Zum Hauptinhalt springen

EU AI Act Bußgelder 2026: Was kostet ein Verstoß?

Art. 99 EU AI Act sieht drei Bußgeldstufen vor: bis zu 35 Mio. EUR bei verbotenen KI-Praktiken, bis 15 Mio. EUR bei fehlender Hochrisiko-Dokumentation, bis 7,5 Mio. EUR bei Falschangaben. Vollständige Tabelle mit Beispielrechnungen für KMU.

EU AI Act Compliance-CheckKostenloser Wito Digital Audit (WDA)

Bußgelder nach EU AI Act: Worum geht es?

Der EU AI Act (Verordnung (EU) 2024/1689 vom 13. Juni 2024) ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Artikel 99 legt das Sanktionsregime fest — drei Bußgeldstufen, die sich nach Art und Schwere des Verstoßes staffeln. Ausschlaggebend ist dabei stets der höhere der beiden Werte: absoluter EUR-Betrag oder prozentualer Anteil am weltweiten Jahresumsatz. Laut EU-Kommission (Übersicht EU AI Act 2024) wurden die Sanktionshöhen bewusst über dem DSGVO-Niveau angesetzt, um einen stärkeren Compliance-Anreiz zu schaffen.

Drei Bußgeld-Stufen erklärt (Art. 99 EU AI Act)

Stufe 1: Verbotene KI-Praktiken (Art. 5) — bis 35 Mio. EUR oder 7 %

Die höchste Sanktionsstufe gilt bei Verstößen gegen die Verbote des Art. 5 EU AI Act. Diese Verbote sind seit dem 02. Februar 2025 wirksam und betreffen KI-Praktiken, die als grundrechtswidrig eingestuft werden: unterschwellige Manipulation, Ausnutzung von Schwächen, Emotionserkennung am Arbeitsplatz oder biometrisches Echtzeit-Screening in öffentlichen Räumen durch staatliche Stellen. Die Bußgeldhöhe beträgt nach Art. 99 Abs. 1 EU AI Act bis zu 35.000.000 EUR oder, bei Unternehmen, 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres — je nachdem, welcher Betrag höher ist.

Für einen Mittelständler mit 25 Mio. EUR Jahresumsatz bedeutet das: Das Bußgeld kann bis zu 1,75 Mio. EUR betragen (7 % × 25 Mio. EUR). Da dieser Wert unter 35 Mio. EUR liegt, gilt der Prozentsatz. Für ein Unternehmen mit 600 Mio. EUR Umsatz würde dagegen der Absolutbetrag von 35 Mio. EUR greifen, weil 7 % × 600 Mio. EUR = 42 Mio. EUR — und der höhere Wert gilt. Die Heinrich-Böll-Stiftung (EU AI Act Analyse 2024) weist darauf hin, dass diese Sanktionslogik explizit darauf ausgerichtet ist, auch gegenüber Großunternehmen abschreckend zu wirken.

Stufe 2: Hochrisiko-Pflichten und allgemeine Anforderungen — bis 15 Mio. EUR oder 3 %

Die mittlere Stufe greift bei Verstößen gegen die Anforderungen an Hochrisiko-KI-Systeme (Art. 6–55 EU AI Act) sowie gegen allgemeine Pflichten wie Transparenz, Konformitätsbewertung, Registrierung und Meldepflichten. Hier beträgt das Bußgeld nach Art. 99 Abs. 3 EU AI Act bis zu 15.000.000 EUR oder 3 % des weltweiten Jahresumsatzes — wieder gilt der höhere Wert. Dies ist die Stufe, die für die meisten KMU am unmittelbarsten relevant ist: Wer KI-Systeme im HR-Bereich, bei der Kreditvergabe oder in der Bildung einsetzt und die vorgeschriebene Dokumentation nicht vorhält, riskiert diese Sanktionen.

Laut Bitkom Leitfaden EU AI Act Sanktionen 2024 sind fehlende Risikomanagementsysteme, unvollständige technische Dokumentationen und nicht erfüllte Transparenzpflichten die häufigsten Compliance-Mängel in deutschen KMU — allesamt in Stufe 2 sanktioniert.

Stufe 3: Falschangaben an Behörden — bis 7,5 Mio. EUR oder 1,5 %

Die niedrigste, aber keineswegs vernachlässigbare Stufe betrifft irreführende, unvollständige oder falsche Informationen gegenüber den zuständigen nationalen Behörden oder der EU-Kommission, insbesondere im Rahmen von Konformitätsbewertungen oder behördlichen Untersuchungen. Das Bußgeld beträgt nach Art. 99 Abs. 4 EU AI Act bis zu 7.500.000 EUR oder 1,5 % des weltweiten Jahresumsatzes — wieder der höhere Wert. Beispiel: Wer bei einer behördlichen Anfrage zur eingesetzten Hochrisiko-KI unvollständige oder bewusst irreführende Unterlagen einreicht, fällt in diese Stufe.

Das „der höhere Wert gilt"-Prinzip ist dabei ein zentrales Designelement des Sanktionsregimes: Es verhindert, dass Großunternehmen mit hohem Umsatz die prozentualen Obergrenzen durch Berufung auf die absoluten Grenzen deckeln — und gleichzeitig, dass kleine Unternehmen allein durch den Absolutbetrag in unverhältnismäßige Bußgelder getrieben werden, wenn der Prozentsatz niedriger liegt.

35 Mio. EUR

Maximum — Art. 99 Abs. 1 EU AI Act

Quelle: EU Verordnung 2024/1689, 2024
7%

globaler Jahresumsatz — Art. 99 Abs. 1

Quelle: EU Verordnung 2024/1689, 2024
4%

DSGVO-Vergleich — Art. 83 DSGVO

Quelle: EU Verordnung 2016/679, 2016
9

Sanktionsstufen-Faktoren — Art. 99 Abs. 7

Quelle: EU Verordnung 2024/1689, 2024

Was zählt als "globaler Jahresumsatz"? Konzern-Konsolidierung und Verflechtungen

Die Frage, was genau unter dem "gesamten weltweiten Jahresumsatz" im Sinne von Art. 99 EU AI Act zu verstehen ist, hat erhebliche praktische Bedeutung — vor allem für Unternehmen, die Teil eines Konzernverbunds sind oder Tochtergesellschaften unterhalten. Die EU-Kommission (FAQ zum EU AI Act 2024) hat hierzu erste Auslegungshinweise veröffentlicht.

Grundregel: Maßgeblich ist der konsolidierte Gesamtumsatz des gesamten wirtschaftlichen Unternehmens im vorangegangenen Geschäftsjahr. Das bedeutet: Für ein Tochterunternehmen, das Teil eines größeren Konzerns ist, wird nicht nur dessen eigener Umsatz herangezogen, sondern der konsolidierte Konzernumsatz der Gesamtgruppe. Diese Regelung folgt der im europäischen Wettbewerbs- und Datenschutzrecht etablierten Konzern-Praxis (vergleiche DSGVO Art. 83 und Kartellrecht Art. 101/102 AEUV).

Für KMU mit Konzernbindung: Wer zu 25 % oder mehr im Eigentum eines Großunternehmens steht, gilt nach der EU-KMU-Definition nicht mehr als eigenständiges KMU. In diesem Fall wird bei der Bußgeldbemessung der konsolidierte Mutterkonzernumsatz als Basis herangezogen — nicht nur der Umsatz der Tochtergesellschaft. Dies kann die maximal mögliche Sanktionshöhe erheblich steigern.

Zur Frage Netto- vs. Bruttoumsatz: Die EU AI Act-Verordnung verweist auf den "Gesamtumsatz" ohne explizite Klarstellung. In Analogie zur DSGVO-Auslegungspraxis und laut dem BMWK Eckpunktepapier zur EU AI Act-Umsetzung 2024 ist davon auszugehen, dass der Nettoumsatz vor Steuern (ohne Mehrwertsteuer) als Berechnungsbasis gilt — entsprechend der handelsrechtlichen Nettoumsatzdefinition. Die nationale Aufsichtsbehörde und letztlich der EuGH werden hierüber endgültig entscheiden.

Praxishinweis für KMU: Wenn Ihr Unternehmen Teil eines Konzernverbunds ist, sollten Sie die Sanktionshöchstbeträge auf Basis des konsolidierten Konzernumsatzes kalkulieren — nicht auf Basis Ihres eigenen Einzelumsatzes. Das kann die tatsächliche Risikohöhe erheblich verändern.

Verstöße gegen Art. 5 werden mit Geldbußen von bis zu 35.000.000 EUR oder, im Falle eines Unternehmens, von bis zu 7% seines weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres geahndet, je nachdem, welcher Betrag höher ist.
Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2024/1689 — EU AI Act, Art. 99 Abs. 1, EUR-Lex / Amtsblatt der Europäischen Union, 2024

Sanktionierungs-Faktoren: Wann mehr, wann weniger? (Art. 99 Abs. 7)

Art. 99 Abs. 7 EU AI Act benennt neun Faktoren, die die nationale Behörde bei der Bemessung der konkreten Bußgeldhöhe berücksichtigen muss. Diese Faktoren können das Bußgeld sowohl erhöhen als auch senken — sie schaffen einen Beurteilungsspielraum, der im Interesse der Verhältnismäßigkeit ausgeübt werden soll. Laut Bitkom Leitfaden EU AI Act Sanktionen 2024 werden Behörden in der Praxis insbesondere auf Kooperation und Selbstanzeige positiv reagieren.

Faktoren, die das Bußgeld erhöhen

  • Schwere und Dauer des Verstoßes: Je länger ein verbotenes System betrieben wird und je weitreichender der Verstoß, desto höher das Bußgeld. Ein KI-Emotionserkennungssystem, das jahrelang ohne Abschaltung betrieben wurde, wird schwerer sanktioniert als ein kurzfristiger Einsatz, der unmittelbar nach Hinweis gestoppt wurde.
  • Vorsatz oder grobe Fahrlässigkeit: Wer wissentlich gegen Verbote verstößt oder die Compliance-Anforderungen systematisch ignoriert, muss mit dem oberen Bereich des Bußgeldrahmens rechnen. Nachgewiesener Vorsatz ist der stärkste Strafverschärfungsgrund.
  • Marktanteil des Unternehmens: Wer einen großen Marktanteil hat, richtet bei Verstößen mehr Schaden an — die Behörde kann dies als erschwerenden Faktor werten.
  • Wiederholungsverstöße: Wer bereits einmal wegen EU AI Act-Verstößen oder vergleichbarer KI-bezogener Vorschriften sanktioniert wurde und erneut verstößt, sieht sich erheblich höheren Bußgeldern ausgesetzt.

Faktoren, die das Bußgeld senken

  • Kooperation mit der Behörde: Aktive, proaktive Kooperation mit der nationalen Aufsichtsbehörde — inklusive transparenter Offenlegung aller relevanten Informationen und umgehender Abstellung der Verstöße — ist der wichtigste Milderungsgrund. Die EU-Kommission FAQ 2024 betont dies ausdrücklich.
  • Geringe Schwere und kurze Dauer: Ein kurzfristiger, unbeabsichtigter Verstoß mit schneller Selbstkorrektur wird milder sanktioniert.
  • Verantwortungsbewusstes Handeln nach dem Verstoß: Wer nach Feststellung eines Verstoßes unverzüglich Korrekturmaßnahmen einleitet, Betroffene informiert und präventive Maßnahmen für die Zukunft nachweist, verbessert seine Sanktionsposition erheblich.
  • Grad der Verantwortung: Wer den Verstoß nicht selbst verursacht hat, sondern beispielsweise als Betreiber auf fehlerhafte Angaben des KI-Anbieters angewiesen war, trägt eine geminderte Verantwortung — sofern die Prüfpflichten nach bestem Wissen erfüllt wurden.

KMU-Sonderregel

Art. 99 Abs. 6 EU AI Act sieht ausdrücklich vor, dass bei der Bußgeldbemessung für KMU und Startups der niedrigere der beiden Schwellenwerte gelten soll. Das bedeutet: Ein KMU mit 5 Mio. EUR Umsatz zahlt im Hochrisiko-Fall maximal 3 % × 5 Mio. EUR = 150.000 EUR — nicht den absoluten Höchstbetrag von 15 Mio. EUR. Diese Regelung schützt vor unverhältnismäßigen Bußgeldern, ist aber kein Freifahrtschein: Auch 150.000 EUR sind für ein kleines Unternehmen existenzgefährdend.

Beispielrechnungen: Was kostet ein Verstoß konkret für KMU?

Die abstrakten Bußgeldrahmen werden greifbarer, wenn man sie auf realistische Mittelstandsszenarien herunterbricht. Die folgenden drei Beispiele illustrieren, wie das "höhere Wert gilt"-Prinzip in der Praxis wirkt — und warum selbst kleine KMU erhebliche Risiken tragen.

Beispiel 1: Stufe 1 — KMU mit 25 Mio. EUR Umsatz

Ein mittelständisches Personaldienstleistungsunternehmen mit 25 Mio. EUR Jahresumsatz setzt ein KI-System zur automatisierten Bewerbervorauswahl ein, das unbemerkt Kandidaten nach ethnischer Herkunft diskriminiert — ein Verstoß gegen Art. 5 (verbotene biometrische Kategorisierung nach geschützten Merkmalen). Bußgeldberechnung: 7 % × 25 Mio. EUR = 1,75 Mio. EUR. Da 1,75 Mio. EUR unter der absoluten Obergrenze von 35 Mio. EUR liegt, gilt der prozentuale Wert. Selbst mit allen Milderungsfaktoren ist ein Bußgeld im sechsstelligen Bereich realistisch.

Beispiel 2: Stufe 2 — Kleinstunternehmen mit 5 Mio. EUR Umsatz

Ein Anwaltskanzlei mit 5 Mio. EUR Jahresumsatz setzt ein KI-System zur Vorhersage von Prozessrisiken ein, ohne die vorgeschriebene technische Dokumentation und das Risikomanagementsystem nach Art. 9 EU AI Act bereitzuhalten — ein Verstoß gegen die Hochrisiko-Anforderungen (Stufe 2). Bußgeldberechnung: 3 % × 5 Mio. EUR = 150.000 EUR. Der absolute Höchstbetrag von 15 Mio. EUR greift nicht, da der Prozentwert (150.000 EUR) niedriger ist. Dank KMU-Sonderregel gilt hier der niedrigere Wert. Dennoch: 150.000 EUR sind für eine mittelgroße Kanzlei existenzrelevant.

Beispiel 3: Stufe 1 — Unternehmen mit 100 Mio. EUR Umsatz

Ein Handelsunternehmen mit 100 Mio. EUR Jahresumsatz betreibt ein KI-System zur Verhaltensbeeinflussung in der Werbung, das die psychologischen Schwächen älterer Zielgruppen gezielt ausnutzt — ein klarer Verstoß gegen Art. 5 Abs. 1 lit. b EU AI Act. Bußgeldberechnung: 7 % × 100 Mio. EUR = 7 Mio. EUR. Da 7 Mio. EUR unter 35 Mio. EUR liegt, gilt der prozentuale Wert. Hinzu kommt möglicher zivilrechtlicher Schadensersatz nach Art. 82 DSGVO und dem geplanten EU AI Liability Act.

Vergleich mit DSGVO-Bußgeldern

Zum Vergleich: Das höchste DSGVO-Bußgeld nach Art. 83 Abs. 5 DSGVO beträgt maximal 4 % des weltweiten Jahresumsatzes oder 20 Mio. EUR — der höhere Wert. Der EU AI Act liegt mit 7 % für Stufe 1 also 75 % höher als die DSGVO-Maximalstrafe. Laut Heinrich-Böll-Stiftung (EU AI Act Analyse 2024) war diese Übertrefung bewusst gewählt, um das stärkere Gefahrenpotenzial unkontrollierter KI gegenüber herkömmlicher Datenverarbeitung abzubilden.

Wer verhängt die Strafen? Behördenstruktur in Deutschland

Die Durchsetzung des EU AI Act obliegt nationalen Marktüberwachungsbehörden, die jeder Mitgliedstaat selbst benennen muss. In Deutschland ist die Zuständigkeitsverteilung noch nicht abschließend geregelt — laut BMWK Eckpunktepapier zur EU AI Act-Umsetzung 2024 ist jedoch folgende Struktur geplant:

  • Bundesnetzagentur (BNetzA): Federführende nationale Marktüberwachungsbehörde für den EU AI Act in Deutschland. Sie soll die übergeordnete Aufsicht übernehmen, Beschwerden entgegennehmen und Bußgeldverfahren einleiten.
  • Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Zuständig für AI-Act-Verstöße, die gleichzeitig datenschutzrechtliche Implikationen haben (Art. 74 Abs. 8 EU AI Act).
  • EU AI Office: Für grenzüberschreitende Fälle, GPAI-Anbieter (KI-Allzweckmodelle) und systemische Risiken ist das auf EU-Ebene eingerichtete AI Office der Europäischen Kommission zuständig. Es koordiniert zwischen nationalen Behörden und kann in großen Fällen selbst tätig werden.

Berufungswege: Gegen Bußgeldbescheide können Unternehmen Widerspruch einlegen und anschließend den Verwaltungsrechtsweg beschreiten. Auf EU-Ebene ist der EuGH zuständig. Die Verfahren können sich über mehrere Jahre erstrecken — was aber nicht bedeutet, dass das Bußgeld bis zum Abschluss ausgesetzt wird.

Häufige Fragen zu EU AI Act Bußgeldern

Die Bußgelder für Verstöße gegen die verbotenen KI-Praktiken (Art. 5 EU AI Act, Stufe 1) sind seit dem 02. Februar 2025 wirksam. Bußgelder für fehlende Hochrisiko-Compliance und Transparenzpflichten (Stufen 2 und 3) greifen ab dem 02. August 2026, wenn alle Hochrisiko-Anforderungen vollständig gelten. Nationale Marktüberwachungsbehörden werden ab August 2025 operativ. Erste Bußgelder in Deutschland sind für 2026/2027 zu erwarten.
Art. 99 Abs. 6 EU AI Act sieht eine Sonderregel für KMU und Startups vor: Es gilt stets der niedrigere der beiden Werte (absoluter EUR-Betrag oder Prozentwert des Umsatzes). Ein KMU mit 5 Mio. EUR Umsatz zahlt im Hochrisiko-Fall maximal 3 % × 5 Mio. EUR = 150.000 EUR — nicht die absolute Grenze von 15 Mio. EUR. Diese Regel schützt vor unverhältnismäßigen Sanktionen, ist aber kein Freifahrtschein: 150.000 EUR sind für kleine Unternehmen existenzgefährdend.
Ja. Art. 99 Abs. 7 EU AI Act benennt Kooperation mit der Behörde explizit als bußgeldmindernden Faktor. Wer einen Verstoß proaktiv meldet, transparent alle Informationen offenlegt, den Verstoß umgehend abstellt und Korrekturmaßnahmen nachweist, kann eine erhebliche Reduktion der Bußgeldhöhe erreichen. Die EU-Kommission FAQ 2024 empfiehlt Unternehmen, bei erkannten Compliance-Lücken den Dialog mit der Behörde frühzeitig zu suchen — statt auf eine externe Entdeckung zu warten.
Gemäß BMWK Eckpunktepapier 2024 ist die Bundesnetzagentur (BNetzA) als federführende nationale Marktüberwachungsbehörde vorgesehen. Bei datenschutzrechtlichen Überschneidungen ist der Bundesbeauftragte für Datenschutz (BfDI) einzubeziehen. Bei grenzüberschreitenden Fällen und GPAI-Anbietern ist das EU AI Office der EU-Kommission zuständig. Die endgültige gesetzliche Regelung der deutschen Aufsichtsstruktur steht noch aus (Stand: Mai 2026).
Nach allen Anzeichen ja — aber mit einer Anlaufphase. Die Erfahrung mit der DSGVO zeigt, dass nationale Behörden zunächst auf Beratung und Korrekturanordnungen setzen und Bußgelder bei wiederholten oder schwerwiegenden Verstößen verhängen. Erste EU AI Act-Bußgelder in Deutschland sind realistisch ab 2027 zu erwarten. Unternehmen, die keinerlei Compliance-Bemühungen nachweisen können, laufen ein erheblich höheres Risiko als solche, die aktiv an der Umsetzung arbeiten.
Die DSGVO sieht nach Art. 83 Abs. 5 für schwerwiegende Verstöße maximal 4 % des weltweiten Jahresumsatzes oder 20 Mio. EUR vor — je nachdem, welcher Betrag höher ist. Der EU AI Act liegt für verbotene Praktiken (Stufe 1) bei 7 % oder 35 Mio. EUR — also 75 % höher als die DSGVO-Maximalstrafe. Für Hochrisiko-Verstöße (Stufe 2, 3 % oder 15 Mio. EUR) ist das Niveau vergleichbar mit DSGVO-Mittelstrafen nach Art. 83 Abs. 4.
Das Prinzip bedeutet: Für jedes Bußgeld gibt es eine absolute Obergrenze in EUR und eine prozentuale Obergrenze bezogen auf den weltweiten Jahresumsatz. Es gilt immer der höhere der beiden berechneten Beträge. Beispiel: Stufe 1 (7 % oder 35 Mio. EUR). Bei einem Unternehmen mit 20 Mio. EUR Umsatz: 7 % × 20 Mio. = 1,4 Mio. EUR — kleiner als 35 Mio., also gilt 1,4 Mio. EUR. Bei 600 Mio. EUR Umsatz: 7 % × 600 Mio. = 42 Mio. EUR — größer als 35 Mio., also greift die Deckelung auf 35 Mio. EUR.
Ja. Gegen Bußgeldbescheide steht der volle Verwaltungsrechtsweg offen: zunächst Widerspruch bei der ausstellenden Behörde, dann Klage vor dem zuständigen Verwaltungsgericht, bis hin zum Bundesverwaltungsgericht und bei EU-Rechtsfragen zum EuGH. Während laufender Rechtsmittelverfahren kann der Vollzug des Bußgelds unter Umständen durch einstweiligen Rechtsschutz ausgesetzt werden. In der Praxis empfiehlt sich bei Bußgeldbescheiden die sofortige Einbindung eines auf KI-Recht spezialisierten Anwalts.

EU AI Act Compliance-Check — Bußgeldrisiken minimieren

Wito AI analysiert Ihre KI-Systeme nach EU AI Act Risikostufen, identifiziert Compliance-Lücken und erstellt eine priorisierte Maßnahmenliste. Bußgeldrisiken kennen und gezielt abbauen — bevor die Behörde fragt.

EU AI Act Compliance-Check anfragenKostenloser Wito Digital Audit (WDA)
  • Risikoklassifizierung aller KI-Systeme
  • Compliance-Lücken vor Stichtag 2026 schließen
  • Bußgeldrisiko nachweisbar reduzieren

EU AI Act Bußgelder 2026: Was kostet ein Verstoß? Vollständige Tabelle

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen