Alle Artikel
KI-Verordnung3. April 20269 min

EU AI Act: Bußgelder und Sanktionen - Was Unternehmen jetzt wissen müssen

Verstöße gegen die KI-Verordnung können bis zu 35 Millionen Euro oder 7% des Umsatzes kosten. Dieser Artikel erklärt die drei Sanktionsstufen, zeigt praktische Beispiele und gibt konkrete Handlungsempfehlungen.

Die EU-KI-Verordnung (EU AI Act) ist seit dem 1. August 2024 in Kraft. Seitdem greifen schrittweise verschiedene Verpflichtungen - und damit auch die Möglichkeit empfindlicher Bußgelder. Wer die Fristen und Anforderungen missachtet, riskiert Strafen in Millionenhöhe. Dieser Artikel erklärt, welche Verstöße welche Sanktionen nach sich ziehen, wie die Behörden vorgehen und was Unternehmen konkret tun sollten.

Die Sanktionsstufen nach Artikel 99

Der EU AI Act sieht drei Kategorien von Verstößen vor, die jeweils unterschiedlich bestraft werden. Die Höhe richtet sich nach dem Schweregrad der Pflichtverletzung - und kann sich am weltweiten Jahresumsatz des Unternehmens orientieren.

Kategorie 1: Verbotene KI-Praktiken (Artikel 5) Wer ein nach Artikel 5 verbotenes KI-System in Verkehr bringt, in Betrieb nimmt oder nutzt, begeht den schwersten Verstoß. Hier drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist.

Seit dem 2. Februar 2025 gelten diese Verbote bereits. Zu den verbotenen Praktiken zählen unter anderem:

  • Manipulative KI-Systeme, die das Verhalten von Personen so beeinflussen, dass sie sich oder anderen Schaden zufügen
  • Social Scoring durch Behörden
  • Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgungsbehörden (mit engen Ausnahmen)
  • KI-Systeme, die Schwachstellen von Personen ausnutzen (Alter, Behinderung, sozioökonomische Lage)

Ein Beispiel: Ein Unternehmen entwickelt eine App, die gezielt emotional vulnerable Nutzer identifiziert und durch personalisierte Dark Patterns zu Käufen drängt. Wenn eine nationale Aufsichtsbehörde dies als verbotene manipulative Praxis nach Artikel 5 Absatz 1 Buchstabe a einstuft, kann sie ein Bußgeld von bis zu 35 Millionen Euro oder 7 Prozent des Konzernumsatzes verhängen.

Kategorie 2: Verstöße gegen Hochrisiko-Anforderungen Mittelschwere Verstöße betreffen vor allem Hochrisiko-KI-Systeme. Hier drohen Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.

Diese Kategorie umfasst Verstöße gegen zentrale Pflichten aus den Artikeln 8 bis 15 (Datenqualität, Dokumentation, Transparenz, menschliche Aufsicht, Cybersicherheit) sowie gegen die Verpflichtungen für Betreiber und Bevollmächtigte.

Ab dem 2. August 2026 - also in wenigen Monaten - werden diese Anforderungen vollständig durchsetzbar. Hochrisiko-KI-Systeme gemäß Anhang III müssen dann konform sein. Gleichzeitig greifen die Transparenzpflichten aus Artikel 50 für bestimmte KI-Systeme, etwa Chatbots oder Deepfakes.

Ein Beispiel: Ein HR-Tech-Anbieter setzt ein KI-gestütztes Bewerbermanagementsystem ein, das laut Anhang III als Hochrisiko-KI gilt. Das System wurde nie einer Konformitätsbewertung unterzogen, es existiert kein Risikomanagementsystem nach Artikel 9, und die technische Dokumentation nach Artikel 11 fehlt. Die zuständige Marktaufsichtsbehörde kann hier Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes verhängen.

Kategorie 3: Falsche oder unvollständige Informationen Wer den Behörden auf Anfrage falsche, unvollständige oder irreführende Informationen liefert, riskiert Bußgelder von bis zu 7,5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes.

Diese Kategorie ist bewusst offen formuliert und deckt alle Situationen ab, in denen Unternehmen nicht kooperativ oder nicht ehrlich mit den Aufsichtsbehörden zusammenarbeiten. Das kann beispielsweise bei Marktüberwachungsmaßnahmen, Auskunftsersuchen oder im Rahmen von Untersuchungen geschehen.

Sonderregelungen für KMU und Start-ups

Artikel 99 Absatz 5 sieht ausdrücklich vor, dass bei kleinen und mittleren Unternehmen sowie Start-ups die wirtschaftliche Leistungsfähigkeit bei der Bemessung des Bußgelds zu berücksichtigen ist. Die Behörden sollen hier verhältnismäßig vorgehen.

In der Praxis bedeutet das: Ein Start-up mit 50 Mitarbeitern und 2 Millionen Euro Jahresumsatz wird nicht mit demselben Bußgeld belegt wie ein Technologiekonzern mit Milliardenumsatz - selbst bei vergleichbaren Verstößen. Die Obergrenze von 7 Prozent des Umsatzes gilt zwar formal auch hier, doch die Behörden haben Ermessensspielraum und sollen die Sanktion so wählen, dass sie wirksam und abschreckend ist, aber nicht existenzvernichtend.

Sanktionen für Unionsinstitutionen

Auch EU-Institutionen und -Einrichtungen unterliegen der Verordnung. Artikel 99 Absatz 6 legt für sie reduzierte Obergrenzen fest:

  • Bis zu 1,5 Millionen Euro bei Verstößen gegen verbotene Praktiken
  • Bis zu 750.000 Euro bei Verstößen gegen Hochrisiko-Anforderungen
  • Bis zu 375.000 Euro bei falschen Informationen

Diese Beträge wirken im Vergleich zu den Unternehmenssanktionen niedrig, sind aber für öffentliche Einrichtungen erheblich und sollen sicherstellen, dass auch staatliche Akteure die Verordnung ernst nehmen.

Wer verhängt die Bußgelder?

Die Durchsetzung der EU-KI-Verordnung liegt in den Händen der nationalen Marktaufsichtsbehörden. In Deutschland ist dies voraussichtlich die Bundesnetzagentur, die bereits für andere Digitalgesetze (etwa den Digital Services Act) zuständig ist.

Diese Behörden haben weitreichende Befugnisse:

  • Sie können Unternehmen zur Auskunft verpflichten
  • Sie dürfen Vor-Ort-Inspektionen durchführen
  • Sie können den Marktzugang vorläufig untersagen
  • Sie verhängen Bußgelder

Wichtig: Die Behörden arbeiten nicht isoliert. Sie sind Teil des European Artificial Intelligence Board (AI Board) und tauschen sich grenzüberschreitend aus. Ein Verstoß in einem Mitgliedstaat kann also durchaus auch in anderen Ländern bekannt werden - und dort zu Konsequenzen führen.

Was löst eine Prüfung aus?

Aufsichtsbehörden werden nicht zufällig tätig. Typische Auslöser sind:

  • Beschwerden von Betroffenen oder Verbraucherschutzorganisationen
  • Medienberichte über problematische KI-Anwendungen
  • Hinweise von Wettbewerbern
  • Stichprobenartige Marktüberwachung
  • Meldungen anderer Behörden (z.B. Datenschutzaufsicht)

Ein Unternehmen, das ein KI-System öffentlichkeitswirksam bewirbt und dabei Transparenzpflichten verletzt, zieht also schnell Aufmerksamkeit auf sich. Gleiches gilt für KI-Systeme, die in sensiblen Bereichen eingesetzt werden - etwa im Personalwesen, in der Kreditvergabe oder in der Strafverfolgung.

Der Zeitplan der Durchsetzung

Die EU-KI-Verordnung tritt nicht auf einen Schlag in Kraft, sondern schrittweise. Für Unternehmen ist es entscheidend, die Fristen zu kennen:

2. Februar 2025 (bereits wirksam) Verbote nach Artikel 5 und KI-Kompetenz-Pflichten nach Artikel 4 sind durchsetzbar. Verstöße können seit diesem Zeitpunkt mit Bußgeldern von bis zu 35 Millionen Euro oder 7 Prozent des Umsatzes geahndet werden.

2. August 2025 (bereits wirksam) Verpflichtungen für Anbieter von allgemeinen KI-Modellen (GPAI) gemäß Artikel 51 bis 56 sind durchsetzbar. Dazu zählen Transparenzpflichten, Dokumentation und bei systemischen Risiken auch Modellbewertungen.

2. August 2026 (in vier Monaten) Hochrisiko-Anforderungen für KI-Systeme nach Anhang III greifen vollständig. Gleichzeitig werden Transparenzpflichten aus Artikel 50 durchsetzbar (z.B. Kennzeichnung von KI-generierten Inhalten).

2. August 2027 Anforderungen für KI-Systeme, die in regulierte Produkte nach Anhang I eingebettet sind, werden durchsetzbar.

Unternehmen sollten sich nicht darauf verlassen, dass die Behörden erst ab diesen Stichtagen aktiv werden. Marktaufsicht findet schon jetzt statt - und wer ein System bis zum Stichtag nicht konform hat, riskiert ab Tag eins ein Bußgeld.

Digital Omnibus: Änderungen in der Pipeline

Die Europäische Kommission hat im Januar 2025 den sogenannten Digital Omnibus vorgeschlagen - ein Paket, das unter anderem den EU AI Act anpasst. Bislang ist dies nur ein Vorschlag, kein Gesetz.

Eine zentrale Änderung betrifft die Durchsetzung: Der Digital Omnibus sieht vor, dass die Kommission selbst bei schwerwiegenden grenzüberschreitenden Verstößen eingreifen und Bußgelder verhängen kann - ähnlich wie bei der DSGVO. Aktuell liegt diese Kompetenz ausschließlich bei den nationalen Behörden.

Für Unternehmen würde das bedeuten: Ein Verstoß könnte nicht nur auf nationaler Ebene verfolgt werden, sondern direkt von Brüssel aus. Die Verhandlungen zwischen Kommission, Parlament und Rat laufen noch. Eine Verabschiedung ist frühestens Ende 2026 oder Anfang 2027 realistisch.

Bis dahin gilt: Die nationalen Marktaufsichtsbehörden sind die entscheidenden Akteure.

Wie Bußgelder berechnet werden

Artikel 99 gibt keine starre Formel vor, sondern überlässt den Behörden einen Ermessensspielraum. Typische Faktoren, die in die Berechnung einfließen:

  • Art und Schwere des Verstoßes
  • Dauer und Häufigkeit
  • Vorsatz oder Fahrlässigkeit
  • Bereits ergriffene Abhilfemaßnahmen
  • Frühere Verstöße
  • Kooperationsbereitschaft mit der Behörde
  • Betroffenheit besonders schutzbedürftiger Gruppen (z.B. Kinder)

Wer einen Verstoß selbst meldet, schnell Abhilfe schafft und transparent mit den Behörden zusammenarbeitet, hat gute Chancen auf eine niedrigere Strafe. Wer hingegen versucht, Informationen zurückzuhalten oder die Aufklärung zu behindern, muss mit der vollen Härte rechnen.

Praktische Beispiele aus der Praxis

Beispiel 1: Chatbot ohne Kennzeichnung Ein E-Commerce-Unternehmen setzt einen KI-gestützten Chatbot ein, der Kunden berät. Der Chatbot wird nicht als KI gekennzeichnet. Ab dem 2. August 2026 verstößt das gegen Artikel 50 Absatz 1. Die zuständige Behörde fordert das Unternehmen zur Abhilfe auf. Das Unternehmen reagiert nicht. Die Behörde verhängt ein Bußgeld von 500.000 Euro wegen Verstoßes gegen Hochrisiko- und Transparenzpflichten (bis zu 15 Millionen Euro oder 3 Prozent möglich).

Beispiel 2: Manipulative KI-App Ein Anbieter entwickelt eine App, die Nutzer durch psychologische Tricks zu In-App-Käufen drängt. Die App nutzt KI, um gezielt Personen in finanziell schwierigen Situationen anzusprechen. Die Aufsichtsbehörde stuft dies als verbotene Praxis nach Artikel 5 Absatz 1 Buchstabe a ein. Bußgeld: 20 Millionen Euro (unterhalb der Obergrenze von 35 Millionen Euro, aber dennoch empfindlich).

Beispiel 3: Fehlende Dokumentation bei Hochrisiko-KI Ein Softwareanbieter vertreibt ein Bewerbermanagementsystem, das auf KI basiert und laut Anhang III als Hochrisiko-System gilt. Bei einer Marktüberwachungsprüfung stellt die Behörde fest: Es gibt keine technische Dokumentation, kein Risikomanagementsystem, keine Aufzeichnungen über die Datenqualität. Der Anbieter kooperiert, stellt die Systeme sofort ein und reicht die Dokumentation nach. Bußgeld: 2 Millionen Euro - deutlich unter der möglichen Obergrenze, weil das Unternehmen kooperativ war.

Was Unternehmen jetzt tun sollten

  1. KI-Inventur durchführen: Welche KI-Systeme werden eingesetzt? Fallen sie unter die Verordnung? Sind sie Hochrisiko?
  1. Fristen im Blick behalten: Der 2. August 2026 rückt näher. Hochrisiko-Systeme müssen dann konform sein.
  1. Transparenz schaffen: Chatbots, Deepfakes, emotionale Erkennungssysteme - all das muss ab August 2026 gekennzeichnet werden.
  1. Dokumentation aufbauen: Technische Dokumentation, Risikomanagementsystem, Aufzeichnungen über Datenqualität und Tests - das sind keine optionalen Extras, sondern Pflicht.
  1. Kontakt zu Aufsichtsbehörden suchen: Wer unsicher ist, sollte proaktiv auf die zuständige Behörde zugehen. Das zeigt guten Willen und kann im Zweifelsfall hilfreich sein.
  1. Interne Prozesse etablieren: Compliance ist kein Einmalprojekt. Es braucht laufende Überwachung, Updates, Schulungen.

Fazit

Die Bußgelder im EU AI Act sind keine leere Drohung. Die Obergrenzen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes übertreffen sogar die DSGVO-Strafen. Die nationalen Aufsichtsbehörden verfügen über umfassende Befugnisse und werden diese auch nutzen.

Wer jetzt handelt, kann Risiken minimieren. Wer wartet, bis die Behörde vor der Tür steht, zahlt - im schlimmsten Fall mit einem mehrstelligen Millionenbetrag.

Die EU-KI-Verordnung ist mehr als ein Regelwerk. Sie ist ein Signal: KI muss sicher, transparent und vertrauenswürdig sein. Unternehmen, die das ernst nehmen, sind nicht nur rechtlich auf der sicheren Seite - sie bauen auch Vertrauen bei Kunden und Partnern auf. Und das ist langfristig unbezahlbar.

WP

Autor

Werner Plutat

Legal Engineer x AI

Weiterführende Artikel

KI-VerordnungVerbotene KI-Systeme nach der EU-KI-Verordnung: Was Sie jetzt wissen müssen
KI-VerordnungWas muss mein Unternehmen vor August 2026 für die KI-Verordnung tun?
KI-VerordnungProvider vs. Deployer: Welche Pflichten habe ich unter der KI-Verordnung?

The Legal Engineer's Daily Brief

KI, Legal Tech & Automatisierung - 3x pro Woche.

Abonnieren

Dieses Thema betrifft Ihr Unternehmen?

Lassen Sie uns in 30 Minuten klären, wie Sie die Anforderungen konkret umsetzen - mit funktionierender Technologie statt Foliensätzen.

Erstgespräch vereinbaren