EU AI Act: Wie werden Bußgelder und Sanktionen berechnet?

Stellen Sie sich vor, am Montagmorgen landet ein Brief auf Ihrem Schreibtisch. Der Absender: Die nationale Marktaufsichtsbehörde. Der Inhalt: Ein Anhörungsbogen wegen eines mutmaßlichen Verstoßes Ihres KI-Systems gegen die neuen EU-Regularien.

‍

Die Schlagzeilen kennen wir alle: „Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.“ Diese Zahlen wirken abstrakt, fast wie Drohkulissen aus einem Katastrophenfilm. Doch für Compliance-Verantwortliche und Geschäftsführer liegt die wahre Unsicherheit nicht in der theoretischen Höchststrafe, sondern im „Black Box“-Verfahren dazwischen. Wie wird aus einem Gesetzestext eine konkrete Summe? Würfelt die Behörde?

‍

Die Realität ist weniger willkürlich, aber deutlich komplexer. Während sich die meisten Ratgeber auf das „Was“ (die Verbote) konzentrieren, widmen wir uns heute dem „Wie“: den verfahrensrechtlichen Aspekten der Bußgeldbemessung. Wir lüften den Vorhang und zeigen Ihnen, nach welchen Kriterien Aufsichtsbehörden tatsächlich entscheiden – und an welchen Stellschrauben Sie drehen können, bevor das Urteil fällt.

‍

Der EU AI Act im Überblick & die Rolle nationaler Aufsichtsbehörden

‍

Der EU AI Act ist nicht nur ein Regelwerk für Technologie, er ist ein massiver Eingriff in die Marktüberwachung. Anders als bei der DSGVO, wo Datenschutzbehörden oft im Fokus stehen, werden beim AI Act oft spezialisierte Marktaufsichtsbehörden aktiv (in Deutschland diskutiert man beispielsweise die Rolle der Bundesnetzagentur oder des BfDI in Doppelunktion).

‍

Das Ziel ist eine Zusammenfassung des EU AI Act, die Sicherheit und Grundrechte schützt, ohne Innovation zu ersticken. Doch wenn diese Balance kippt, greift Artikel 99.

‍

Hier beginnt das Missverständnis vieler Unternehmen: Ein Verstoß führt nicht automatisch zur Höchststrafe. Die Behörden agieren nach dem Opportunitätsprinzip (in einigen Jurisdiktionen) oder dem Legalitätsprinzip, haben aber bei der Höhe des Bußgeldes einen erheblichen Ermessensspielraum. Sie müssen verhältnismäßig, wirksam und abschreckend sanktionieren.

‍

Artikel 99 des EU AI Act: Die rechtlichen Grundlagen der Bußgeldbemessung

‍

Bevor wir in die Praxis eintauchen, müssen wir das Fundament verstehen. Der Gesetzgeber hat drei Hauptkategorien für Bußgelder festgelegt, abhängig von der Schwere des Vergehens:

1. Bis zu 35 Mio. € / 7 % Umsatz: Für Verstöße gegen verbotene KI-Praktiken (z. B. Social Scoring).
2. Bis zu 15 Mio. € / 3 % Umsatz: Für Verstöße gegen Pflichten bei eu ai act high risk Systemen (Hochrisiko-KI).
3. Bis zu 7,5 Mio. € / 1,5 % Umsatz: Für falsche oder irreführende Angaben gegenüber Behörden.

‍

Doch diese Zahlen sind nur der Rahmen. Das Bild darin malen die Behörden anhand spezifischer Kriterien aus.

‍

‍

Mastery: Das 1x1 der Bußgeldbemessung: Kriterien, Ermessensspielräume & Verfahrensschritte

‍

Wie läuft ein solches Verfahren ab? Es ist selten ein kurzer Prozess, sondern eine mehrstufige administrative Reise.

‍

1. Die Entdeckung und Einleitung

‍

Meist beginnt es nicht mit einem Audit, sondern mit einem „Incident“ oder einer Beschwerde. Ähnlich wie die NIS2-Richtlinie die Meldepflichten bei Sicherheitsvorfällen verschärft, können auch KI-Fehlfunktionen behördliche Untersuchungen auslösen.

‍

2. Die Ermittlung (Investigation)

‍

Die Behörde sammelt Fakten. Hier zeigt sich der Wert einer soliden AI Act Compliance Software. Wer auf Knopfdruck technische Dokumentationen, Logs und Risikoanalysen vorlegen kann, signalisiert Kontrolle. Wer erst suchen muss, wirkt fahrlässig.

‍

3. Die Bemessung (Assessment)

‍

Hier wird es spannend. Die Behörde legt Artikel 99 Absatz 7 zugrunde. Sie prüft nicht nur den Fehler, sondern den Kontext:

• Art, Schwere und Dauer: War es ein kurzer Ausfall oder ein systematischer Fehler über Monate?
• Vorsatz oder Fahrlässigkeit: Hat das Unternehmen das Risiko ignoriert oder trotz bester Bemühungen einen Fehler gemacht?
• Frühere Verstöße: Ist das Unternehmen ein „Wiederholungstäter“ (ggf. auch im Bereich DSGVO)?
• Zusammenarbeit: Hat das Unternehmen den Fehler proaktiv gemeldet und bei der Aufklärung geholfen?

‍

‍

Ein Rechenbeispiel aus der Praxis (Hypothetisch)

‍

Nehmen wir an, zwei Unternehmen nutzen ein Hochrisiko-KI-System ohne korrekte menschliche Aufsicht.

• Unternehmen A: Ignoriert interne Warnungen, der Fehler läuft 6 Monate, auf Anfrage der Behörde wird gemauert. -> Tendenz: Oberes Drittel des Bußgeldrahmens.
  ‍
• Unternehmen B: Entdeckt den Fehler selbst, schaltet das System ab, meldet es der Behörde und legt sofort einen Maßnahmenplan vor. -> Tendenz: Deutliche Reduktion, eventuell nur eine Verwarnung je nach nationalem Recht.

‍

Das „Wie“ der Reaktion ist oft teurer als das „Was“ des Fehlers.

‍

Action: Strategien zur Risikominimierung und zur Reaktion im Bußgeldverfahren

‍

Wissen ist gut, Handeln ist besser. Wenn Sie verstehen, wie Behörden messen, können Sie Ihre Verteidigungslinie aufbauen, lange bevor ein Brief eintrifft.

‍

Dokumentation als Versicherung

‍

Aufsichtsbehörden honorieren Transparenz. Ein AI Act Compliance System, das Ihre Prozesse lückenlos dokumentiert, dient als Beweis für Ihre Sorgfaltspflicht ("Accountability"). Wenn Sie nachweisen können, dass Sie technische und organisatorische Maßnahmen (TOMs) implementiert hatten und der Verstoß ein Ausreißer war, sinkt der Vorwurf der Fahrlässigkeit massiv.

‍

Der Faktor „Gewinnabschöpfung“

‍

Ein oft übersehener Punkt: Behörden prüfen, ob Sie durch den Verstoß Geld gespart oder verdient haben. Haben Sie durch den Verzicht auf Tests den Marktstart beschleunigt? Dieser „erlangte wirtschaftliche Vorteil“ wird oft auf das Bußgeld aufgeschlagen. Eine saubere Compliance-Kalkulation zeigt hier oft: Compliance ist günstiger als die Gewinnabschöpfung.

‍

‍

Fazit: Compliance ist kein Zustand, sondern ein Prozess

‍

Der Blick auf die verfahrensrechtlichen Aspekte zeigt: Bußgelder sind keine mathematische Zwangsläufigkeit, sondern das Ergebnis eines Bewertungsprozesses. In diesem Prozess haben Unternehmen mehr Einfluss, als sie oft glauben.

‍

Die beste Strategie zur Bußgeldvermeidung ist nicht, zu hoffen, dass nichts passiert, sondern beweisen zu können, dass man alles getan hat, damit nichts passiert. Automatisierung und saubere Prozesse sind dabei Ihre stärksten Argumente im Dialog mit den Behörden.

‍

Möchten Sie tiefer in die Welt der automatisierten Compliance eintauchen und verstehen, wie Sie Ihre Haftungsrisiken minimieren? Erkunden Sie unsere Ressourcen weiter oder sprechen Sie mit uns über Ihre Compliance-Architektur.

‍

Häufig gestellte Fragen (FAQ)

‍

Gelten für Start-ups und KMU die gleichen Bußgelder?

‍

‍Der AI Act sieht vor, dass bei KMU und Start-ups die Geldbußen verhältnismäßig sein müssen und ihre wirtschaftliche Leistungsfähigkeit berücksichtigt wird. Die absoluten Obergrenzen sind für sie oft niedriger angesetzt als für Großkonzerne.

‍

Wer verhängt die Bußgelder eigentlich? Die EU oder nationale Behörden?

‍

‍Die Durchsetzung und Bußgeldverhängung obliegt den nationalen Aufsichtsbehörden der Mitgliedstaaten. Das neu geschaffene "AI Office" auf EU-Ebene unterstützt und koordiniert, verhängt aber in der Regel keine direkten Bußgelder gegen einzelne Betreiber, es sei denn, es geht um General Purpose AI Models (GPAI).

‍

Kann ich mich gegen einen Bußgeldbescheid wehren?

‍

‍Ja, wie bei jedem Verwaltungsakt steht Ihnen der Rechtsweg offen. Dies beginnt meist mit einer Anhörung vor Erlass des Bescheids und führt über den Widerspruch bis hin zur Klage vor den zuständigen Verwaltungsgerichten.

‍

Helfen Zertifizierungen, um Bußgelder zu vermeiden?

‍

‍Zertifizierungen und die Einhaltung harmonisierter Normen indizieren Konformität. Sie wirken im Bußgeldverfahren stark entlastend, da sie gegen den Vorwurf der Fahrlässigkeit sprechen.

‍