KI-Verordnung: Diese Sanktionen und Geldbußen drohen seit dem 02.08.2025

Die KI-VO ist der weltweit erste umfassende Rechtsrahmen für den Einsatz Künstlicher Intelligenz. Während die ersten Pflichten bereits im Februar 2025 griffen (z. B. das Verbot bestimmter Praktiken und die Definition von Rollen), wird es seit August 2025 für alle Organisationen ernst: Kapitel XII regelt nun detailliert die Sanktionen.

In diesem Beitrag erfährst du:

• Welche Grundlagen seit Februar 2025 gelten.
• Welche Sanktionen seit dem 02.08.2025 wirksam sind.
• Welche Bußgeldhöhen bei Verstößen drohen – von 7,5 Mio. € bis 35 Mio. €.
• Wie sich die Regeln zur DSGVO verhalten.
• Welche weiteren Pflichten ab 2026 folgen.

Seit Februar 2025 ist die KI-VO in ihren ersten Kernpunkten anwendbar. Diese frühen Pflichten bilden die Grundlage für den verantwortungsvollen Umgang mit Künstlicher Intelligenz.

Verbotene KI-Praktiken

Unternehmen und Behörden dürfen bestimmte Anwendungen nicht einsetzen oder entwickeln. Dazu gehören u. a.:

• Manipulative Systeme, die menschliches Verhalten unzulässig beeinflussen.
• Sozial-Scoring durch Behörden oder private Stellen.
• Biometrische Echtzeit-Überwachung in der Öffentlichkeit (mit wenigen Ausnahmen).
• Ausbeutung besonders Schutzbedürftiger, etwa Kinder oder Menschen mit Behinderungen.

Mehr zu verbotenen KI-Praktiken

Rollen und Verantwortlichkeiten

Die KI-VO unterscheidet zwischen verschiedenen Rollen – und jede Rolle bringt eigene Pflichten mit sich:

• Anbieter (Provider) entwickeln oder vertreiben KI-Systeme.
• Betreiber setzen KI in ihrer Organisation ein.
• Händler und Importeure bringen KI-Systeme auf den europäischen Markt.

Mehr zu den Rollen in der KI-VO

KI-Kompetenz

Bereits seit Februar gilt zudem: Unternehmen müssen ihre Mitarbeitenden, die mit KI-Systemen arbeiten, schulen. Beschäftigte benötigen ein Grundverständnis zu Funktionsweise, Risiken und rechtlichen Rahmenbedingungen.

Mehr zur KI-Kompetenz im Unternehmen

Seit dem 02. August 2025 greifen weitere Teile der Verordnung. Sie betreffen vor allem Governance und Sanktionsregelungen.

Governance-Pflichten

Unternehmen, die Hochrisiko-KI einsetzen oder entwickeln, müssen seit August 2025 ein strukturiertes Risikomanagementsystem einführen. Dazu gehört:

• Identifikation möglicher Risiken (z. B. Diskriminierung, Fehlentscheidungen).
• Einführung von Prozessen zur Minimierung.
• Regelmäßige Überprüfung und Anpassung.

GPAI – kurz angerissen

Auch wenn die meisten Unternehmen keine eigenen General Purpose AI (GPAI) wie ChatGPT oder Gemini entwickeln, so gilt: Anbieter solcher Modelle unterliegen ab August 2025 erweiterten Dokumentations- und Risikopflichten.
Für Nutzer bedeutet das: Wer GPAI-Systeme einsetzt, sollte darauf achten, dass der Anbieter die KI-VO erfüllt und entsprechende Nachweise liefern kann.

Der für die Praxis wichtigste Teil der KI-VO tritt nun in Kraft: die Sanktionsmechanismen. Sie sind in Kapitel XII geregelt und gelten – mit Ausnahme der besonderen Geldbußen für GPAI-Anbieter (Art. 101) – seit dem 02.08.2025.

Schwerwiegende Verstöße: bis zu 35 Mio. € oder 7 % Umsatz

Für besonders gravierende Verstöße, insbesondere gegen das Verbot der in Art. 5 KI-VO geregelten Praktiken, gilt:

• Geldbußen bis zu 35 Mio. EUR oder
• 7 % des weltweiten Jahresumsatzes

Hier geht es vor allem um verbotene KI-Praktiken wie Sozial-Scoring oder unzulässige biometrische Überwachung.

Verstöße gegen Pflichten im Hochrisiko-Bereich: bis zu 15 Mio. € oder 3 % Umsatz

• Eine zweite Stufe betrifft die Nichteinhaltung von Pflichten im Hochrisiko-Sektor. Dazu zählen u. a.:
  Pflichten der Anbieter von Hochrisiko-KI-Systemen (Art. 16 KI-VO)
• Pflichten der Bevollmächtigten (Art. 22)
• Pflichten der Einführer (Art. 23)
• Pflichten der Händler (Art. 24)
• Pflichten der Betreiber (Art. 26)
• Pflichten und Anforderungen für notifizierte Stellen (Art. 31, 33, 34)

Falsche oder irreführende Angaben: bis zu 7,5 Mio. € oder 1 % Umsatz

Werden gegenüber den zuständigen Behörden falsche, unvollständige oder irreführende Informationen bereitgestellt, können Geldbußen bis zu 7,5 Mio. EUR oder 1 % des weltweiten Umsatzes verhängt werden.

Logik der Bußgelder

Die Obergrenzen werden nach dem Muster der DSGVO berechnet:

• Es gilt jeweils der höhere Wert (z. B. 35 Mio. oder 7 % Umsatz).
• Für KMU und Start-ups gilt eine Ausnahme: Hier wird der niedrigere Wert angesetzt.

Die Sanktionen zeigen klar:

• Verstöße sind kein Randthema mehr. Schon kleine Unachtsamkeiten können Millionen kosten.
• Verantwortung bleibt beim Unternehmen, auch wenn KI-Systeme von Dritten eingekauft werden.
• Dokumentation und Nachweise werden zum entscheidenden Schutzschild.

Unternehmen sollten deshalb jetzt:

• Alle eingesetzten KI-Systeme inventarisieren.
• Prüfen, ob verbotene Praktiken ausgeschlossen sind.
• Verantwortlichkeiten und Rollen intern festlegen.
• Prozesse zur Risikominimierung einführen.
• Mitarbeitende gezielt schulen.

Die nächste Stufe der KI-VO tritt am 02.08.2026 in Kraft. Dann werden u. a. folgende Regelungen verbindlich:

• Transparenzpflichten nach Art. 50 KI-VO: Kennzeichnung von KI-Interaktionen, Deepfakes und Emotionserkennung.
• Vollständige Pflichten für Hochrisiko-KI-Systeme: Konformitätsbewertungen, Registrierung in der EU-Datenbank, kontinuierliche Risikoanalysen.

Damit bleibt ein Jahr Zeit, um Prozesse und Nachweise so aufzubauen, dass Unternehmen rechtzeitig compliant sind.

Seit dem 02.08.2025 ist die KI-VO nicht mehr nur Theorie – die Sanktionen sind Realität.

• 35 Mio. € oder 7 % Umsatz für verbotene Praktiken,
• 15 Mio. € oder 3 % Umsatz für Compliance-Verstöße,
• 7,5 Mio. € oder 1 % Umsatz für falsche Angaben.

Damit steht fest: KI-Compliance ist Chefsache. Wer sich jetzt nicht vorbereitet, riskiert nicht nur Imageverluste, sondern existenzbedrohende Strafen.