06.08.2025 | Datenschutz & IT | ID: 1203195

Geldbußen nach der KI-Verordnung: Was auf Unternehmen zukommt

Daniela Birnbauer

Am 2. August 2025 wurde die KI-Verordnung „scharf geschalten“. Damit sind nicht nur die strengen Vorgaben für sogenannte „KI-Modelle mit allgemeinem Verwendungszweck“ verbindlich, sondern erstmals auch die Sanktionsmechanismen.

Wer gegen die neuen Regeln verstößt, muss mit empfindlichen Bußgeldern rechnen – und zwar in einer Höhe, die schnell existenzbedrohend werden kann. Im Folgenden erfahren Sie, welche Strafen drohen, wie die Behörden die Geldbußen bemessen und welche Maßnahmen Sie jetzt ergreifen sollten, um Haftungsrisiken wirksam zu minimieren.

Welche Strafen sieht die KI-Verordnung vor?

Die Verordnung unterscheidet drei Schweregrade von Verstößen mit jeweils eigenen Bußgeldrahmen:

• Für den Einsatz verbotener KI-Praktiken nach Art 5 drohen Geldbußen von bis zu EUR 35 Millionen oder bis zu 7 % des gesamten weltweiten Jahresumsatzes;
• Für Verstöße gegen Pflichten im Zusammenhang mit Hochrisiko-KI-Systemen sowie gegen die Transparenzpflichten nach Art 50 können Geldbußen von bis zu 15 Millionen Euro oder bis zu 3 % des weltweiten Jahresumsatzes verhängt werden;
• Als Novum in der Digitalregulierung wurde auch die Falschauskunft gegenüber Behörden sanktioniert: Werden diesen auf deren Auskunftsersuchen hin falsche, unvollständige oder irreführende Informationen bereitgestellt, drohen Geldbußen von bis zu EUR 7,5 Millionen oder bis zu 1 % des weltweiten Jahresumsatzes.

Wie werden die Geldbußen berechnet?

Grundsätzlich gilt, dass der jeweils höhere Betrag als Geldbuße verhängt wird. Für KMU und Start-ups gilt hingegen jeweils der niedrigere der genannten Beträge. Bei der Festsetzung der Höhe der Geldbuße werden unter anderem Art, Schwere und Dauer des Verstoßes, der erzielte Vorteil, der Grad der Zusammenarbeit mit den Behörden sowie weitere mildernde oder erschwerende Umstände berücksichtigt.

Beim Abstellen auf den Jahresumsatz stellt sich die Frage, wie dieser im Konzerngefüge berechnet wird. Die KI-Verordnung enthält hierzu keine ausdrückliche Regelung. Analog zur DSGVO wird im Zusammenhang mit den Bußgeldvorschriften jedoch der Begriff „Unternehmen“ (auf Englisch „undertaking“) verwendet. Gem Leitlinien des Europäischen Datenschutzausschusses für die Berechnung von Geldbußen nach der DSGVO ist der Begriff „Unternehmen“ dabei im Sinne des EU-Wettbewerbsrechts zu verstehen. Mangels behördlicher oder gerichtlicher Guidance zum Begriffsverständnis in der KI-Verordnung ist derzeit davon auszugehen, dass hier dieselbe Bedeutung wie im Datenschutzkontext zugrunde gelegt wird.

Entscheidend ist daher, ob Mutter- und Tochtergesellschaft eine wirtschaftliche Einheit bilden und somit als einheitliches „Unternehmen“ zu betrachten sind. Dies ist dann der Fall, wenn:

• die Muttergesellschaft das Marktverhalten der Tochter rechtlich bestimmen kann („de-jure-Kontrolle“), und
• sie diesen Einfluss auch faktisch ausübt oder zumindest ausüben könnte („de-facto-Kontrolle“).

Bei einer 100 %-Beteiligung der Muttergesellschaft greift die Vermutung, dass diese tatsächlich einen bestimmenden Einfluss auf die Tochtergesellschaft ausübt. In der Praxis wurde diese Vermutungsregel jedoch auch bereits bei geringeren Beteiligungsquoten angewandt (so zB im EuGH-Fall Goldman Sachs C-595/18 P).

Gelingt es der Muttergesellschaft nicht, diese Vermutung zu widerlegen, hat dies zweierlei Konsequenzen:

• Es fließt der gesamte Konzernumsatz in die Berechnungsgrundlage ein, selbst wenn die Pflichtverletzung ausschließlich in der Tochter- (oder sogar Enkel-)gesellschaft stattgefunden hat;
• Die Muttergesellschaft haftet für diese Bußgelder.

Pflichtverletzungen auf unteren Konzernebenen können so zu dramatisch hohen Sanktionen führen.

Wie sichert man sich effektiv gegen Geldbußenrisiken ab?

Die gute Nachricht: Mit einem strukturierten Ansatz bei der Implementierung von KI lassen sich rechtliche Risiken deutlich minimieren. Bewährt hat sich ein mehrstufiges Vorgehen:

1. KI-Due-Diligence durchführen

• Erfassen Sie frühzeitig alle bestehenden und geplanten KI-Use-Cases im Unternehmen;
• Führen Sie für jeden Anwendungsfall eine Risikoklassen-Bewertung im Sinne der KI-Verordnung durch;
• Prüfen Sie Ihre KI-Anbieter auf die Einhaltung von Compliance-Vorschriften (insb KI-Verordnung und DSGVO) und schließen Sie erforderliche Vereinbarungen ab (zB Auftragsverarbeitungsvertrag).

2. Governance-Strukturen schaffen

• Implementieren Sie ein konzernweites KI-Compliance-Framework mit klaren Rollen und Verantwortlichkeiten;
• Verankern Sie verbindliche Richtlinien für Entwicklung, Beschaffung und Einsatz von KI-Systemen;
• Führen Sie regelmäßige Audits durch und dokumentieren Sie sämtliche Maßnahmen – gerade dieser Nachweis ist gegenüber Aufsichtsbehörden essenziell.

3. Schulungs- und Awareness-Programme implementieren

• Sensibilisieren Sie Geschäftsführungen und Mitarbeitende für die neuen Haftungsrisiken;
• Nutzen Sie modulare Lernformate, um auch technisch nicht versierte Stakeholder zu erreichen;
• Aktualisieren Sie Trainings kontinuierlich, da sich sowohl Technik als auch Rechtslage dynamisch weiterentwickeln.

4. Kontinuierliches Monitoring durchführen

• Überwachen Sie laufend die KI-Nutzung, um bei Fehlern rasch eingreifen zu können;
• Verfolgen Sie regulatorische Updates und behördliche Leitlinien;
• Passen Sie Vertrags- und Governance-Strukturen laufend an neue Entwicklungen an.
   

Fazit

Die KI-Verordnung schafft ein zusätzliches Haftungsrisiko, das bis in die Konzernspitze reicht. Wer jetzt robuste Due-Diligence-Prozesse, klare Governance-Strukturen und gezielte Awareness-Programme etabliert, schützt sich nicht nur vor millionenschweren Bußgeldern, sondern schafft auch Vertrauen bei Kund:innen, Mitarbeitenden und Investor:innen. Denn eines ist sicher: Die Zeit der unverbindlichen Pilotprojekte in Sachen KI ist vorbei – jetzt zählen belastbare Compliance und Transparenz.