Die drei Bußgeld-Stufen im Überblick
Stufe 1, Verbotene KI (Art. 5):
Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Diese Stufe trifft Unternehmen, die ein ausdrücklich verbotenes KI-System betreiben: Social Scoring, manipulative KI, Echtzeit-Biometrie ohne Ausnahmetatbestand, KI zur Ausnutzung vulnerabler Gruppen.
Stufe 2, Hochrisiko-Verstöße:
Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Diese Stufe betrifft Unternehmen, die Hochrisiko-KI ohne die vorgeschriebene Konformitätsbewertung, ohne technische Dokumentation oder ohne die Logging-Anforderungen betreiben.
Stufe 3, Irreführende Angaben:
Bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes. Betrifft falsche oder irreführende Angaben gegenüber Marktüberwachungsbehörden oder Notified Bodies.
Wer kontrolliert? Die Marktüberwachungsstruktur
Jeder EU-Mitgliedstaat benennt eine Marktüberwachungsbehörde. In Deutschland übernimmt die Bundesnetzagentur diese Rolle für allgemeine KI-Systeme; sektorspezifische Behörden (BaFin, Bundesamt für Sicherheit in der Informationstechnik) bleiben für ihren Bereich zuständig.
Auf EU-Ebene gibt es das AI Office der Europäischen Kommission, das insbesondere General-Purpose-AI-Modelle (GPT-Klasse) überwacht.
Wie wahrscheinlich sind Kontrollen? Die DSGVO-Erfahrung zeigt: Zu Beginn primär bei prominenten Verstößen und auf Beschwerden hin. Aber der EU AI Act enthält aktive Marktüberwachungsrechte. Behörden dürfen Unternehmen direkt auffordern, Dokumentation vorzulegen und Zugang zu Systemen zu gewähren.
Wer zahlt wirklich? Die praktische Risikoabschätzung
Drei Szenarien, die ich für realistisch halte:
Szenario 1, Großer Konzern, eindeutiger Verstoß: Ein MDAX-Unternehmen betreibt ein KI-gestütztes Bewerber-Screening-Tool (Anhang III, Kategorie 4) ohne Konformitätsbewertung und Logging. Behörde prüft nach Mitarbeiterbeschwerde. Stufe-2-Bußgeld, verhandelt auf 2–5 % Jahresumsatz. Realistisch.
Szenario 2, Mittelstand, fahrlässige Unkenntnis: Unternehmen nutzt KI-HR-Tool eines Drittanbieters, der Anbieter kommuniziert EUAIA-Anforderungen nicht klar. Erstprüfung endet mit Abhilfefrist, kein Bußgeld. Realistisch, zumindest in der Anfangsphase.
Szenario 3, Startup, keine verbotene KI: Startup baut KI-Chatbot für Kundensupport. Keine Hochrisiko-Klassifikation. Einzige Pflicht: Transparenzhinweis "Sie kommunizieren mit einem KI-System". Kein Bußgeldrisiko bei Einhaltung.
KMU und Startups: Privilegiert, aber nicht ausgenommen
Art. 99 enthält Erleichterungen für KMU und Startups: Behörden sollen bei der Bemessung von Bußgeldern "wirtschaftliche Tragfähigkeit" berücksichtigen. Die Pflichten selbst, also Konformitätsbewertung, Dokumentation und Logging, gelten aber unverändert auch für kleine Unternehmen.
Konkret bedeutet das: Ein 20-Personen-Startup, das ein Hochrisiko-System betreibt, muss dieselbe technische Dokumentation erstellen wie ein Konzern. Das Bußgeld bei Verstoß kann aber geringer ausfallen.
Was jetzt zu tun ist
Für die meisten B2B-Unternehmen gilt: Das realistische Risiko liegt nicht in Stufe 1 (verbotene KI), sondern in Stufe 2 (Hochrisiko ohne Compliance). Und das lässt sich mit strukturiertem Vorgehen vermeiden.
Priorität 1: Inventar aller KI-Systeme erstellen und Risikoklassifikation durchführen.
Priorität 2: Für alle Hochrisiko-Systeme: Konformitätsbewertung initiieren, technische Dokumentation starten.
Priorität 3: Drittanbieter-KI prüfen. Sind Ihre eingekauften Softwareprodukte EUAIA-konform? Deren Konformität ist nicht automatisch Ihre.
---
Vollständiger EU AI Act Leitfaden: Hochrisiko-Klassifikation, Compliance-Checkliste und Umsetzungsschritte: EU AI Act: Der Praxis-Leitfaden für deutsche Unternehmen