Der EU Artificial Intelligence Act (AI-Act) ist am 1. August 2024 in Kraft getreten und gilt als das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Sein Ziel ist klar: Innovation ermöglichen, ohne Sicherheit, Transparenz und Grundrechte zu gefährden.

In Überblicksartikeln haben wir bereits die Grundstrukturen des Gesetzes beschrieben: das risikobasierte Modell, was eine Ki zu Hochrisiko-KI macht, sowie Handlungsempfehlungen für Unternehmen in der DACH-Region.

Aber wir werden die Anforderungen des AI-Acts umgesetzt ?

Jeder EU-Mitgliedstaat benennt eine oder mehrere zuständige Behörden, die für die Überwachung und Sanktionierung zuständig sind. Diese nationalen Stellen werden durch das neu geschaffene EU-AI-Board koordiniert, das sicherstellt, dass Sanktionen europaweit konsistent verhängt werden.

In grenzüberschreitenden Fällen – etwa wenn ein Anbieter KI-Systeme in mehreren EU-Ländern vertreibt – übernimmt das Board eine Vermittlerrolle. Damit entsteht ein Durchsetzungsmechanismus, der dem aus der DSGVO bekannten „One-Stop-Shop“-Prinzip ähnelt, aber um technische Prüfinstanzen erweitert wird.

Anders als viele Datenschutzgesetze beschränkt sich der AI-Act nicht auf finanzielle Sanktionen. Er erlaubt sofortige Eingriffe in den Markt, darunter:

In der Praxis bedeutet das: Ein Unternehmen kann sein KI-Produkt faktisch verlieren, noch bevor eine Geldbuße rechtskräftig festgesetzt ist. Diese Kombination aus Marktintervention und Strafandrohung erhöht den Druck auf eine frühzeitige Compliance erheblich.

Die in der Verordnung genannten Maximalbeträge sind nur der äußere Rahmen. Bei der Bemessung eines Bußgeldes müssen die Behörden eine Reihe von Abwägungsfaktoren berücksichtigen, darunter:

Damit gleicht der Vollzug des AI-Acts eher dem Kartell- oder Datenschutzrecht als klassischen Produkthaftungsfällen. Wichtig: Selbstmeldungen und transparente Kommunikation mit Behörden können Bußgelder deutlich reduzieren.

Große KI-Modelle – also General Purpose AI (GPAI) oder Foundation-Modelle – unterliegen einem eigenen Sanktionsregime. Verstöße gegen Dokumentations- oder Transparenzpflichten (z. B. fehlende Angaben zu Trainingsdaten, mangelnde Urheberrechtskonformität) können gesondert geahndet werden.

Für Anbieter dieser Modelle gelten strengere Schwellen, da sie potenziell systemische Risiken verursachen können. So müssen sie adversarielle Tests durchführen, Sicherheitsvorfälle melden und Risikoberichte an die Kommission übermitteln. Verstöße gegen diese Pflichten ziehen eigenständige Bußgelder nach sich – unabhängig davon, ob das Modell als „hochrisikobehaftet“ gilt oder nicht.

Die Anwendungspflichten des AI-Acts treten stufenweise in Kraft. Während einige Regelungen (z. B. zu verbotenen Praktiken) bereits ab 2025 greifen, gelten die Anforderungen an Hochrisiko-Systeme und GPAI teils erst bis 2026 oder 2027 vollumfänglich.

Das ist für die Bußgeldpraxis relevant: Wer eine Pflicht verletzt, die noch gar nicht gilt, wird nicht sanktioniert – wohl aber, wenn er Übergangsfristen überschreitet oder keine Vorbereitungen nachweisen kann.

Ein weiterer, oft übersehener Punkt: Sanktionen können parallel nach mehreren EU-Vorschriften verhängt werden.
Wenn Beispielsweise ein KI-System unrechtmäßig personenbezogene Daten verarbeitet, drohen zusätzlich Bußen nach der DSGVO.
Verursacht es physischen Schaden, kann das Produkthaftungsrecht greifen.

Das Zusammenspiel dieser Regelwerke macht das Risikoprofil komplexer. In der Praxis wird erwartet, dass Aufsichtsbehörden gemeinsame Ermittlungsverfahren und Informationsaustausch etablieren, ähnlich wie bei Datenschutz- und Verbraucherschutzkooperationen.

Besonders relevant für internationale Anbieter: Der AI-Act entfaltet – wie die DSGVO – eine extraterritoriale Wirkung. Das bedeutet, dass auch KI-Unternehmen ohne Sitz in der EU unter den Geltungsbereich fallen, wenn ihre Systeme in der EU in Verkehr gebracht oder dort genutzt werden**.

Das betrifft beispielsweise:

Diese Unternehmen müssen einen Bevollmächtigten („Authorised Representative“) in der EU benennen, der als Ansprechpartner für Aufsichtsbehörden fungiert und im Ernstfall auch für Rechtsdurchsetzung und Sanktionen verantwortlich ist.

Diese extraterritoriale Struktur macht den AI-Act zu einem globalen Standardsetter – ähnlich wie die DSGVO im Datenschutz. Internationale Unternehmen müssen sich daher nicht nur technisch, sondern auch organisatorisch auf EU-Compliance einstellen.

Die Strafen des AI-Acts sind mehr als nur Geldsummen, sondern eine Regelungen das Unternehmen in die Pflicht nimmt, technische und organisatorische Verantwortung nachzuweisen.

Wer frühzeitig Transparenz, Dokumentation und interne Kontrollmechanismen aufbaut, senkt sein Risiko nicht nur finanziell, sondern schützt auch seine Marktposition. Der AI-Act ist damit weniger ein „Bußgeld-Gesetz“ als ein Compliance-Framework für verantwortungsvolle KI-Entwicklung.