AI Act Strafen und Bußgelder: Was Unternehmen bei Verstößen droht

Das Wichtigste in Kürze

• Der AI Act (KI-Verordnung, VO (EU) 2024/1689) sieht drei Bußgeldstufen vor: bis zu 35 Mio. Euro, 15 Mio. Euro und 7,5 Mio. Euro -- jeweils alternativ ein Prozentsatz des weltweiten Jahresumsatzes.
• Die höchsten Strafen (35 Mio. € / 7 % Umsatz) betreffen den Einsatz verbotener KI-Praktiken nach Art. 5.
• Verstöße gegen Hochrisiko-Pflichten werden mit bis zu 15 Mio. € oder 3 % Umsatz geahndet.
• Für KMU und Start-ups gilt eine Verhältnismäßigkeitsregel nach Art. 99 Abs. 6.
• Seit dem 2. Februar 2025 gelten die Verbote des Art. 5 -- die ersten Bußgelder können bereits verhängt werden.
• Proaktive KI-Compliance ist der wirksamste Schutz vor Sanktionen.

Die europäische KI-Verordnung -- besser bekannt als AI Act -- ist seit dem 1. August 2024 in Kraft und wird schrittweise anwendbar. Mit ihr kommt ein Sanktionsrahmen, der in seiner Härte an die DSGVO erinnert und diese in Teilen sogar übertrifft. Für Unternehmen, die KI-Systeme entwickeln, vertreiben oder einsetzen, ist das Thema AI Act Strafen damit kein abstraktes Zukunftsszenario mehr, sondern eine unmittelbare geschäftliche Realität.

In diesem Artikel erfahren Sie, welche Bußgelder die KI-Verordnung vorsieht, welche Verstöße welche Konsequenzen nach sich ziehen und wie Sie sich als Unternehmen wirksam schützen.

Bußgeldrahmen des AI Act: Die drei Stufen im Überblick

Art. 99 der KI-Verordnung definiert ein dreistufiges Bußgeldsystem. Die Höhe der Strafe richtet sich nach der Schwere des Verstoßes, wobei immer der höhere Betrag aus Festbetrag und Umsatzanteil maßgeblich ist.

Stufenmodell der AI Act Sanktionen

Entscheidend: Bei global tätigen Unternehmen wird der weltweite konsolidierte Jahresumsatz des vorangegangenen Geschäftsjahres herangezogen. Für einen DAX-Konzern mit 50 Milliarden Euro Umsatz bedeutet die höchste Stufe ein theoretisches Bußgeld von bis zu 3,5 Milliarden Euro.

Stufe 1: Verbotene KI-Praktiken -- bis zu 35 Millionen Euro Bußgeld

Die schärfsten Sanktionen im AI Act treffen Unternehmen, die KI-Systeme für verbotene Praktiken nach Art. 5 einsetzen. Diese Verbote gelten bereits seit dem 2. Februar 2025 und umfassen manipulative, ausnutzende und überwachungsbasierte Anwendungen.

Welche Praktiken sind verboten?

Art. 5 der KI-Verordnung verbietet unter anderem:

• Manipulative KI-Techniken (Art. 5 Abs. 1 lit. a): KI-Systeme, die unterschwellige Techniken einsetzen, um das Verhalten von Personen so zu beeinflussen, dass ihnen oder Dritten erheblicher Schaden zugefügt wird. Beispiel: Ein Online-Shop setzt KI ein, die durch unbewusst wahrnehmbare Reize Kaufentscheidungen erzwingt.

• Ausnutzung von Schutzbedürftigkeit (Art. 5 Abs. 1 lit. b): KI, die gezielt Alter, Behinderung oder soziale Lage einer Person ausnutzt. Beispiel: Eine App verwendet KI, um kognitiv eingeschränkten Senioren teure Finanzprodukte zu verkaufen.

• Social Scoring (Art. 5 Abs. 1 lit. c): Bewertungssysteme, die Personen aufgrund ihres Sozialverhaltens in verschiedenen Kontexten klassifizieren und benachteiligen. Beispiel: Ein Vermieter nutzt KI, um Mietinteressenten anhand ihres Social-Media-Verhaltens zu bewerten und abzulehnen.

• Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum zu Strafverfolgungszwecken (Art. 5 Abs. 1 lit. h) -- außer in eng definierten Ausnahmefällen. Beispiel: Flächendeckende Gesichtserkennung an Bahnhöfen ohne konkreten Anlass.

• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (Art. 5 Abs. 1 lit. f): Beispiel: Software, die die Emotionen von Mitarbeitenden während Videokonferenzen analysiert, um Leistungsbewertungen zu erstellen.

• Biometrische Kategorisierung nach sensiblen Merkmalen wie Ethnie, politischer Überzeugung oder sexueller Orientierung (Art. 5 Abs. 1 lit. g).

Wer diese Verbote missachtet, riskiert ein Bußgeld von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes -- je nachdem, welcher Betrag höher ist.

Stufe 2: Hochrisiko-Verstöße -- bis zu 15 Millionen Euro Bußgeld

Die mittlere Bußgeldstufe betrifft Verstöße gegen die Pflichten, die der AI Act für Hochrisiko-KI-Systeme in den Art. 16 bis 27 festlegt. Diese Pflichten gelten ab dem 2. August 2026 und bilden den Kern des regulatorischen Anforderungskatalogs.

Typische Verstöße in der mittleren Stufe

Zusätzlich fallen unter diese Stufe Verstöße gegen Pflichten für Anbieter von General-Purpose-AI-Modellen (GPAI) nach Art. 53 und 55, gegen Betreiberpflichten (Art. 26) sowie gegen Anforderungen an notifizierte Stellen (Art. 31-39).

Konkretes Szenario

Ein Softwareunternehmen bietet ein KI-basiertes Bewerber-Screening-Tool an. Das System wird ohne technische Dokumentation, ohne Risikomanagementsystem und ohne Konformitätsbewertung auf dem europäischen Markt angeboten. Es fehlt zudem die Registrierung in der EU-Datenbank. Hier droht ein Bußgeld von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.

Stufe 3: Falsche Angaben gegenüber Behörden -- bis zu 7,5 Millionen Euro

Die dritte Stufe sanktioniert ein Verhalten, das auf den ersten Blick weniger dramatisch wirkt, aber von den Aufsichtsbehörden ernst genommen wird: falsche, unvollständige oder irreführende Angaben gegenüber nationalen Behörden oder notifizierten Stellen.

Beispiele für Verstöße

• Ein Unternehmen gibt in der Konformitätserklärung bewusst falsche Leistungskennzahlen des KI-Systems an.
• Auf Anfrage der Aufsichtsbehörde werden angeforderte Dokumente nicht, verspätet oder in manipulierter Form übermittelt.
• Fehlerhafte Angaben bei der Registrierung in der EU-Datenbank.

Das Bußgeld beträgt bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes.

Sonderregel für KMU und Start-ups: Verhältnismäßigkeit nach Art. 99 Abs. 6

Der europäische Gesetzgeber hat erkannt, dass die genannten Bußgeldhöhen für kleine und mittlere Unternehmen existenzbedrohend sein können. Art. 99 Abs. 6 enthält daher eine Verhältnismäßigkeitsregel:

Bei der Festsetzung von Bußgeldern gegen KMU und Start-ups ist der wirtschaftlichen Leistungsfähigkeit des Unternehmens Rechnung zu tragen. Die Bußgeldhöhe darf nicht so bemessen sein, dass sie die wirtschaftliche Existenz des Unternehmens gefährdet.

Im Klartext: Für ein Start-up mit 2 Millionen Euro Jahresumsatz wird die Aufsichtsbehörde nicht den Maximalbetrag von 35 Millionen Euro verhängen. Dennoch bedeutet dies keinen Freibrief. Auch proportional bemessene Bußgelder können für KMU erheblich sein, und das Reputationsrisiko wiegt oft schwerer als die finanzielle Strafe.

AI Act Bußgelder vs. DSGVO: Ein Vergleich

Der Vergleich mit der DSGVO verdeutlicht die Dimension der AI Act Sanktionen. Die KI-Verordnung übertrifft die Datenschutz-Grundverordnung in der Spitze deutlich.

Die DSGVO hat gezeigt, dass die Behörden bereit sind, empfindliche Bußgelder zu verhängen. Allein in Deutschland wurden seit 2018 DSGVO-Bußgelder in dreistelliger Millionenhöhe verhängt. Es ist davon auszugehen, dass die Aufsichtsbehörden beim AI Act eine ähnliche Entschlossenheit zeigen werden.

Wer verhängt die Bußgelder? Zuständige Aufsichtsbehörden

Die Durchsetzung des AI Act erfolgt auf zwei Ebenen:

Nationale Marktüberwachungsbehörden

Jeder EU-Mitgliedstaat muss mindestens eine nationale zuständige Behörde benennen (Art. 70). In Deutschland wird diese Rolle voraussichtlich von der Bundesnetzagentur (BNetzA) als nationale KI-Aufsichtsbehörde wahrgenommen. Die BNetzA baut derzeit aktiv Kapazitäten für die KI-Regulierung auf.

EU-Ebene: AI Office

Das Europäische Amt für Künstliche Intelligenz (AI Office), angesiedelt bei der Europäischen Kommission, ist insbesondere für die Überwachung von General-Purpose-AI-Modellen zuständig und kann eigene Durchsetzungsmaßnahmen ergreifen.

Bemessungskriterien: Wie wird die Bußgeldhöhe bestimmt?

Die Aufsichtsbehörden berücksichtigen bei der Festsetzung der konkreten Bußgeldhöhe nach Art. 99 Abs. 7 unter anderem:

• Art, Schwere und Dauer des Verstoßes
• Vorsatz oder Fahrlässigkeit
• Bereits ergriffene Abhilfemaßnahmen
• Größe und Marktanteil des Unternehmens
• Frühere Verstöße gegen den AI Act oder andere EU-Vorschriften
• Kooperationsbereitschaft mit der Aufsichtsbehörde
• Art und Weise, wie der Verstoß der Behörde bekannt wurde (Eigenanzeige vs. Beschwerde)
• Eingehaltene Verhaltenskodizes oder Zertifizierungen

Diese Kriterien bedeuten: Unternehmen, die proaktiv Compliance-Strukturen aufbauen, dokumentieren und mit Behörden kooperieren, können im Ernstfall mit deutlich niedrigeren Bußgeldern rechnen.

Neben Bußgeldern: Weitere Konsequenzen bei AI Act Verstößen

Bußgelder sind nur eine von mehreren möglichen Konsequenzen. Unternehmen müssen auch mit folgenden Maßnahmen rechnen:

• Marktrücknahme oder Rückruf von KI-Systemen (Art. 79): Die Behörde kann anordnen, dass ein nicht konformes System vom Markt genommen wird.
• Vertriebsverbot: Nicht konforme KI-Systeme dürfen in der EU nicht in Verkehr gebracht werden.
• Reputationsschaden: Öffentliche Bekanntmachung von Verstößen kann Geschäftsbeziehungen und Kundenvertrauen nachhaltig beschädigen.
• Zivilrechtliche Haftung: Betroffene Personen können unter Umständen Schadensersatzansprüche geltend machen.
• Vertragliche Konsequenzen: Geschäftspartner und Kunden können bei Compliance-Verstößen vertragliche Rechte (Kündigung, Vertragsstrafe) ausüben.

Zeitplan: Ab wann werden AI Act Strafen verhängt?

Die Durchsetzung des AI Act erfolgt stufenweise:

Das bedeutet: Die ersten Bußgelder nach dem AI Act können bereits heute verhängt werden -- nämlich für verbotene KI-Praktiken. Wer auf die vollständige Anwendbarkeit im August 2026 wartet, um mit der Compliance zu beginnen, handelt fahrlässig.

5 Maßnahmen, um AI Act Bußgelder zu vermeiden

1. KI-Inventar erstellen: Verschaffen Sie sich einen vollständigen Überblick über alle im Unternehmen eingesetzten KI-Systeme und klassifizieren Sie diese nach der Risikokategorie des AI Act.

2. Verbotene Praktiken sofort prüfen: Stellen Sie sicher, dass keines Ihrer KI-Systeme unter die Verbote des Art. 5 fällt. Dieses Risiko besteht bereits jetzt.

3. Compliance-Strukturen aufbauen: Benennen Sie einen KI-Beauftragten, implementieren Sie ein Risikomanagementsystem und beginnen Sie mit der technischen Dokumentation Ihrer Hochrisiko-Systeme.

4. Mitarbeitende schulen: Art. 4 des AI Act verlangt ausdrücklich eine angemessene KI-Kompetenz aller Personen, die mit KI-Systemen arbeiten. Fehlende Schulung ist ein eigenständiges Compliance-Risiko.

5. Dokumentation priorisieren: Lückenlose Dokumentation ist der beste Nachweis für Compliance-Bemühungen und kann im Bußgeldverfahren strafmildernd wirken.

Häufig gestellte Fragen (FAQ)

Wie hoch ist das maximale Bußgeld nach dem AI Act?

Das höchste mögliche Bußgeld beträgt 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes -- je nachdem, welcher Betrag höher ist. Diese Höchststrafe gilt für den Einsatz verbotener KI-Praktiken nach Art. 5 der KI-Verordnung (Art. 99 Abs. 3 VO (EU) 2024/1689).

Ab wann können AI Act Strafen verhängt werden?

Die ersten Strafen können seit dem 2. Februar 2025 verhängt werden. An diesem Datum sind die Verbote des Art. 5 (verbotene KI-Praktiken) in Kraft getreten. Die Bußgeldvorschriften für Hochrisiko-KI-Systeme greifen ab dem 2. August 2026.

Gelten die Bußgelder auch für kleine Unternehmen und Start-ups?

Grundsätzlich ja. Allerdings enthält Art. 99 Abs. 6 eine Verhältnismäßigkeitsregel für KMU und Start-ups. Die Bußgeldhöhe muss die wirtschaftliche Leistungsfähigkeit berücksichtigen und darf nicht existenzgefährdend sein. Dennoch sind auch für kleinere Unternehmen empfindliche Strafen möglich.

Was passiert, wenn mein Unternehmen ein KI-System nur einsetzt, aber nicht entwickelt hat?

Auch Betreiber (Deployer) von KI-Systemen unterliegen dem AI Act und können bei Verstößen sanktioniert werden. Art. 26 definiert eigene Betreiberpflichten, darunter die Pflicht zur menschlichen Aufsicht, zur Überwachung des Betriebs und zur Information betroffener Personen. Die Bußgeldstufen gelten gleichermaßen.

Können AI Act Bußgelder und DSGVO Bußgelder gleichzeitig verhängt werden?

Ja, das ist möglich. Wenn ein KI-System sowohl gegen den AI Act als auch gegen die DSGVO verstößt -- beispielsweise durch unrechtmäßige Verarbeitung biometrischer Daten --, können beide Verordnungen gleichzeitig zur Anwendung kommen. Art. 99 Abs. 8 regelt allerdings, dass bei Überschneidungen mit DSGVO-Bußgeldern eine Doppelbestrafung für denselben Sachverhalt vermieden werden soll.

Fazit: KI-Compliance ist kein optionaler Aufwand

Die Bußgeldvorschriften des AI Act machen deutlich: Der europäische Gesetzgeber meint es ernst mit der Regulierung von Künstlicher Intelligenz. Mit Höchststrafen von 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes übertrifft der AI Act sogar die DSGVO. Die ersten Verbote sind bereits durchsetzbar, und die Aufsichtsbehörden bauen ihre Kapazitäten aktiv auf.

Unternehmen, die jetzt in KI-Compliance investieren, schützen sich nicht nur vor Bußgeldern, sondern schaffen auch Vertrauen bei Kunden, Partnern und Aufsichtsbehörden. Wer hingegen wartet, riskiert nicht nur finanzielle Sanktionen, sondern auch Marktrücknahmen und erhebliche Reputationsschäden.

---

Sie wollen Ihr Unternehmen rechtssicher aufstellen? Mit den praxisnahen KI-Compliance-Schulungen von KI Comply bereiten Sie Ihre Mitarbeitenden gezielt auf die Anforderungen des AI Act vor -- von der KI-Kompetenz nach Art. 4 bis zur vollständigen Umsetzung der Hochrisiko-Pflichten. Starten Sie jetzt und machen Sie KI-Compliance zum Wettbewerbsvorteil.