Chief AI Officer / Insights / Bußgelder im AI Act
AI Act 28. April 2026 6 Min. Lesezeit

Bußgelder im AI Act: 35 Millionen Euro und was sie für Sie konkret bedeuten

Die maximalen Bußgelder klingen abstrakt. Eine konkrete Aufschlüsselung der Bußgeldstaffelung, eine Beispielrechnung für einen Mittelständler und die ersten Verfahren, die Aufschluss über die Praxis der Behörden geben.

Wenn man Geschäftsführern den EU AI Act erklärt, fällt früher oder später eine Zahl: 35 Millionen Euro. So hoch sind die maximalen Bußgelder bei schwersten Verstößen. Die Zahl ist beeindruckend, sie ist aber für einen Mittelständler ähnlich abstrakt wie eine astronomische Distanz. Es lohnt sich, näher hinzuschauen, was diese Zahlen für ein Unternehmen mit 80 Millionen Euro Jahresumsatz tatsächlich bedeuten und mit welchen Bußgeldern realistisch zu rechnen ist.

Dieser Beitrag macht diese Übersetzung. Wir schauen uns die drei Bußgeld-Stufen an, rechnen ein Szenario für einen typischen Mittelständler durch, listen die acht Faktoren auf, die die Behörden bei der Bemessung berücksichtigen, und beleuchten fünf realistische Verstoß-Szenarien.

Die drei Bußgeld-Stufen im Überblick

Der AI Act staffelt die Bußgelder in drei Höhen, abhängig davon, wie schwer der Verstoß ist. Jede Stufe nennt einen absoluten Betrag und einen prozentualen Anteil am weltweiten Jahresumsatz. Der höhere der beiden Werte gilt. Das ist wichtig, weil sich daraus für sehr kleine Unternehmen andere Konsequenzen ergeben als für sehr große.

35 Mio. €
oder
7% Jahresumsatz

Schwerste Verstöße: verbotene Praktiken

Diese Bußgelder werden bei Verstößen gegen die verbotenen Praktiken nach Artikel 5 AI Act verhängt: Social Scoring, manipulative KI, unterschwellige Beeinflussung, biometrische Massenüberwachung.

Für Mittelständler praktisch nie relevant Diese Stufe trifft fast ausschließlich Anbieter von hochproblematischen KI-Systemen, kaum Mittelständler als Nutzer.
15 Mio. €
oder
3% Jahresumsatz

Verstöße gegen Hochrisiko-Anforderungen

Diese Bußgelder gelten für Verstöße gegen die meisten operativen Anforderungen: fehlende Risikomanagementsysteme, unzureichende Dokumentation, fehlende menschliche Aufsicht, mangelhafte Transparenz, Verstöße gegen Datenqualität.

Realistisch relevant Wer Hochrisiko-Anwendungen (HR, Produktintegration) ohne ordentliche Dokumentation nutzt, fällt in diese Stufe.
7,5 Mio. €
oder
1,5% Jahresumsatz

Falsche oder fehlende Auskünfte

Bußgelder dieser Stufe drohen, wenn der Aufsichtsbehörde falsche, unvollständige oder irreführende Informationen geliefert werden. Das ist die häufig unterschätzte dritte Stufe.

Aufgepasst Wer im Audit dem Prüfer falsche Auskünfte gibt, kann hier landen, auch wenn die KI-Anwendung selbst nicht zu beanstanden wäre.

Was bedeutet das konkret für einen Mittelständler?

Die Prozent-Sätze sind für Mittelständler entscheidend. Bei einem Jahresumsatz von 80 Millionen Euro liegen die theoretischen Maxima deutlich unter den absoluten Beträgen. Schauen wir uns die Rechnung an:

Beispielrechnung · Mittelständler mit 80 Mio. € Umsatz
Stufe 1 — Verbotene Praktiken (7%)
5.600.000 €
Stufe 2 — Hochrisiko-Verstöße (3%)
2.400.000 €
Stufe 3 — Falsche Auskünfte (1,5%)
1.200.000 €
Realistische Bußgeld-Spanne in der Praxis
200.000 – 800.000 €
Die theoretischen Maxima werden in der Praxis nur bei vorsätzlichen, fortgesetzten oder grob fahrlässigen Verstößen ausgeschöpft. Die realistische Spanne bei einem typischen Erstverstoß eines Mittelständlers liegt im niedrigen sechsstelligen Bereich.

Die wichtige Botschaft: Bußgelder im realistischen Bereich von 200.000 bis 800.000 Euro sind für die meisten Mittelständler bestandsbedrohend. Nicht weil sie das absolute Maximum sind, sondern weil sie das Jahresergebnis eines guten Geschäftsjahres aufzehren können.

!
Reputationsschaden ist oft größer als das Bußgeld. In der Praxis ist ein verhängtes Bußgeld nur die eine Hälfte des Schadens. Die andere Hälfte ist die öffentliche Aufmerksamkeit, die ein KI-Verstoß bringt: Berichterstattung, Vertrauensverlust bei Kunden, Imageschaden. Bei einem Mittelständler kann das langfristig mehr kosten als das Bußgeld selbst.

Acht Faktoren bei der Bemessung

Die Aufsichtsbehörden haben Ermessen bei der Höhe des Bußgeldes innerhalb des Rahmens. Acht Faktoren spielen dabei eine besondere Rolle. Wer sie kennt, kann sein Bußgeld-Risiko aktiv steuern.

1
Schwere und Dauer des Verstoßes
2
Vorsatz oder Fahrlässigkeit
3
Anzahl der betroffenen Personen
4
Kooperationsbereitschaft mit der Behörde
5
Vorherige Verstöße oder Wiederholungstaten
6
Größe und Umsatz des Unternehmens
7
Wirtschaftliche Vorteile aus dem Verstoß
8
Vorhandene Compliance-Strukturen

Punkt acht ist der wichtigste Hebel für mittelständische Unternehmen. Wer im Schadensfall nachweisen kann, dass er ernsthafte, dokumentierte Schritte zur Compliance unternommen hat, wird deutlich milder behandelt. Eine vorhandene DSFA, eine schriftliche KI-Position des Hauses und nachweisbare Schulungen können das Bußgeld um den Faktor zwei bis fünf reduzieren.

Das praktische Prinzip
Compliance ist nicht der Schutz vor jedem Verstoß. Compliance ist der Schutz vor dem Maximalbußgeld bei einem Verstoß, der trotzdem passiert. Wer das verinnerlicht, investiert anders in Vorbereitung.

Fünf realistische Verstoß-Szenarien

Aus der bisherigen Praxis lassen sich fünf typische Szenarien ableiten, die im Mittelstand 2026 wirklich vorkommen können. Keines davon ist konstruiert, jedes davon ist in vergleichbaren Verfahren der Datenschutz-Welt bereits dokumentiert.

Szenario 1

KI-gestützte Bewerbungssichtung ohne menschliche Aufsicht

Ein Mittelständler nutzt ein KI-Tool, das Bewerbungen automatisch vorsortiert. Eine abgelehnte Bewerberin beschwert sich bei der Aufsichtsbehörde. Die Prüfung ergibt: keine Dokumentation, keine DSFA, keine menschliche Letztentscheidung.

Realistische Bußgeld-Bandbreite: 50.000 – 250.000 €
Szenario 2

Chatbot ohne KI-Kennzeichnung

Ein Kundenservice-Chatbot wird mit einem menschlich klingenden Namen betrieben, ohne dass Kunden erkennen können, dass sie mit KI sprechen. Mehrere Kundenbeschwerden, Aufsichtsbehörde wird tätig.

Realistische Bußgeld-Bandbreite: 20.000 – 100.000 €
Szenario 3

Fehlende KI-Kompetenz bei Mitarbeitenden

Ein Datenschutzvorfall durch unsachgemäße KI-Nutzung. Die Behörde prüft und stellt fest: kein Nachweis von Schulungen nach Artikel 4 AI Act. Verstoß wird zusätzlich zum eigentlichen Datenschutzthema geahndet.

Realistische Bußgeld-Bandbreite: 10.000 – 80.000 €
Szenario 4

Falsche Auskunft im Audit

Bei einer Routineprüfung gibt die Geschäftsführung an, dass keine Hochrisiko-Anwendungen eingesetzt werden. Recherche der Behörde ergibt aber, dass ein KI-Bewertungstool im HR im Einsatz ist. Falschauskunft, eigener Verstoßtatbestand.

Realistische Bußgeld-Bandbreite: 30.000 – 150.000 €
Szenario 5

Kombinationsfall: mehrere Verstöße zusammen

HR-KI ohne Dokumentation, Schatten-KI in der Buchhaltung, fehlende Schulungen, Chatbot ohne Kennzeichnung. Bei einem Audit kommen mehrere Verstöße zusammen, die als Gesamtbild gewertet werden.

Realistische Bußgeld-Bandbreite: 200.000 – 800.000 €

Wie die ersten Verfahren wahrscheinlich aussehen

Aus der Erfahrung mit DSGVO-Verfahren in den ersten Jahren nach 2018 lässt sich ableiten, wie die ersten AI-Act-Verfahren in Deutschland wahrscheinlich verlaufen werden. Drei Muster sind erwartbar.

Muster eins: Die ersten Bußgelder werden moderat sein, um Aufmerksamkeit zu erzeugen, ohne abschreckend zu wirken. Wir erwarten Beträge zwischen 50.000 und 500.000 Euro bei den ersten dokumentierten Fällen ab Ende 2026.

Muster zwei: Die Verfahren werden öffentlichkeitswirksam kommuniziert. Das Ziel ist Verhaltenslenkung, nicht primär Strafe. Wer in den ersten Verfahren betroffen ist, wird ungewollt zum Beispielfall für die Branche.

Muster drei: HR-Anwendungen werden im Fokus stehen, weil sie betroffene Personen haben, die sich beschweren können. Beschäftigte und Bewerber sind die wahrscheinlichsten Beschwerdeführer. Wer KI in HR einsetzt, sollte besonders sauber arbeiten.

Was bleibt

Die 35 Millionen Euro sind eine PR-Zahl. Die realistische Sorge eines Mittelständlers liegt im niedrigen sechsstelligen Bereich. Das ist immer noch genug, um ein Geschäftsjahr nachhaltig zu beschädigen. Es ist aber auch eine Größenordnung, die durch saubere Vorbereitung effektiv reduziert werden kann.

Der wichtigste Hebel ist Nachweisbarkeit. Nicht ob Sie alles perfekt machen, sondern ob Sie dokumentieren können, dass Sie das Thema ernst nehmen. Eine DSFA für jede relevante KI-Anwendung, eine schriftliche KI-Position des Hauses, nachweisbare Schulungen, eine klare Verantwortlichkeit. Das sind die vier Bausteine, die im Bußgeldverfahren den Unterschied zwischen 500.000 Euro und 50.000 Euro ausmachen.

Die Investition in diese Bausteine kostet typischerweise zwischen 15.000 und 40.000 Euro. Verglichen mit dem Bußgeldrisiko ist das die wirtschaftlich naheliegende Entscheidung.

Wie hoch ist Ihr Bußgeld-Risiko?

Eine erste Einschätzung Ihres AI-Act-Risikos und der wirksamsten Schutzmaßnahmen ist Teil unseres Erstgesprächs. Unverbindlich, in 60 Minuten.

Erstgespräch vereinbaren
CAO
Veröffentlicht von
Chief AI Officer
Strategische KI-Führung für den Mittelstand · Münster
Weiterlesen

Verwandte Beiträge

AI Act 8 Min. Lesezeit

Was der EU AI Act für mittelständische Unternehmen 2026 konkret bedeutet

Pragmatische Übersetzung der vier Risikostufen, der Fristen und der wirklichen Pflichten in Ihre Praxis.
AI Act 10 Min. Lesezeit

Artikel 4 AI Act: Warum Ihre Mitarbeiter seit Februar 2025 KI-Kompetenz nachweisen müssen

Eine Verpflichtung, die seit Februar 2025 gilt und die kaum ein Mittelständler auf dem Schirm hat.