EN Login
T2-C19-03 tactics

EU AI Act — Bußgeld-Mechanik und Aufsichts-Struktur

Art. 99 EU AI Act regelt die Bußgeld-Mechanik für Verstöße. Die Höhe staffelt sich nach Verstoßtyp — bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes bei Verstößen gegen verbotene Praktiken (Art. 5), bis zu 15 Millionen Euro oder 3 Prozent bei sonstigen Pflichten, bis zu 7,5 Millionen Euro bei falschen Informationen. Für deutsche Mandatsträger 2026 sind die Bußgelder als persönliche Risiko praktisch nicht relevant — strukturell aber prägen sie das Plattform-Verhalten.

Art. 99 EU AI Act regelt die Bußgeld-Mechanik für Verstöße. Die Höhe staffelt sich nach Verstoß-Typ: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen verbotene Praktiken (Art. 5), bis zu 15 Millionen Euro oder 3 Prozent bei sonstigen Pflichten, bis zu 7,5 Millionen Euro bei falschen Informationen.[1] Für deutsche Mandatsträger 2026 sind diese Summen als persönliches Risiko praktisch nicht relevant — strukturell aber prägen sie das Plattform- und Provider-Verhalten, was indirekte Konsequenzen für die Pipeline hat.

Was hier untersucht wird

Dieser Tiefe-2-Artikel zerlegt die EU-AI-Act-Bußgeld-Mechanik und die Aufsichts-Struktur. Die Vor-Vertiefungen T2-C19-01 und T2-C19-02 haben die Disclosure- und Hochrisiko-Klassifikation behandelt. Hier wird die Sanktions-Schicht erläutert.

Die Bußgeld-Staffelung 2026

Drei Bußgeld-Stufen:[1]

Stufe eins (höchste): bis 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes (höhere Summe gilt) bei Verstößen gegen Art. 5 (verbotene Praktiken).

Stufe zwei (mittlere): bis 15 Millionen Euro oder 3 Prozent des Jahresumsatzes bei sonstigen Pflicht-Verstößen (inkl. Art. 50 Disclosure, Hochrisiko-System-Pflichten, GPAI-Pflichten).

Stufe drei (Informations-Pflichten): bis 7,5 Millionen Euro bei Bereitstellung falscher, unvollständiger oder irreführender Informationen an Behörden.

Wer ist Adressat der Bußgelder

Drei Adressat-Klassen:

Provider (Anbieter von KI-Systemen oder GPAI-Modellen). Beispiel: OpenAI, Anthropic, Google, Meta.

Deployer (Nutzer in professionellen Kontexten). Beispiel: Unternehmen, Behörden, ggf. größere politische Akteure mit eigener KI-Pipeline.

Importeure und Distributoren (sekundär).

Für einzelne Mandatsträger ist die Adressaten-Frage 2026 ungeklärt — die Bußgelder zielen primär auf institutionelle Akteure. Im Extremfall könnte eine Fraktion oder ein Partei-Apparat als Deployer in Frage kommen.

Die Aufsichts-Struktur in Deutschland 2026

Drei Aufsichts-Ebenen.

AI Office auf EU-Ebene. Zuständig für GPAI-Modelle und EU-weite Koordination.

Bundesnetzagentur (BNetzA) als nationale Aufsichts-Behörde in Deutschland. Zuständig für Vollzug der EU-AI-Act-Pflichten gegenüber Provider und Deployer in Deutschland.[2]

Landes-Aufsicht in Sub-Bereichen (z.B. Datenschutz-Aufsicht für KI-Anwendungen mit DSGVO-Berührungs-Punkten).

Beschwerde-Möglichkeiten

Drei Beschwerde-Pfade 2026.

BNetzA-Beschwerde bei vermuteten Verstößen. Beschwerde-Formular ist 2026 verfügbar; Bearbeitungs-Zeit typisch mehrere Monate.

Sektorale Aufsicht (Datenschutz-Beauftragte der Länder, Marktaufsicht) für Sub-Aspekte.

EU-AI-Office für Provider-Verstöße bei GPAI-Modellen.

Die operative Bewertung für Mandatsträger-Pipelines

Drei Beobachtungen 2026.

Individuelle Mandatsträger sind primär nicht direkte Bußgeld-Adressaten. Die Bußgeld-Höhe ist auf institutionelle Akteure ausgelegt. Praktische Konsequenzen für einzelne MdB sind 2026 nicht dokumentiert.

Plattform-Verhalten verändert sich strukturell. TikTok, Meta, Google, X kalibrieren ihre KI-Disclosure-Tools 2026 auf EU-AI-Act-Konformität. Mandatsträger-Accounts profitieren indirekt — die Plattformen erzwingen Disclosure technisch.

Provider-Tool-Verfügbarkeit kann sich verändern. Wenn ein Provider die GPAI-Pflichten nicht erfüllt: Tool wird in der EU nicht mehr verfügbar. Beispiel: einige kleinere KI-Tools wurden 2025 in der EU eingeschränkt.

Was 2026 in der Pipeline zu tun ist

Drei Pflichten als Mindest-Compliance.

Pflicht eins: KI-Inventar pflegen. Welche Tools werden genutzt, welche sind GPAI-konform, welche haben Disclosure-Mechaniken (siehe T2-C19-01)?

Pflicht zwei: Disclosure-Workflow ab 2.8.2026. Sichtbare KI-Kennzeichnung pro Cut mit KI-Anteilen.

Pflicht drei: Provider-Updates beobachten. Wenn ein bevorzugter KI-Tool-Provider 2026 EU-Beschränkungen bekommt: rechtzeitig auf Alternativen umstellen.

Operative Konsequenzen

Drei priorisierte Empfehlungen.

Priorität A: KI-Inventar als Pipeline-Dokument. Schriftlich, gepflegt, in der Pipeline-Datenbank. Aufwand: vier Stunden initial.

Priorität B: Disclosure-Workflow vor 2.8.2026 etabliert. Sichtbarer KI-Marker pro Cut. Aufwand: rund 2 Stunden Workflow-Anpassung.

Priorität C: Provider-News-Tracking. Quartalsweise Sichtung der KI-Tool-Provider auf Compliance-Updates.

Empfehlungen mit Priorität

Priorität A: KI-Inventar. — Priorität B: Disclosure-Workflow. — Priorität C: Provider-News-Tracking.

Status-Hinweis

Stand 19.05.2026: Pre-Launch-Compliance-Review abgeschlossen. Bei konkretem Anwendungs- oder Streitfall ist die Konsultation eines spezialisierten Fachanwalts weiterhin empfohlen. Die EU-AI-Act-Vollzugs-Praxis ist 2026 in Entwicklung; die exakte Anwendung auf individuelle Mandatsträger ist nicht vollständig dokumentiert.

Wo das hingehört

Tiefe-1 EU AI Act 2026: T1-C19. Art.-50-Disclosure: T2-C19-01. Hochrisiko-Klassifikation: T2-C19-02. Folge: T2-C19-04 — deutsche Umsetzung.

Codex AI-Automation Sektion 13.

Quellen

  1. EU Artificial Intelligence Act, Article 99 — Penalties, Permalink, Abruf 18.05.2026.

  2. Bundesnetzagentur, KI-Verordnung — Nationale Aufsicht in Deutschland, Permalink, Abruf 18.05.2026.

  3. Europäische Kommission, AI Office, Permalink, Abruf 18.05.2026.

Verwandte Knoten
T1-C19 T2-C19-01 T2-C19-02