Drei Bußgeldstufen nach Art. 99
Der EU AI Act etabliert ein gestuftes Bußgeldsystem, das sich an der Schwere des Verstoßes orientiert. Wie bei der DSGVO werden Bußgelder als der höhere Wert aus Festbetrag oder Prozentsatz des weltweiten Jahresumsatzes berechnet.
Stufe 1: Bis zu 35 Mio. € oder 7% des Umsatzes
Die höchsten Bußgelder gelten für Verstöße gegen die verbotenen KI-Praktiken nach Art. 5:
- Social-Scoring-Systeme durch Behörden
- Unterschwellige Manipulationstechniken
- Ausnutzung von Schutzbedürftigkeit (Alter, Behinderung, soziale Lage)
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum
- Biometrische Kategorisierung nach sensiblen Merkmalen
- Ungezieltes Scraping von Gesichtsbildern
- Emotionserkennung am Arbeitsplatz und in Schulen
Rechtsgrundlage: Art. 99 Abs. 3 EU AI Act
Stufe 2: Bis zu 15 Mio. € oder 3% des Umsatzes
Diese Stufe erfasst die meisten operativen Compliance-Verstöße:
- Verstoß gegen Anforderungen für Hochrisiko-KI-Systeme (Art. 8–15)
- Fehlende oder unzureichende Technische Dokumentation (Art. 11, Annex IV)
- Keine Grundrechtliche Folgenabschätzung (FRIA) (Art. 27)
- Fehlende Registrierung in der EU-KI-Datenbank (Art. 49)
- Fehlende Konformitätsbewertung (Art. 43)
- Unzureichende menschliche Aufsicht (Art. 14)
- Verstoß gegen Anbieter- oder Betreiberpflichten
Rechtsgrundlage: Art. 99 Abs. 4 EU AI Act
Stufe 3: Bis zu 7,5 Mio. € oder 1% des Umsatzes
Die niedrigste Stufe gilt für die Übermittlung unrichtiger, unvollständiger oder irreführender Informationen an Behörden oder benannte Stellen.
Rechtsgrundlage: Art. 99 Abs. 5 EU AI Act
Wie werden Bußgelder berechnet?
Bei der Festsetzung der konkreten Bußgeldhöhe müssen die Behörden nach Art. 99 Abs. 7 berücksichtigen:
- Art und Schwere des Verstoßes und seine Folgen
- Größe und Marktanteil des Unternehmens
- Vorsätzlicher oder fahrlässiger Charakter des Verstoßes
- Maßnahmen zur Schadensbegrenzung
- Grad der Zusammenarbeit mit den Behörden
- Frühere Verstöße und Wiederholungstäterschaft
- Jeder finanzielle Vorteil aus dem Verstoß
KMU- und Startup-Regelungen
Der EU AI Act adressiert ausdrücklich die Verhältnismäßigkeit für kleinere Organisationen. Art. 99 Abs. 6 sieht vor, dass Bußgelder für KMU (einschließlich Startups) anhand des niedrigeren Werts aus Festbetrag oder Prozentsatz berechnet werden.
Beispiel: Ein Startup mit 2 Mio. € Jahresumsatz riskiert bei Stufe 2 maximal 60.000 € (3% des Umsatzes), nicht 15 Mio. €.
Vergleich mit DSGVO-Bußgeldern
| Verordnung | Max. Festbetrag | Max. % Umsatz | Anwendungsbereich |
|---|---|---|---|
| EU AI Act (Stufe 1) | 35 Mio. € | 7% | Verbotene Praktiken |
| EU AI Act (Stufe 2) | 15 Mio. € | 3% | Hochrisiko-Verstöße |
| DSGVO (Art. 83(5)) | 20 Mio. € | 4% | Datenschutzverstöße |
| DSGVO (Art. 83(4)) | 10 Mio. € | 2% | Technische/organisatorische Maßnahmen |
Wer setzt den EU AI Act durch?
Jeder EU-Mitgliedstaat benennt nationale Aufsichtsbehörden (Art. 70). Für sektorspezifische KI-Systeme:
- Finanzsektor: Bestehende Finanzaufsichten (z.B. BaFin in DE, FMA in AT)
- Gesundheitswesen: Gesundheitsbehörden und Medizinprodukte-Aufsicht
- Allgemein: Horizontale Regulierer (z.B. BNetzA in DE, RTR-GmbH in AT)
Ab wann drohen Bußgelder?
Bußgelder sind zeitgleich mit den Pflichten durchsetzbar:
- Seit Februar 2025: Bußgelder für verbotene KI-Praktiken (Stufe 1)
- Ab August 2025: Bußgelder für GPAI- und KI-Kompetenz-Verstöße
- Ab August 2026: Bußgelder für Hochrisiko-KI-Verstöße (Stufe 2) – noch ca. 5 Monate
So vermeiden Sie Bußgelder
- KI-Systeme klassifizieren – mit unserem kostenlosen Risiko-Check
- Dokumentation erstellen – FRIA, Technische Dokumentation und Transparenzhinweis
- Governance aufbauen – Verantwortliche benennen, KI-Kompetenzschulungen durchführen
- EU-Datenbank-Registrierung – vor Inverkehrbringen von Hochrisiko-Systemen
- Anwaltliche Prüfung – einen spezialisierten Anwalt die Compliance-Dokumentation finalisieren lassen
Dokumentierte Compliance-Bemühungen zeigen guten Willen – ein entscheidender Faktor bei der Bußgeldberechnung nach Art. 99 Abs. 7.