EU-KI-Gesetz – Bußgelder und Sanktionen: Was riskieren KMU in der EU wirklich?
Veröffentlicht 18. Juli 2026 · 5 Min. Lesezeit
Die Schlagzeilen-Zahlen sind erschreckend: bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes. Doch das sind Obergrenzen für die schwersten Verstöße der größten Unternehmen. Wenn Sie ein KMU führen, enthält das EU-KI-Gesetz eine Regel, die die Rechnung zu Ihren Gunsten umkehrt. Hier erfahren Sie, wie die Sanktionen tatsächlich aussehen und was sie für ein kleines Unternehmen bedeuten.
Die drei Sanktionsstufen
Das EU-KI-Gesetz (Verordnung (EU) 2024/1689) legt drei Obergrenzen für Geldbußen fest, je nachdem, wogegen verstoßen wurde:
- Bis zu EUR 35M oder 7 % des weltweiten Jahresumsatzes für die Anwendung einer der verbotenen KI-Praktiken, die nach Artikel 5 untersagt sind (Artikel 99 Absatz 3).
- Bis zu EUR 15M oder 3 % für die Verletzung der meisten anderen Pflichten: die Pflichten von Anbietern und Betreibern von Hochrisikosystemen, die Transparenzvorschriften oder die Anforderungen an notifizierte Stellen (Artikel 99 Absatz 4).
- Bis zu EUR 7.5M oder 1 % für die Erteilung falscher, unvollständiger oder irreführender Auskünfte an Behörden oder notifizierte Stellen (Artikel 99 Absatz 5).
Für ein Unternehmen, das kein KMU ist, gilt für jedes Bußgeld der höhere Betrag aus dem festen Euro-Betrag oder dem Prozentsatz des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – gemessen auf Konzernebene, am Umsatz, nicht am Gewinn.
Die KMU-Regel, die die meisten Schlagzeilen übersehen
Artikel 99 Absatz 6 kehrt diese Regel für kleinere Unternehmen um. Für KMU und Start-ups ist jedes Bußgeld auf den niedrigeren Wert aus Prozentsatz oder festem Betrag begrenzt, nicht auf den höheren. Dieses eine Wort ändert alles für ein kleines Unternehmen.
Nehmen wir die oberste Stufe. Ein großer Konzern riskiert bis zu den höheren Betrag aus EUR 35M oder 7 % des Umsatzes. Ein KMU mit, sagen wir, EUR 2M Jahresumsatz riskiert bis zu den niedrigeren der beiden Beträge: 7 % von EUR 2M sind EUR 140.000, weit unter EUR 35M, sodass EUR 140.000 die Obergrenze bildet. Der Prozentsatz – nicht die schwindelerregende feste Zahl – begrenzt das Risiko eines KMU.
KI-Modelle mit allgemeinem Verwendungszweck: Bußgelder durch die Kommission
Es gibt einen gesonderten Weg für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI). Nach Artikel 101 kann die Europäische Kommission – nicht eine nationale Behörde – gegen einen GPAI-Anbieter bei vorsätzlichen oder fahrlässigen Verstößen ein Bußgeld von bis zu EUR 15M oder 3 % des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist. Diese Bußgelder können vom Gerichtshof der EU überprüft werden.
Bußgelder sind Obergrenzen, keine Festbeträge
Jede der oben genannten Zahlen ist ein Höchstwert: Das Gesetz sagt „bis zu.“ Es gibt kein festes Bußgeld und keine Mindeststrafe. Wenn eine Behörde einen konkreten Betrag festlegt, muss sie nach Artikel 99 Absatz 7 unter anderem folgende Faktoren abwägen:
- Art, Schwere und Dauer des Verstoßes sowie seine Folgen;
- Größe, Umsatz und Marktanteil des Akteurs;
- ob der Verstoß vorsätzlich oder fahrlässig begangen wurde;
- in welchem Umfang der Akteur kooperiert hat und welche technischen und organisatorischen Maßnahmen er getroffen hatte;
- ob der Akteur das Problem selbst gemeldet und Maßnahmen zur Begrenzung des Schadens ergriffen hat.
Mit anderen Worten: Ein dokumentierter, in gutem Glauben unternommener Compliance-Aufwand senkt unmittelbar das Bußgeld, das eine Behörde voraussichtlich verhängen wird.
Wer das Bußgeld verhängt
Die Durchsetzung ist dreigeteilt: nationale Marktüberwachungsbehörden verhängen die Bußgelder nach Artikel 99 gegen Unternehmen; die Europäische Kommission verhängt über das KI-Büro Bußgelder gegen Anbieter von GPAI-Modellen nach Artikel 101; und der Europäische Datenschutzbeauftragte verhängt Bußgelder gegen EU-Institutionen nach Artikel 100 (begrenzt auf EUR 1.5M oder EUR 750.000).
Ab wann greifen die Bußgelder?
Einige gelten bereits. Die Verbote nach Artikel 5 sind seit dem 2. Februar 2025 durchsetzbar. Die GPAI-Pflichten gelten ab dem 2. August 2025, die Sanktionsbefugnis der Kommission ab dem 2. August 2026. Die Hochrisiko-Pflichten – die größte Risikoquelle für die meisten KMU – wurden durch das Digital-Omnibus-Paket auf den 2. Dezember 2027 für Anhang-III-Systeme verschoben (angenommen, Veröffentlichung im Amtsblatt steht noch aus). Siehe unseren Leitfaden zu den Fristen für den vollständigen Zeitplan.
So senken Sie Ihr Risiko
Der günstigste Weg, das Sanktionsrisiko zu verringern, besteht darin, einen Compliance-Nachweis vorlegen zu können: Klassifizierung, eine technische Dokumentation, menschliche Aufsicht und Überwachung, denn genau das sind die mildernden Faktoren, die Artikel 99 Absatz 7 belohnt. Sie sind nicht sicher, welche Ihrer Systeme überhaupt in den Anwendungsbereich fallen? Beginnen Sie mit dem kostenlosen EU AI Act Snapshot – zwei Minuten, ohne Anmeldung – und arbeiten Sie dann unsere 9-Schritte-Compliance-Checkliste durch. Tarife beginnen bei EUR 0.