AI Act Bußgelder: Was KMU bei Verstößen droht
Kurz zusammengefasst: Die EU KI-Verordnung sieht Bußgelder in drei Stufen vor — je nach Schwere des Verstoßes bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Für KMU und Betreiber (nicht Anbieter) sind die relevanten Maximalbeträge niedriger: bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes. Die Frist läuft: Ab 2. August 2026 können Behörden diese Strafen verhängen. Wer jetzt handelt, ist auf der sicheren Seite.
Drei Bußgeldstufen im AI Act
Art. 99 der EU KI-Verordnung definiert ein abgestuftes Bußgeld-System. Die Höhe richtet sich nach dem Typ des Verstoßes — nicht danach, ob Sie ein großes oder kleines Unternehmen sind. Allerdings sieht Art. 99 Abs. 6 ausdrücklich vor, dass bei KMU und Start-ups die Verhältnismäßigkeit berücksichtigt werden soll.
| Stufe | Verstoß | Maximum | Rechtsgrundlage |
|---|---|---|---|
| Stufe 1 — Schwerste | Verbotene KI-Praktiken einsetzen (z.B. Social Scoring, manipulative KI) | 35 Mio. € oder 7 % Umsatz | Art. 99 Abs. 3 KI-VO |
| Stufe 2 — Schwer | Pflichten als Anbieter oder Betreiber nicht erfüllt (Dokumentation, Transparenz, Hochrisiko-Auflagen) | 15 Mio. € oder 3 % Umsatz | Art. 99 Abs. 4 KI-VO |
| Stufe 3 — Leicht | Falsche oder irreführende Informationen gegenüber Behörden | 7,5 Mio. € oder 1 % Umsatz | Art. 99 Abs. 5 KI-VO |
Was gilt für KMU in der Praxis? Als KMU-Betreiber — also als Unternehmen, das KI-Systeme einsetzt, aber nicht selbst entwickelt — fallen Sie primär unter Stufe 2. Maximal 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, je nachdem was niedriger ist (Art. 99 Abs. 6 KI-VO — KMU-Schutzregel). Bei einem Jahresumsatz von 5 Millionen Euro wären das bis zu 150.000 Euro.
Welche Verstöße KMU konkret betreffen
Die Bußgeld-Stufen klingen abstrakt. Konkreter: Was muss ein Unternehmen konkret falsch machen, damit eine Aufsichtsbehörde aktiv wird?
Verbotene Praktiken — Stufe 1
Stufe 1 betrifft KI-Systeme die komplett verboten sind [Art. 5 KI-VO]. Für normale KMU ist das unwahrscheinlich — es geht um Systeme wie:
- Social-Scoring-Systeme (staatlich oder privat), die Menschen nach sozialem Verhalten bewerten
- Manipulative KI, die Entscheidungen unbewusst beeinflusst (z.B. exploitiert psychische Schwächen)
- Biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen)
- KI-Systeme zur Emotionserkennung am Arbeitsplatz (außer Sicherheitsanwendungen)
Achtung bei HR-KI: KI-Systeme die Stimmungslagen oder Emotionen von Mitarbeitern analysieren — z.B. über Webcam-Analyse in Video-Meetings — fallen unter das Verbot der Emotionserkennung am Arbeitsplatz [Art. 5 Abs. 1 lit. g KI-VO]. Wer solche Tools einsetzt, riskiert Stufe-1-Bußgelder.
Betreiber-Pflichten — Stufe 2 (relevant für die meisten KMU)
Hier liegt das reale Risiko für KMU. Art. 26 KI-VO definiert die Pflichten für Betreiber (Deployer). Wer diese verletzt, riskiert Stufe-2-Bußgelder. Die häufigsten Verstöße:
| Pflicht | Was fehlt | Bußgeld-Stufe |
|---|---|---|
| KI-Kompetenz sicherstellen [Art. 4] | Keine Schulung, keine Dokumentation | Stufe 2 |
| KI-Inventar / Dokumentation | Kein Nachweis welche KI-Systeme eingesetzt werden | Stufe 2 |
| Transparenz bei Kundenkontakt [Art. 50] | Kein Hinweis bei KI-Chatbot oder KI-Kommunikation | Stufe 2 |
| Menschliche Aufsicht bei Hochrisiko [Art. 26 Abs. 1] | Hochrisiko-KI ohne Aufsichtsmaßnahmen | Stufe 2 (erhöht) |
| Datenschutz-Folgenabschätzung | Kein FRIA bei Hochrisiko-KI [Art. 27] | Stufe 2 |
Wann fangen Behörden wirklich an, Bußgelder zu verhängen?
Die ehrliche Antwort: Wahrscheinlich nicht ab Tag 1 nach der Deadline. Erfahrungen aus der DSGVO zeigen, dass Behörden zunächst auf informelle Compliance setzen — Hinweise, Auskunftsersuchen, Fristsetzungen. Bußgelder folgen typischerweise bei:
- Schwerwiegenden Verstößen mit konkretem Schaden (Diskriminierung durch KI, verbotene Praktiken)
- Beschwerden von Betroffenen (Mitarbeiter, Kunden)
- Wiederholten Verstößen nach Hinweisen der Behörde
- Kooperationsverweigerung gegenüber Behörden
KMU-Tipp: Wer aktiv Compliance-Bemühungen nachweisen kann — KI-Inventar vorhanden, Schulungen dokumentiert, Prozesse etabliert — hat im Behörden-Dialog eine deutlich stärkere Position. Nicht Perfektion, sondern nachweisbares Bemühen ist das Ziel. Das ist der entscheidende Unterschied zwischen einem Bußgeld und einer Verwarnung.
Wer ist zuständig? Die Aufsichtsbehörden in Deutschland
Jeder EU-Mitgliedstaat muss eine oder mehrere nationale Aufsichtsbehörden benennen [Art. 70 KI-VO]. In Deutschland ist die Zuständigkeit noch im Aufbau — es zeichnet sich ab, dass sektorspezifische Behörden zuständig sein werden:
- Allgemein: Eine zentrale Marktüberwachungsbehörde (wird noch bestimmt)
- Finanzen: BaFin (für KI in Finanzdienstleistungen)
- Datenschutz: Landesdatenschutzbehörden (soweit DSGVO-Berührung)
- Medizin: BfArM (für Medizinprodukte mit KI)
Die Konsequenz: Beschwerden können aus mehreren Richtungen kommen — von Kunden, von Mitarbeitern, von Wettbewerbern oder aus eigener Initiative der Behörden. Das Risiko ist realer als bei vielen anderen Regulierungen.
Praxisbeispiel: Was ein Verstoß tatsächlich kosten kann
Ein mittelständischer Personaldienstleister mit 8 Millionen Euro Jahresumsatz setzt eine KI-gestützte Bewerbervorauswahl ein — ein klassischer Hochrisiko-Anwendungsfall nach Anhang III Nr. 4 KI-VO. Er hat:
- Keine Risikoklassifizierung durchgeführt
- Keine FRIA (Fundamental Rights Impact Assessment) erstellt
- Keine Schulung der HR-Mitarbeiter dokumentiert
- Keinen Hinweis auf KI-Einsatz im Bewerbungsverfahren gegeben
Bei einer Beschwerde eines abgelehnten Bewerbers prüft die Behörde und stellt alle vier Verstöße fest. Mögliche Konsequenzen: Bußgeld bis zu 240.000 Euro (3 % von 8 Mio. €), plus Untersagung des KI-Systems bis zur Nachbesserung, plus Reputationsschaden durch öffentliche Bekanntmachung.
Prävention: Die FRIA, ein KI-Inventar-Eintrag und eine Mitarbeiterschulung — Gesamtaufwand mit dem Compliance Kit: ein Nachmittag und 297 Euro.
Reputationsrisiko nicht unterschätzen: Die KI-Verordnung sieht vor, dass Behörden schwerwiegende Verstöße öffentlich bekannt machen können [Art. 99 Abs. 10 KI-VO]. Eine öffentliche Meldung "Unternehmen X verstößt gegen AI Act" kann für KMU deutlich teurer werden als das eigentliche Bußgeld.
Was Sie jetzt tun können — in 3 Schritten
Der praktische Schutz vor Bußgeldern ist einfacher als die Zahlen vermuten lassen. Drei Maßnahmen decken den Großteil des KMU-Risikos ab:
- KI-Inventar anlegen: Alle KI-Systeme erfassen, Einsatzzweck dokumentieren, Risikoklasse bestimmen. Zeigt der Behörde: Sie wissen, was Sie einsetzen. Anleitung dazu →
- Schulungen dokumentieren: Art. 4 KI-VO gilt seit Februar 2025. Wer einschlägige Mitarbeiter noch nicht geschult hat, hat bereits einen Verstoß. Nachholen und schriftlich festhalten — Name, Datum, Inhalt.
- Hochrisiko prüfen: Setzen Sie KI in Bereichen ein, die in Anhang III der KI-Verordnung stehen? Dann gelten erhöhte Anforderungen. Für die meisten KMU die Antwort: Nein — aber das muss dokumentiert sein.
Was kostet Compliance vs. was kostet ein Bußgeld?
| Szenario | Kosten |
|---|---|
| AI Act Compliance Kit (Starter) | 149 € — einmalig |
| Externe Compliance-Beratung | 2.000 – 8.000 € — einmalig |
| Typisches Bußgeld Stufe 2 bei kleinem KMU (1–2 Mio. € Umsatz) | 30.000 – 60.000 € — zzgl. Anwaltskosten |
| Bußgeld Stufe 2 bei mittlerem KMU (5–10 Mio. € Umsatz) | 150.000 – 300.000 € — zzgl. Anwaltskosten |
| Reputationsschaden durch öffentliche Behördenmeldung | Nicht quantifizierbar |
Jetzt Bußgeld-Risiko eliminieren — ab 149 €
KI-Inventar, Schulungsdokumentation, Risikoklassifizierung und 90-Tage-Umsetzungsplan. 11 fertige Vorlagen. Einmalkauf, kein Abo. 91 Tage bis zur August-Deadline.
Compliance Kit ansehen – ab 149 €Häufige Fragen zu AI Act Bußgeldern
Werden KMU wirklich bestraft oder gilt das nur für Großkonzerne?
Das Gesetz unterscheidet nicht zwischen groß und klein. Art. 99 Abs. 6 KI-VO verlangt lediglich, dass bei der Festsetzung des konkreten Bußgeldes die Verhältnismäßigkeit gegenüber KMU und Start-ups berücksichtigt wird. Das schützt vor existenzgefährdenden Strafen — aber nicht vor Bußgeldern an sich. Die DSGVO hat gezeigt: Auch kleine Unternehmen werden sanktioniert, besonders nach Beschwerden.
Was gilt wenn ich ein ausländisches KI-Tool (USA, China) nutze — kann die EU-Behörde trotzdem zugreifen?
Ja. Die KI-Verordnung gilt für alle, die KI-Systeme in der EU einsetzen oder auf EU-Märkten anbieten — unabhängig davon, wo der Anbieter sitzt [Art. 2 Abs. 1 KI-VO]. Als EU-Betreiber sind Sie für die Compliance Ihres Einsatzes verantwortlich, auch wenn der Anbieter in den USA sitzt.
Gibt es eine Möglichkeit, Bußgelder durch Selbstmeldung zu reduzieren?
Die KI-Verordnung sieht keine formelle Selbstmeldung mit Bußgeldreduktion vor, wie es sie im Kartellrecht gibt. Allerdings ist aktive Kooperation mit der Behörde ein strafmildernder Faktor bei der Bemessung [Art. 99 Abs. 6 lit. b KI-VO]. Wer auf Anfrage schnell, vollständig und kooperativ reagiert, kann den konkreten Betrag erheblich senken.
Gilt die KI-Verordnung schon jetzt oder erst ab August 2026?
Differenziert. Das Verbot verbotener KI-Praktiken gilt seit dem 2. Februar 2025. Die Schulungspflicht (Art. 4) gilt ebenfalls seit Februar 2025. Die vollständigen Betreiberpflichten für Standard-KI greifen ab dem 2. August 2026. Wer also noch keine Schulungen dokumentiert hat, verstößt bereits heute. Alle Fristen im Überblick →
Weiterführende Artikel:
AI Act Pflichten für KMU 2026: Der vollständige Überblick
KI-Inventar erstellen: Schritt-für-Schritt Anleitung
AI Act Fristen 2025, 2026, 2027 — alle Deadlines