EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Strafen

EU AI Act Strafen für KMU 2026: Bussgelder bei Verstössen — was wirklich droht

Zuletzt aktualisiert: Mai 2026·9 min Lesezeit
TL;DR

Der EU AI Act sieht Bussgelder bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes (höherer Wert) vor. Für KMU und Startups gilt Art. 99 Abs. 6: der jeweils niedrigere Wert ist anwendbar — was bei kleinen Umsätzen den Schutz signifikant erhöht. Nationale Behörden müssen Verhältnismäßigkeit prüfen.

Die Bussgeld-Beträge im EU AI Act sind beeindruckend hoch — und genau das macht vielen KMU Angst. Wir zeigen, was rechtlich tatsächlich gilt und wo die KMU-Schutzmechanismen liegen.

Der Strafrahmen nach Art. 99

Drei Stufen:

Stufe 1: Verbotene Praktiken (Art. 5) - **Bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes** des vorangegangenen Geschäftsjahres - **Höherer Wert ist anwendbar** (Standardregel)

Stufe 2: Pflichtverletzungen bei Hochrisiko-KI - **Bis zu 15 Mio. EUR oder 3% des Jahresumsatzes** - Verstoss gegen Art. 8–22, 26, 50

Stufe 3: Falsche Informationen an Behörden - **Bis zu 7,5 Mio. EUR oder 1% des Jahresumsatzes** - Verstoss gegen Auskunftspflichten

Der KMU-Schutz: Art. 99 Abs. 6

Für KMU und Startups (definiert nach EU-Empfehlung 2003/361/EG: <250 Mitarbeiter, <50 Mio. EUR Umsatz oder <43 Mio. EUR Bilanzsumme) gilt eine entscheidende Sonderregel:

"Bei Geldbußen für KMU einschließlich Start-ups gelten jeweils die Beträge oder Prozentsätze nach den Absätzen 3, 4 und 5, wobei der jeweils niedrigere Wert maßgeblich ist."

Das bedeutet konkret: Statt "höherer Wert" gilt für KMU "niedrigerer Wert" — was die Maximalstrafe stark reduziert.

Beispiel: Ein deutsches KMU mit 5 Mio. EUR Jahresumsatz, das gegen Art. 5 verstößt:

  • Standard: 35 Mio. EUR oder 7% × 5 Mio. = 350.000 EUR → höherer Wert = 35 Mio. EUR
  • KMU-Regel: 35 Mio. EUR oder 7% × 5 Mio. = 350.000 EUR → niedrigerer Wert = 350.000 EUR

Verhältnismäßigkeit (Art. 99 Abs. 7)

Selbst innerhalb des Maximalrahmens müssen die Behörden bei der Strafzumessung folgende Faktoren berücksichtigen:

  • Art, Schwere und Dauer des Verstoßes
  • Anzahl betroffener Personen
  • Bisherige Verstöße
  • Grad der Zusammenarbeit mit der Behörde
  • Mitigations-Massnahmen
  • Art und Umfang der Schäden

In der Praxis bedeutet das: Ein KMU, das aktiv kooperiert und Mängel sofort behebt, wird selten die volle Strafe erhalten.

Wer setzt die Strafen fest?

Deutschland: Bundesnetzagentur (BNetzA) als KI-Marktaufsichtsbehörde, plus sektorale Aufsichten (BaFin für Finanzbereich, BfArM für Medizinprodukte, BSI für Cybersicherheit).

Österreich: RTR-GmbH, plus sektorale Aufsichten.

Schweiz: Aktuell keine direkte AI-Act-Aufsicht (Schweiz ist Drittland). Aber: Schweizer Unternehmen mit EU-Geschäft fallen unter die EU-Aufsicht des jeweiligen Marktortes.

Reale Beispiele aus DSGVO als Referenz

Da der EU AI Act erst ab 2. August 2026 vollumfänglich anwendbar ist (ausser Art. 5 ab 2. Februar 2025), gibt es noch keine spezifischen AI-Act-Strafen. Vergleichbare DSGVO-Fälle:

  • 2023: Meta Platforms — 1,2 Mrd. EUR (Art. 5 Datenübermittlung USA)
  • 2021: Amazon — 746 Mio. EUR (Cookie-Tracking)
  • 2024: Volkswagen — 1,1 Mio. EUR (Connected Cars)

In KMU-Größenordnungen sind die meisten DSGVO-Strafen unter 100.000 EUR, oft im 5- bis 20-stelligen Bereich.

Was kann ein KMU tun, um Strafen zu vermeiden?

1. Risikoklassifikation früh und sauber Klar: Gilt der EU AI Act für mein System? Welche Klasse? Was sind die Pflichten?

2. Lückenlose Dokumentation Bei Audits gilt: was nicht dokumentiert ist, gilt als nicht durchgeführt. Technische Dokumentation, Logs, Schulungsnachweise, Konformitätserklärungen.

3. Schulungen (Art. 4 KI-Kompetenz) Personal, das KI nutzt oder betreibt, muss angemessen geschult sein. Pflicht ab 2. Februar 2025.

4. Vertragsklauseln mit Anbietern Klauseln, die Konformität, Haftung, Auskunftspflicht und Update-Pflichten regeln.

5. Vorfall-Meldekette etablieren Bei schwerwiegenden Vorfällen (Art. 73): innerhalb von 15 Tagen melden. Klare Eskalationspfade müssen vor dem ersten Vorfall stehen.

6. Aktive Behördenkooperation Wer kooperiert, fährt besser. Behörden bewerten Zusammenarbeit positiv bei der Strafzumessung.

Versicherungsschutz?

Klassische D&O-Versicherungen decken nicht regulatorische Bussgelder. Manche Cyber-Versicherungen bieten neue Bausteine für AI-Act-Risiken — Stand 2026 noch in Entwicklung. Mit ein paar Versicherern kann man individuelle Klauseln vereinbaren.

Die wahre Strafe: Reputation und Auftragsverlust

Statistisch sind die finanziellen Strafen oft kleiner als der Reputationsschaden. Ein KMU, das öffentlich als nicht-konform bekannt wird, verliert Aufträge — speziell bei B2B-Geschäft mit grossen Konzernen, die compliance-konforme Lieferanten verlangen.

Fazit

Die schreckenerregenden 35-Mio.-Beträge sind für KMU realistisch nicht relevant — die KMU-Regel und Verhältnismäßigkeit greifen. Aber: Reputation, Auftragsverlust und Folgekosten (Re-Audits, Anwaltskosten) machen Compliance-Prävention auch für kleine Unternehmen wirtschaftlich sinnvoll.

Häufig gestellte Fragen

Welche Maximalstrafen drohen einem KMU bei EU-AI-Act-Verstoss?+

Standardrahmen ist 35 Mio. EUR oder 7% des Jahresumsatzes — der höhere Wert. Aber Art. 99 Abs. 6 schützt KMU: bei ihnen gilt der niedrigere Wert. Bei einem KMU mit 5 Mio. EUR Umsatz wäre die Maximalstrafe für Art. 5-Verstösse also 350.000 EUR statt 35 Mio. EUR.

Ab wann sind Strafen unter dem EU AI Act anwendbar?+

Strafen für Verstösse gegen Art. 5 (verbotene Praktiken) sind seit 2. Februar 2025 anwendbar. Strafen für Hochrisiko-Pflichten (Art. 8–22) sind ab 2. August 2026 anwendbar. Strafen für Annex-I-Produkt-Pflichten ab 2. August 2027.

Wer setzt in Deutschland Strafen nach EU AI Act fest?+

Hauptzuständig ist die Bundesnetzagentur (BNetzA) als nationale KI-Marktaufsichtsbehörde. Zusätzlich sind sektorale Behörden zuständig: BaFin für Finanzdienstleistung, BfArM für Medizinprodukte, BSI für Cybersicherheit. In Österreich: RTR-GmbH plus sektorale Aufsichten.

Schützt eine D&O-Versicherung gegen AI-Act-Bussgelder?+

Klassische D&O-Versicherungen decken keine regulatorischen Bussgelder. Einzelne Cyber-Versicherer bieten 2026 neue Bausteine für AI-Act-Compliance-Schäden an — meist aber für Folge- und Verteidigungskosten, nicht für die Strafe selbst. Standard ist: Bussgelder gehen direkt aus dem Unternehmensvermögen.

Wie kann ein KMU Strafen am wirksamsten reduzieren?+

Sechs Hebel: 1) Saubere Risikoklassifikation früh, 2) Lückenlose technische und prozessuale Dokumentation, 3) Schulungen nach Art. 4 KI-Kompetenz, 4) AI-Act-konforme Vertragsklauseln mit Anbietern, 5) Vorfall-Meldekette nach Art. 73 etabliert, 6) bei Behördenanfragen aktiv kooperieren. Verhältnismäßigkeit nach Art. 99 Abs. 7 begünstigt kooperative Unternehmen stark.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Legal Engine v3.8.0

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
EU AI Act Strafen KMU 2026 — was bei Verstössen droht | ai-risk-check.com