Der EU AI Act bringt ein dreistufiges Bußgeldsystem mit sich, das in seiner Schärfe an die DSGVO erinnert – und diese in manchen Bereichen sogar übertrifft. Für Unternehmen, die KI einsetzen, ist es essenziell zu verstehen, welche Strafen bei welchen Verstößen drohen.
Das dreistufige Bußgeldsystem
Der EU AI Act (Verordnung (EU) 2024/1689) sieht drei Bußgeldstufen vor, die sich nach der Schwere des Verstoßes richten:
🔴 Stufe 1: Verbotene KI-Praktiken
Bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes
Gilt für den Einsatz verbotener KI-Systeme wie Social Scoring, unterschwellige Manipulation oder biometrische Massenüberwachung.
🟠 Stufe 2: Verstoß gegen Kernpflichten
Bis zu 15 Mio. € oder 3% des weltweiten Jahresumsatzes
Gilt für Verstöße gegen High-Risk-Pflichten, Transparenzpflichten und Pflichten für General-Purpose-AI.
🟡 Stufe 3: Falsche Angaben
Bis zu 7,5 Mio. € oder 1,5% des weltweiten Jahresumsatzes
Gilt für die Übermittlung falscher oder irreführender Informationen an Aufsichtsbehörden.
Wichtig: Es gilt immer der höhere Betrag – der Festbetrag oder der prozentuale Anteil am Umsatz. Bei internationalen Konzernen kann der prozentuale Anteil deutlich über dem Festbetrag liegen.
Vergleich mit der DSGVO
Um die Dimension einzuordnen – ein Vergleich mit den DSGVO-Bußgeldern:
| Kriterium | DSGVO | EU AI Act |
|---|---|---|
| Maximale Strafe (Festbetrag) | 20 Mio. € | 35 Mio. € |
| Maximale Strafe (% Umsatz) | 4% | 7% |
| KMU-Sonderregelungen | Begrenzt | Ja, explizit vorgesehen |
| Verwarnung vor Bußgeld | Möglich | Empfohlen als erste Maßnahme |
Wer verhängt die Bußgelder?
Jeder EU-Mitgliedstaat muss eine nationale Aufsichtsbehörde für den AI Act einrichten. In Deutschland wird diese Rolle voraussichtlich von der Bundesnetzagentur übernommen, die bereits als zuständige Behörde benannt wurde.
Die Aufsichtsbehörden haben weitreichende Befugnisse:
- Marktüberwachung: Proaktive Kontrolle von KI-Systemen auf dem Markt
- Audits: Recht auf Prüfung der KI-Dokumentation und -Prozesse eines Unternehmens
- Anordnungen: Aufforderung zur Nachbesserung oder Einstellung des KI-Einsatzes
- Bußgelder: Verhängung von Geldstrafen bei Verstößen
Sonderregelungen für KMU und Start-ups
Der EU AI Act berücksichtigt, dass hohe Bußgelder für kleine Unternehmen existenzbedrohend sein können. Daher gelten Sonderregelungen:
| Unternehmensgröße | Maximales Bußgeld bei Stufe 1 | Maximales Bußgeld bei Stufe 2 |
|---|---|---|
| Großunternehmen (>250 MA) | 35 Mio. € / 7% Umsatz | 15 Mio. € / 3% Umsatz |
| KMU (<250 MA) | Verhältnismäßig geringer, aber empfindlich | Verhältnismäßig geringer, aber empfindlich |
| Start-ups (<5 Jahre, <10 Mio. € Umsatz) | Niedrigerer Betrag oder % des Umsatzes | Niedrigerer Betrag oder % des Umsatzes |
Achtung: „Verhältnismäßig" bedeutet nicht „vernachlässigbar". Auch bei KMU können Bußgelder im sechsstelligen Bereich liegen – genug, um die Existenz zu gefährden.
Welche Faktoren beeinflussen die Bußgeldhöhe?
Die Aufsichtsbehörden berücksichtigen bei der Bemessung mehrere Faktoren:
- Art und Schwere des Verstoßes: Ein fehlender Transparenzhinweis wiegt weniger als der Einsatz verbotener KI
- Vorsatz oder Fahrlässigkeit: Bewusste Verstöße werden härter bestraft
- Ergriffene Gegenmaßnahmen: Schnelle Korrektur kann strafmildernd wirken
- Kooperationsbereitschaft: Zusammenarbeit mit der Aufsichtsbehörde wird positiv bewertet
- Betroffene Personen: Je mehr Menschen betroffen sind, desto höher die Strafe
- Vorherige Verstöße: Wiederholungstäter werden strenger bestraft
- Vorhandene Dokumentation: Nachgewiesene Compliance-Bemühungen wirken strafmildernd
Konkrete Risikoszenarien
Szenario 1: Fehlender Chatbot-Hinweis
Ein Unternehmen betreibt einen KI-Chatbot ohne Transparenzhinweis. Ein Kunde beschwert sich bei der Aufsichtsbehörde.
Mögliche Folge: Verwarnung + Aufforderung zur Nachbesserung. Bei Nicht-Befolgung: Bußgeld bis 15 Mio. € / 3% Umsatz.
Szenario 2: Ungeprüftes HR-Tool
Ein Unternehmen setzt KI-basiertes CV-Screening ein, ohne Risikobewertung, Dokumentation oder menschliche Aufsicht.
Mögliche Folge: Bußgeld bis 15 Mio. € / 3% Umsatz + Anordnung zur sofortigen Einstellung bis zur Compliance-Herstellung.
Szenario 3: Social Scoring von Kunden
Ein Unternehmen bewertet Kunden anhand ihres Online-Verhaltens, um ihnen unterschiedliche Preise anzubieten.
Mögliche Folge: Bußgeld bis 35 Mio. € / 7% Umsatz + sofortige Einstellung der Praxis.
So schützen Sie sich
Die beste Versicherung gegen Bußgelder ist proaktive Compliance. Unser kostenloser Compliance-Check zeigt Ihnen in 5 Minuten:
- Welche Risikostufe für Ihre KI-Systeme gilt
- Welche konkreten Pflichten Sie erfüllen müssen
- Wo akuter Handlungsbedarf besteht
- Ein PDF-Dokument als ersten Compliance-Nachweis