28 Tage bis zum Inkrafttreten des EU-KI-Gesetzes
Mehr erfahren →
Strafen

Strafen des EU-KI-Gesetzes: Das Strafrahmen von 35 Millionen Euro

Das EU-KI-Gesetz legt eine dreistufige Strafstruktur fest, die sich an der DSGVO orientiert, aber höhere Obergrenzen hat. Die nationalen Behörden setzen die Vorschriften durch, und das Gesetz sieht sowohl Geldstrafen als auch den Rückzug von Produkten vor.

Drei Strafstufen

Stufe 1 – Verbotene Praktiken
Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes

Verstöße gegen Artikel 5: soziale Bewertung, subliminale Manipulation, ungerichtetes Sammeln von Daten für Gesichtserkennungsdatenbanken, Echtzeit-Fern-biometrische Identifizierung in öffentlichen Räumen (außerhalb enger Ausnahmen).

Stufe 2 – Hohes Risiko + Nichteinhaltung der GPAI-Anforderungen
Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes

Nichteinhaltung der Anforderungen an KI-Systeme mit hohem Risiko (Protokollierung, Aufsicht, Risikomanagement, technische Dokumentation), der Verpflichtungen von GPAI-Anbietern oder der Transparenzanforderungen gemäß Artikel 50.

Stufe 3 – Verstöße gegen Informations- und Kooperationspflichten
Bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes

Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen an benannte Stellen oder zuständige Behörden.

Es gilt der höhere Betrag. Multiplikatoren für KMU und Start-ups können die absoluten Obergrenzen reduzieren, aber nicht die prozentualen Obergrenzen des Umsatzes.

Vergleich mit der DSGVO

Die 4 %-/20-Millionen-Euro-Obergrenze der DSGVO hat seit 2018 mehrere Strafen von über 1 Milliarde Euro zur Folge (Meta, Amazon, Google, TikTok). Die 7 %-/35-Millionen-Euro-Obergrenze des EU-KI-Gesetzes ist deutlich höher, und die politische Dynamik deutet darauf hin, dass die Durchsetzung nicht nachsichtig sein wird.

Praktische Kosten der Nichteinhaltung

  • Direkte Strafen (oben)
  • Erzwungener Rückzug des KI-Systems vom Markt
  • Reputationsschaden und Kundenabwanderung
  • Zivilrechtliche Klagen in den Mitgliedstaaten mit privatem Recht auf Klage
  • Prüfung durch Investoren und Verzögerungen bei Due-Diligence-Prüfungen im Rahmen von Akquisitionen

Wie AIAgentree das Durchsetzungsrisiko reduziert

Die meisten Strafen der Stufe 2 zielen auf die genauen Verpflichtungen ab, für die AIAgentree entwickelt wurde — Protokollierung, menschliche Aufsicht und Risikomanagement. Manipulationssichere Aufzeichnungen verwandeln 'wir sind konform' in 'hier ist der Beweis', wenn eine Behörde fragt.

  • Manipulationssichere Entscheidungsprotokolle liefern den automatischen, zeitgestempelten Artikel-12-Audit-Trail, den die Behörden zuerst anfordern — ein fehlender Trail ist ein häufiger Auslöser für Hochrisikofeststellungen (Stufe 2).
  • Menschliche Aufsichts- und Genehmigungsworkflows dokumentieren die Intervention und die Genehmigung, sodass die Aufsicht nachweisbar und nicht nur behauptet ist.
  • Audit-fähige Aufbewahrung (6 Monate oder länger) mit Export auf Anfrage und EU-Datenresidenz in Deutschland stellt sicher, dass Ihre Konformitätsbeweise verfügbar und jurisdiktionsspezifisch sind, um den gesamten Lebenszyklus der Bewertung abzudecken.

Häufig gestellte Fragen

Was ist die Höchststrafe nach dem EU-KI-Gesetz?

Die höchste Stufe beträgt bis zu 35 Millionen Euro oder 7% des gesamten weltweiten Jahresumsatzes des vorherigen Geschäftsjahres, je nachdem, was höher ist. Sie gilt für Verstöße gegen das Verbot von Praktiken nach Artikel 5 (z. B. soziale Bewertung oder ungerichtete Gesichtserkennung). Niedrigere Stufen gelten für andere Verpflichtungen: bis zu 15 Millionen Euro / 3% für Hochrisikoverstöße, GPAI- und Transparenzversäumnisse und bis zu 7,5 Millionen Euro / 1% für die Bereitstellung falscher Informationen an Behörden.

Wie vergleichen sich die Strafen nach dem EU-KI-Gesetz mit der DSGVO?

Die Obergrenze ist wesentlich höher. Die DSGVO begrenzt Verwaltungsstrafen auf 20 Millionen Euro oder 4% des weltweiten Umsatzes, während die höchste Stufe des EU-KI-Gesetzes 35 Millionen Euro oder 7% erreicht. Die Durchsetzung der DSGVO hat bereits Strafen in Milliardenhöhe produziert, sodass die höhere Obergrenze des KI-Gesetzes signalisiert, dass die Regulierungsbehörden erhebliche Strafen für die schwerwiegendsten Verstöße erwarten.

Wer verhängt Strafen nach dem EU-KI-Gesetz?

Nationale Marktaufsichtsbehörden, die von jedem Mitgliedstaat benannt werden, verhängen Strafen gegen Anbieter und Bereitsteller und legen den tatsächlichen Betrag fallweise fest. Für allgemeine Verpflichtungen von KI-Modellen setzt das AI-Büro der Europäischen Kommission die Strafen direkt durch. Das EU-KI-Gesetz legt die Obergrenzen fest; nationales Recht und Behörden bestimmen die endgültige Strafe.

Werden KMU und Start-ups anders bestraft?

Ja. Nach Artikel 99(6) ist für KMU und Start-ups jede Strafe auf den niedrigeren Betrag oder den Prozentsatz des Umsatzes gedeckelt — das Gegenteil der Regel, die für größere Unternehmen gilt. Die Behörden müssen auch die Größe und wirtschaftliche Tragfähigkeit eines Betreibers bei der Festlegung des Betrags berücksichtigen.

Können Strafen nach dem EU-KI-Gesetz auf andere Strafen aufgeschlagen werden?

Ein einzelner Verstoß kann mehrere Verpflichtungen verletzen, und die Behörden legen Strafen pro Verstoß fest, während sie die Schwere und Dauer berücksichtigen. Verwaltungsstrafen sind auch ohne Vorurteil gegen andere Konsequenzen — zwangsweiser Rückzug des Systems vom Markt und zivilrechtliche Klagen in Mitgliedstaaten, die privates Recht vorsehen. Daher sind Geldstrafen selten die einzigen Kosten der Nichtbefolgung.

Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort

EU-KI-Gesetzes-Konformitäts-Leitfaden

Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.

Artikel 12 — Aufzeichnung und Protokollierung

Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.

Artikel 14 — Menschliche Aufsicht

Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.

Anhang III — Hochrisiko-KI-Systeme

Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.

EU-KI-Gesetzes-Konformitäts-Checkliste

Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.

Konformitätskostenrechner

Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.

Fristen und Zeitplan

Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.

Transparenzpflichten (Art. 13 und 50)

Offenlegungspflichten für KI-Systeme und ihre Ausgaben.

Risikomanagement und Konformitätsbewertung

Aufbau eines Risikomanagementsystems und Bewertung der Konformität.

GPAI-Pflichten

Regeln für Anbieter von allgemeinen KI-Modellen.

EU-KI-Gesetz für US-Unternehmen

Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.

Omnibus-Update

Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.

Bußgeldrechner

Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.

Artikel 11 + Anhang IV

Welche technische Dokumentation das EU-AI-Gesetz erfordert.

Artikel 26: Verpflichtungen des Deployers

Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.

Artikel 17: Qualitätsmanagement

Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.

Artikel 10: Datenverwaltung

Datenqualität, Bias-Mitigation und Governance-Pflichten.

Artikel 4: KI-Literacy

Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.

Deployer vs. Anbieter

Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.

FRIA (Artikel 27)

Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.

Wer ist betroffen?

Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.

Nachmarküberwachung

Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.

ISO 42001 vs. EU-AI-Gesetz

Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.

NIST AI RMF vs. EU-AI-Gesetz

Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.

EU-AI-Gesetz für den Gesundheitssektor

High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.

EU-AI-Gesetz für Finanzdienstleistungen

Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.

EU-AI-Gesetz für Personalwesen und Beschäftigung

Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.