EU AI Act: Strafen bis 35 Millionen Euro ab August

Das zeigt eine neue Studie, die Unternehmen und Entwicklern erhebliche Haftungsrisiken beschert.

Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei Compliance und Risikomanagement. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle neuen Anforderungen, Pflichten und Fristen des AI Acts. EU AI Act in 5 Schritten verstehen: Jetzt kostenloses E-Book sichern

Studie offenbart eklatante Compliance-Lücken

Die Aithos Research Foundation hat auf ihrer LARA-Plattform zwölf bekannte KI-Modelle auf ihre Rechtskonformität geprüft. Das Ergebnis ist ernüchternd: Selbst der Spitzenreiter Anthropics Claude Opus 4.7 erreichte lediglich 54 Prozent Übereinstimmung mit europäischen Rechtsstandards. GPT-5.5 kam auf rund 38 Prozent, während Googles Gemini 3.1 Pro mit mageren zehn Prozent abschnitt. In bestimmten Testszenarien operierten die schwächsten Modelle in 93 Prozent der Fälle illegal.

Die am 30. Mai 2026 veröffentlichte Untersuchung kommt zu einem kritischen Zeitpunkt: Ab August drohen empfindliche Strafen.

Amnesty International erhebt schwere Vorwürfe

Bereits am 28. Mai 2026 legte Amnesty International mit einem Bericht namens "Unlawful by Design" nach. Die Menschenrechtsorganisation behauptet, dass die Trainingsdaten für Modelle wie GPT-3, Gemini, Llama, DeepSeek, Midjourney und Stable Diffusion auf illegalem Web-Scraping beruhen. Amnesty charakterisiert diese Methoden als Eingriff in die Privatsphäre und fordert strengere Verbote.

Für deutsche Unternehmen wird die Lage dadurch brisant. Rechtsexperten weisen darauf hin, dass Berufsgeheimnisträger wie Steuerberater und Anwälte nach § 203 StGB strafbar handeln, wenn sie KI-Systeme nutzen, die Berufsgeheimnisse nicht ausreichend schützen. Der EU AI Act macht zudem den Betreiber der Software haftbar – nicht den Hersteller.

Hohe Strafen ab August 2026

Die finanziellen Risiken sind enorm. Ab dem 2. August 2026 können Behörden Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes verhängen. Hinzu kommen DSGVO-Strafen von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes.

Verstöße gegen die neuen KI-Regeln und die DSGVO können Unternehmen teuer zu stehen kommen, da die Haftung oft beim Betreiber der Software liegt. Erfahren Sie in diesem kostenlosen Report, welche KI-Systeme als Hochrisiko gelten und wie Sie die rechtlichen Dokumentationspflichten rechtzeitig erfüllen. Kostenlosen Umsetzungsleitfaden zum EU AI Act hier herunterladen

Besonders betroffen sind sogenannte General Purpose AI (GPAI)-Modelle mit systemischen Risiken. Nach Artikel 55 des AI Acts müssen Modelle, deren Training mehr als 10^25 FLOPs Rechenleistung erforderte – darunter GPT-5, Claude Opus 4.x und Meta Llama 4 – zusätzliche Auflagen erfüllen. Dazu gehören Modellbewertungen, gegnerische Tests und strenge Risikominderung. Die Anbieter müssen die KI-Behörde innerhalb von zwei Wochen informieren, sobald die systemische Risikoschwelle erreicht ist.

Neue Regeln für verschiedene Sektoren

Die Regulierungslandschaft verändert sich rasant:

Branchenausnahmen: Ende März 2026 stimmte das Europäische Parlament für die "Digital Omnibus"-Änderungen. Sie sollen Hochrisikoprodukte wie Medizingeräte und Spielzeug aus dem allgemeinen AI Act herausnehmen und sektorspezifisch regulieren. Branchenverbände warnen vor einer zersplitterten Rechtslandschaft.

Sicherheitsbedrohungen: Mitte Mai 2026 meldete die Google Threat Intelligence Group erstmals den Einsatz von KI zur Entdeckung von Zero-Day-Sicherheitslücken durch Angreifer. Die Bedrohungslage verschärft sich: Seit Anfang 2024 haben sich Ransomware-Angriffe in bestimmten europäischen Regionen verdoppelt.

Internationale Gesetzgebung: Der US-Bundesstaat Illinois verabschiedete Senate Bill 315. Ab Januar 2028 müssen Unternehmen mit über 500 Millionen Dollar Jahresumsatz jährliche KI-Sicherheitsaudits durchführen – bei Strafen von bis zu drei Millionen Dollar.

Staatliche Nutzung: In Deutschland sieht der Entwurf des Jahressteuergesetzes 2026 vor, dass Finanzämter KI-Modelle mit echten Bürgerdaten trainieren dürfen – sofern die Trainingsdaten innerhalb eines Jahres gelöscht werden.

Technische Lösungen in Sicht

Das Fraunhofer ISST und Fujitsu haben eine Methode namens "Federated Unlearning" vorgestellt. Sie ermöglicht die gezielte Entfernung von Daten aus trainierten Modellen, ohne das gesamte System neu trainieren zu müssen. Das könnte ein wichtiger Schritt zur Einhaltung des DSGVO-"Rechts auf Vergessenwerden" sein.

Bis zum 3. Juni 2026 läuft zudem die EU-Konsultation zu Transparenzpflichten nach Artikel 50 des AI Acts. Sie wird endgültig festlegen, wie KI-Systeme ihren Nutzern gegenüber kennzeichnungspflichtig sind.

de | wirtschaft | 69465586 |