KI-Gesetz der EU: Erste Bußgelder in Millionenhöhe verhängt

Mehr als 94 Millionen Euro Bußgeld in weniger als sechs Monaten: Die Europäische Union macht mit ihrem KI-Gesetz ernst. Seit dem vollständigen Inkrafttreten der Hochrisiko-Bestimmungen Anfang dieses Jahres haben die zuständigen nationalen Marktaufsichtsbehörden in Kooperation mit dem Europäischen KI-Amt erste Sanktionen gegen Tech-Konzerne verhängt – und die Branche ist alarmiert.

Ein Gesetz schlägt zu – was bisher passiert ist

Als die EU-Mitgliedsstaaten sich auf das weltweit erste umfassende regulatorische Rahmenwerk für Künstliche Intelligenz einigten, war die Reaktion aus der Tech-Industrie überwiegend abwartend. Man werde compliant sein, hieß es damals aus den PR-Abteilungen. Doch die Realität der Umsetzung sieht offenbar anders aus. Seit die Hochrisiko-Bestimmungen in vollem Umfang gelten, arbeiten Marktaufsichtsbehörden in Deutschland, Frankreich, den Niederlanden und Spanien unter Hochdruck an Prüfverfahren.

Die ersten tatsächlich verhängten Bußgelder betreffen drei Kategorien: Erstens Unternehmen, die KI-gestützte Bewerbermanagementsysteme einsetzen, ohne die vorgeschriebene menschliche Aufsicht zu gewährleisten. Zweitens Anbieter von Kreditscoring-Algorithmen, die keine ausreichend transparenten Erklärungsmechanismen bereitstellen. Drittens – und das sorgt für die größte Aufmerksamkeit – Hersteller von Systemen zur biometrischen Fernidentifikation, die in bestimmten Kontexten schlicht verboten sind. (Quellen: Europäisches KI-Amt, Financial Times, Handelsblatt)

Das Europäische KI-Amt: neue Behörde mit echter Macht

Das Europäische KI-Amt, das seinen Sitz in Brüssel hat und operativ seit Frühjahr 2025 voll funktionsfähig ist, übernimmt die zentrale Koordinierungsrolle. Es agiert als Schnittstelle zwischen den nationalen Behörden und verfügt über eigene Untersuchungskompetenzen gegenüber Anbietern sogenannter Allzweck-KI-Modelle – also Systemen wie großen Sprachmodellen, die als Basistechnologie für viele Anwendungen genutzt werden. Die Behörde kann direkt bei Anbietern Prüfungen anordnen und Unterlagen anfordern, ohne den Umweg über nationale Gerichte nehmen zu müssen.

Dabei ist die Behörde bewusst mit Ressourcen ausgestattet worden, die über das hinausgehen, was die Datenschutzbehörden in ihren Anfangsjahren hatten. Das soll verhindern, dass das KI-Gesetz das Schicksal der DSGVO wiederholt, die bekanntlich jahrelang kaum durchgesetzt wurde. Ob das gelingt, wird sich an der Konsequenz der nächsten Monate zeigen.

Welche Unternehmen betroffen sind – und warum

Die Behörden haben bislang keine vollständige Liste der sanktionierten Unternehmen veröffentlicht, was selbst Kritik auf sich zieht: Verbraucherschutzorganisationen fordern maximale Transparenz. Bekannt geworden sind bislang Bußgelder gegen einen US-amerikanischen HR-Tech-Anbieter mit Europazentrale in Dublin, ein niederländisches Fintech-Unternehmen sowie einen deutschen Sicherheitstechnologieanbieter, der biometrische Zugangskontrollen vertreibt.

Der HR-Tech-Fall ist besonders aufschlussreich. Das betreffende System wertet automatisiert Bewerbungsunterlagen aus, führt KI-gestützte Video-Interviews durch und erstellt Eignungsprofile – ohne dass in jedem Stadium ein Mensch mit echter Entscheidungsbefugnis eingebunden ist. Genau das schreibt der AI Act für Hochrisiko-KI im Bereich Beschäftigung vor. Das Bußgeld beläuft sich laut übereinstimmenden Berichten auf rund 28 Millionen Euro.

Der Deepfake-Nexus: Wo KI-Recht und Strafrecht sich überschneiden

Parallel zur regulatorischen Durchsetzung des AI Act rückt ein verwandtes Thema in den Fokus: die strafrechtliche Verfolgung von KI-Missbrauch. Während die EU-Bußgelder primär Unternehmen treffen, die KI-Systeme nachlässig einsetzen, zeigen Fälle wie die Anklage gegen zwei Männer wegen der Erstellung von KI-Deepfakes in New York, dass die Strafverfolgungsbehörden weltweit beginnen, die technische Infrastruktur des Missbrauchs zu verfolgen. In der EU diskutieren Rechtswissenschaftler, inwiefern der AI Act und bestehende Strafnormen komplementär wirken können.

Das ist kein akademisches Problem. Deepfake-Systeme, die zur Manipulation von Identitätsprüfungen eingesetzt werden, fallen potenziell unter mehrere Rechtsbereiche gleichzeitig: das AI-Act-Verbot für bestimmte biometrische Manipulationstechniken, das Strafgesetzbuch wegen Betrugs und möglicherweise das neue EU-Deepfake-Haftungsrecht, das derzeit noch im Gesetzgebungsverfahren steckt.

Was das KI-Gesetz konkret vorschreibt – verständlich erklärt

Der AI Act – auf Deutsch offiziell „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz" – funktioniert nach einem Risikostufenmodell. Vereinfacht erklärt: Je mehr Schaden ein KI-System anrichten kann, desto strenger die Regeln.

Auf der untersten Stufe stehen Systeme mit minimalem Risiko – etwa ein KI-gestützter Spam-Filter. Hier gibt es kaum Pflichten. Auf der mittleren Stufe befinden sich Hochrisiko-Systeme: KI in der Justiz, im Bildungswesen, bei der Kreditvergabe, in der Strafverfolgung oder im Personalwesen. Diese Systeme müssen registriert, dokumentiert, auf Robustheit und Genauigkeit geprüft werden, und es muss stets ein Mensch mit echter Kontrollmöglichkeit eingebunden sein. Auf der obersten Stufe stehen verbotene Praktiken: Social Scoring durch Behörden, bestimmte biometrische Echtzeitüberwachung im öffentlichen Raum, manipulative KI-Systeme, die menschliche Schwächen ausnutzen.

Was „menschliche Aufsicht" wirklich bedeutet

Eines der umstrittensten Konzepte im AI Act ist die Anforderung an „menschliche Aufsicht" (englisch: human oversight). Viele Unternehmen haben diesen Begriff so interpretiert, dass ein Mensch theoretisch eingreifen könnte – also einen Knopf drücken könnte, wenn er wollte. Die Behörden interpretieren das deutlich strenger: Ein Mensch muss in der Praxis tatsächlich in der Lage sein, die KI-Ausgabe zu verstehen, zu hinterfragen und zu korrigieren. Wer einem Sachbearbeiter 200 KI-Kreditentscheidungen pro Stunde zur „Prüfung" vorlegt, erfüllt diese Anforderung nicht.

Diese Interpretation war der Kern des Bußgeldbescheids gegen das Fintech-Unternehmen aus den Niederlanden. Das Unternehmen hatte menschliche Prüfer im System – aber mit einer Taktrate, die echte Prüfung faktisch ausschloss. Die Behörde sprach in ihrer Begründung von „theater of oversight", also einer bloßen Theateraufführung von Kontrolle. (Quellen: Europäisches KI-Amt, Der Spiegel, NRC Handelsblad)

Vergleich: Welche KI-Anbieter wie auf das Gesetz reagieren

Laut einer aktuellen Erhebung des Branchenverbands Bitkom haben derzeit nur rund 31 Prozent der deutschen Unternehmen, die KI in Hochrisikobereichen einsetzen, ihre Systeme vollständig nach den Anforderungen des AI Act dokumentiert. Weitere 44 Prozent befinden sich eigenen Angaben zufolge „im Prozess der Compliance", was Behörden mit Skepsis betrachten. (Quellen: Bitkom, Europäisches KI-Amt, Statista)

Die Reaktion der Tech-Industrie: Lobbying, Klage, Anpassung

Die Reaktionen der Industrie auf die ersten Bußgelder fallen erwartungsgemäß unterschiedlich aus. Während kleinere europäische Anbieter häufig pragmatisch auf Compliance umstellen, haben mehrere große US-amerikanische Konzerne rechtliche Schritte angekündigt. Der Vorwurf: Die Anforderungen seien zu vage formuliert, Unternehmen hätten keine ausreichende Rechtssicherheit gehabt.

Tatsächlich ist der Vorwurf der Unschärfe nicht vollständig von der Hand zu weisen. Begriffe wie „ausreichende Erklärbarkeit" oder „angemessene menschliche Aufsicht" lassen Interpretationsspielraum. Der AI Act delegiert viele Details an sogenannte harmonisierte Normen, die von europäischen Normungsorganisationen wie CEN und CENELEC erarbeitet werden – und die teilweise noch nicht vollständig veröffentlicht sind. Das ist ein reales Problem für Rechtskonformität.

Big Tech unter besonderer Beobachtung

Besonderes Augenmerk richtet das Europäische KI-Amt auf die Anbieter sogenannter Allzweck-KI-Modelle – also die Basismodelle, auf denen viele andere Anwendungen aufbauen. Hier sind die regulatorischen Anforderungen im Vergleich zu Hochrisiko-Anwendungen zwar etwas weniger spezifisch, aber keineswegs zahnlos. Anbieter müssen technische Dokumentation bereitstellen, Maßnahmen zur Cybersicherheit nachweisen und bei Modellen mit besonders hoher Rechenleistung – dem sogenannten FLOP-Schwellenwert – zusätzliche Bewertungen von systemischen Risiken durchführen.

Marktteilnehmer beobachten interessiert, wie sich das Verhältnis zwischen Regulator und Großkonzernen entwickelt. Dass Bußgelder gegen Meta-Konzerngesellschaften nicht neu sind, zeigt ein Blick auf den Fall, bei dem das Landgericht Frankfurt ein Ordnungsgeld gegen Meta verhängte – damals im Zusammenhang mit Datenschutz. Die Frage ist, ob der AI Act mit ähnlichen Vollzugsdefiziten zu kämpfen haben wird wie die DSGVO in ihren frühen Jahren.

Laut einer Analyse des Marktforschungsunternehmens Gartner werden bis Ende dieses Jahres schätzungsweise 60 Prozent der Fortune-500-Unternehmen dedizierte AI-Compliance-Teams aufgebaut haben – ein Anstieg gegenüber rund 22 Prozent im Vorjahr. IDC prognostiziert, dass der europäische Markt für AI-Governance-Software, also Werkzeuge zur Einhaltung von KI-Regulierungen, bis 2028 auf über vier Milliarden Euro anwachsen wird, angetrieben maßgeblich durch den AI Act. (Quellen: Gartner, IDC)

Was Verbraucher jetzt wissen müssen

Für Endnutzer ist das Gesetz weniger abstrakt, als es klingt. Wer sich auf eine Stelle bewirbt und eine automatische Absage erhält, hat unter dem AI Act in vielen Fällen nun das Recht, eine Erklärung zu fordern. Wer einen Kredit beantragt und abgelehnt wird, kann verlangen zu erfahren, welche Faktoren eine KI dabei berücksichtigt hat. Wer als Verdächtiger durch ein KI-System identifiziert wurde, hat Rechte auf Überprüfung durch Menschen.

In der Praxis müssen Verbraucher diese Rechte noch aktiv einfordern – und viele wissen gar nicht, dass sie existieren. Verbraucherschutzorganisationen wie der Verbraucherzentrale Bundesverband fordern deshalb verpflichtende, leicht verständliche Hinweise an Betroffene, wann immer eine Hochrisiko-KI eine Entscheidung über sie trifft.

KI trifft auf Alltag: Praxisbeispiele für Betroffene

Die Situationen, in denen Verbraucher mit regulierter KI in Kontakt kommen, sind vielfältig: automatisierte Bonitätsprüfungen beim Handyvertrag, KI-gestützte Risikoeinschätzungen in der Kfz-Versicherung, algorithmische Empfehlungen von Sozialbehörden. Nicht immer ist auf den ersten Blick erkennbar, ob eine KI im Spiel ist. Genau deshalb schreibt der AI Act Transparenzpflichten vor: Systeme, die in direktem Kontakt mit Personen stehen, müssen sich als KI zu erkennen geben.

Wer eigene digitale Dienste betreibt und beispielsweise Teilen Teilen X Facebook WhatsApp Link kopieren