EU AI Act: Sanktionen und Bußgelder erklärt: Was ein Verstoß 2026 tatsächlich kostet
TL;DR
- Der EU AI Act sieht drei Bußgeldstufen vor: bis zu 35 Mio. EUR / 7 % des weltweiten Umsatzes für verbotene Praktiken, bis zu 15 Mio. EUR / 3 % für Verstöße bei Hochrisiko und Transparenz und bis zu 7,5 Mio. EUR / 1 % für irreführende Angaben gegenüber Behörden.
- Bei großen Organisationen ist das Bußgeld der höhere der beiden Werte, fester Eurobetrag oder Umsatzprozentsatz, bei KMU und Startups der niedrigere, ein entscheidender Verhältnismäßigkeitsmechanismus.
- Die Durchsetzung teilen sich nationale Marktüberwachungsbehörden (die meisten Verstöße gegen den AI Act) und die Europäische Kommission / das KI-Büro (Pflichten für KI-Modelle mit allgemeinem Verwendungszweck).
- Verbotene Praktiken sind seit dem 2. Februar 2025 durchsetzbar; die Kommission hat bereits erste Untersuchungen eingeleitet. Hochrisiko-Pflichten werden am 2. August 2026 durchsetzbar.
- Ausgelöst wird die Durchsetzung durch Beschwerden, Meldungen schwerwiegender Vorfälle, proaktive Überwachung, sektorspezifische Aufsichtsbehörden und den Hinweisgeberschutz nach Artikel 87.
- Die Bußgelder übersteigen die DSGVO-Höchstwerte für die schwersten Verstöße (7 % gegenüber 4 % des weltweiten Umsatzes) und machen den AI Act nach Sanktionshöhe zur schärfsten digitalen Regulierung der EU.
- Praktische Risikominderung beginnt mit Klassifizierung, Dokumentation, Prüfung der Lieferkette und Prozessen zur Vorfallmeldung.
Der EU AI Act bringt die höchsten Regulierungsbußgelder mit sich, die je gegen KI-Systeme verhängt wurden, und übertrifft damit sogar die DSGVO. Wenn Ihre Organisation KI im EU-Markt anbietet oder betreibt, ist es nicht optional, die Sanktionsstruktur zu verstehen. Sie ist die finanzielle Absicherung, die jeder anderen Pflicht im Gesetz echten Nachdruck verleiht.
Dieser Leitfaden behandelt die drei Bußgeldstufen im Detail, wer sie durchsetzt, was die Durchsetzung auslöst, wie Bußgelder für unterschiedliche Unternehmensgrößen berechnet werden, wie sich der AI Act mit der DSGVO vergleicht und welche praktischen Schritte Ihr Risiko vor der Frist am 2. August 2026 senken.
Die drei Bußgeldstufen nach Artikel 99
Der AI Act legt eine gestufte Sanktionsstruktur in Artikel 99 fest. Für jede Stufe gilt jeweils der höhere Betrag, der feste Eurowert oder der Umsatzprozentsatz. (Für KMU und Startups ist diese Berechnung umgekehrt, siehe den Abschnitt zur Anpassung weiter unten.)
Stufe 1: Verbotene Praktiken, bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
Das ist die schärfste Stufe. Sie gilt für Verstöße gegen Artikel 5, der ein absolutes Verbot von KI-Praktiken festlegt, die die EU für unvereinbar mit den Grundrechten hält. Diese Verbote sind seit dem 2. Februar 2025 durchsetzbar.
Die verbotenen Praktiken sind:
-
Unterschwellige, manipulative oder täuschende KI-Techniken: Systeme, die Techniken jenseits des Bewusstseins einer Person oder gezielt manipulative oder täuschende Techniken einsetzen, um Verhalten wesentlich zu verzerren, sodass ein erheblicher Schaden entsteht oder mit hinreichender Wahrscheinlichkeit entstehen kann.
-
Ausnutzung von Schutzbedürftigkeit: KI-Systeme, die die Schutzbedürftigkeit bestimmter Gruppen aufgrund von Alter, Behinderung oder sozialer oder wirtschaftlicher Lage ausnutzen, um deren Verhalten so wesentlich zu verzerren, dass ein erheblicher Schaden entsteht.
-
Social Scoring durch Behörden: KI-Systeme, die natürliche Personen anhand ihres Sozialverhaltens oder persönlicher Merkmale bewerten oder einstufen und so zu einer Schlechterstellung führen, die im Verhältnis zum Kontext unangemessen ist oder durch das Verhalten nicht gerechtfertigt wird.
-
Vorhersagende Polizeiarbeit allein auf Basis von Profiling: KI-Systeme, die das Risiko, dass eine Person eine Straftat begeht, allein auf Grundlage von Profiling oder Persönlichkeitsmerkmalen bewerten, ohne objektive, überprüfbare Fakten oder eine Bewertung der individuellen Beteiligung an kriminellen Aktivitäten.
-
Ungezieltes Auslesen von Gesichtsbildern: Das Erstellen oder Erweitern von Gesichtserkennungsdatenbanken durch ungezieltes Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufnahmen.
-
Emotionserkennung am Arbeitsplatz und in der Bildung: KI-Systeme, die Emotionen natürlicher Personen am Arbeitsplatz oder in Bildungseinrichtungen ableiten, außer wenn das System für medizinische Zwecke oder Sicherheitszwecke bestimmt ist.
-
Biometrische Kategorisierung nach sensiblen Merkmalen: KI-Systeme, die natürliche Personen auf Grundlage biometrischer Daten kategorisieren, um Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugungen, Sexualleben oder sexuelle Orientierung abzuleiten oder zu erschließen. (Rechtmäßiges Kennzeichnen oder Filtern biometrischer Datensätze in der Strafverfolgung ist ausgenommen.)
-
Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum zur Strafverfolgung: Verboten mit engen Ausnahmen für gezielte Suchen nach bestimmten Opfern von Straftaten, die Abwehr konkreter, unmittelbarer Bedrohungen und die Identifizierung von Verdächtigen bestimmter schwerer Straftaten.
Praxisbeispiel, Social-Media-Plattform: Ein Social-Media-Unternehmen setzt ein KI-System ein, das Verhaltensmuster von Nutzern analysiert, um psychisch schutzbedürftige Nutzer zu erkennen, und ihnen gezielt Inhalte ausspielt, die über suchtfördernde Mechanismen die Nutzungsdauer erhöhen sollen. Das könnte eine unterschwellige/manipulative Technik darstellen, die Schutzbedürftigkeit ausnutzt, und potenziell Sanktionen der Stufe 1 auslösen.
Praxisbeispiel, Überwachung durch Arbeitgeber: Ein Logistikunternehmen installiert KI-gestützte Kameras in seinem Lager, die kontinuierlich die Gesichtsausdrücke der Mitarbeiter überwachen, um "Desengagement" zu erkennen und leistungsschwache Beschäftigte zu markieren. Emotionserkennung am Arbeitsplatz ist nach Artikel 5(1)(f) verboten. Stufe 1 gilt.
Stufe 2: Verstöße bei Hochrisiko und Transparenz, bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
Diese Stufe erfasst die Nichteinhaltung der Pflichten, die den Kern des Regulierungsrahmens des AI Act bilden:
- Pflichten für Hochrisiko-KI-Systeme (Artikel 8-15): Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersicherheit
- Anbieterpflichten (Artikel 16-22): Qualitätsmanagement, Konformitätsbewertung, CE-Kennzeichnung, Registrierung in der EU-Datenbank, Marktbeobachtung
- Betreiberpflichten (Artikel 26): menschliche Aufsicht, Aufbewahrung von Protokollen, Transparenz gegenüber betroffenen Personen
- FRIA-Pflichten (Artikel 27): Grundrechte-Folgenabschätzungen (FRIA) für bestimmte Betreiber
- Transparenzpflichten für Systeme mit begrenztem Risiko (Artikel 50): Offenlegung der KI-Interaktion, Kennzeichnung KI-generierter Inhalte, Deepfake-Offenlegung
- Pflichten für Anbieter von GPAI-Modellen (Artikel 51-55): Modelldokumentation, Einhaltung des Urheberrechts, Bewertung systemischer Risiken
- Verstöße bei der Konformitätsbewertung (Artikel 43): fehlende Durchführung der Konformitätsbewertung, falsche Erklärungen
Auf diese Stufe müssen sich die meisten Organisationen vorbereiten. Sie umfasst die Pflichten, die am 2. August 2026 durchsetzbar werden, und gilt für die breiteste Gruppe von Akteuren: Anbieter, Betreiber, Einführer und Händler.
Praxisbeispiel, Anbieter von Recruiting-KI: Ein Unternehmen entwickelt ein KI-gestütztes Tool zur Lebenslauf-Vorauswahl (Hochrisiko nach Anhang III, Bereich 4) und bringt es auf den Markt, ohne die Konformitätsbewertung durchzuführen, technische Dokumentation zu erstellen oder ein Risikomanagement-System einzurichten. Dem Unternehmen drohen bis zu 15 Mio. EUR oder 3 % des weltweiten Umsatzes für die Nichteinhaltung der Artikel 9, 11 und 43.
Praxisbeispiel, Bank als Betreiber: Eine europäische Bank setzt ein KI-System zur Kreditwürdigkeitsprüfung eines Drittanbieters ein, ohne Personal für die menschliche Aufsicht zu benennen, Systemprotokolle aufzubewahren oder Kreditantragsteller darüber zu informieren, dass ein KI-System an der Entscheidung beteiligt ist. Der Bank drohen Sanktionen der Stufe 2 wegen Verstoßes gegen die Betreiberpflichten nach Artikel 26, obwohl sie das System nicht gebaut hat.
Praxisbeispiel, Chatbot ohne Offenlegung: Ein Kundendienstunternehmen setzt einen KI-Chatbot ein, der Verbraucherbeschwerden bearbeitet, ohne den Nutzern offenzulegen, dass sie mit einem KI-System interagieren. Das verstößt gegen die Transparenzpflichten nach Artikel 50, Stufe 2.
Stufe 3: Falsche oder irreführende Angaben, bis zu 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes
Diese Stufe gilt, wenn Organisationen im Rahmen ihrer regulatorischen Interaktionen falsche, unvollständige oder irreführende Angaben gegenüber zuständigen nationalen Behörden oder benannten Stellen machen:
- Falsche oder unvollständige Antworten auf Auskunftsersuchen von Marktüberwachungsbehörden
- Irreführende Unterlagen in Konformitätsbewertungsverfahren
- Ungenaue Registrierungsdaten in der EU-Datenbank
- Falsche Angaben oder Auslassungen in Meldungen schwerwiegender Vorfälle
Diese Stufe mag weniger schwer wirken, hat aber einen verstärkenden Effekt: Organisationen, die Behörden in die Irre führen, verlieren das Wohlwollen, das andernfalls Sanktionen für zugrunde liegende Verstöße der Stufe 1 oder 2 mildern könnte.
Praxisbeispiel: Ein Anbieter registriert ein KI-System in der EU-Datenbank und beschreibt es als "Kundenanalyse-Tool", obwohl es tatsächlich zur Kreditwürdigkeitsprüfung eingesetzt wird. Die ungenaue Registrierung stellt eine irreführende Angabe dar, Stufe 3, und die zugrunde liegende Nichteinhaltung der Hochrisiko-Pflichten fügt eine Exposition nach Stufe 2 hinzu.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenAnpassungsmechanismus für KMU und Startups
Der AI Act enthält eine Verhältnismäßigkeitsanpassung für KMU und Startups, die die Bußgeldberechnung grundlegend verändert. Für diese Organisationen werden die Sanktionsobergrenzen mit dem jeweils niedrigeren Wert angewandt, dem festen Eurobetrag oder dem Umsatzprozentsatz. Das ist die Umkehrung der Standardberechnung.
Wie das in der Praxis funktioniert
Für ein Startup mit 2 Mio. EUR Jahresumsatz beträgt das maximale Bußgeld der Stufe 1 140.000 EUR, nicht 35 Mio. EUR. Die KMU-Anpassung sorgt dafür, dass Sanktionen wirksam bleiben, ohne für kleinere Unternehmen existenzbedrohend zu sein.
Einstufung als KMU: Es gilt die EU-Definition des KMU (weniger als 250 Beschäftigte, Jahresumsatz höchstens 50 Mio. EUR oder Jahresbilanzsumme höchstens 43 Mio. EUR). Startups sind Unternehmen, die seit weniger als fünf Jahren tätig sind und bestimmte Kriterien in Bezug auf Innovation und Skalierbarkeit erfüllen.
Vorsicht: Die KMU-Anpassung gilt für das Höchstbußgeld, nicht für die Wahrscheinlichkeit der Durchsetzung. Nationale Behörden untersuchen ein nicht konformes Startup möglicherweise genauso wahrscheinlich wie einen nicht konformen Konzern, besonders wenn das KI-System des Startups tatsächlichen Schaden verursacht.
Wer setzt den AI Act durch?
Die Zuständigkeit für die Durchsetzung ist zwischen nationalen und EU-Stellen aufgeteilt, jede mit eigenen Kompetenzen.
Nationale Durchsetzung
Jeder EU-Mitgliedstaat muss mindestens eine Marktüberwachungsbehörde benennen, die für die Entgegennahme von Beschwerden, die Durchführung von Untersuchungen und Inspektionen, die Anordnung von Korrekturmaßnahmen und die Verhängung von Bußgeldern zuständig ist. In vielen Mitgliedstaaten wird die Datenschutzbehörde (die bereits die DSGVO durchsetzt) diese Rolle voraussichtlich übernehmen. Einige Länder richten eigene KI-Behörden ein. Die Mitgliedstaaten müssen außerdem notifizierende Behörden benennen, die die benannten Stellen beaufsichtigen, welche Konformitätsbewertungen durch Dritte durchführen.
Durchsetzung auf EU-Ebene
- Die Europäische Kommission: Beaufsichtigt und setzt ausschließlich die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) durch. Die Kommission kann GPAI-Anbieter direkt untersuchen, Auskünfte verlangen, Bewertungen durchführen und Bußgelder verhängen.
- Das Europäische KI-Büro: Koordiniert die Durchsetzung über die Mitgliedstaaten hinweg, stellt technisches Fachwissen bereit und unterstützt die Kommission bei der GPAI-Durchsetzung.
- Wissenschaftliches Gremium unabhängiger Sachverständiger: Berät das KI-Büro bei der Bewertung von GPAI-Modellen und der Einschätzung systemischer Risiken.
Durchsetzungsbefugnisse
Marktüberwachungsbehörden können: Dokumentation, Daten und Zugang zum Quellcode verlangen; Zugang zu KI-Systemen über APIs und Testumgebungen erhalten; unangekündigte Vor-Ort-Inspektionen durchführen; Tests und Audits durchführen oder in Auftrag geben; Korrekturmaßnahmen innerhalb festgelegter Fristen verlangen; die Marktrücknahme oder den Rückruf nicht konformer Systeme anordnen; die Nutzung von Systemen mit erheblichen Risiken einschränken oder verbieten; Bußgelder verhängen; und Durchsetzungsentscheidungen einschließlich der Identität des Zuwiderhandelnden veröffentlichen.
Was die Durchsetzung auslöst
Durchsetzungsmaßnahmen werden in der Regel über fünf Kanäle eingeleitet:
- Beschwerden betroffener Personen, Verbraucherorganisationen, Gewerkschaften oder Bürgerrechtsgruppen, voraussichtlich der wichtigste frühe Treiber der Durchsetzung, ähnlich wie bei der DSGVO.
- Meldungen schwerwiegender Vorfälle durch Anbieter oder Betreiber (verpflichtend innerhalb von 15 Tagen nach Artikel 73). Jede Meldung löst eine Compliance-Prüfung aus. Eine unterlassene Meldung ist selbst ein Verstoß der Stufe 2.
- Proaktive Marktüberwachung durch nationale Behörden, systematische Prüfung der auf dem Markt befindlichen KI-Systeme, gezielte Sektoraudits und Überwachung der EU-Datenbank auf Vollständigkeit.
- Sektorspezifische Aufsichtsbehörden (Finanzen, Gesundheit, Verkehr), die Nichteinhaltung an die KI-Marktüberwachungsbehörden melden. Systeme, die sowohl gegen den AI Act als auch gegen sektorale Regulierung verstoßen, ziehen die Aufmerksamkeit mehrerer Durchsetzungsstellen auf sich.
- Hinweisgebermeldungen, geschützt nach Artikel 87. Beschäftigte und Auftragnehmer, die Verstöße melden, sind vor Vergeltung geschützt, was einen Durchsetzungskanal schafft, den Organisationen intern nicht kontrollieren können.
Durchsetzungs-Zeitplan
Frühe Durchsetzungssignale
Die Durchsetzung wartet nicht bis zur Frist im August 2026. Anfang 2026 leitete die Europäische Kommission die ersten formellen Untersuchungen möglicher verbotener KI-Praktiken ein. Mehrere nationale Datenschutzbehörden haben signalisiert, dass sie die Durchsetzung des AI Act parallel zu ihren DSGVO-Aktivitäten aufnehmen werden, und das KI-Büro hat erste Auslegungshinweise zu verbotenen Praktiken veröffentlicht.
AI-Act-Bußgelder im Vergleich mit der DSGVO
Für Organisationen, die mit der DSGVO-Durchsetzung bereits vertraut sind, ist der Vergleich aufschlussreich:
Der AI Act übertrifft die DSGVO in der Höhe der Höchstsanktionen. Für die schwersten Verstöße (verbotene Praktiken) liegt die Obergrenze von 7 % / 35 Mio. EUR um 75 % höher als die oberste DSGVO-Stufe von 4 % / 20 Mio. EUR. Für Verstöße bei Hochrisiko-Systemen (die Stufe, die die meisten Organisationen betrifft) liegt die Obergrenze von 3 % / 15 Mio. EUR moderat unter der obersten DSGVO-Stufe, ist aber mit der zweiten DSGVO-Stufe vergleichbar.
Wichtige Lehre aus der DSGVO-Durchsetzung: Die höchsten DSGVO-Bußgelder wurden für systematische Nichteinhaltung verhängt, nicht für isolierte Fehler. Organisationen, denen es an Dokumentation fehlte, die Betroffenenrechte ignorierten oder grundlegende Sicherheitsmaßnahmen nicht umsetzten, erhielten die schärfsten Sanktionen. Das gleiche Muster wird beim AI Act erwartet: Ein systematisches Versagen bei der Umsetzung von technischer Dokumentation, Risikomanagement oder Konformitätsbewertung wird die höchsten Bußgelder nach sich ziehen, während Organisationen, die sich mit einigen Lücken in gutem Glauben bemüht haben, eher Korrekturanordnungen als Höchststrafen erhalten. Einen vollständigen Vergleich finden Sie in unserem Leitfaden AI Act vs. DSGVO.
Beispielrechnungen für Bußgelder aus der Praxis
Beispiel 1: Großer multinationaler Anbieter
Profil: Globales Technologieunternehmen, 10 Mrd. EUR Jahresumsatz, bietet eine KI-Einstellungsplattform an, die nach Anhang III als Hochrisiko eingestuft ist.
Verstoß: Konformitätsbewertung nicht durchgeführt, keine technische Dokumentation nach Anhang IV, kein Risikomanagement-System. Aufgedeckt durch die Beschwerde eines Bewerbers, der vom KI-System abgelehnt wurde.
Stufe: Stufe 2 (Hochrisiko-Pflichten).
Berechnung: Höherer Wert von 15 Mio. EUR oder 3 % von 10 Mrd. EUR = 300 Mio. EUR. Höchstbußgeld: 300 Mio. EUR.
Beispiel 2: Mittelgroße europäische Bank (Betreiber)
Profil: Europäische Bank, 200 Mio. EUR Jahresumsatz, setzt ein KI-System zur Kreditwürdigkeitsprüfung eines Drittanbieters ein.
Verstoß: Keine menschliche Aufsicht benannt, keine Benachrichtigung der Kreditantragsteller über die KI-Beteiligung, keine Aufbewahrung von Protokollen, keine FRIA trotz Stellung als Anbieter wesentlicher Dienste.
Stufe: Stufe 2 (Betreiberpflichten).
Berechnung: Höherer Wert von 15 Mio. EUR oder 3 % von 200 Mio. EUR = 6 Mio. EUR. Höchstbußgeld: 15 Mio. EUR.
Beispiel 3: Startup mit verbotener Praktik
Profil: KI-Startup, 3 Mio. EUR Jahresumsatz, 20 Beschäftigte, hat ein KI-System entwickelt, das Social-Media-Daten analysiert, um für Arbeitgeber die Persönlichkeit von Bewerbern zu profilieren.
Verstoß: Mögliche biometrische Kategorisierung zur Ableitung sensibler Merkmale (wenn das System Merkmale wie politische Ansichten oder religiöse Überzeugungen aus Verhaltensdaten erschließt), verboten nach Artikel 5.
Stufe: Stufe 1 (verbotene Praktiken), mit KMU-Anpassung.
Berechnung: Niedrigerer Wert von 35 Mio. EUR oder 7 % von 3 Mio. EUR = 210.000 EUR. Höchstbußgeld: 210.000 EUR, zuzüglich verpflichtender Einstellung der verbotenen Praktik.
Beispiel 4: KMU-Anbieter mit Dokumentationsmängeln
Profil: Europäisches KI-Unternehmen, 15 Mio. EUR Jahresumsatz, 80 Beschäftigte, bietet ein KI-System zur Prüfungsaufsicht (Proctoring) an (Hochrisiko nach Anhang III, Bereich 3).
Verstoß: Unzureichende technische Dokumentation, kein System zur Marktbeobachtung, veraltete Risikomanagement-Bewertung.
Stufe: Stufe 2, mit KMU-Anpassung.
Berechnung: Niedrigerer Wert von 15 Mio. EUR oder 3 % von 15 Mio. EUR = 450.000 EUR. Höchstbußgeld: 450.000 EUR.
So senken Sie Ihr Durchsetzungsrisiko
1. Klassifizieren Sie jedes KI-System in Ihrer Organisation
Sie können kein Risiko steuern, das Sie nicht erkannt haben. Erstellen Sie Ihr Verzeichnis der KI-Systeme und führen Sie die kostenlose AI-Act-Risikoklassifizierung für jedes System durch. Die Klassifizierung bestimmt, welche Bußgeldstufe gilt.
2. Priorisieren Sie die Prüfung auf verbotene Praktiken
Bußgelder der Stufe 1 sind bereits durchsetzbar. Führen Sie eine sofortige Prüfung aller KI-Systeme auf mögliche verbotene Praktiken durch, Social Scoring, manipulative Techniken, Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung nach sensiblen Merkmalen und ungezieltes Auslesen von Gesichtsbildern. Wenn ein System nahe an der Grenze liegt, holen Sie eine Rechtsauskunft ein, bevor die Behörden zu ihrem eigenen Schluss kommen.
3. Dokumentieren Sie umfassend
Das häufigste Durchsetzungsversagen über alle EU-Regulierungen hinweg ist fehlende Dokumentation, nicht böswillige Nichteinhaltung. Beginnen Sie jetzt mit Ihren Aufzeichnungen zu technischer Dokumentation und Risikomanagement. Dokumentation ist ein Nachweis für guten Glauben, und guter Glaube ist ein mildernder Faktor bei der Bemessung von Sanktionen.
4. Prüfen Sie Ihre Lieferkette
Wenn Sie KI-Systeme einsetzen, die von Dritten gebaut wurden, verlangen Sie Nachweise für deren Konformität: EU-Konformitätserklärung, CE-Kennzeichnung, Betriebsanleitung, Nachweis der Konformitätsbewertung. Der AI Act macht die Prüfung durch den Betreiber zu einer ausdrücklichen Rechtspflicht, die fehlende Möglichkeit zur Prüfung ist ein Compliance-Versagen, nicht nur eine Unannehmlichkeit im Einkauf. Die vollständige Analyse der Lieferkette finden Sie in unserem Leitfaden Anbieter vs. Betreiber.
5. Schulen Sie Ihr Team in KI-Kompetenz
Schulungen zur KI-Kompetenz sind nach Artikel 4 bereits durchsetzbar (seit 2. Februar 2025). Stellen Sie sicher, dass Mitarbeitende, die mit KI-Systemen arbeiten, die für ihre Rolle relevanten regulatorischen Anforderungen verstehen. Dazu gehören Personal für die menschliche Aufsicht, Einkaufsteams, die KI-Anbieter bewerten, und Entwickler, die KI-Systeme bauen.
6. Richten Sie Prozesse zur Meldung schwerwiegender Vorfälle ein
Etablieren Sie interne Prozesse, um schwerwiegende Vorfälle innerhalb der 15-Tage-Frist zu erkennen und zu melden. Das erfordert: definierte Eskalationswege, klare Kriterien dafür, was ein "schwerwiegender Vorfall" ist, zugewiesene Verantwortung für Meldungen an Behörden und Vorlagen für Vorfallberichte. Eine unterlassene Meldung ist selbst ein Verstoß der Stufe 2, der den zugrunde liegenden Vorfall verstärkt.
7. Nutzen Sie Reallabore (Regulatory Sandboxes)
Reallabore, die von nationalen Behörden eingerichtet werden, bieten eine strukturierte Umgebung, um KI-Systeme unter regulatorischer Aufsicht zu testen. Die Teilnahme zeigt ein proaktives Compliance-Engagement und verschafft Zugang zu behördlichen Hinweisen, die künftige Verstöße verhindern können.
8. Beobachten Sie Entwicklungen bei der Durchsetzung
Verfolgen Sie Durchsetzungsmaßnahmen in Ihrem Sektor und Ihrer Jurisdiktion. Die DSGVO-Durchsetzung zeigte klare Muster: Bestimmte Sektoren (Tech, Telekommunikation, Finanzdienstleistungen) erhielten überproportionale Aufmerksamkeit, und bestimmte Verstoßarten (fehlende Rechtsgrundlage, unzureichende Transparenz) wurden zuerst durchgesetzt. Frühe Durchsetzungsmuster beim AI Act werden ähnlich zeigen, worauf sich die Behörden konzentrieren.
Häufige Fehler, die das Durchsetzungsrisiko erhöhen
Fehler 1: Annehmen, die Durchsetzung werde sich verzögern oder nachsichtig sein
Die DSGVO-Durchsetzung begann langsam, beschleunigte sich aber dramatisch. Bis 2024 überstiegen die kumulierten DSGVO-Bußgelder 4 Mrd. EUR. Die Durchsetzungsinfrastruktur des AI Act wird auf den Grundlagen der DSGVO aufgebaut, die Lernkurve für die Behörden wird diesmal kürzer sein.
Fehler 2: Compliance als einmaliges Projekt behandeln
Der AI Act verlangt fortlaufende Compliance: laufendes Risikomanagement, Marktbeobachtung, Vorfallmeldung und Aktualisierung der Dokumentation. Eine im Juli 2026 abgeschlossene Konformitätsbewertung garantiert keine Compliance im Juli 2027, wenn sich die Leistung des Systems geändert hat oder neue Risiken entstanden sind.
Fehler 3: Betreiberpflichten ignorieren
Viele Organisationen konzentrieren sich ausschließlich auf die Anbieterpflichten, weil diese umfangreicher sind. Doch die Nichteinhaltung durch Betreiber, besonders das Versäumnis, menschliche Aufsicht zu benennen, betroffene Personen zu informieren oder FRIAs durchzuführen, birgt dieselbe Sanktionsexposition der Stufe 2.
Fehler 4: Kumulierte Verstöße nicht berücksichtigen
Der AI Act erlaubt Sanktionen für jeden einzelnen Verstoß. Einer Organisation mit mehreren nicht konformen KI-Systemen drohen mögliche Sanktionen pro System, nicht ein einziges zusammengefasstes Bußgeld. Einem Unternehmen mit zehn Hochrisiko-KI-Systemen, von denen keines eine Konformitätsbewertung hat, drohen zehn mögliche Verstöße.
Fehler 5: Reputationsschaden unterschätzen
Regulierungsbußgelder sind die bezifferbaren Kosten. Der Reputationsschaden, verlorene Verträge, abwandernde Kunden, beschädigte Marke und erhöhte Prüfung künftiger Produkte, übersteigt oft das Bußgeld selbst.
Häufig gestellte Fragen
Können Behörden sowohl den Anbieter als auch den Betreiber für dasselbe KI-System mit einem Bußgeld belegen?
Ja. Anbieter- und Betreiberpflichten sind voneinander unabhängig. Wenn ein Anbieter die Konformitätsbewertung nicht durchführt und ein Betreiber nicht prüft, ob die Konformitätsbewertung durchgeführt wurde, können beide für ihre jeweiligen Verstöße mit Bußgeldern belegt werden. Der AI Act schafft keine gesamtschuldnerische Haftung, jeder Akteur ist für seine eigenen Pflichten verantwortlich.
Gelten AI-Act-Bußgelder pro Verstoß oder pro System?
Der AI Act erlaubt Bußgelder pro Zuwiderhandlung. In der Praxis üben die nationalen Behörden Ermessen aus, und eine einzige Durchsetzungsmaßnahme kann mehrere Verstöße im Zusammenhang mit einem einzigen System behandeln. Organisationen, die mehrere nicht konforme Systeme betreiben, tragen jedoch das Risiko kumulierter Durchsetzung.
Welche mildernden Faktoren senken Bußgelder?
Artikel 99(6) verlangt von den Behörden, Folgendes zu berücksichtigen: Art, Schwere und Dauer der Zuwiderhandlung; ob Korrekturmaßnahmen ergriffen wurden; den Grad der Zusammenarbeit mit den Behörden; frühere Zuwiderhandlungen; die Auswirkungen auf betroffene Personen; den Grad der Verantwortung; und die Art und Weise, wie die Zuwiderhandlung bekannt wurde. Compliance-Bemühungen in gutem Glauben mit dokumentierten Lücken werden günstiger behandelt als systematische Nichteinhaltung.
Können Privatpersonen Unternehmen wegen Verstößen gegen den AI Act verklagen?
Ja. Artikel 85 sieht vor, dass betroffene Personen das Recht haben, Beschwerden bei den Marktüberwachungsbehörden einzureichen und einen wirksamen gerichtlichen Rechtsbehelf zu erlangen. Das schafft sowohl regulatorische als auch zivilrechtliche Durchsetzungskanäle, ähnlich dem zweigleisigen Ansatz der DSGVO.
Werden DSGVO- und AI-Act-Bußgelder für dasselbe Verhalten getrennt verhängt?
Möglicherweise ja. Wenn ein KI-System sowohl gegen die DSGVO (z. B. unrechtmäßiges Profiling) als auch gegen den AI Act (z. B. nicht konformes Hochrisiko-System) verstößt, können beide Sanktionssätze gelten. Der AI Act enthält jedoch eine Koordinierungsbestimmung, um eine unverhältnismäßige Kumulierung zu vermeiden. Wenn dasselbe Verhalten sowohl DSGVO- als auch AI-Act-Sanktionen auslöst, sollten die Behörden sich abstimmen, um die Verhältnismäßigkeit zu wahren, dieser Mechanismus wurde in der Praxis jedoch noch nicht erprobt. Siehe unseren detaillierten Vergleich der Pflichten aus AI Act und DSGVO.
Gibt es eine Amnestie oder Schonfrist für Organisationen, die Nichteinhaltung freiwillig offenlegen?
Der AI Act enthält kein formelles Amnestie- oder Kronzeugenprogramm. Allerdings sind die Zusammenarbeit mit den Behörden und freiwillige Korrekturmaßnahmen ausdrücklich als mildernde Faktoren bei der Bußgeldbemessung aufgeführt. Organisationen, die Nichteinhaltung entdecken und sie proaktiv beheben, bevor eine Durchsetzungsmaßnahme erfolgt, tragen in der Regel leichtere Folgen als jene, die durch Beschwerden oder Untersuchungen entdeckt werden.
Beginnen Sie mit der Klassifizierung, bauen Sie darauf auf
Die Sanktionsstruktur ist als Abschreckung angelegt, und die Zahlen sind hoch genug, um bei jeder Unternehmensgröße Aufmerksamkeit zu erzwingen. Aber der AI Act bietet auch Verhältnismäßigkeit für kleinere Unternehmen, klare Wege zur Compliance und mildernde Faktoren, die Bemühungen in gutem Glauben belohnen.
Die härteste Durchsetzung trifft jene Organisationen, die die Anforderungen völlig ignoriert haben, nicht jene, die sich ernsthaft um Compliance bemüht haben und dabei einige Lücken behielten.
Beginnen Sie mit der Klassifizierung. Bauen Sie Ihre Dokumentation auf. Prüfen Sie Ihre Lieferkette. Nutzen Sie den vollständigen AI-Act-Leitfaden, um jede Pflicht im Detail zu verstehen. Und führen Sie die kostenlose AI-Act-Bewertung durch, um ein klares Bild davon zu bekommen, wo Ihre Organisation heute steht.
Legalithm ist ein KI-gestütztes Compliance-Workflow-Tool, keine Rechtsberatung. Endgültige Compliance-Entscheidungen sollten von qualifizierten Rechtsberatern geprüft werden.


