



Volljurist und Compliance-Experte
07 Jan 2026
5 Minuten
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
Der EU AI Act macht KI-Compliance zu einem zentralen Geschäftsrisiko.
Hohe Bußgelder treffen besonders Hochrisiko-KI ohne saubere Governance.
Unternehmen können durch falsche Nutzung selbst zum haftenden Anbieter werden.
Lückenlose Dokumentation ist der wichtigste Schutz vor Haftung und Sanktionen.
Stellen Sie sich vor, Ihr Unternehmen hat Monate in die Implementierung eines neuen KI-gestützten Bewerbermanagementsystems investiert. Die Effizienz steigt, die Kosten sinken. Doch dann flattert ein Brief der Aufsichtsbehörde ins Haus: Ein Verstoß gegen Artikel 5 des EU AI Acts. Die potenzielle Strafe? Bis zu 35 Millionen Euro oder 7 % Ihres weltweiten Jahresumsatzes.
Für viele Geschäftsführer und Compliance-Verantwortliche in Deutschland ist dies kein abstraktes Dystopie-Szenario, sondern ein sehr reales Risiko. Eine aktuelle Deloitte-Umfrage zeigt, dass fast 48,6 % der deutschen Unternehmen sich noch nicht ernsthaft mit der Umsetzung des EU AI Acts befasst haben.
Dieser Leitfaden ist nicht dazu da, Panik zu verbreiten, sondern Klarheit zu schaffen. Wir transformieren den komplexen Gesetzestext in eine handlungsfähige Strategie, mit der Sie Haftungsrisiken minimieren und Compliance von einer Bremse zu einem Wettbewerbsvorteil machen.
Der EU AI Act (Artikel 99) führt ein dreistufiges Sanktionsmodell ein, das in seiner Härte durchaus mit der DSGVO vergleichbar ist – in der Spitze sogar darüber hinausgeht. Für Entscheidungsträger ist es essenziell zu verstehen, dass diese Strafen „wirksam, verhältnismäßig und abschreckend“ sein sollen.
Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes. Hier gilt: Unwissenheit schützt vor Strafe nicht, und die Aufsichtsbehörden haben wenig Spielraum bei klaren Verstößen.

Wichtig für KMU: Der Gesetzgeber hat erkannt, dass diese Summen für den Mittelstand existenzbedrohend sein können. Für KMU und Startups gelten daher oft niedrigere Schwellenwerte, wobei jeweils der niedrigere Betrag angesetzt wird – im Gegensatz zu Großkonzernen, wo der höhere Wert gilt. Dennoch bleibt die finanzielle Last immens.
Wer einen schnellen Überblick über den aktuellen Stand der Regulierung sucht, findet in unserer Zusammenfassung des EU AI Act weitere Details zum Zeitplan und Inkrafttreten.
Während Bußgelder die Bilanz belasten, können zivilrechtliche Klagen und Reputationsverlust das gesamte Geschäftsmodell gefährden.
Parallel zum AI Act plant die EU die KI-Haftungsrichtlinie (AI Liability Directive). Der kritischste Punkt hierbei ist die Kausalitätsvermutung. Normalerweise muss der Geschädigte beweisen, dass ein Fehler im System den Schaden verursacht hat. Bei komplexen KI-Systemen ("Black Box") ist das für Laien fast unmöglich. Daher dreht die EU den Spieß um: Sie als Unternehmen müssen beweisen, dass Ihre KI nicht fehlerhaft war. Gelingt dieser Nachweis nicht (etwa durch lückenhafte Dokumentation), haften Sie für den Schaden.
In einer Zeit, in der Vertrauen die wichtigste Währung ist, wiegt ein "KI-Skandal" schwer. Wenn bekannt wird, dass Ihre Bewerbungs-KI Frauen diskriminiert oder Ihr Chatbot sensible Kundendaten halluziniert, ist der Image-Schaden oft teurer als jedes Bußgeld. Kunden und Partner erwarten heute EU AI Act Compliance Software Standards, die Sicherheit garantieren.

Ein häufiges Missverständnis in unseren Beratungen: "Wir nutzen die KI doch nur, wir haben sie nicht programmiert. Also haften wir nicht." Das ist ein gefährlicher Irrtum.
Der AI Act unterscheidet strikt zwischen verschiedenen Akteuren, und die Haftung kann sich verschieben.
Hier lauert eine der größten Haftungsfallen. Ein Unternehmen gilt ursprünglich als Betreiber. Passt dieses Unternehmen das KI-System jedoch wesentlich an (z. B. durch Fine-Tuning eines LLMs mit eigenen Daten) oder ändert den Verwendungszweck, wird es rechtlich zum Anbieter. Damit treffen Sie plötzlich alle Herstellerpflichten – von der technischen Dokumentation bis zur Registrierung in der EU-Datenbank.

Nicht jede KI ist gleich reguliert. Um Ihre Haftung einzuschätzen, müssen Sie Ihre Systeme kategorisieren. Ein Fehler hierbei ist der Startpunkt für fast alle Bußgelder.
Deutschland steht bei der Umsetzung vor besonderen Herausforderungen. Während die Wirtschaft nach Planungssicherheit ruft, gibt es Verzögerungen. So hat Deutschland die Frist zur Benennung einer nationalen Aufsichtsbehörde (wahrscheinlich die Bundesnetzagentur) verpasst.
Was bedeutet das für Sie?Es herrscht aktuell ein gewisses Vakuum bei der Durchsetzung, doch das ist trügerisch. Die IHK und andere Verbände warnen vor einem "Gold Plating" (Überregulierung) bei der nationalen Umsetzung. Gleichzeitig bieten sogenannte Reallabor KI (Regulatory Sandboxes) eine Chance, KI-Systeme in einer kontrollierten Umgebung ohne volles Haftungsrisiko zu testen. Nutzen Sie diese Möglichkeiten, wenn Sie innovative Lösungen entwickeln.
In Deutschland ist Datenschutz heilig. Der AI Act ersetzt die DSGVO nicht, er ergänzt sie. Ein Verstoß gegen den AI Act ist oft simultan ein Verstoß gegen die DSGVO (z. B. bei der Datenverwendung für das Training). Praxis-Tipp: Ihre Compliance-Strategie muss integriert sein. Ein isoliertes "AI-Silo" wird scheitern. Wenn Sie bereits Prozesse für ISO 27001 oder TISAX etabliert haben, sollten Sie diese Synergien nutzen.
Wie schützen Sie sich nun konkret vor Haftung und Sanktionen? Warten ist keine Option. Hier ist ein Fahrplan für die nächsten Quartale:

Die Haftungsrisiken des EU AI Acts sind signifikant, aber beherrschbar. Unternehmen, die jetzt handeln, sichern sich nicht nur gegen Bußgelder ab, sondern signalisieren ihren Kunden und Partnern: "Wir nehmen Verantwortung ernst." In einer Welt voller "Black Box"-Algorithmen wird Transparenz und Compliance zum ultimativen Wettbewerbsvorteil.
Warten Sie nicht, bis die Aufsichtsbehörde anklopft oder der erste Haftungsfall eintritt. Beginnen Sie heute mit der systematischen Einordnung Ihrer KI-Landschaft.
Antwort: Ja. Sobald das Ergebnis des KI-Systems in der EU genutzt wird, gilt der AI Act. Wenn Sie US-Modelle via API einbinden, werden Sie oft zum "Deployer" mit entsprechenden Pflichten.
Antwort: Das hängt vom Fehler ab. Liegt ein technischer Defekt vor, haftet meist der Hersteller. Haben Sie das System jedoch falsch bedient, die Datenqualität vernachlässigt oder die menschliche Aufsicht missachtet, haften Sie.
Antwort: Angesichts der Komplexität und der Dokumentationspflichten ist eine manuelle Verwaltung via Excel kaum noch darstellbar. Viele Unternehmen suchen daher gezielt nach Lösungen – EU AI Act Compliance Software hilft dabei, den Prozess zu automatisieren und rechtssicher zu gestalten.

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema

Synthetische Daten sind der Schlüssel, um Bias in Hochrisiko-KI zu reduzieren und gleichzeitig die strengen Anforderungen des EU AI Acts zu erfüllen. Erfahren Sie, wie künstlich generierte Datensätze Datenschutzprobleme lösen, seltene Szenarien abbilden und die Repräsentativität Ihrer Trainingsdaten verbessern. Dieser Leitfaden zeigt praxisnah, wie Sie mit modernen Methoden wie GANs und Simulationen faire, robuste und rechtskonforme KI-Modelle aufbauen – und so Compliance in einen echten Wettbewerbsvorteil verwandeln.

Eine Prozesslandkarte ist nach ISO 9001 ein Dokument, das alle Geschäftsprozesse visualisiert und ihre Wechselwirkungen zeigt. Erfahren Sie, wie Sie eine erstellen.

Sieben ISMS-Tools im Direktvergleich plus Auswahlkriterien fuer den deutschen Mittelstand.