Sanktionen des AI Act: Bußgelder bis zu 35 Millionen Euro

Ein beispielloses Sanktionsregime

Die Europäische Verordnung über künstliche Intelligenz (Verordnung 2024/1689) führt eines der strengsten Sanktionssysteme im europäischen Digitalrecht ein. Mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes sendet der AI Act ein klares Signal: Nicht-Konformität bei KI ist kein abstraktes Risiko — es ist ein erhebliches finanzielles Risiko.

Artikel 99 — Règlement (UE) 2024/1689

Die Mitgliedstaaten legen die Vorschriften über Sanktionen und andere Durchsetzungsmaßnahmen fest, die auch Verwarnungen und nicht-monetäre Maßnahmen umfassen können, die bei Verstößen gegen diese Verordnung durch die Akteure anwendbar sind, und treffen alle erforderlichen Maßnahmen, um sicherzustellen, dass sie ordnungsgemäß und wirksam durchgesetzt werden […].

Die drei Bußgeldstufen

Artikel 99 der Verordnung definiert drei Sanktionsstufen, je nach Schwere des Verstoßes.

Stufe 1 — Verbotene Praktiken: 35 Mio. Euro oder 7 % des weltweiten Umsatzes

Die höchste Sanktionsstufe gilt für Verstöße gegen Artikel 5 (verbotene Praktiken):

• Social Scoring
• Unterschwellige Manipulation oder täuschende Techniken
• Ausnutzung von Schwachstellen von Personen
• Biometrische Echtzeit-Identifizierung in öffentlichen Räumen (außer zugelassene Ausnahmen)
• Emotionserkennung am Arbeitsplatz und in der Bildung
• Aufbau von Gesichtsdatenbanken durch Scraping

Das Bußgeld kann 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes erreichen, wobei der höhere Betrag maßgeblich ist.

Für ein Unternehmen mit 500 Millionen Euro Umsatz bedeutet das potenziell 35 Millionen Euro Bußgeld. Für einen globalen Konzern mit 10 Milliarden Euro Umsatz steigt das theoretische Bußgeld auf 700 Millionen Euro.

Stufe 2 — Nicht-Konformität von Hochrisiko-Systemen: 15 Mio. Euro oder 3 % des weltweiten Umsatzes

Die zweite Stufe betrifft Verstöße gegen Pflichten im Zusammenhang mit Hochrisiko-KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck:

• Nicht-Einhaltung der Risikomanagement-Anforderungen (Artikel 9)
• Mängel bei der Datengovernance (Artikel 10)
• Fehlende technische Dokumentation (Artikel 11)
• Unzureichende Transparenz gegenüber Nutzern (Artikel 13)
• Unzureichende menschliche Aufsicht (Artikel 14)
• Nicht-Konformität von KI-Modellen mit allgemeinem Verwendungszweck (Artikel 51 bis 56)
• Nicht-Einhaltung der KI-Kompetenzpflicht (Artikel 4)

Dieser letzte Punkt ist entscheidend: Das Versäumnis, Mitarbeitende in KI zu schulen, fällt unter diese Stufe. Ein Unternehmen, das keine Maßnahmen ergriffen hat, um ein ausreichendes Maß an KI-Kompetenz für sein Personal sicherzustellen, riskiert Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes.

Stufe 3 — Falsche Informationen: 7,5 Mio. Euro oder 1,5 % des weltweiten Umsatzes

Die dritte Stufe gilt, wenn ein Unternehmen den zuständigen Behörden oder benannten Stellen ungenaue, unvollständige oder irreführende Informationen liefert:

• Falsche Konformitätserklärungen
• Gefälschte oder unvollständige technische Dokumente
• Ungenaue Antworten auf Auskunftsersuchen der Behörden
• Verheimlichung von Vorfällen oder Fehlfunktionen

Das Bußgeld kann 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes erreichen.

Vergleich mit der DSGVO: höhere Bußgelder

Um die Strenge des AI-Act-Regimes einzuordnen, ist der Vergleich mit der DSGVO aufschlussreich:

Kriterium	DSGVO	AI Act
Maximales Bußgeld (Festbetrag)	20 Mio. Euro	35 Mio. Euro
Maximales Bußgeld (% des Umsatzes)	4 % des weltweiten Umsatzes	7 % des weltweiten Umsatzes
Anzahl der Stufen	2	3
In Kraft seit	Mai 2018	Schrittweise (2025-2027)
Aufsichtsbehörde	Datenschutzbehörden	Nationale Behörden + Europäisches KI-Büro

Der europäische Gesetzgeber hat die Sanktionen des AI Act bewusst über denen der DSGVO angesetzt. Die Botschaft ist klar: Die Risiken schlecht gemanagter KI werden als mindestens so schwerwiegend angesehen wie die des Datenschutzes — und Unternehmen werden entsprechend sanktioniert.

Zur Erinnerung: Die DSGVO-Sanktionen sind nicht theoretisch geblieben. 2023 erhielt Meta ein Bußgeld von 1,2 Milliarden Euro von der irischen Aufsichtsbehörde. Amazon wurde 2021 in Luxemburg mit 746 Millionen Euro bestraft. Auch die BfDI in Deutschland hat bereits empfindliche DSGVO-Bußgelder verhängt. Die europäischen Behörden haben bewiesen, dass sie nicht zögern, Höchststrafen gegen große Unternehmen zu verhängen.

Sonderregelungen für KMU

Die Verordnung sieht eine angepasste Behandlung für kleine Unternehmen vor. Artikel 99(6) legt fest, dass Bußgelder „wirksam, verhältnismäßig und abschreckend” sein müssen. Bei KMU und Startups müssen die Behörden die wirtschaftliche Lebensfähigkeit des Unternehmens berücksichtigen.

Konkret:

• Die Umsatzprozentsätze gelten gleichermaßen, aber die Festbeträge (35 Mio., 15 Mio., 7,5 Mio. Euro) bilden eine absolute Obergrenze
• Die Behörden müssen die Größe des Unternehmens, die Schwere des Verstoßes, die Absichtlichkeit und die ergriffenen Schadensbegrenzungsmaßnahmen berücksichtigen
• Regulatorische Sandboxen (Artikel 57) bieten einen Rahmen, in dem KMU ihre KI-Systeme unter realen Bedingungen mit Begleitung der Behörden testen können

Wer kontrolliert und wer sanktioniert?

Zuständige nationale Behörden

Jeder Mitgliedstaat muss eine oder mehrere zuständige nationale Behörden benennen, die für die Marktüberwachung und die Durchsetzung der Verordnung verantwortlich sind. In Deutschland wird diese Verantwortung voraussichtlich zwischen mehreren Akteuren aufgeteilt:

• Die BfDI (Bundesbeauftragte für den Datenschutz) — bereits zuständig für den Datenschutz, mit natürlicher Expertise bei KI-Systemen, die personenbezogene Daten verarbeiten
• Die BNetzA oder eine neue Behörde — für Aspekte im Zusammenhang mit KI-Modellen und Infrastrukturen
• Bestehende Sektoraufsichtsbehörden (BaFin für Finanzen, Gesundheitsbehörden für das Gesundheitswesen) — für Hochrisiko-KI-Systeme in ihren jeweiligen Bereichen

Das Europäische KI-Büro (AI Office)

Das innerhalb der Europäischen Kommission eingerichtete Europäische KI-Büro spielt eine Koordinationsrolle und verfügt über direkte Zuständigkeiten für KI-Modelle mit allgemeinem Verwendungszweck. Es kann:

• Die Konformität von KI-Modellen mit allgemeinem Verwendungszweck bewerten
• Korrekturmaßnahmen von Anbietern verlangen
• Bußgelder für Verstöße im Zusammenhang mit allgemeinen Modellen verhängen

📄AI Act Artikel 4: die KI-Schulungspflicht erklärt→

Die Bedeutung des Konformitätsnachweises

Über die Bußgelder hinaus beruht der Mechanismus des AI Act auf einem grundlegenden Prinzip: Die Beweislast liegt beim Unternehmen. Nicht die Behörde muss nachweisen, dass Sie nicht konform sind — Sie müssen nachweisen, dass Sie es sind.

Was „Konformität nachweisen” konkret bedeutet

1. Technische Dokumentation: Für jedes Hochrisiko-KI-System ein vollständiges Dossier mit Beschreibung des Systems, seiner Zwecke, seiner Leistung, seiner Grenzen und der verwendeten Trainingsdaten
2. Konformitätsregister: Verlauf der Konformitätsbewertungen, internen Audits und Aktualisierungen
3. Nutzungsprotokolle: Automatisierte Logs, die die Entscheidungen der KI-Systeme nachverfolgen (Mindestaufbewahrung sechs Monate)
4. Schulungsnachweise: Zertifikate, Bewertungsergebnisse, Teilnahmequoten — als Nachweis, dass das Personal das von Artikel 4 geforderte Kompetenzniveau erreicht hat
5. Meldeverfahren: Dokumentierte Mechanismen, die es Nutzern ermöglichen, Fehlfunktionen oder problematische Ergebnisse zu melden

Ein messbarer und nachverfolgbarer Kompetenz-Score für jeden Mitarbeitenden stellt einen besonders starken Nachweis für die Konformität mit Artikel 4 dar. Ebenso ermöglicht eine vollständige Historie absolvierter Schulungen mit Daten, Inhalten und Ergebnissen den objektiven Nachweis der Konformität.

Der erschwerende Faktor: keinerlei Maßnahmen

Bei einer Kontrolle ist die ungünstigste Situation nicht ein unvollkommenes Konformitätsprogramm — sondern gar keines zu haben. Die Behörden werden die vom Unternehmen unternommenen Anstrengungen berücksichtigen. Einen strukturierten Ansatz eingeleitet zu haben, selbst einen unvollständigen, ist immer besser als völlige Untätigkeit.

📄KI-Audit im Unternehmen: praktischer Schritt-für-Schritt-Leitfaden→

Der Risiko-Zeitplan

Die Sanktionen greifen schrittweise, im Einklang mit dem Inkrafttreten der verschiedenen Pflichten:

Datum	Geltende Pflichten	Anwendbare Sanktionen
1. Februar 2025	Verbotene Praktiken (Artikel 5)	Bis zu 35 Mio. Euro / 7 %
2. August 2025	KI-Kompetenz (Artikel 4) + Allgemeine Modelle	Bis zu 15 Mio. Euro / 3 %
2. August 2026	Hochrisiko-KI-Systeme	Bis zu 15 Mio. Euro / 3 %
2. August 2027	Hochrisiko-Systeme in regulierten Produkten	Bis zu 15 Mio. Euro / 3 %

Die beiden ersten Fristen sind bereits abgelaufen. Unternehmen, die noch keine Maßnahmen zu verbotenen Praktiken und KI-Kompetenz ergriffen haben, befinden sich bereits in der Risikozone.

Über die Bußgelder hinaus: indirekte Risiken

Finanzielle Sanktionen sind nur die sichtbare Spitze. Die Nicht-Konformität mit dem AI Act birgt weitere ebenso bedeutende Risiken:

• Reputationsrisiko: Öffentlich als nicht konform mit der KI-Regulierung identifiziert zu werden, sendet ein verheerendes Signal an Kunden, Partner und Investoren
• Geschäftsrisiko: Konforme Unternehmen werden von ihren Lieferanten und Partnern ebenfalls Konformität verlangen — ein Kaskadeneffekt vergleichbar mit dem der DSGVO
• Betriebsrisiko: Behörden können die Rücknahme eines nicht konformen KI-Systems vom Markt anordnen oder dessen Nutzung untersagen — und damit potenziell kritische Geschäftsprozesse lahmlegen
• Rechtsstreit-Risiko: Von einem nicht konformen KI-System betroffene Personen können Klagen einreichen, mit den damit verbundenen Rechts- und Entschädigungskosten