Sanktionen

EU-KI-VO Bußgelder: Sanktionen nach Artikel 99 im Überblick

Die EU-KI-Verordnung sieht Bußgelder von bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes vor. Dieser Leitfaden erklärt die Bußgeldstaffelung des Artikels 99, wer haftet und welche Verstöße welche Sanktionen auslösen.

10 Min. LesezeitAktualisiert im Januar 2026

Überblick über die Sanktionen der KI-Verordnung

Die Sanktionen der Verordnung (EU) 2024/1689 sind in Artikel 99 geregelt. Die Vorschrift verpflichtet die Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende Sanktionen vorzusehen, und gibt zugleich europaweit einheitliche Obergrenzen vor. Die Bußgelder zählen zu den höchsten im europäischen Wirtschaftsrecht und übertreffen in der Spitze sogar den Rahmen der Datenschutz-Grundverordnung.

Die Höhe der Sanktion richtet sich nach der Schwere des Verstoßes. Die Verordnung unterscheidet drei Stufen, die jeweils einen festen Höchstbetrag und alternativ einen prozentualen Anteil am weltweiten Jahresumsatz vorsehen. Maßgeblich ist jeweils der höhere der beiden Beträge, bei kleinen und mittleren Unternehmen hingegen der niedrigere.

Wichtig ist, dass die meisten Sanktionsbestimmungen ab dem 2. August 2025 anwendbar sind, während die Verordnung selbst seit dem 1. August 2024 in Kraft ist. Unternehmen sollten die Übergangszeit nutzen, um Compliance-Strukturen aufzubauen, bevor die Aufsichtsbehörden ihre Befugnisse vollständig ausüben.

Höchster Sanktionsrahmen

Mit bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes übertrifft die KI-Verordnung in ihrer Spitze sogar den Bußgeldrahmen der DSGVO.

Die Bußgeldstaffelung des Artikels 99

Die schwerste Sanktionsstufe betrifft Verstöße gegen das Verbot bestimmter KI-Praktiken nach Artikel 5. Dazu zählen etwa manipulative Techniken, Social Scoring oder bestimmte Formen der biometrischen Echtzeit-Fernidentifizierung. Hier drohen Bußgelder von bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Die mittlere Stufe erfasst Verstöße gegen die übrigen Pflichten der Verordnung, etwa gegen die Anforderungen an Hochrisiko-KI-Systeme, gegen Transparenzpflichten oder gegen Pflichten von Anbietern und Betreibern. Diese Verstöße können mit bis zu 15 Mio. Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden.

Eine eigene, niedrigere Stufe gilt für die Erteilung falscher, unvollständiger oder irreführender Auskünfte gegenüber benannten Stellen oder zuständigen Behörden. Hier liegt der Rahmen bei bis zu 7,5 Mio. Euro oder 1 Prozent des weltweiten Jahresumsatzes. Für kleine und mittlere Unternehmen sowie Start-ups gilt jeweils der niedrigere der beiden Werte als Obergrenze.

  • Bis 35 Mio. Euro oder 7 Prozent Jahresumsatz: verbotene Praktiken nach Artikel 5.
  • Bis 15 Mio. Euro oder 3 Prozent Jahresumsatz: Verstöße gegen sonstige Pflichten.
  • Bis 7,5 Mio. Euro oder 1 Prozent Jahresumsatz: falsche Auskünfte an Behörden.
  • Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge.

Wer haftet für Verstöße

Adressaten der Bußgelder sind in erster Linie die Anbieter und Betreiber von KI-Systemen als juristische Personen. Das Unternehmen selbst trägt damit die primäre wirtschaftliche Last einer Sanktion. Da die Obergrenzen an den weltweiten Konzernumsatz anknüpfen können, treffen sie vor allem große Unternehmen empfindlich.

Daneben besteht ein erhebliches Haftungsrisiko für die Leitungsebene. Geschäftsführung und Vorstand sind verpflichtet, eine angemessene Compliance-Organisation einzurichten. Unterlassen sie dies und kommt es zu Verstößen, drohen Innenregress, Schadenersatzansprüche der Gesellschaft sowie in schweren Fällen persönliche Haftung. Eine fehlende KI-Kompetenz der Belegschaft kann als Organisationsverschulden gewertet werden.

Auch wenn die KI-Kompetenz-Pflicht aus Artikel 4 selbst nicht unmittelbar bußgeldbewehrt ist, entfaltet sie über diesen Weg Wirkung. Mangelnde Schulung führt häufig erst zu den eigentlich sanktionierten Verstößen, etwa gegen Transparenz- oder Hochrisiko-Pflichten, und schwächt zugleich die Verteidigungsposition des Unternehmens.

Verantwortung der Leitungsebene

Geschäftsführung und Vorstand müssen eine angemessene KI-Compliance einrichten. Fehlende Kompetenz der Belegschaft kann als Organisationsverschulden gewertet werden und persönliche Haftung auslösen.

Wie Bußgelder bemessen werden

Artikel 99 gibt den Behörden für die Bemessung der Geldbuße eine Reihe von Kriterien vor. Berücksichtigt werden unter anderem die Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens. Auch die vorsätzliche oder fahrlässige Begehung fließt in die Bewertung ein.

Mildernd wirken sich Maßnahmen aus, die das Unternehmen zur Minderung des Schadens ergriffen hat, sowie der Grad der Zusammenarbeit mit der Behörde. Ebenso berücksichtigt werden bereits bestehende technische und organisatorische Maßnahmen. Eine dokumentierte Schulung und ein funktionierendes Compliance-Management können daher die Höhe einer Sanktion spürbar reduzieren.

Erschwerend wirken hingegen frühere Verstöße, die Erzielung finanzieller Vorteile oder die Vermeidung von Verlusten durch den Verstoß sowie eine mangelnde Kooperationsbereitschaft. Die Bemessung erfolgt stets im Einzelfall unter Wahrung des Grundsatzes der Verhältnismäßigkeit.

  • Art, Schwere und Dauer des Verstoßes.
  • Vorsatz oder Fahrlässigkeit sowie Zahl der betroffenen Personen.
  • Mildernd: Schadensminderung, Kooperation, bestehende Compliance-Maßnahmen.
  • Erschwerend: Wiederholung, erzielte Vorteile, fehlende Kooperation.

Konkrete Beispiele

Ein anschauliches Beispiel für die schwerste Stufe wäre der Einsatz eines KI-Systems zur unzulässigen emotionalen Manipulation von Verbrauchern oder ein nach Artikel 5 verbotenes Social-Scoring-System. Solche Praktiken können das volle Bußgeld von bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes nach sich ziehen.

In die mittlere Stufe fällt etwa der Betrieb eines Hochrisiko-KI-Systems in der Personalauswahl ohne die vorgeschriebene menschliche Aufsicht und ohne ausreichende Dokumentation. Auch das Verschweigen, dass Inhalte oder Entscheidungen durch KI erzeugt wurden, kann gegen Transparenzpflichten verstoßen und Bußgelder von bis zu 15 Mio. Euro oder 3 Prozent des Jahresumsatzes auslösen.

Ein praxisnahes Risiko für viele Unternehmen ist der ungeschulte Einsatz generativer KI. Geben Beschäftigte vertrauliche Daten in öffentliche Tools ein oder übernehmen fehlerhafte Ergebnisse ungeprüft, können daraus Datenschutzverstöße und Folgeschäden entstehen. Eine dokumentierte KI-Kompetenz-Schulung senkt dieses Risiko und stärkt die Position im Falle einer behördlichen Prüfung.

Häufige Fragen

Antworten auf die wichtigsten Fragen

Aus Wissen wird Rechtssicherheit

Setzen Sie die gesetzliche Pflicht aus Artikel 4 EU-KI-VO direkt um — mit einer dokumentierten Schulung in nur 60 Minuten.