am 29.06.2026 erfolgte, steht die Veröffentlichung im Amtsblatt aktuell noch aus - bis dahin gelten die verschobenen Fristen nicht verbindlich: EU AI Act im Umbruch: Was Unternehmen jetzt wissen müssen.
- Akteursrolle. Wer welche Pflichten trägt, richtet sich nach der Rolle – Hersteller:in, Integrator:in oder Betreiber:in. Eine „wesentliche Veränderung“ („substantial modification“) kann aus Integrator:innen Hersteller:innen machen, mit allen Folgepflichten.
Compliance für Physical AI: Drei Empfehlungen für Unternehmen
Drei Empfehlungen lassen sich schon jetzt ableiten:
- Erstens: „Compliance-by-Design“ gehört nicht ans Ende, sondern an den Anfang – idealerweise bereits in die Projektskizze.
- Zweitens: Die Fristenkette eignet sich als Projekt-Roadmap; wer Beweissicherung und Dokumentation (Logging, SBOM, technische Unterlagen) früh aufsetzt, bedient Produkthaftung, CRA und Maschinenverordnung zugleich.
- Drittens: Die eigene Rolle im Lebenszyklus klären – sie entscheidet darüber, welche dieser Säulen greifen.
Die gute Nachricht für Planende: Keine dieser Fristen kommt überraschend. Der Roboter selbst bleibt davon unbeeindruckt – die Verantwortung dafür tragen Menschen.
Ausblick: die Serie
Dieser Überblick bildet den Auftakt unserer Beitragsserie. In den kommenden Beiträgen beleuchten wir die einzelnen tragenden Säulen dieses Themenkomplexes – beginnend mit dem Data Act und dem Datenschutz, gefolgt vom CRA und der NIS2, der Haftung, der Maschinenverordnung und dem AI Act sowie dem IT-Vertragsrecht und dem UWG. CMS begleitet Unternehmen interdisziplinär entlang des gesamten Innovationszyklus – von der Entwicklung über die Integration bis zur internationalen Skalierung, dort, wo Atome auf Algorithmen treffen.
Redaktioneller Hinweis: Die Daten und Informationen im Beitrag stellen den Stand zum Zeitpunkt des Redaktionsschluss am 30. Juni 2026 dar und befinden sich teilweise noch in der Konsultationsphase; Änderungen sind daher möglich.