EU AI Act: Millionenstrafen jetzt möglich – und Brüssel denkt an Lockerungen

Brüssel, 14. November 2025 – Seit August gelten die ersten echten Sanktionsmöglichkeiten der EU-KI-Verordnung. Unternehmen drohen Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt. Doch während die Aufsichtsbehörden ihre Kontrollkapazitäten ausbauen, kursieren in Brüssel bereits Pläne für mögliche Erleichterungen. Eine paradoxe Situation: Compliance-Druck und Hoffnung auf Lockerungen treffen aufeinander.

Die KI-Verordnung wurde schrittweise eingeführt. Bereits seit Februar 2025 sind bestimmte KI-Anwendungen mit „inakzeptablem Risiko” verboten. Dazu gehören etwa Systeme zur biometrischen Echtzeit-Überwachung im öffentlichen Raum oder KI-Tools, die das Verhalten von Kindern manipulieren sollen. Ebenfalls seit Februar gilt: Unternehmen müssen sicherstellen, dass ihre Mitarbeitenden über grundlegendes KI-Verständnis verfügen.

Der 2. August 2025 markiert nun den eigentlichen Wendepunkt. Seitdem gelten die zentralen Pflichten für Anbieter von KI-Basismodellen und Hochrisiko-Systemen. Und damit auch die drastischen Strafandrohungen, die das Regelwerk von einer rechtlichen Absichtserklärung zu einem durchsetzbaren Gesetz machen.

Passend zum Thema EU-KI-Verordnung: Viele Anbieter und Nutzer von KI-Modellen unterschätzen die Dokumentations- und Transparenzpflichten — Fehler können Bußgelder bis in zweistellige Millionenhöhe nach sich ziehen. Der kostenlose Umsetzungsleitfaden zur KI-Verordnung erklärt praxisnah Risikoklassifizierung, Kennzeichnungspflichten und notwendige technische Dokumentation und liefert eine Checkliste für die unmittelbaren Arbeitsschritte. Kostenlosen KI-Umsetzungsleitfaden herunterladen

Im Fokus stehen zunächst die großen Plattformen: Anbieter von General-Purpose AI-Modellen (GPAI) wie ChatGPT, Claude oder Gemini müssen seit August umfassende Transparenz- und Dokumentationspflichten erfüllen. Jedes neue Modell, das auf den Markt kommt, benötigt eine detaillierte technische Dokumentation. Diese muss offenlegen, wie das Modell funktioniert, mit welchen Daten es trainiert wurde und ob dabei das EU-Urheberrecht eingehalten wurde.

Besonders kritisch wird es für Unternehmen, deren KI-Systeme als Hochrisiko eingestuft werden. Diese Kategorie umfasst Anwendungen in der medizinischen Diagnostik, der Steuerung kritischer Infrastrukturen oder im Personalwesen – etwa KI-gestützte Bewerbungsverfahren. Hier verlangt die Verordnung strenge Standards: Risikomanagement-Systeme, hohe Datenqualität, menschliche Aufsicht und robuste Cybersicherheit sind Pflicht.

Eine oft unterschätzte Anforderung betrifft praktisch jedes Unternehmen: die KI-Kompetenzpflicht aus Artikel 4. Wer KI-Tools im Arbeitsalltag einsetzt, muss sicherstellen, dass die Nutzer verstehen, wie diese Systeme funktionieren und welche Risiken sie bergen. Klingt selbstverständlich? In der Praxis bedeutet das strukturierte Schulungsprogramme und Dokumentationspflichten – auch für kleine und mittlere Betriebe.

Strafen, die wehtun sollen

Die EU meint es ernst mit der Durchsetzung. Die Höhe der Bußgelder ist bewusst abschreckend kalkuliert:

• 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen das Verbot bestimmter KI-Praktiken oder bei mangelhafter Datenqualität in Hochrisiko-Systemen
• 15 Millionen Euro oder 3 Prozent des Umsatzes bei Verstößen gegen andere Pflichten für Hochrisiko-Systeme
• 7,5 Millionen Euro oder 1,5 Prozent des Umsatzes selbst für falsche Angaben gegenüber Behörden

Diese Größenordnungen zwingen auch große Konzerne zum Umdenken. Für mittelständische Unternehmen können sie existenzbedrohend sein. Das Kalkül der EU-Kommission ist klar: KI-Compliance darf nicht als optionales Projekt behandelt werden, sondern muss Chefsache sein.

Das EU AI Office rüstet auf

Hinter der Überwachung steht eine neue Behörde: das Europäische KI-Büro (EU AI Office). Angesiedelt bei der EU-Kommission, fungiert es als zentrales Kompetenzzentrum und soll für einheitliche Standards in allen 27 Mitgliedstaaten sorgen.

Die Behörde baut ihre Schlagkraft massiv aus. Zu den rund 140 bestehenden Mitarbeitenden sollen über 50 weitere Fachleute hinzukommen. Diese Aufstockung ist mehr als nur Verwaltungsausbau – sie signalisiert, dass die Phase der aktiven Marktüberwachung beginnt. Das AI Office koordiniert nicht nur die Aufsicht über GPAI-Modelle, sondern entwickelt auch einen EU-weiten regulatorischen Sandkasten, in dem Unternehmen neue KI-Anwendungen unter Aufsicht testen können.

Damit entsteht erstmals eine schlagkräftige europäische Technologie-Aufsicht, die im Idealfall als Gegengewicht zu den nationalen Datenschutzbehörden fungiert und eine fragmentierte Rechtsdurchsetzung verhindert.

Wirtschaft fordert Entlastung – mit Erfolg?

Die Reaktionen der Unternehmen auf die Verordnung reichen von konstruktiver Kritik bis zu offener Ablehnung. Besonders deutsche Industriekonzerne warnen wiederholt vor Wettbewerbsnachteilen gegenüber US-amerikanischen und chinesischen Konkurrenten. Eine aktuelle Umfrage zeigt: Fast die Hälfte der deutschen Unternehmen hat sich noch nicht ernsthaft mit der Umsetzung der Verordnung befasst. Ein riskantes Spiel angesichts der Sanktionsdrohung.

Auf diesen Druck reagiert Brüssel nun offenbar. Am 19. November 2025 will die EU-Kommission ein als „Digital Omnibus” bezeichnetes Gesetzespaket vorstellen. Ziel ist es, die verschiedenen digitalen Regelwerke der EU – von der KI-Verordnung über die DSGVO bis hin zum Digital Markets Act – besser aufeinander abzustimmen und zu vereinfachen.

Durchgesickerte Entwürfe deuten darauf hin, dass die Kommission eine einjährige Übergangsfrist für Verstöße gegen Hochrisiko-Anforderungen erwägt. Unternehmen würden damit Zeit gewinnen, ohne sofort mit Millionenstrafen rechnen zu müssen. Offiziell betont die Kommission allerdings, es gehe nicht um eine generelle Verschiebung des Zeitplans, sondern um die Beseitigung von Widersprüchen zwischen verschiedenen Gesetzen.

Dürfte spannend werden, wie die Kommission diese Balance findet. Einerseits will sie glaubwürdig bleiben und die Verordnung durchsetzen. Andererseits droht die europäische Wirtschaft im globalen KI-Wettlauf weiter zurückzufallen, wenn die Regulierung als Innovationsbremse wirkt.

Was Unternehmen jetzt tun sollten

Die nächsten Tage werden Klarheit bringen, ob und in welchem Umfang Erleichterungen kommen. Doch wer jetzt auf Aufschub spekuliert und die Compliance verschleppt, spielt mit dem Feuer. Die Kernpflichten sind in Kraft, die Behörden sind aufgestellt, und die ersten Kontrollen dürften nur eine Frage der Zeit sein.

Unternehmen sollten daher drei Schritte prioritär angehen:

Erstens: Eine vollständige Bestandsaufnahme aller eingesetzten und entwickelten KI-Systeme. Welche fallen unter die Hochrisiko-Kategorie? Welche GPAI-Modelle werden genutzt? Wo werden KI-Tools im Personalwesen oder in kritischen Prozessen eingesetzt?

Zweitens: Die Implementierung der geforderten Governance-Strukturen. Das umfasst Risikomanagement-Systeme, Dokumentationsprozesse und klare Verantwortlichkeiten. Besonders wichtig: die Sicherstellung der KI-Kompetenz durch strukturierte Schulungsprogramme.

Drittens: Der Aufbau eines funktionierenden Monitoring-Systems. Die Verordnung verlangt nicht nur einmalige Nachweise, sondern kontinuierliche Überwachung und Anpassung. Wer hier automatisierte Lösungen etabliert, spart langfristig Zeit und Kosten.

Kein Wunder also, dass sich rund um die KI-Compliance ein neuer Beratungsmarkt entwickelt. Von spezialisierten Anwaltskanzleien über Tech-Dienstleister bis hin zu internen Compliance-Teams – die Nachfrage nach KI-Expertise explodiert.

Die paradoxe Situation bleibt bestehen: Unternehmen müssen heute für Regeln Compliance leisten, die morgen möglicherweise gelockert werden. Doch das Risiko, auf mögliche Erleichterungen zu setzen und die aktuelle Rechtslage zu ignorieren, ist angesichts drohender Millionenstrafen schlicht zu hoch. Die EU hat mit der KI-Verordnung einen Rubikon überschritten – zurück führt kein Weg mehr.

PS: Obwohl Brüssel über Übergangsfristen diskutiert, gelten die Pflichten bereits jetzt — und Kontrollen starten. Dieser gratis Leitfaden zur EU-KI-Verordnung zeigt Unternehmen, wie sie Hochrisiko-Systeme rechtskonform klassifizieren, eine Datenschutz-Folgenabschätzung vorbereiten und strukturierte Mitarbeiterschulungen aufsetzen, um Strafzahlungen zu vermeiden. Zusätzlich enthalten: eine 90-Tage-Checkliste für Governance und Monitoring. Gratis KI-Compliance-Leitfaden herunterladen