Bußgeld KI-Verordnung: Welche Strafe droht wirklich bei Verstoß gegen die Schulungspflicht?

Die ehrliche Antwort zuerst

Wer nach „Bußgeld KI-Verordnung Schulungspflicht" sucht, findet alarmierende Zahlen: 7,5 Millionen Euro, 15 Millionen, manchmal sogar 35 Millionen. Die ehrliche Antwort lautet: Für einen Verstoß gegen die Schulungspflicht nach Art. 4 KI-VO allein sieht die Verordnung kein direktes Bußgeld vor. Art. 4 ist im Bußgeldkatalog des Art. 99 KI-VO schlicht nicht aufgeführt.

Heißt das, Unternehmen können die KI-Kompetenzpflicht ignorieren? Nein — und zwar aus drei Gründen, die wir in diesem Artikel sauber auseinandernehmen: die behördliche Aufsicht ab August 2026, die zivilrechtliche Haftung nach KI-Vorfällen und die tatsächlich bußgeldbewehrten Betreiberpflichten bei Hochrisiko-KI.

Die Bußgeldrahmen der KI-Verordnung im Überblick

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) unterscheidet in Art. 99 drei Bußgeldstufen, abhängig von der Schwere des Verstoßes:

Stufe 1: Verbotene KI-Praktiken (Art. 5)

• Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
• Betrifft: Einsatz von Social-Scoring-Systemen, manipulativer KI, biometrischer Echtzeitüberwachung in öffentlichen Räumen

Stufe 2: Verstöße gegen zentrale Anbieter- und Betreiberpflichten (Art. 99 Abs. 4)

• Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes
• Betrifft u. a.: Pflichten der Anbieter von Hochrisiko-KI (Art. 16), Pflichten der Betreiber von Hochrisiko-KI (Art. 26), Transparenzpflichten (Art. 50)

Stufe 3: Falsche Angaben gegenüber Behörden (Art. 99 Abs. 5)

• Bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes
• Betrifft: unrichtige, unvollständige oder irreführende Informationen gegenüber Aufsichtsbehörden und notifizierten Stellen

Was auffällt: Art. 4 taucht in keiner der drei Stufen auf. Anbieter, die mit Millionen-Bußgeldern für fehlende KI-Schulungen werben, bauen eine Drohkulisse auf, die so im Gesetz nicht steht.

Für KMU und Start-ups sieht Art. 99 Abs. 6 KI-VO zudem verhältnismäßig niedrigere Obergrenzen vor: Es gilt der jeweils niedrigere der beiden Beträge (Festbetrag oder Umsatzanteil).

Warum fehlende Schulung trotzdem teuer werden kann

1. Behördliche Aufsicht ab August 2026

Ab dem 2. August 2026 müssen die nationalen Aufsichts- und Durchsetzungsstrukturen der KI-Verordnung stehen. In Deutschland übernimmt die Bundesnetzagentur die Rolle der zentralen Marktüberwachungsbehörde — so sieht es das deutsche Durchführungsgesetz zur KI-Verordnung vor.

Die Aufsicht kann Auskünfte und Nachweise verlangen, auch dazu, wie ein Unternehmen seine Pflicht aus Art. 4 erfüllt. Wer dann nichts vorweisen kann, riskiert Anordnungen und vertiefte Prüfungen — und wer gegenüber der Behörde unrichtige oder unvollständige Angaben macht, landet sehr wohl im Bußgeldkatalog (Stufe 3, bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes).

2. Hochrisiko-KI: Hier ist Kompetenz tatsächlich bußgeldbewehrt

Für Betreiber von Hochrisiko-KI-Systemen — etwa KI im Recruiting, bei der Kreditvergabe oder in kritischer Infrastruktur — schreibt Art. 26 KI-VO konkrete Pflichten vor. Dazu gehört, die menschliche Aufsicht über das System kompetenten, geschulten Personen zu übertragen. Verstöße gegen diese Betreiberpflichten sind nach Art. 99 Abs. 4 KI-VO mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes bewehrt. Die Hochrisiko-Pflichten gelten je nach Kategorie ab August 2026 bzw. August 2027.

Mit anderen Worten: Wer Hochrisiko-KI einsetzt, für den ist nachweisbare KI-Kompetenz im Team kein freiwilliges Extra, sondern Bestandteil einer echten, sanktionierten Pflicht.

3. Haftungsrechtliche Konsequenzen

Fehlt eine dokumentierte KI-Schulung und verursacht ein KI-System einen Schaden, wird ein Gericht prüfen, ob das Unternehmen angemessene Vorsorgemaßnahmen getroffen hat. Eine fehlende Schulung kann als Organisationsverschulden gewertet werden und die Beweislast zulasten des Unternehmens verschieben.

Das betrifft insbesondere:

• Diskriminierende KI-Entscheidungen im Recruiting oder bei Kreditvergabe
• Datenschutzverletzungen durch unkontrollierten KI-Einsatz
• Wirtschaftliche Schäden durch fehlerhafte KI-Outputs (z. B. Halluzinationen in Kundenberatung)

4. Vertragliche Risiken

Immer mehr Unternehmen verlangen von ihren Geschäftspartnern den Nachweis, dass regulatorische Pflichten eingehalten werden. Wer keine dokumentierte KI-Schulung vorweisen kann, riskiert den Verlust von Aufträgen oder die Nichtverlängerung von Verträgen — besonders im B2B-Bereich und bei öffentlichen Ausschreibungen.

5. Reputationsschaden

Ein öffentlich bekannt gewordenes Aufsichts- oder Haftungsverfahren wegen KI-Compliance-Verstößen ist ein PR-Risiko. In Zeiten, in denen Verbraucher und Geschäftspartner zunehmend auf verantwortungsvollen KI-Einsatz achten, kann das nachhaltig schaden.

Was die DSGVO-Praxis über die Durchsetzung verrät

Die DSGVO hat gezeigt, wie konsequent deutsche Aufsichtsbehörden EU-Regulierung durchsetzen, sobald die Strukturen stehen. Einige Beispiele:

Unternehmen	Verstoß	Bußgeld
H&M	Überwachung von Mitarbeitenden	35,3 Mio. €
Deutsche Wohnen	Fehlende Löschkonzepte	14,5 Mio. €
1&1 Telecom	Mangelnder Kundendatenschutz	9,55 Mio. €
Verschiedene KMU	Fehlende technische Maßnahmen	5.000–50.000 €

Niemand sollte erwarten, dass die KI-Aufsicht nachsichtiger agiert. Der Unterschied zur DSGVO liegt nicht in der Ernsthaftigkeit der Durchsetzung, sondern darin, welche Verstöße bußgeldbewehrt sind — und genau deshalb lohnt der genaue Blick in den Katalog des Art. 99.

Wer kontrolliert die Einhaltung?

Jeder EU-Mitgliedstaat muss nationale Aufsichtsbehörden für die KI-Verordnung benennen (Art. 70 KI-VO). In Deutschland ist die Bundesnetzagentur als zentrale Marktüberwachungsbehörde vorgesehen, flankiert von sektoralen Behörden für besonders regulierte Bereiche.

Die Durchsetzung wird schrittweise aufgebaut:

1. Seit Februar 2025: Art. 4 gilt; Aufbau der Aufsichtsstrukturen, erste Orientierungshilfen
2. Ab 2. August 2026: Nationale Aufsicht arbeitsfähig, erste Prüfungen und Auskunftsersuchen erwartet
3. Ab 2027: Routinemäßige Aufsicht, anlassbezogene Prüfungen, weitere Hochrisiko-Pflichten greifen

So minimieren Unternehmen ihr Risiko

1. Schulungspflicht ernst nehmen

Der effektivste Schutz ist die Erfüllung der Pflicht: Dokumentierte Schulungsmaßnahmen für alle Mitarbeitenden, die KI-Systeme nutzen.

2. Nachweise revisionssicher aufbewahren

Im Ernstfall muss das Unternehmen belegen können, wann welche Mitarbeitenden welche Schulung absolviert haben. Zertifikate mit eindeutiger Identifikation (Name, Datum, Prüfungsergebnis, Zertifikats-ID) sind der Goldstandard.

3. KI-Inventar pflegen

Dokumentieren Sie, welche KI-Systeme eingesetzt werden und wer sie nutzt. Das ist die Grundlage für eine bedarfsgerechte Schulung — und ein wichtiges Dokument für jede Behördenprüfung. Spätestens hier zeigt sich auch, ob ein eingesetztes System in die Hochrisiko-Kategorie fällt und damit die bußgeldbewehrten Pflichten aus Art. 26 KI-VO auslöst.

4. Verantwortlichkeiten festlegen

Bestimmen Sie eine Person oder Funktion, die für die KI-Compliance verantwortlich ist — typischerweise der Datenschutzbeauftragte, der Compliance-Officer oder die Geschäftsführung direkt.

5. Regelmäßig aktualisieren

Die KI-Landschaft und die Rechtslage entwickeln sich weiter. Planen Sie Nachschulungen ein — mindestens bei Einführung neuer KI-Tools, bei Personalwechseln und spätestens zum Start der behördlichen Aufsicht im August 2026.

Fazit: Die Kosten der Untätigkeit übersteigen die Kosten der Schulung

Dass Art. 4 KI-VO kein eigenes Bußgeld kennt, ist eine wichtige Klarstellung — aber kein Freifahrtschein. Eine dokumentierte KI-Schulung kostet einen Bruchteil dessen, was ein Haftungsfall, ein Aufsichtsverfahren oder — bei Hochrisiko-KI — ein echtes Bußgeldverfahren kosten kann. Unternehmen, die jetzt handeln, sind vorbereitet, wenn die Bundesnetzagentur ab August 2026 erstmals nachfragt — und positionieren sich als verantwortungsvolle KI-Nutzer in einem zunehmend regulierten Markt.