EU AI Act Bußgelder: Der Sanktionsrahmen, den kein Unternehmen ignorieren kann
EU AI Act Bußgelder erreichen DSGVO-Dimensionen — und übertreffen sie in der Spitze sogar. Bis zu 35.000.000 € oder 7 % des weltweiten Jahresumsatzes: Diese Zahl steht für den schwerwiegendsten Verstoß, den ein Unternehmen nach der Verordnung (EU) 2024/1689 begehen kann. Doch auch weniger gravierende Verstöße gegen Betreiberpflichten können Bußgelder von bis zu 15.000.000 € oder 3 % des Umsatzes nach sich ziehen.
Für deutsche KMU ist wichtig zu verstehen: Der EU AI Act gilt als EU-Verordnung unmittelbar und bedarf keiner nationalen Umsetzung. Die Bundesnetzagentur kann bereits heute tätig werden — und sie verfügt über die nötigen Befugnisse.
Dieser Beitrag erklärt alle drei Bußgeldtiers nach Artikel 99 mit exakten Beträgen, die KMU-Schutzregel, wer in Deutschland durchsetzt und warum Schulung nach Artikel 4 die kosteneffektivste Form der Compliance ist.
Wie ist der EU AI Act Bußgeldrahmen nach Artikel 99 aufgebaut?
Artikel 99 der Verordnung (EU) 2024/1689 kennt drei Bußgeldtiers, die nach Schwere des Verstoßes gestaffelt sind. Entscheidend: Bei allen drei Tiers gilt das Prinzip höchster vs. niedrigster Wert — mit unterschiedlicher Richtung für Regelunternehmen und KMU.
Bußgeldtier 1: Verstöße gegen verbotene KI-Praktiken (Artikel 5)
Artikel 99(3) EU AI Act: Verstöße gegen Artikel 5 werden mit Bußgeldern von bis zu 35.000.000 € oder bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet — je nachdem, welcher Betrag höher ist.
Dies ist die schärfste Sanktionsstufe des gesamten EU AI Act. Sie greift bei Verletzung der seit dem 2. Februar 2025 geltenden absoluten Verbote nach Artikel 5 — also bei Einsatz von:
- Social Scoring-Systemen (Artikel 5(1)(c))
- Manipulativer KI, die unterbewusste Techniken einsetzt (Artikel 5(1)(a))
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (Artikel 5(1)(f))
- KI-Systemen zur biometrischen Kategorisierung mit sensitiven Merkmalen wie politischer Überzeugung, Religion oder sexueller Orientierung (Artikel 5(1)(g))
Das Prinzip „je nachdem, welcher Betrag höher ist" bedeutet: Ein Unternehmen mit 800.000.000 € Jahresumsatz riskiert nicht 35 Mio. €, sondern 56 Mio. € (7 %). Ein Unternehmen mit 200.000.000 € Jahresumsatz zahlt höchstens 35 Mio. € — weil dieser Festbetrag höher ist als 7 % des Umsatzes (14 Mio. €).
Alles zu den konkreten verbotenen Praktiken lesen Sie in unserem Artikel zu den verbotenen KI-Praktiken nach Artikel 5.
Bußgeldtier 2: Verstöße gegen sonstige Betreiber- und Anbieterpflichten
Artikel 99(4) EU AI Act: Sonstige Verstöße — darunter Verstöße gegen Betreiberpflichten nach Artikel 26, Transparenzpflichten nach Artikel 50 und andere Operator-Verpflichtungen — werden mit bis zu 15.000.000 € oder bis zu 3 % des Jahresumsatzes geahndet — je nachdem, welcher Betrag höher ist.
Dieser Tier betrifft die größte Zahl an Unternehmen: Jeder Betreiber eines Hochrisiko-KI-Systems, der ab dem 2. August 2026 seine Pflichten nach Artikel 26 nicht erfüllt, fällt in diese Kategorie. Ebenso Betreiber, die Transparenzpflichten nach Artikel 50 verletzen.
Beispiele für Tier-2-Verstöße:
- Keine menschliche Aufsicht für Hochrisiko-KI eingerichtet
- Logs werden nicht für mindestens 6 Monate aufbewahrt
- Mitarbeiter wurden vor Einführung eines Hochrisiko-Systems nicht informiert
- Keine Schulung nach Artikel 4 nachweisbar
Bußgeldtier 3: Falsche Angaben gegenüber Behörden
Artikel 99(5) EU AI Act: Falsche, unvollständige oder irreführende Angaben gegenüber notifizierten Stellen oder nationalen Behörden werden mit bis zu 7.500.000 € oder bis zu 1 % des Jahresumsatzes geahndet — je nachdem, welcher Betrag höher ist.
Dieser Tier greift, wenn Unternehmen im Rahmen von Behördenverfahren unrichtige Informationen liefern — etwa bei Marktüberwachungsanfragen der Bundesnetzagentur oder bei Konformitätsbewertungsverfahren.
Die drei Bußgeldtiers im Überblick
| Tier | Verstoßart | Höchstbetrag | Umsatzanteil | Grundsatz |
|---|---|---|---|---|
| Art. 99(3) | Verbotene Praktiken (Art. 5) | 35.000.000 € | 7 % Jahresumsatz | Höherer Betrag gilt |
| Art. 99(4) | Sonstige Betreiber-/Anbieterpflichten | 15.000.000 € | 3 % Jahresumsatz | Höherer Betrag gilt |
| Art. 99(5) | Falsche/irreführende Behördenangaben | 7.500.000 € | 1 % Jahresumsatz | Höherer Betrag gilt |
Die KMU-Sonderregel: Artikel 99(6) erklärt
Für kleine und mittlere Unternehmen sowie Start-ups enthält Artikel 99 eine wichtige Sonderregel:
Artikel 99(6) EU AI Act (verbatim): „Im Falle von KMU, einschließlich Start-ups, beläuft sich jede in diesem Artikel genannte Geldbuße auf die in den Absätzen 3, 4 und 5 genannten Prozentsätze oder Beträge, je nachdem, welcher davon niedriger ist."
Diese Regelung kehrt die Logik um: Während bei Großunternehmen der höhere der beiden Werte gilt, gilt bei KMU der niedrigere. Das schützt Unternehmen mit niedrigem Umsatz davor, prozentual übermäßig belastet zu werden.
Konkretes Rechenbeispiel:
Ein deutsches KMU mit 5.000.000 € Jahresumsatz verstößt gegen Artikel 5 (verbotene KI-Praktiken).
- Festbetrag-Höchstgrenze: 35.000.000 €
- Umsatzbezogener Höchstbetrag: 7 % × 5.000.000 € = 350.000 €
Für ein Großunternehmen würde der höhere Wert gelten: 35.000.000 €. Für das KMU gilt der niedrigere Wert: 350.000 €.
350.000 € ist kein Betrag, den ein mittelständisches Unternehmen leichtfertig riskieren sollte — zumal noch Reputationsschäden, Prozesskosten und interne Aufarbeitungskosten hinzukommen. Aber die KMU-Regel macht klar: Der Gesetzgeber will keine existenzbedrohenden Sanktionen für kleine Unternehmen — sondern Anreize zur Compliance.
Klarstellung zur Bußgeldhöhe: Gemäß dem verifizierten Wortlaut der Verordnung (EU) 2024/1689 beträgt der Umsatzanteil in Artikel 99(5) 1 % — nicht 1,5 %, wie gelegentlich in Sekundärquellen falsch wiedergegeben wird. Forefront AI orientiert sich ausschließlich am Primärtext der Verordnung.
Wer setzt den EU AI Act in Deutschland durch?
Bundesnetzagentur: Nationale Marktüberwachungsbehörde
Die Bundesnetzagentur (BNetzA) ist die deutsche nationale Marktüberwachungs- und Koordinierungsbehörde für den EU AI Act. Sie:
- Überwacht die Einhaltung der Verordnung auf dem deutschen Markt
- Betreibt den KI-Service-Desk für Unternehmen, Behörden und Privatpersonen
- Ist gegenüber dem EU AI Board der einzelne Ansprechpartner für Deutschland
- Hat den ausdrücklichen Auftrag, die Belastung von KMU zu minimieren
Die BNetzA hat stets betont: Die verbindliche Auslegung des EU AI Act obliegt letztlich nationalen Gerichten und dem Europäischen Gerichtshof. Ihr KI-Service-Desk bietet jedoch praktische Orientierung für Unternehmen.
Parallel zur BNetzA behalten sektorspezifische Behörden ihre Zuständigkeit in ihrem jeweiligen Fachbereich — darunter die BaFin im Finanzsektor und das BfArM im Bereich Medizinprodukte. Bei Überschneidungen mit der DSGVO bleiben die Datenschutzaufsichtsbehörden der Länder zuständig.
Wann kann die Bundesnetzagentur tätig werden?
Da der EU AI Act als EU-Verordnung ohne nationale Umsetzungsgesetzgebung direkt gilt, kann die BNetzA bereits auf Basis der Verordnung handeln. Das bedeutet: Für Verstöße gegen Artikel 4 (Schulungspflicht, seit 2. Februar 2025) und Artikel 5 (Verbote, seit 2. Februar 2025) kann die Behörde bereits heute Maßnahmen einleiten.
Ab dem 2. August 2025 ist der vollständige Sanktionsrahmen nach Artikel 99 (mit Ausnahme von Artikel 101 für GPAI-Anbieter) anwendbar.
Persönliche Haftung der Geschäftsführung
Der EU AI Act adressiert primär Organisationen — er schafft jedoch keine direkte persönliche Haftung für Geschäftsführer oder Vorstände. Dennoch ist die persönliche Dimension für Führungskräfte in Deutschland relevant:
GmbHG § 43 / AktG § 93 — Sorgfaltspflicht der Geschäftsführung Geschäftsführer einer GmbH sind gemäß § 43 GmbHG verpflichtet, die Sorgfalt eines ordentlichen Geschäftsmanns anzuwenden. Wer bekannte Compliance-Risiken — darunter EU AI Act-Verstöße — nicht adressiert, obwohl entsprechende Informationen und Handlungsoptionen zur Verfügung standen, riskiert persönliche Schadensersatzansprüche des Unternehmens im Innenverhältnis.
In der Praxis bedeutet das: Wenn ein Unternehmen wegen EU AI Act-Verstößen mit einem substanziellen Bußgeld belegt wird, und die Geschäftsführung hat keine erkennbaren Maßnahmen zur Risikominimierung getroffen, kann das Unternehmen intern Regress nehmen.
Empfehlung: Dokumentieren Sie aktiv, dass Sie als Führungskraft Maßnahmen zur Compliance ergriffen haben — durch Genehmigung einer KI-Richtlinie, durch Beauftragung von Schulungsmaßnahmen und durch regelmäßige Überprüfung des KI-Inventars.
Was die Bußgeldhöhe konkret beeinflusst
Wie bei der DSGVO gibt es auch beim EU AI Act keinen automatischen Mechanismus, der immer den Höchstbetrag verhängt. Die Bußgeldbemessung orientiert sich an Faktoren wie:
- Schwere und Dauer des Verstoßes
- Anzahl der betroffenen Personen
- Vorsatz oder Fahrlässigkeit
- Kooperationsbereitschaft mit Behörden
- Ergriffene Abhilfemaßnahmen
- Vorherige Verstöße
Ein Unternehmen, das nachweisen kann, dass es:
- seine Mitarbeiter systematisch nach Artikel 4 geschult hat,
- eine interne KI-Richtlinie implementiert hatte,
- und nach Entdeckung eines Verstoßes umgehend kooperiert und Abhilfemaßnahmen eingeleitet hat,
wird im Regelfall mit einer deutlich geringeren Sanktion rechnen als ein Unternehmen, das keinerlei Compliance-Kultur nachweisen kann.
Wie Sie eine EU AI Act konforme Schulungspflicht nach Artikel 4 umsetzen, erklärt unser Artikel zur EU AI Act Schulungspflicht nach Artikel 4.
Das Kosten-Nutzen-Kalkül: Schulung als günstigste Versicherung
Lassen Sie uns die Zahlen in Relation setzen:
Szenario A: Kein Compliance-Aufwand
- Risiko: Bußgeld nach Artikel 99(4) bei fehlendem Schulungsnachweis für ein KMU mit 10 Mio. € Umsatz: bis zu 300.000 € (3 % × 10 Mio. €) unter der KMU-Sonderregel
- Dazu: Reputationsschaden, Management-Aufwand, mögliche Vertragskonsequenzen mit Kunden
Szenario B: Zertifizierte Schulung mit Forefront AI
- Kosten: Zertifizierter Online-Kurs für Ihr Team — ein Bruchteil des Bußgeldrisikos
- Ergebnis: Dokumentierter Nachweis nach Artikel 4, verifizierbares Zertifikat mit QR-Code, vollständige Schulungshistorie für die Behördenkommunikation
Das Kalkül ist eindeutig: Compliance-Investitionen in Schulung und Dokumentation sind bei weitem die günstigere Option — und sie schaffen darüber hinaus echten Mehrwert durch informierte, KI-kompetente Mitarbeiter.
Zur vollständigen Struktur der verbotenen Praktiken, die den höchsten Bußgeldtier auslösen, lesen Sie unseren Beitrag zu den verbotenen KI-Praktiken nach Artikel 5.
Jetzt handeln: Zertifizierte Schulung als Compliance-Fundament
Bußgelder nach dem EU AI Act sind keine abstrakte Zukunftsbedrohung — der Sanktionsrahmen nach Artikel 99 ist seit dem 2. August 2025 vollständig anwendbar. Die Schulungspflicht nach Artikel 4 gilt bereits seit dem 2. Februar 2025.
Wer noch keinen dokumentierten Schulungsnachweis für seine KI-nutzenden Mitarbeiter vorlegen kann, steht bei einer Behördenprüfung ohne Grundlage da. Die kosteneffektivste Lösung ist klar: eine zertifizierte Schulung, die Artikel 4 erfüllt, Kompetenz aufbaut und einen verifizierbaren Nachweis liefert.
Der Online-Zertifizierungskurs von Forefront AI wurde speziell für deutsche KMU entwickelt — mit fünf Modulen, die von den EU AI Act-Grundlagen über Risikoklassifizierung und Betreiberpflichten bis zur konkreten Governance-Praxis führen. Jeder Teilnehmer erhält ein Zertifikat mit QR-Code, das Ihre Compliance-Dokumentation lückenlos ergänzt. Informieren Sie sich auf unserer Leistungsseite oder nehmen Sie direkt Kontakt auf — und schützen Sie Ihr Unternehmen mit der günstigsten Versicherung gegen EU AI Act-Bußgelder.