KI-Verordnung Strafen und Bussgelder: Was Nichteinhaltung kostet
Die europaeische KI-Verordnung (EU AI Act) setzt neue Massstaebe bei der Durchsetzung - nicht nur inhaltlich, sondern auch bei den moeglichen Sanktionen. Mit Bussgeldern von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes uebertrifft sie sogar die DSGVO. Ab dem 2. August 2026 werden die zentralen Pflichten fuer Hochrisiko-KI-Systeme durchsetzbar.
Dieser Artikel erklaert die drei Bussgeldstufen, zeigt, wie die Durchsetzung organisiert wird, vergleicht die Sanktionen mit der DSGVO und gibt konkrete Empfehlungen, um Bussgelder zu vermeiden.
Die drei Bussgeldstufen der KI-Verordnung
Die KI-Verordnung sieht in Artikel 99 ein dreistufiges Bussgeldystem vor. Wie bei der DSGVO gilt jeweils der hoehere der beiden Werte - Festbetrag oder Umsatzanteil.
Stufe 1: Verbotene KI-Praktiken - bis zu 35 Mio. EUR oder 7% Umsatz
Die haerteste Sanktion trifft Verstoesse gegen die in Artikel 5 verbotenen KI-Praktiken:
- Social Scoring durch Behoerden
- Unterschwellige Manipulation oder Ausnutzung von Schutzbeduerftigkeit
- Biometrische Echtzeit-Fernidentifizierung in oeffentlichen Raeumen (ohne Ausnahme)
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
- Ungezieltes Scraping von Gesichtsbildern fuer Datenbanken
Maximales Bussgeld: 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschaeftsjahres - je nachdem, welcher Betrag hoeher ist.
Zum Vergleich: Fuer ein Unternehmen mit 500 Millionen Euro Jahresumsatz waere das maximale Bussgeld 35 Millionen Euro. Fuer ein Unternehmen mit 1 Milliarde Euro Umsatz bereits 70 Millionen Euro.
Stufe 2: Hochrisiko-Pflichten - bis zu 15 Mio. EUR oder 3% Umsatz
Die zweite Stufe betrifft Verstoesse gegen die wesentlichen Compliance-Pflichten:
- Nichterfuellung der Anforderungen an Hochrisiko-KI-Systeme (Artikel 8-15)
- Verstoesse gegen die Pflichten von Anbietern (Artikel 16-22)
- Verstoesse gegen die Pflichten von Betreibern (Artikel 26)
- Nichterfuellung der Transparenzpflichten (Artikel 50)
- Verstoesse gegen die Anforderungen an Allzweck-KI-Modelle (Artikel 53-55)
Maximales Bussgeld: 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.
Betroffene Pflichtverletzungen im Detail:
| Pflicht | Artikel | Typischer Verstoss |
|---|---|---|
| Risikomanagementsystem | Art. 9 | Fehlendes oder unzureichendes KI-Risikomanagement |
| Datengovernance | Art. 10 | Mangelhafte Trainingsdaten, fehlende Bias-Pruefung |
| Technische Dokumentation | Art. 11 | Unvollstaendige oder fehlende Dokumentation |
| Protokollierung | Art. 12 | Fehlende automatische Aufzeichnungen |
| Transparenz | Art. 13 | Keine oder ungenuegender Gebrauchsanweisung |
| Menschliche Aufsicht | Art. 14 | Keine Moeglichkeit menschlicher Intervention |
| Genauigkeit/Robustheit | Art. 15 | Unzureichende Cybersicherheit |
| Konformitaetsbewertung | Art. 43 | Keine Konformitaetsbewertung durchgefuehrt |
| EU-Registrierung | Art. 49 | System nicht in EU-Datenbank registriert |
Stufe 3: Falsche Angaben - bis zu 7,5 Mio. EUR oder 1% Umsatz
Die niedrigste Stufe betrifft:
- Falsche, unvollstaendige oder irrefuehrende Angaben gegenueber Behoerden
- Nichtbeantwortung von Auskunftsersuchen der Marktaufsicht
- Falsche Angaben bei der Konformitaetsbewertung
Maximales Bussgeld: 7,5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes.
Sonderregelungen fuer KMU und Startups
Die KI-Verordnung beruecksichtigt die wirtschaftliche Leistungsfaehigkeit kleinerer Unternehmen. Fuer KMU, einschliesslich Startups, gilt:
- Bei der Festlegung der Bussgeldhoehe muss die Verhaeltnismaessigkeit gewahrt werden
- Die Bussgeldhoechstbetraege orientieren sich am niedrigeren Wert (Festbetrag oder Umsatzanteil)
- Artikel 99 Absatz 5 sieht vor, dass die Mitgliedstaaten festlegen, ob und in welchem Umfang Behoerden Bussgelder gegen oeffentliche Stellen verhaengen koennen
In der Praxis bedeutet das: Ein Startup mit 2 Millionen Euro Jahresumsatz riskiert bei einem Verstoss gegen Hochrisiko-Pflichten maximal 60.000 Euro (3 Prozent) statt 15 Millionen Euro.
Durchsetzung: Wer kontrolliert?
Nationale Marktaufsichtsbehoerden
Jeder EU-Mitgliedstaat muss bis zum 2. August 2025 mindestens eine nationale Marktaufsichtsbehoerde benennen (Artikel 70). Diese Behoerden sind fuer die Durchsetzung zustaendig.
Situation in Deutschland: Die genaue Zustaendigkeitsverteilung wird durch das nationale Durchfuehrungsgesetz geregelt. Es ist zu erwarten, dass:
- Die Bundesnetzagentur als zentrale Marktaufsichtsbehoerde fungiert
- Die BaFin fuer KI im Finanzsektor zustaendig bleibt
- Sektorspezifische Behoerden fuer ihre jeweiligen Bereiche Kompetenzen erhalten
- Die Datenschutzbehoerden bei DSGVO-Ueberschneidungen eingebunden werden
Europaeisches Amt fuer Kuenstliche Intelligenz (AI Office)
Das bei der Europaeischen Kommission angesiedelte AI Office hat eine Koordinierungsfunktion und ist direkt zustaendig fuer:
- Allzweck-KI-Modelle (GPAI) und deren Anbieter
- Harmonisierung der Durchsetzung zwischen Mitgliedstaaten
- Entwicklung von Leitlinien und Standards
Befugnisse der Behoerden
Die Marktaufsichtsbehoerden erhalten weitreichende Befugnisse (Artikel 74-78):
- Zugang zu KI-Systemen, Daten und Dokumentation
- Marktuntersuchungen und Stichproben
- Anordnung von Korrekturmassnahmen oder Marktrucknahme
- Verbot des Inverkehrbringens nicht konformer Systeme
- Verhaengung von Bussgeldern
- Oeffentliche Warnung vor nicht konformen KI-Systemen
Vergleich: KI-Verordnung vs. DSGVO Bussgelder
| Kriterium | KI-Verordnung (EU AI Act) | DSGVO |
|---|---|---|
| Hoechstes Bussgeld | 35 Mio. EUR oder 7% Umsatz | 20 Mio. EUR oder 4% Umsatz |
| Mittlere Stufe | 15 Mio. EUR oder 3% Umsatz | 10 Mio. EUR oder 2% Umsatz |
| Niedrigste Stufe | 7,5 Mio. EUR oder 1% Umsatz | - |
| Bezugsgrösse | Weltweiter Jahresumsatz | Weltweiter Jahresumsatz |
| Durchsetzung | Nationale Marktaufsichtsbehoerden | Datenschutzbehoerden |
| KMU-Erleichterungen | Ja, verhaeltnismaessig | Begrenzt |
| In Kraft seit | Stufenweise ab 2025 | Mai 2018 |
Die KI-Verordnung setzt die Bussgeldhoechstbetraege bewusst hoeher an als die DSGVO. Der Gesetzgeber signalisiert damit, dass Verstoesse gegen die KI-Regulierung mindestens ebenso schwer wiegen wie Datenschutzverletzungen.
Was wir aus der DSGVO-Durchsetzung lernen koennen
Die DSGVO-Erfahrung zeigt Muster, die sich auf die KI-Verordnung uebertragen lassen:
- Anfangs zurueckhaltend, dann scharf: Die DSGVO-Bussgelder waren in den ersten Jahren moderat, stiegen dann aber deutlich an (Meta: 1,2 Mrd. EUR 2023)
- Grosse Unternehmen im Fokus: Behoerden konzentrieren sich zuerst auf Unternehmen mit hoher Sichtbarkeit und Marktmacht
- Beschwerdegetrieben: Viele Verfahren werden durch Beschwerden Betroffener ausgeloest
- Dokumentationspflichten als Einfallstor: Fehlende oder mangelhafte Dokumentation ist ein haeufiger Verstoss - leicht nachweisbar und schwer zu verteidigen
Fuer die KI-Verordnung bedeutet das: Wer bei der Dokumentation spart, macht sich angreifbar.
Ueber Bussgelder hinaus: Weitere Konsequenzen
Bussgelder sind nur ein Teil der moeglichen Folgen. Nichteinhaltung kann darueber hinaus zu Folgendem fuehren:
Operative Konsequenzen
- Marktrucknahme: Behoerden koennen anordnen, dass ein nicht konformes KI-System vom Markt genommen wird
- Nutzungsverbot: Der Einsatz eines Systems kann untersagt werden - mit unmittelbaren Auswirkungen auf den Geschaeftsbetrieb
- Oeffentliche Nennung: Behoerden koennen Verstoesse oeffentlich bekanntmachen (Naming and Shaming)
Geschaeftliche Konsequenzen
- Reputationsschaden: Insbesondere bei KI-Anwendungen mit Auswirkungen auf Verbraucher
- Vertrauensverlust: Kunden und Partner koennten das Vertrauen in das Unternehmen verlieren
- Wettbewerbsnachteil: Konforme Wettbewerber werden bevorzugt
- Vertragsrisiken: Geschaeftspartner koennten KI-Verordnung-Compliance als Vertragsvoraussetzung einfordern
Zivilrechtliche Haftung
Artikel 85 der KI-Verordnung staerkt die Rechte Betroffener. Personen, die durch ein nicht konformes KI-System geschaedigt werden, koennten zivilrechtliche Schadensersatzansprueche geltend machen - aehnlich wie bei DSGVO-Verstoessen.
Wie Sie Bussgelder vermeiden
1. Fruehzeitig beginnen
Die Umsetzung der KI-Verordnung dauert erfahrungsgemaess 6 bis 12 Monate. Wer erst kurz vor dem Stichtag beginnt, riskiert Luecken. Starten Sie jetzt mit dem kostenlosen KI-Verordnung Readiness Assessment.
2. Dokumentation priorisieren
Fehlende Dokumentation ist der am leichtesten nachweisbare Verstoss. Investieren Sie fruehzeitig in:
- Technische Dokumentation fuer Hochrisiko-Systeme (Artikel 11)
- KI-System-Inventar mit Risikokategorisierung
- Protokollierung des Systembetriebs (Artikel 12)
3. Governance-Strukturen aufbauen
Definieren Sie klare Verantwortlichkeiten fuer KI-Compliance. Integrieren Sie KI-Governance in bestehende Compliance-Strukturen (DSGVO, DORA).
4. Compliance-Plattform nutzen
Manuelle Compliance-Verwaltung skaliert nicht. Matproof automatisiert die Erfassung, Klassifizierung und Ueberwachung Ihrer KI-Systeme und hilft Ihnen, Compliance-Luecken fruehzeitig zu erkennen. Kostenlos testen.
5. Laufend ueberwachen
Die KI-Verordnung verlangt ausdruecklich ein kontinuierliches Monitoring. Einmalige Compliance genuegt nicht - Sie muessen Ihre KI-Systeme dauerhaft ueberwachen und Ihre Massnahmen regelmaessig aktualisieren.
Haeufig gestellte Fragen
Q: Koennen Bussgelder auch gegen Unternehmen verhaengt werden, die KI-Systeme nur einsetzen, aber nicht entwickeln?
A: Ja. Die KI-Verordnung unterscheidet zwischen Anbietern (Entwicklern) und Betreibern (Deployern). Beide haben eigene Pflichten. Betreiber von Hochrisiko-KI-Systemen koennen fuer Verstoesse gegen ihre Pflichten nach Artikel 26 mit Bussgeldern von bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes belegt werden.
Q: Gibt es eine Uebergangsfrist, in der noch keine Bussgelder verhaengt werden?
A: Nein, es gibt keine formelle Schonfrist nach dem jeweiligen Anwendungsdatum. Verbotene Praktiken sind seit dem 2. Februar 2025 untersagt. Die Pflichten fuer Hochrisiko-Systeme gelten ab dem 2. August 2026. Ab diesen Daten koennen Behoerden theoretisch Bussgelder verhaengen. In der Praxis ist jedoch davon auszugehen, dass Behoerden aehnlich wie bei der DSGVO anfangs auf Beratung und Korrektur setzen, bevor hohe Bussgelder verhaengt werden.
Q: Wie werden Bussgelder bei Verstössen in mehreren EU-Laendern berechnet?
A: Grundsaetzlich ist die Marktaufsichtsbehoerde des Landes zustaendig, in dem der Anbieter niedergelassen ist. Bei grenzueberschreitenden Faellen koordiniert das AI Office. Das Bussgeld bezieht sich auf den weltweiten Konzernumsatz - nicht auf den Umsatz in einzelnen Laendern.
Q: Kann die Geschaeftsfuehrung persoenlich haftbar gemacht werden?
A: Die KI-Verordnung richtet sich primaer an juristische Personen (Unternehmen). Eine persoenliche Haftung der Geschaeftsfuehrung ist in der Verordnung selbst nicht vorgesehen. Allerdings koennen nationale Durchfuehrungsgesetze zusaetzliche Haftungsregelungen vorsehen. Zudem kann die Geschaeftsfuehrung bei schweren Pflichtverletzungen unter allgemeinen gesellschaftsrechtlichen Grundsaetzen haftbar sein.