Wenn der Algorithmus schadet: Wer hört zu? Die Lücke zwischen Recht und Rechtsdurchsetzung — Teil 2 von 2

In einem Wiener Sozialamt, März 2027. Ein Mann erhält einen Bescheid: sein Antrag auf Wohnbeihilfe wurde abgelehnt. Ein KI-System hat seine Einkommensdaten, Mietkosten und Familienverhältnisse bewertet und eine Ablehnung empfohlen. Der Bescheid erwähnt sein Recht auf menschliche Überprüfung gemäß Artikel 14 des EU AI Act. Er beantragt sie. Eine Sachbearbeiterin prüft den Fall erneut, sieht dieselben Daten, dieselben Kriterien, dieselbe Logik. Sie bestätigt die Entscheidung des Algorithmus. Was dann? Der Mann fragt nach einer Begründung, die er versteht. Er erhält eine Liste von Gewichtungen und Schwellenwerten. Er fragt, wer verantwortlich ist für eine Entscheidung, die seine Miete gefährdet. Niemand kann es ihm sagen. Der Anbieter des Systems sitzt in Dublin. Die Behörde ist an öffentliche Haushalte gebunden. Der Zertifizierer hat nur die formale Compliance geprüft. Und das Recht, das ihn schützen sollte, bietet ihm einen Beschwerdebrief an eine Marktüberwachungsbehörde — die nicht verpflichtet ist, zu antworten. Dies ist keine Dystopie. Dies ist die Realität, auf die sich Europa vorbereitet.

Der EU AI Act verspricht Schutz. Doch Schutz ohne Durchsetzbarkeit ist Versprechen ohne Verpflichtung. Artikel 85 des AI Act regelt das Beschwerderecht: Jede natürliche oder juristische Person kann bei einer nationalen Marktüberwachungsbehörde Beschwerde einlegen, wenn sie der Ansicht ist, dass die Vorschriften des AI Act verletzt wurden. Die Behörde prüft die Beschwerde im Rahmen ihrer Marktüberwachungstätigkeiten. Doch das Gesetz verpflichtet die Behörde nicht, auf die Beschwerde zu reagieren, sie zu bearbeiten oder den Beschwerdeführer über das Ergebnis zu informieren. Diese Lücke ist kein Versehen. Sie ist das Ergebnis von Kompromissen zwischen 27 Mitgliedstaaten, zwischen Regulierungsambition und administrativer Kapazität, zwischen dem Anspruch auf Schutz und der Weigerung, Ressourcen bereitzustellen. Fundamental Rights Bodies — Datenschutzbehörden, Gleichbehandlungsstellen, Ombudspersonen — können Dokumentation anfordern und Risiken an Marktüberwachungsbehörden melden. Sie sind Brückenbauer, aber sie haben keine eigene Durchsetzungsmacht. Der Bürger bleibt abhängig von der Bereitschaft von Behörden, seine Beschwerde als prioritär zu behandeln. Und diese Bereitschaft ist eine Frage von Ressourcen, von politischem Willen, von Kapazität.

Die Durchsetzungslandschaft ist fragmentiert. In Deutschland wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle spielen, doch das BSI ist traditionell auf technische Sicherheitsfragen spezialisiert, nicht auf Grundrechtsfragen. Die Personaldecke ist dünn, die Expertise für KI-Systeme begrenzt. In Österreich übernimmt das Bundesministerium für Digitalisierung und Wirtschaftsstandort die Koordination, doch auch hier fehlt es an spezialisierten Stellen für algorithmische accountability. Die Schweiz steht außerhalb des EU-Rahmens, doch Schweizer Unternehmen, die auf dem EU-Markt tätig sind, unterliegen dem AI Act extraterritorial. Schweizer Bürger hingegen haben keinen direkten Zugang zu EU-Beschwerdemechanismen — sie müssen sich auf das Schweizer Recht verlassen, das keine vergleichbare KI-Regulierung vorsieht. Diese Fragmentierung schafft Ungleichheit: Ein Bürger in München hat formell andere Rechte als ein Bürger in Zürich, obwohl beide von denselben Systemen betroffen sein können. Die Harmonisierung, die der AI Act verspricht, endet an der Grenze des Binnenmarkts.

Die Analyse der Redress-Mechanismen offenbart eine unbequeme Wahrheit: Der AI Act verlässt sich primär auf bestehende Rechtsrahmen — die DSGVO für datenschutzrechtliche Fragen, die Anti-Diskriminierungsrichtlinien für Gleichbehandlungsfragen, die Produkthaftungsrichtlinie für Sicherheitsfragen. Diese Rahmenwerke sind etabliert, doch sie haben Lücken. Die DSGVO gilt nur für personenbezogene Daten — ein KI-System, das ohne personenbezogene Daten diskriminierende Entscheidungen trifft, fällt möglicherweise nicht darunter. Die Anti-Diskriminierungsrichtlinien schützen nur bestimmte Merkmale — Geschlecht, ethnische Herkunft, Religion, Behinderung, Alter, sexuelle Orientierung. Ein Algorithmus, der aufgrund des Postleitzahlenbereichs diskriminiert, umgeht diese Kategorien möglicherweise. Die Produkthaftungsrichtlinie erfordert den Nachweis eines Fehlers und eines Schadens — doch bei lernenden Systemen ist der Fehlerbegriff selbst unscharf. Die Beweislast liegt beim Betroffenen, der oft weder Zugang zum System noch zur Dokumentation noch zur Expertise hat, um einen Fehler nachzuweisen. Dies ist keine Rechtsstaatlichkeit. Dies ist ein Recht, das nur für diejenigen zugänglich ist, die es sich leisten können, es durchzusetzen.

Die Zivilgesellschaft hat diese Lücken früh erkannt. EDRi (European Digital Rights) und AlgorithmWatch haben wiederholt auf die Defizite hingewiesen. Im April 2026 veröffentlichten sie einen offenen Brief an die EU-Gesetzgeber mit der Warnung, dass die vorgeschlagenen Änderungen im Rahmen des „AI Omnibus”-Pakets die Schutzmechanismen weiter schwächen könnten. Konkret benannt wurden: Einschränkungen des Zugangs von Grundrechtsbehörden zu Dokumentation, Ausnahmen für nationale Sicherheit, die als Hintertür für umstrittene Anwendungen dienen könnten, und Verzögerungen bei der Einrichtung des Advisory Forum, das zivilgesellschaftliche Stimmen in die Implementierung einbringen sollte. Diese Kritik ist nicht technisch. Sie ist grundlegend. Sie fragt: Wem dient dieses Gesetz? Den Bürgern, die es schützen soll? Oder den Behörden und Unternehmen, die es umsetzen müssen? Die Antwort wird sich in den Gerichtssälen der Mitgliedstaaten zeigen, wenn die ersten Klagen eingereicht werden. Doch bis dahin vergehen Jahre. Und in diesen Jahren werden Entscheidungen getroffen, die Leben verändern.

Die Frage der Verantwortung (Verantwortung) stellt sich mit besonderer Schärfe. Der AI Act weist Pflichten zu: Anbieter von Hochrisiko-KI-Systemen tragen die Hauptlast der Compliance, Betreiber haben sekundäre Pflichten zur menschlichen Aufsicht und zur Meldung von Vorfällen. Benannte Stellen zertifizieren die Konformität. Marktüberwachungsbehörden ahnden Verstöße. Doch wenn ein Schaden eintritt — wer haftet? Der Anbieter kann sagen, das System sei compliant zertifiziert worden. Der Zertifizierer kann sagen, er habe nur die formale Dokumentation geprüft. Die Behörde kann sagen, sie habe keine Ressourcen für proaktive Überwachung. Der Betreiber kann sagen, er habe sich auf die Zertifizierung verlassen. Diese Diffusion von Verantwortung ist kein Bug. Sie ist ein Feature komplexer Regulierungssysteme. Sie ermöglicht es jedem Akteur, auf einen anderen zu verweisen, während der Betroffene ohne Ansprechpartner bleibt. Die historische Erfahrung Europas mit Technologie-Governance — von der Medizinprodukteverordnung bis zur Maschinenrichtlinie — zeigt, dass solche Konstrukte funktionieren, solange die Schäden begrenzt sind. Bei KI-Systemen, die über Wohnen, Arbeit, Kredit und Freiheit entscheiden, sind die Schäden jedoch existentiell. Hier reicht Verfahren nicht. Hier braucht es Namen.

Die Menschenwürde-Perspektive fordert mehr als formale Beschwerdemechanismen. Artikel 1 des Grundgesetzes stellt die Würde des Menschen als unantastbar fest. Diese Unantastbarkeit ist nicht konditional auf die Effizienz von Behörden. Sie ist ein Anspruch, der durchsetzbar sein muss. Wenn ein Algorithmus über die Zuteilung von Sozialleistungen entscheidet, betrifft dies die materiellen Grundlagen menschlicher Selbstbestimmung. Die Würde-Kaskade — kontaminierte KI-Entscheidung führt zu realer Beeinträchtigung führt zu Würde-Verletzung — verlangt nach einem Rechtsweg, der diese Verletzung anerkennt und behebt. Der AI Act bietet das nicht. Er bietet ein Verfahren, aber keine Garantie. Er bietet eine Beschwerde, aber keine Antwort. Er bietet Transparenz in einer Datenbank, aber keine Erklärung im Einzelfall. Dies ist nicht hinreichend. Rechtsstaatlichkeit verlangt, dass Rechte nicht nur auf dem Papier stehen, sondern in der Praxis zugänglich sind. Ein Recht, das nur für diejenigen durchsetzbar ist, die über die Ressourcen für jahrelange Gerichtsverfahren verfügen, ist kein Allgemeines Recht. Es ist ein Privileg.

Die Nachhaltigkeitsfrage betrifft auch hier die langfristige Glaubwürdigkeit des europäischen Regulierungsmodells. Wenn Bürger erfahren, dass ihre Beschwerden im Leeren verpuffen, wenn Zivilgesellschaft systematisch von Implementierungsprozessen ausgeschlossen wird, wenn Grundrechtsbehörden ohne Durchsetzungsmacht bleiben, dann verliert der AI Act seine Legitimität. Die Gefahr ist nicht, dass das Gesetz zu streng ist. Die Gefahr ist, dass es zu schwach ist, um das zu leisten, was es verspricht. Europa hat sich mit dem AI Act als globaler Standardsetter positioniert. Doch ein Standard, der Grundrechte nur unzureichend schützt, ist kein Standard, dem andere folgen sollten. Die Welt beobachtet. Und die Welt wird sehen, ob Europa den Mut hat, nicht nur Regeln zu schreiben, sondern sie auch durchzusetzen — gegen Widerstand, gegen Kapazitätsgrenzen, gegen die Bequemlichkeit des Verfahrens ohne Konsequenz.

Was bedeutet dies für die Leserinnen und Leser in Deutschland, Österreich und der Schweiz? Es bedeutet, dass sie ihre Rechte kennen müssen — und ihre Grenzen. Das Recht auf menschliche Überprüfung existiert. Das Recht auf Beschwerde existiert. Doch das Recht auf eine Antwort, auf eine wirksame Abhilfe, auf Entschädigung bei nachgewiesenem Schaden — diese Rechte sind nicht im AI Act verankert. Sie müssen aus anderen Gesetzen abgeleitet werden, mit allen Unsicherheiten, die das mit sich bringt. Es bedeutet, dass Zivilgesellschaft eine noch wichtigere Rolle spielen wird — als Anwalt derer, die kein Gehör finden. Es bedeutet, dass die ersten Gerichtsurteile, die in den nächsten Jahren erwartet werden, prägend sein werden für die Interpretation des Gesetzes. Und es bedeutet, dass die Frage, die am Ende bleibt, nicht technischer, sondern politischer Natur ist: Was ist ein Recht wert, wenn es nicht durchsetzbar ist? Und was ist eine Regulierung wert, die den Anschein von Kontrolle wahrt, während die Macht, die sie kontrollieren will, sich weiter bewegt — schneller, als die Justiz ihr folgen kann? Europa hat den AI Act geschrieben. Jetzt muss es ihn mit Leben füllen. Sonst bleibt er, was er jetzt schon zu sein droht: ein Monument guter Absichten, das diejenigen, die es schützen soll, im Regen stehen lässt.