Wie hoch sind die Strafen beim AI Act?

Die Strafen im AI Act sind dreistufig: Bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder 3 % für Verstöße gegen Transparenz- und Hochrisiko-Pflichten, und bis zu 7,5 Millionen Euro oder 1 % für falsche Angaben gegenüber Behörden.

Ab wann drohen AI Act Strafen?

Die Strafen gelten gestaffelt: Ab 2. Februar 2025 für verbotene KI-Praktiken, ab 2. August 2025 für GPAI-Modelle, ab 2. August 2026 für Transparenz- und Hochrisiko-Pflichten. Die meisten Unternehmen müssen bis August 2026 compliant sein.

Gelten für KMU niedrigere Strafen?

Ja. Für KMU und Startups gilt immer der niedrigere Betrag: entweder der feste Euro-Betrag oder der Umsatzprozentsatz. Zusätzlich soll die Verhältnismäßigkeit berücksichtigt werden — Unternehmensgröße, Schwere des Verstoßes und Kooperationsbereitschaft fließen in die Bemessung ein.

Wer verhängt die AI Act Strafen?

In Deutschland wird eine nationale Marktüberwachungsbehörde zuständig sein. Auf EU-Ebene überwacht das AI Office (Teil der Europäischen Kommission) die Einhaltung, insbesondere bei GPAI-Modellen. Jeder Mitgliedstaat muss bis August 2025 seine Aufsichtsbehörde benennen.

Kann ich für KI-generierte Inhalte bestraft werden?

Ja, wenn du KI-generierte Inhalte veröffentlichst ohne sie als solche zu kennzeichnen, verstößt du gegen die Transparenzpflichten nach Article 50. Das gilt besonders für Deepfakes und synthetische Medien. Die Strafe: bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes.

Was passiert bei einem ersten Verstoß?

Der AI Act sieht keine automatische Höchststrafe beim ersten Verstoß vor. Die Behörden berücksichtigen: Schwere und Dauer des Verstoßes, ob Vorsatz oder Fahrlässigkeit vorlag, welche Maßnahmen zur Schadensbegrenzung ergriffen wurden, und ob der Verstoß freiwillig gemeldet wurde.

AI Act Strafen: Welche Bußgelder drohen bei Verstößen? [2026]

Aktualisiert: April 2026 · Lesezeit: 12 Minuten

Auf einen Blick: Der EU AI Act sieht Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Die Strafen sind dreistufig und richten sich nach der Schwere des Verstoßes. Dieser Artikel erklärt, welche Verstöße welche Strafen auslösen, ab wann sie gelten und wie du dein Unternehmen schützt.

AI Act Strafen im Überblick

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und enthält eines der schärfsten Sanktionsregime im europäischen Digitalrecht. Die Bußgelder übertreffen sogar die der DSGVO — und das ist kein Zufall [1].

Die EU hat aus der DSGVO gelernt: Ohne empfindliche Strafen bleiben Regeln zahnlos. Deshalb sieht Article 99 des AI Act ein dreistufiges Sanktionssystem vor, das sich nach der Schwere des Verstoßes richtet [2].

Verstoß	Max. Bußgeld	% Umsatz
Verbotene KI-Praktiken	35 Mio. €	7 %
Transparenz- & Hochrisiko-Pflichten	15 Mio. €	3 %
Falsche Angaben an Behörden	7,5 Mio. €	1 %

Entscheidend: Es gilt immer der höhere Betrag. Für einen Konzern mit 1 Milliarde Euro Jahresumsatz bedeutet die Höchststrafe also nicht 35 Millionen, sondern 70 Millionen Euro (7 %) [2].

Die drei Strafstufen erklärt

Das Sanktionssystem des AI Act funktioniert nach einem einfachen Prinzip: Je gefährlicher der Verstoß für Menschen, desto höher die Strafe. Die drei Stufen spiegeln die Risikokategorien der Verordnung wider [2].

Stufe 1 — Verbotene Praktiken (Article 5)

Die höchste Strafstufe betrifft KI-Systeme, die in der EU grundsätzlich verboten sind. Wer sie trotzdem einsetzt, riskiert bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes.

Stufe 2 — Pflicht-Verstöße (Articles 6-50)

Die mittlere Stufe betrifft Verstöße gegen die Hauptpflichten: Transparenz nach Article 50, Hochrisiko-Anforderungen, GPAI-Regeln. Bis zu 15 Millionen Euro oder 3 %.

Stufe 3 — Falsche Angaben (Article 99 Abs. 4)

Die niedrigste Stufe gilt für falsche oder irreführende Angaben gegenüber Aufsichtsbehörden. Bis zu 7,5 Millionen Euro oder 1 %.

Stufe 1: Verbotene KI-Praktiken (bis 35 Mio. € / 7 %)

Article 5 des AI Act definiert KI-Anwendungen, die in der EU ausnahmslos verboten sind. Diese Verbote gelten bereits seit dem 2. Februar 2025 — sie sind die ersten AI-Act-Regeln, die durchsetzbar wurden [3].

Verboten sind unter anderem:

Soziales Scoring: KI-Systeme, die Menschen auf Basis ihres Sozialverhaltens bewerten und daraus Nachteile ableiten — vergleichbar mit dem chinesischen Sozialkreditsystem [3]
Unterschwellige Manipulation: KI, die menschliches Verhalten unbewusst beeinflusst und dabei Schaden verursachen kann — etwa durch unterschwellige Techniken in Werbung oder politischer Kommunikation [3]
Ausnutzung von Schwächen: KI-Systeme, die gezielt Alter, Behinderung oder soziale Lage ausnutzen, um Verhalten zu manipulieren [3]
Biometrische Echtzeit-Überwachung: Gesichtserkennung in Echtzeit im öffentlichen Raum — mit engen Ausnahmen für Strafverfolgung [3]
Emotionserkennung am Arbeitsplatz: KI, die Emotionen von Beschäftigten oder Schülern erkennt — außer aus Sicherheits- oder medizinischen Gründen [3]
Biometrische Kategorisierung: Rückschlüsse auf Rasse, politische Meinung, Gewerkschaftszugehörigkeit, Religion oder sexuelle Orientierung aus biometrischen Daten [3]

Praxis-Warnung: Viele Unternehmen setzen unbewusst KI ein, die unter diese Verbote fallen könnte — etwa Emotionsanalyse in Bewerbungsgesprächen oder KI-gestützte Mitarbeiterüberwachung. Prüfe deine eingesetzten Systeme sorgfältig [4].

Stufe 2: Transparenz- und Hochrisiko-Verstöße (bis 15 Mio. € / 3 %)

Die zweite Strafstufe betrifft die Pflichten, die für die meisten Unternehmen relevant sind. Sie umfasst zwei große Bereiche:

Transparenzpflichten (Article 50)

Die Transparenzpflichten nach Article 50 gelten für praktisch jedes Unternehmen, das KI einsetzt. Sie fordern:

KI-Interaktionen kennzeichnen: Nutzer müssen wissen, dass sie mit einer KI sprechen — etwa bei Chatbots oder KI-Telefonsystemen [1]
KI-generierte Inhalte markieren: Texte, Bilder, Audio und Video müssen maschinenlesbar als KI-generiert gekennzeichnet werden [1]
Deepfakes offenlegen: Synthetische Medien, die reale Personen darstellen, müssen deutlich als KI-erzeugt markiert werden [1]
Emotionserkennung transparent machen: Wenn ein System Emotionen erkennt, müssen Betroffene informiert werden [1]

Hochrisiko-KI-Pflichten (Articles 6-27)

Für KI-Systeme in kritischen Bereichen — etwa Personalauswahl, Kreditvergabe, Strafverfolgung oder medizinische Diagnose — gelten zusätzliche Anforderungen [5]:

Risikobewertung und -management
Datenqualität und Dokumentation
Menschliche Aufsicht (Human-in-the-Loop)
Genauigkeit, Robustheit und Cybersicherheit
Konformitätsbewertung vor Markteintritt

Wer diese Pflichten nicht erfüllt, riskiert bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.

GPAI-Modelle (Articles 51-56)

Anbieter von General-Purpose AI-Modellen (wie GPT, Claude, Gemini) haben eigene Pflichten: technische Dokumentation, Copyright-Compliance und Transparenz über Trainingsdaten. Für GPAI-Modelle mit systemischem Risiko gelten zusätzliche Auflagen [6].

Stufe 3: Falsche Angaben (bis 7,5 Mio. € / 1 %)

Die dritte Stufe betrifft ein spezifisches Vergehen: Wer gegenüber Aufsichtsbehörden falsche, unvollständige oder irreführende Angaben macht, riskiert bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes [2].

Das betrifft konkret:

Falsche Angaben bei der Konformitätsbewertung
Unvollständige technische Dokumentation
Irreführende Informationen über die Fähigkeiten eines KI-Systems
Verschweigen von bekannten Risiken oder Vorfällen

Auch wenn 7,5 Millionen Euro vergleichsweise moderat klingen: Falsche Angaben können zusätzlich als Ordnungswidrigkeit oder Straftat gewertet werden — und die Behörden werden genau hinschauen, ob ein Unternehmen kooperiert [2].

Sonderregeln für KMU und Startups

Der AI Act berücksichtigt die besondere Situation kleiner und mittlerer Unternehmen. Article 99 Absatz 6 enthält eine wichtige Schutzklausel [2]:

KMU-Regel: Für KMU und Startups gilt bei den Bußgeldern immer der niedrigere Betrag — entweder der feste Euro-Betrag oder der Umsatzprozentsatz.

Beispiel: Ein Startup mit 500.000 € Jahresumsatz zahlt bei einem Transparenzverstoß maximal 15.000 € (3 % von 500.000 €) statt 15 Millionen Euro.

Zusätzlich sieht der AI Act vor [7]:

Verhältnismäßigkeit: Behörden müssen Unternehmensgröße, Marktanteil und wirtschaftliche Leistungsfähigkeit berücksichtigen
Regulatory Sandboxes: KMU können in Testräumen KI-Systeme entwickeln, ohne sofort alle Pflichten erfüllen zu müssen (Article 57-62)
Vereinfachte Compliance: Für bestimmte Hochrisiko-KI-Systeme sollen vereinfachte Verfahren für KMU gelten
Unterstützung: Die EU-Kommission und nationale Behörden sollen Leitlinien und Hilfestellungen für KMU bereitstellen

Trotz dieser Erleichterungen: Die Pflichten selbst gelten für KMU genauso wie für Konzerne. Nur die Strafen sind proportional niedriger. Eine strukturierte Checkliste hilft beim Einstieg in die Compliance.

Ab wann gelten die Strafen?

Der AI Act tritt gestaffelt in Kraft. Die Fristen im Überblick [8]:

Datum	Was gilt	Strafen
02.02.2025	Verbotene KI-Praktiken (Article 5)	Bis 35 Mio. € / 7 %
02.08.2025	GPAI-Modelle (Articles 51-56), Governance	Bis 15 Mio. € / 3 %
02.08.2026	Transparenzpflichten, Hochrisiko-KI, alle übrigen Regeln	Bis 15 Mio. € / 3 %
02.08.2027	Hochrisiko-KI in regulierten Bereichen (Anhang I)	Bis 15 Mio. € / 3 %

Für die meisten Unternehmen ist der 2. August 2026 der entscheidende Stichtag. Ab dann müssen Transparenzpflichten nach Article 50 umgesetzt sein — also KI-Chatbots gekennzeichnet, KI-generierte Inhalte markiert und Deepfakes offengelegt [8].

Achtung: Verbotene KI-Praktiken sind bereits seit Februar 2025 strafbar. Wer heute noch Social Scoring, unterschwellige Manipulation oder biometrische Echtzeit-Überwachung einsetzt, handelt bereits rechtswidrig.

Wer verhängt die Strafen?

Das Durchsetzungssystem des AI Act ist zweistufig [9]:

Nationale Ebene: Marktüberwachungsbehörden

Jeder EU-Mitgliedstaat muss mindestens eine Marktüberwachungsbehörde für den AI Act benennen. In Deutschland wird voraussichtlich die Bundesnetzagentur (BNetzA) diese Rolle übernehmen — analog zu ihrer Zuständigkeit für den Digital Services Act [9].

Diese Behörden sind zuständig für:

Überwachung der Einhaltung des AI Act im jeweiligen Land
Durchführung von Marktüberwachungsmaßnahmen
Verhängung von Bußgeldern
Bearbeitung von Beschwerden

EU-Ebene: Das AI Office

Das AI Office (eingerichtet im Februar 2024 als Teil der Europäischen Kommission) koordiniert die EU-weite Durchsetzung. Es ist besonders zuständig für [9]:

GPAI-Modelle und deren Anbieter (OpenAI, Google, Meta etc.)
Koordination zwischen nationalen Behörden
Erarbeitung von Leitlinien und Standards
Überwachung systemischer Risiken

Praxisbeispiele: Was kostet ein Verstoß?

Abstrakte Millionenbeträge sagen wenig. Hier konkrete Szenarien, die zeigen, welche Strafen in der Praxis drohen könnten:

Szenario 1: Chatbot ohne Kennzeichnung

Situation: Ein mittelständischer Online-Shop (5 Mio. € Umsatz) betreibt einen KI-Chatbot im Kundenservice, ohne ihn als KI zu kennzeichnen.

Verstoß: Article 50 Abs. 1 — Transparenzpflicht bei KI-Interaktion

Mögliche Strafe: Bis zu 150.000 € (3 % von 5 Mio. €)

Lösung: Chatbot-Kennzeichnung implementieren — technisch in wenigen Stunden umsetzbar.

Szenario 2: KI-generierte Produktbilder

Situation: Ein E-Commerce-Unternehmen (20 Mio. € Umsatz) nutzt KI für Produktbilder, ohne sie maschinenlesbar als KI-generiert zu kennzeichnen.

Verstoß: Article 50 Abs. 2 — Kennzeichnung KI-generierter Inhalte

Mögliche Strafe: Bis zu 600.000 € (3 % von 20 Mio. €)

Lösung: Metadaten und Wasserzeichen für KI-generierte Bilder implementieren.

Szenario 3: KI im Recruiting ohne Risikobewertung

Situation: Ein Konzern (500 Mio. € Umsatz) setzt KI zur Vorauswahl von Bewerbern ein — ohne Risikobewertung, Dokumentation oder menschliche Aufsicht.

Verstoß: Articles 6-27 — Hochrisiko-KI-Pflichten (Personalauswahl ist Hochrisiko-Bereich)

Mögliche Strafe: Bis zu 15 Mio. € (3 % von 500 Mio. = 15 Mio. €)

Lösung: Konformitätsbewertung durchführen, Human-in-the-Loop implementieren, Dokumentation erstellen.

Szenario 4: Emotionserkennung in Bewerbungsgesprächen

Situation: Ein Unternehmen (50 Mio. € Umsatz) nutzt KI-Videoanalyse, um die Emotionen von Bewerbern während Vorstellungsgesprächen zu bewerten.

Verstoß: Article 5 Abs. 1 (f) — Verbotene Praktik (Emotionserkennung am Arbeitsplatz)

Mögliche Strafe: Bis zu 3,5 Mio. € (7 % von 50 Mio. €) — bereits seit Februar 2025 strafbar

Lösung: System sofort deaktivieren. Es gibt keine legale Alternative innerhalb des AI Act für diesen Einsatzzweck.

So schützt du dich vor Strafen

Die gute Nachricht: Die meisten Unternehmen können mit überschaubarem Aufwand compliant werden. Der AI Act bestraft nicht den Einsatz von KI — er bestraft mangelnde Transparenz und fehlende Sorgfalt [10].

5-Schritte-Plan zur Compliance

KI-Inventar erstellen: Welche KI-Systeme setzt dein Unternehmen ein? Chatbots, Content-Generierung, Datenanalyse, Entscheidungssysteme? Liste alles auf.
Risikoeinstufung vornehmen: Prüfe für jedes System, ob es unter verbotene Praktiken (Article 5), Hochrisiko (Anhang III) oder Transparenzpflichten (Article 50) fällt.
Transparenzpflichten umsetzen: Kennzeichne KI auf deiner Webseite, markiere KI-generierte Inhalte, informiere Nutzer über KI-Interaktionen.
Dokumentation aufbauen: Technische Dokumentation, Risikobewertung und Compliance-Nachweise erstellen — vor allem für Hochrisiko-Systeme.
Monitoring einrichten: Regelmäßig prüfen, ob neue KI-Systeme eingeführt werden und ob bestehende Systeme noch compliant sind.

Tool-Tipp: Tools wie NeuralFlow können deine Webseite automatisch auf AI-Act-Compliance prüfen — KI-Kennzeichnung, Metadaten und Transparenz-Anforderungen in wenigen Minuten.

Mildernde Faktoren bei Verstößen

Article 99 Absatz 7 nennt Faktoren, die zu einer niedrigeren Strafe führen können [2]:

Geringe Schwere und kurze Dauer des Verstoßes
Fahrlässigkeit statt Vorsatz
Eigene Maßnahmen zur Schadensbegrenzung
Aktive Kooperation mit den Behörden
Freiwillige Meldung des Verstoßes
Erstverstoß (kein Wiederholungstäter)

Im Umkehrschluss: Wer Verstöße vertuscht, nicht kooperiert oder wiederholt gegen Regeln verstößt, muss mit der Höchststrafe rechnen.

AI Act vs. DSGVO: Strafen im Vergleich

Kriterium	DSGVO	AI Act
Höchststrafe (absolut)	20 Mio. €	35 Mio. €
Höchststrafe (relativ)	4 % Jahresumsatz	7 % Jahresumsatz
Strafstufen	2 Stufen	3 Stufen
KMU-Sonderregeln	Nein (nur Verhältnismäßigkeit)	Ja (niedrigerer Betrag)
Durchsetzung seit	Mai 2018	Februar 2025 (gestaffelt)

Der ausführliche Vergleich AI Act vs. DSGVO zeigt: Beide Verordnungen können gleichzeitig gelten. Wer einen KI-Chatbot betreibt, der personenbezogene Daten verarbeitet, muss sowohl DSGVO als auch AI Act einhalten — und riskiert Strafen nach beiden Regelwerken [4].

Häufige Fragen zu AI Act Strafen

Gibt es eine Übergangsfrist?

Ja, der AI Act hat eine gestaffelte Übergangsfrist von 6 bis 36 Monaten je nach Pflichtenkategorie. Verbotene Praktiken gelten seit Februar 2025, die meisten anderen Pflichten ab August 2026. Es gibt keine pauschale Schonfrist — wer bis zum Stichtag nicht compliant ist, riskiert Strafen [8].

Können Privatpersonen bestraft werden?

Der AI Act richtet sich primär an Anbieter (Provider) und Betreiber (Deployer) von KI-Systemen — also Unternehmen und Organisationen. Privatpersonen, die KI für rein private Zwecke nutzen, sind ausgenommen. Wer allerdings KI-generierte Deepfakes veröffentlicht, kann auch als Privatperson haftbar sein [2].

Was zählt als „Jahresumsatz“ für die Berechnung?

Es gilt der weltweite Jahresumsatz des vorangegangenen Geschäftsjahres. Bei Konzernen wird der konsolidierte Umsatz der Muttergesellschaft herangezogen — nicht nur der Umsatz der Tochtergesellschaft, die den Verstoß begangen hat [2].

Können Strafen kumuliert werden?

Ja. Wenn ein KI-System gleichzeitig gegen mehrere Vorschriften verstößt — etwa verbotene Praktik plus mangelnde Transparenz — können die Strafen theoretisch kumuliert werden. In der Praxis wird die Behörde aber das Gebot der Verhältnismäßigkeit beachten [2].

Gilt der AI Act auch für Unternehmen außerhalb der EU?

Ja, wenn sie KI-Systeme auf dem EU-Markt anbieten oder deren Ergebnisse in der EU genutzt werden. Das gleiche Prinzip wie bei der DSGVO: Der Marktort entscheidet, nicht der Unternehmenssitz [2].

Quellen

[1] Europäisches Parlament und Rat: Verordnung (EU) 2024/1689, Article 50 — Transparenzpflichten. Amtsblatt der Europäischen Union, 12. Juli 2024.

[2] Europäisches Parlament und Rat: Verordnung (EU) 2024/1689, Article 99 — Bußgelder. Amtsblatt der Europäischen Union, 12. Juli 2024.

[3] Europäisches Parlament und Rat: Verordnung (EU) 2024/1689, Article 5 — Verbotene KI-Praktiken. Amtsblatt der Europäischen Union, 12. Juli 2024.

[4] Europäische Kommission: AI Act — Leitlinien zu verbotenen Praktiken. Europäische Kommission, Februar 2025.

[5] Europäisches Parlament und Rat: Verordnung (EU) 2024/1689, Articles 6-27 — Hochrisiko-KI-Systeme. Amtsblatt der Europäischen Union, 12. Juli 2024.

[6] Europäisches Parlament und Rat: Verordnung (EU) 2024/1689, Articles 51-56 — GPAI-Modelle. Amtsblatt der Europäischen Union, 12. Juli 2024.

[7] Europäische Kommission: AI Act — Unterstützung für KMU und Startups. digital-strategy.ec.europa.eu, 2024.

[8] Europäisches Parlament und Rat: Verordnung (EU) 2024/1689, Article 113 — Inkrafttreten und Geltungsbeginn. Amtsblatt der Europäischen Union, 12. Juli 2024.

[9] Europäische Kommission: AI Office — Aufgaben und Zuständigkeiten. digital-strategy.ec.europa.eu, 2024.

[10] Future of Life Institute: EU AI Act — Compliance Guide. artificialintelligenceact.eu, 2025.

Olaf Mergili

Geschäftsführer OMTEC · Prokurist inektra GmbH · LinkedIn

Olaf beschäftigt sich seit 2023 intensiv mit KI-Regulierung und deren praktischen Auswirkungen auf deutsche Unternehmen. Als GF einer Industrie-PC-Firma und Prokurist eines Kalibrierlabors kennt er die Herausforderungen von KMU aus erster Hand.