eu-konform.ai
← Alle Artikel | AI Act

AI Act Bußgelder – Was Unternehmen wirklich droht

35 Mio. € oder 7 % des Jahresumsatzes – die Bußgelder im AI Act sind drastisch. Die 3 Strafstufen, wer kontrolliert und wie Sie Bußgelder vermeiden.

eu-konform.ai Redaktion · · 6 Min. Lesezeit

35 Millionen Euro. Oder 7 % des weltweiten Jahresumsatzes. Das ist die Höchststrafe, die der EU AI Act vorsieht. Zum Vergleich: Die DSGVO-Höchststrafe liegt bei 20 Millionen Euro oder 4 % des Umsatzes.

Die EU meint es ernst mit der KI-Regulierung. Aber was bedeutet das konkret für Ihr Unternehmen? Droht Ihnen wirklich die Millionenstrafe, weil Sie ChatGPT nutzen?

Die ehrliche Antwort: Wahrscheinlich nicht. Aber “wahrscheinlich nicht” ist keine Compliance-Strategie.

Die drei Bußgeldstufen im Überblick

Der AI Act staffelt die Bußgelder nach Schwere des Verstoßes in drei Stufen:

Stufe 1: Bis zu 35 Mio. € oder 7 % des Jahresumsatzes

Wofür: Einsatz verbotener KI-Praktiken (Art. 5 AI Act)

Das betrifft:

  • Social Scoring – Menschen anhand ihres Verhaltens in Kategorien einteilen
  • Manipulative KI – Unterschwellige Beeinflussung, die Schaden verursacht
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (mit Ausnahmen)
  • Biometrische Echtzeit-Überwachung in öffentlichen Räumen (mit Ausnahmen für Strafverfolgung)
  • Predictive Policing auf Basis persönlicher Merkmale
  • Ungezieltes Scraping von Gesichtsbildern aus dem Internet

Realistisch für KMUs? Sehr unwahrscheinlich – es sei denn, Sie betreiben eine Überwachungs-App oder ein Social-Scoring-System.

Stufe 2: Bis zu 15 Mio. € oder 3 % des Jahresumsatzes

Wofür: Verstoß gegen Pflichten für Hochrisiko-KI-Systeme

Das betrifft:

  • Fehlende Konformitätsbewertung
  • Keine ausreichende menschliche Aufsicht
  • Mangelhaftes Risikomanagement
  • Fehlende oder unzureichende technische Dokumentation
  • Keine Registrierung in der EU-Datenbank

Realistisch für KMUs? Relevant, wenn Sie KI für Bewerberauswahl, Kreditbewertung, Versicherungsprämien oder ähnlich sensible Entscheidungen einsetzen.

Stufe 3: Bis zu 7,5 Mio. € oder 1,5 % des Jahresumsatzes

Wofür: Verstoß gegen sonstige Pflichten, insbesondere:

  • Fehlende Transparenzkennzeichnung (Chatbots, KI-generierte Inhalte)
  • Keine KI-Kompetenzschulungen für Mitarbeiter
  • Falsche oder unvollständige Angaben gegenüber Behörden

Realistisch für KMUs? Das ist die Stufe, die die meisten Unternehmen betrifft. Wer einen Chatbot auf der Website hat und nicht als KI kennzeichnet, verstößt gegen die Transparenzpflicht.

Was die Zahlen für KMUs konkret bedeuten

Die gesetzliche Obergrenze ist immer der höhere der beiden Werte – Festbetrag oder Umsatzprozentsatz. Das bedeutet: Auch bei kleinen Unternehmen ist der Festbetrag das theoretische Maximum.

Rechenbeispiel Stufe 3 (Transparenzverstoß):

  • Unternehmen mit 2 Mio. € Umsatz: Theoretisches Maximum = 7,5 Mio. € (Festbetrag > 1,5 % von 2 Mio.)
  • Unternehmen mit 10 Mio. € Umsatz: Theoretisches Maximum = 7,5 Mio. € (Festbetrag > 1,5 % von 10 Mio.)
  • Unternehmen mit 500 Mio. € Umsatz: Theoretisches Maximum = 7,5 Mio. € (1,5 % = 7,5 Mio.)
  • Unternehmen mit 1 Mrd. € Umsatz: Theoretisches Maximum = 15 Mio. € (1,5 % > Festbetrag)

Wichtig: Das sind Obergrenzen, keine Regelbußgelder. Art. 99 Abs. 5 schreibt vor, dass bei KMUs die wirtschaftliche Leistungsfähigkeit berücksichtigt werden muss. Das Bußgeld muss “wirksam, verhältnismäßig und abschreckend” sein – nicht existenzvernichtend. In der Praxis werden KMUs bei Erstverstößen deutlich niedrigere Strafen erhalten.

Wer kontrolliert und bestraft?

Nationale Aufsichtsbehörden

Jeder EU-Mitgliedstaat muss mindestens eine nationale Aufsichtsbehörde benennen. In Deutschland wird das voraussichtlich die Bundesnetzagentur sein (BNetzA), möglicherweise in Zusammenarbeit mit anderen Behörden.

In Österreich ist die Zuständigkeit noch nicht final geklärt – die RTR (Rundfunk und Telekom Regulierungs-GmbH) und die Datenschutzbehörde sind im Gespräch.

Das EU AI Office

Auf EU-Ebene überwacht das AI Office (eingerichtet im Februar 2024) die Einhaltung – insbesondere für General Purpose AI wie GPT-4 oder Claude. Das Office kann direkt Bußgelder gegen Anbieter großer Sprachmodelle verhängen.

Beschwerdemechanismus

Jede Person oder Organisation kann Beschwerde bei der nationalen Aufsichtsbehörde einlegen. Das heißt: Ein unzufriedener Kunde, ein Ex-Mitarbeiter oder ein Wettbewerber kann eine Prüfung auslösen.

5 Faktoren, die die Bußgeldhöhe beeinflussen

Der AI Act nennt in Art. 99 konkrete Kriterien:

  1. Art, Schwere und Dauer des Verstoßes
  2. Vorsatz oder Fahrlässigkeit – wer aktiv getäuscht hat, zahlt mehr
  3. Maßnahmen zur Schadensbegrenzung – haben Sie nach Entdeckung sofort gehandelt?
  4. Unternehmensgröße und Marktanteil – KMUs werden milder behandelt
  5. Vorherige Verstöße – Wiederholungstäter zahlen mehr

Kooperationsbereitschaft lohnt sich: Wer freiwillig mit den Behörden zusammenarbeitet und Verstöße selbst meldet, kann mit Milderung rechnen.

DSGVO-Parallele: Was wir daraus lernen können

Die DSGVO gilt seit 2018. Acht Jahre Erfahrung zeigen:

  • Großunternehmen wurden zuerst und am härtesten bestraft (Amazon: 746 Mio. €, Meta: 1,2 Mrd. €)
  • KMUs wurden in der Anfangsphase kaum direkt bestraft – aber zunehmend über Beschwerden in den Fokus gerückt
  • Dokumentationsmängel waren der häufigste Grund für Bußgelder – nicht spektakuläre Datenpannen

Beim AI Act wird es voraussichtlich ähnlich laufen: Die ersten Bußgelder werden Großkonzerne treffen. Aber die Welle erreicht KMUs – spätestens wenn die erste Beschwerde eingeht.

So minimieren Sie Ihr Bußgeldrisiko

Sofort-Maßnahmen (Kosten: 0 €)

  • KI-Inventar erstellen – Welche KI-Tools setzen Sie ein?
  • Chatbot als KI kennzeichnen – Ein Satz reicht: “Sie kommunizieren mit einem KI-Assistenten”
  • KI-generierte Inhalte intern dokumentieren – Wer hat was mit welchem Tool erstellt?

Kurzfristig (bis August 2026)

  • Risikoklassifizierung – In welche Kategorie fallen Ihre KI-Systeme?
  • Mitarbeiterschulungen – Art. 4 verlangt KI-Kompetenz
  • Transparenzhinweise auf Website und in Kundenkommunkation

Mittelfristig

  • Compliance-Prozess etablieren – jährlicher Review, neue KI-Tools prüfen
  • Dokumentation aufbauen – bei Hochrisiko-Systemen umfassend

Fazit

Die Bußgelder des AI Acts klingen bedrohlich – und das sollen sie auch. Aber für die meisten KMUs ist das Risiko beherrschbar, wenn sie die Grundlagen umsetzen: KI-Inventar, Transparenz, Schulung.

Die größte Gefahr ist nicht die 35-Millionen-Strafe. Die größte Gefahr ist, nichts zu tun und dann unvorbereitet in eine Beschwerde oder Prüfung zu laufen.

Wissen Sie, welche Risikoklasse Ihre KI-Tools haben? Der KI-Kompass zeigt es Ihnen in 5 Minuten – kostenlos.

Ist Ihr KI-Einsatz konform?

Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.

Jetzt prüfen
← Alle Artikel