Published on

Bußgeld, Anordnung, Vertriebsverbot: die Eskalationsleiter

Authors

Wer beim EU AI Act zuerst an Bußgelder denkt, sieht nur die Spitze. Die Verordnung (EU) 2024/1689 stellt den Marktüberwachungsbehörden ein abgestuftes Instrumentarium zur Verfügung — und das Geldbußen-Regime des Art. 99 ist nur eine von mehreren Schichten. In vielen Verfahren wird die wirtschaftlich härtere Konsequenz nicht die Geldbuße sein, sondern die Anordnung, ein KI-System vom Markt zu nehmen. Diese Seite ordnet die Stufen der Eskalation und zeigt, wo eine Organisation ein Verfahren noch beeinflussen kann.

Zwei getrennte Schienen: Marktmaßnahmen und Geldbußen

Der EU AI Act trennt zwei Wirkmechanismen, die im Verfahren parallel laufen können. Die eine Schiene betrifft das Produkt — also das KI-System selbst und seinen Verbleib am Markt. Sie folgt der Logik der Marktüberwachung (Kapitel IX, gestützt auf den allgemeinen Marktüberwachungsrahmen der Verordnung (EU) 2019/1020). Die andere Schiene betrifft die Sanktion — die Geldbuße nach Art. 99 als Reaktion auf einen Rechtsverstoß.

Diese Trennung ist praktisch wichtig: Ein Vertriebsverbot ist keine Strafe im engeren Sinn, sondern eine Gefahrenabwehrmaßnahme. Es kann auch dann greifen, wenn die Bußgeld-Frage noch offen oder strittig ist. Umgekehrt schließt eine korrekt nachgeholte Korrektur ein Bußgeld nicht automatisch aus. Wer nur auf die Bußgeld-Höhe schaut, unterschätzt die Eskalationsleiter.

Stufe 1 — Auskunft und Prüfung

Am Anfang steht selten die Sanktion, sondern das Auskunftsersuchen. Die Marktüberwachungsbehörde fordert technische Dokumentation, Logs und Nachweise an. Für Hochrisiko-Systeme nach Annex III bedeutet das konkret: technische Dokumentation nach Art. 11, Konformitätsbewertung, Risikomanagement-Unterlagen, Aufzeichnungen nach Art. 12. Wer hier vollständig und nachvollziehbar liefert, verschiebt das Verfahren oft schon in eine kooperative Bahn. Wer unvollständig, irreführend oder gar nicht liefert, riskiert eine eigene Geldbuße-Kategorie (siehe unten) — und signalisiert der Behörde fehlende Beherrschbarkeit.

Stufe 2 — Korrekturanordnung

Stellt die Behörde einen Verstoß oder ein Risiko fest, ist die typische erste belastende Maßnahme die Aufforderung zur Korrektur innerhalb einer gesetzten Frist. Das KI-System darf am Markt bleiben, muss aber in einen rechtskonformen Zustand gebracht werden — etwa durch Nachdokumentation, technische Anpassung, ergänzte menschliche Aufsicht oder korrigierte Transparenzhinweise. Diese Stufe ist der eigentliche Verhandlungsraum: Umfang, Frist und Art der Korrektur sind oft Gegenstand des Austauschs mit der Behörde. Eine glaubwürdige, dokumentierte Abhilfe ist das wirksamste Mittel, um eine weitere Eskalation zu vermeiden.

Stufe 3 — Rückruf, Marktrücknahme, Vertriebsverbot

Bleibt die Korrektur aus oder reicht sie nicht, eskaliert die Behörde auf die Produkt-Ebene. Sie kann anordnen, das System vom Markt zu nehmen (Rücknahme), es zurückzurufen (Recall) oder seine Bereitstellung zu untersagen. Bei KI-Systemen, die ein ernsthaftes Risiko darstellen, kann diese Maßnahme auch vorläufig und schnell erfolgen, bevor das Verfahren rechtskräftig abgeschlossen ist. Für ein Unternehmen, dessen Geschäftsmodell auf dem System beruht, ist das regelmäßig die einschneidendste Konsequenz — wirtschaftlich oft schwerer als die Geldbuße selbst, weil sie unmittelbar den Umsatz trifft und nicht nur die Bilanz.

Stufe 4 — Geldbuße nach Art. 99

Parallel zur Produkt-Schiene steht das Sanktionsregime. Art. 99 staffelt die Höchstbeträge nach Schwere des Verstoßes in drei Kategorien:

  • Verbotene Praktiken (Art. 5): bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres — je nachdem, welcher Betrag höher ist.
  • Verstöße gegen sonstige Pflichten (Provider-, Deployer-, Notified-Body-Pflichten): bis zu 15 Mio. € oder 3 %.
  • Falsche, unvollständige oder irreführende Auskünfte gegenüber Behörden: bis zu 7,5 Mio. € oder 1 %.

Für KMU und Start-ups gilt jeweils der niedrigere der beiden Werte als Obergrenze. Die genaue Mechanik dieser Staffelung ist im Beitrag zum Strafrahmen des Art. 99 ausführlicher behandelt. Wichtig im Kontext der Eskalationsleiter: Die Geldbuße ist die Reaktion auf den Verstoß, nicht das Mittel zur Risikobeseitigung — beides kann nebeneinander stehen.

Strafzumessung: was die Stufe nach oben oder unten verschiebt

Innerhalb des Rahmens entscheidet die Behörde nach den Kriterien des Art. 99 Abs. 7. Mildernd wirken typischerweise Kooperation, frühzeitige Selbstanzeige, das Ausmaß ergriffener Abhilfemaßnahmen und die Frage, ob bereits eine andere Behörde für denselben Sachverhalt sanktioniert hat. Verschärfend wirken Vorsatz, Wiederholung, die Schwere und Dauer des Verstoßes und die Zahl betroffener Personen. Praktisch heißt das: Dieselbe Pflichtverletzung kann je nach Verhalten der Organisation sehr unterschiedlich enden — die Eskalationsleiter ist nicht zwingend ein Aufstieg, sondern ein Weg mit Abzweigungen.

GPAI: eigene Schiene über Brüssel

Für Anbieter von General-Purpose-AI-Modellen verläuft die Sanktion nicht über die nationalen Behörden, sondern über die Europäische Kommission beziehungsweise das AI Office. Hier gilt ein eigener Rahmen mit Geldbußen bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes. Die Produkt-Schiene und die nationale Marktüberwachung bleiben davon unberührt, sobald das Modell in nachgelagerten Systemen eingesetzt wird.

Was das für die Vorbereitung bedeutet

Die Eskalationsleiter zeigt, warum reaktives Verhalten teuer wird: Wer erst beim Auskunftsersuchen mit dem Aufbau von Nachweisen beginnt, hat den Verhandlungsraum der Stufe 2 schon halb verloren. Der entscheidende Hebel liegt vor dem Verfahren — in einer belastbaren, jederzeit vorzeigbaren Evidenzlage zu technischer Dokumentation, Risikomanagement und menschlicher Aufsicht. Welche Templates und Nachweise dafür konkret gebraucht werden, behandelt das Compliance-Toolkit auf ki-hochrisiko.de. Der zeitliche Bezugspunkt für die Durchsetzung der Kernpflichten ist der 02.12.2027; bis dahin ist die Eskalationsleiter ein Planungs-, kein Notfall-Thema.

Mehr Kontext zum EU AI Act gesamt und zur Pflichtenlage: Leitfaden auf eu-ai-verordnung.de.

Trust-Infrastructure systematisch aufbauen statt reaktiv auf Enforcement reagieren — mehr unter aegira.ai.

Discuss on TwitterView on GitHub