Strafen des EU-KI-Gesetzes: Das Strafrahmen von 35 Millionen Euro
Das EU-KI-Gesetz legt eine dreistufige Strafstruktur fest, die sich an der DSGVO orientiert, aber höhere Obergrenzen hat. Die nationalen Behörden setzen die Vorschriften durch, und das Gesetz sieht sowohl Geldstrafen als auch den Rückzug von Produkten vor.
Drei Strafstufen
Verstöße gegen Artikel 5: soziale Bewertung, subliminale Manipulation, ungerichtetes Sammeln von Daten für Gesichtserkennungsdatenbanken, Echtzeit-Fern-biometrische Identifizierung in öffentlichen Räumen (außerhalb enger Ausnahmen).
Nichteinhaltung der Anforderungen an KI-Systeme mit hohem Risiko (Protokollierung, Aufsicht, Risikomanagement, technische Dokumentation), der Verpflichtungen von GPAI-Anbietern oder der Transparenzanforderungen gemäß Artikel 50.
Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen an benannte Stellen oder zuständige Behörden.
Es gilt der höhere Betrag. Multiplikatoren für KMU und Start-ups können die absoluten Obergrenzen reduzieren, aber nicht die prozentualen Obergrenzen des Umsatzes.
Vergleich mit der DSGVO
Die 4 %-/20-Millionen-Euro-Obergrenze der DSGVO hat seit 2018 mehrere Strafen von über 1 Milliarde Euro zur Folge (Meta, Amazon, Google, TikTok). Die 7 %-/35-Millionen-Euro-Obergrenze des EU-KI-Gesetzes ist deutlich höher, und die politische Dynamik deutet darauf hin, dass die Durchsetzung nicht nachsichtig sein wird.
Praktische Kosten der Nichteinhaltung
- Direkte Strafen (oben)
- Erzwungener Rückzug des KI-Systems vom Markt
- Reputationsschaden und Kundenabwanderung
- Zivilrechtliche Klagen in den Mitgliedstaaten mit privatem Recht auf Klage
- Prüfung durch Investoren und Verzögerungen bei Due-Diligence-Prüfungen im Rahmen von Akquisitionen
Wie AIAgentree das Durchsetzungsrisiko reduziert
Die meisten Strafen der Stufe 2 zielen auf die genauen Verpflichtungen ab, für die AIAgentree entwickelt wurde — Protokollierung, menschliche Aufsicht und Risikomanagement. Manipulationssichere Aufzeichnungen verwandeln 'wir sind konform' in 'hier ist der Beweis', wenn eine Behörde fragt.
- Manipulationssichere Entscheidungsprotokolle liefern den automatischen, zeitgestempelten Artikel-12-Audit-Trail, den die Behörden zuerst anfordern — ein fehlender Trail ist ein häufiger Auslöser für Hochrisikofeststellungen (Stufe 2).
- Menschliche Aufsichts- und Genehmigungsworkflows dokumentieren die Intervention und die Genehmigung, sodass die Aufsicht nachweisbar und nicht nur behauptet ist.
- Audit-fähige Aufbewahrung (6 Monate oder länger) mit Export auf Anfrage und EU-Datenresidenz in Deutschland stellt sicher, dass Ihre Konformitätsbeweise verfügbar und jurisdiktionsspezifisch sind, um den gesamten Lebenszyklus der Bewertung abzudecken.
Häufig gestellte Fragen
Was ist die Höchststrafe nach dem EU-KI-Gesetz?
Die höchste Stufe beträgt bis zu 35 Millionen Euro oder 7% des gesamten weltweiten Jahresumsatzes des vorherigen Geschäftsjahres, je nachdem, was höher ist. Sie gilt für Verstöße gegen das Verbot von Praktiken nach Artikel 5 (z. B. soziale Bewertung oder ungerichtete Gesichtserkennung). Niedrigere Stufen gelten für andere Verpflichtungen: bis zu 15 Millionen Euro / 3% für Hochrisikoverstöße, GPAI- und Transparenzversäumnisse und bis zu 7,5 Millionen Euro / 1% für die Bereitstellung falscher Informationen an Behörden.
Wie vergleichen sich die Strafen nach dem EU-KI-Gesetz mit der DSGVO?
Die Obergrenze ist wesentlich höher. Die DSGVO begrenzt Verwaltungsstrafen auf 20 Millionen Euro oder 4% des weltweiten Umsatzes, während die höchste Stufe des EU-KI-Gesetzes 35 Millionen Euro oder 7% erreicht. Die Durchsetzung der DSGVO hat bereits Strafen in Milliardenhöhe produziert, sodass die höhere Obergrenze des KI-Gesetzes signalisiert, dass die Regulierungsbehörden erhebliche Strafen für die schwerwiegendsten Verstöße erwarten.
Wer verhängt Strafen nach dem EU-KI-Gesetz?
Nationale Marktaufsichtsbehörden, die von jedem Mitgliedstaat benannt werden, verhängen Strafen gegen Anbieter und Bereitsteller und legen den tatsächlichen Betrag fallweise fest. Für allgemeine Verpflichtungen von KI-Modellen setzt das AI-Büro der Europäischen Kommission die Strafen direkt durch. Das EU-KI-Gesetz legt die Obergrenzen fest; nationales Recht und Behörden bestimmen die endgültige Strafe.
Werden KMU und Start-ups anders bestraft?
Ja. Nach Artikel 99(6) ist für KMU und Start-ups jede Strafe auf den niedrigeren Betrag oder den Prozentsatz des Umsatzes gedeckelt — das Gegenteil der Regel, die für größere Unternehmen gilt. Die Behörden müssen auch die Größe und wirtschaftliche Tragfähigkeit eines Betreibers bei der Festlegung des Betrags berücksichtigen.
Können Strafen nach dem EU-KI-Gesetz auf andere Strafen aufgeschlagen werden?
Ein einzelner Verstoß kann mehrere Verpflichtungen verletzen, und die Behörden legen Strafen pro Verstoß fest, während sie die Schwere und Dauer berücksichtigen. Verwaltungsstrafen sind auch ohne Vorurteil gegen andere Konsequenzen — zwangsweiser Rückzug des Systems vom Markt und zivilrechtliche Klagen in Mitgliedstaaten, die privates Recht vorsehen. Daher sind Geldstrafen selten die einzigen Kosten der Nichtbefolgung.
Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort
EU-KI-Gesetzes-Konformitäts-Leitfaden
Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.
Artikel 12 — Aufzeichnung und Protokollierung
Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.
Artikel 14 — Menschliche Aufsicht
Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.
Anhang III — Hochrisiko-KI-Systeme
Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.
EU-KI-Gesetzes-Konformitäts-Checkliste
Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.
Konformitätskostenrechner
Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.
Fristen und Zeitplan
Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.
Transparenzpflichten (Art. 13 und 50)
Offenlegungspflichten für KI-Systeme und ihre Ausgaben.
Risikomanagement und Konformitätsbewertung
Aufbau eines Risikomanagementsystems und Bewertung der Konformität.
GPAI-Pflichten
Regeln für Anbieter von allgemeinen KI-Modellen.
EU-KI-Gesetz für US-Unternehmen
Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.
Omnibus-Update
Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.
Bußgeldrechner
Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.
Artikel 11 + Anhang IV
Welche technische Dokumentation das EU-AI-Gesetz erfordert.
Artikel 26: Verpflichtungen des Deployers
Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.
Artikel 17: Qualitätsmanagement
Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.
Artikel 10: Datenverwaltung
Datenqualität, Bias-Mitigation und Governance-Pflichten.
Artikel 4: KI-Literacy
Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.
Deployer vs. Anbieter
Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.
FRIA (Artikel 27)
Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.
Wer ist betroffen?
Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.
Nachmarküberwachung
Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.
ISO 42001 vs. EU-AI-Gesetz
Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.
NIST AI RMF vs. EU-AI-Gesetz
Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.
EU-AI-Gesetz für den Gesundheitssektor
High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.
EU-AI-Gesetz für Finanzdienstleistungen
Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.
EU-AI-Gesetz für Personalwesen und Beschäftigung
Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.