Wer ein KI-System einsetzt, das andere Menschen betrifft, muss seit 2026 mit einem neuen Akteur rechnen: dem Beschwerdeführer. Artikel 85 der EU-KI-Verordnung gibt jeder natürlichen oder juristischen Person das Recht, eine Beschwerde bei der zuständigen Marktüberwachungsbehörde einzureichen, wenn der Verdacht auf einen Verstoß gegen die KI-VO besteht. Das klingt nach Verwaltungsdetail. In der Praxis ist es das Instrument, das die Verordnung von Papier in Bewegung übersetzt.
Auf einen Blick: Art. 85 EU AI Act gibt jeder natürlichen oder juristischen Person das Recht, eine Beschwerde bei der nationalen Marktüberwachungsbehörde einzulegen, wenn sie Anhaltspunkte für einen Verstoß gegen die KI-VO sieht. In Deutschland koordiniert die Bundesnetzagentur die Marktüberwachung. Die Behörde muss die Beschwerde nach ihrem Prüfverfahren behandeln und den Beschwerdeführer über Stand und Ergebnis informieren. Für KMU heisst das: jeder unzufriedene Kunde, abgelehnte Bewerber oder ehemalige Mitarbeiter kann Aufsicht auslösen. Damit wird Compliance zu mehr als Aktenordner-Pflege.
Was Art. 85 konkret regelt
Die Kernaussage steht in einem einzigen Satz: Jeder darf sich beschweren. Die Verordnung verlangt keinen Nachweis eines eigenen Schadens und keine besondere Betroffenheit im juristischen Sinn. Es genügt, dass die Person hinreichenden Grund zur Annahme hat, dass ein KI-System gegen die Verordnung verstösst.
Antragsberechtigt sind damit nicht nur die Personen, über die ein KI-System entscheidet. Auch Wettbewerber, Verbraucherschutzverbände, Gewerkschaften oder ein aufmerksamer Beobachter können eine Beschwerde einreichen. Das öffnet den Kreis der möglichen Hinweisgeber weit.
Die Behörde nimmt die Beschwerde entgegen, prüft sie im Rahmen ihres Verfahrens und informiert den Beschwerdeführer über den Stand und das Ergebnis. Sie ist nicht verpflichtet, jeder Beschwerde mit einer Ermittlung nachzugehen, aber sie muss sie sichten und einordnen. Aus einer Häufung von Beschwerden gegen denselben Anbieter wird schnell ein Prüfungsschwerpunkt.
Wer in Deutschland zuständig ist
In Deutschland koordiniert die Bundesnetzagentur die Marktüberwachung der KI-VO. Sie ist die zentrale Anlaufstelle und bündelt die nationale Aufsicht. Daneben bleiben sektorale Behörden für ihre jeweiligen Bereiche verantwortlich. Die BaFin übernimmt KI-Systeme im Finanzsektor, etwa bei Kreditwürdigkeitsprüfungen. Das BfArM ist für KI in Medizinprodukten zuständig.
Für ein durchschnittliches KMU bedeutet das: Wer eine Recruiting-KI oder ein KI-gestütztes Bewertungssystem einsetzt, landet bei einer Beschwerde in der Regel bei der Bundesnetzagentur. Wer KI im Finanzbereich betreibt, bekommt es eher mit der BaFin zu tun. Die genaue Zuständigkeit hängt am Anwendungsbereich des Systems, nicht am Sitz des Unternehmens.
Wie eine Beschwerde aussieht
Eine wirksame Beschwerde braucht eine Reihe von Angaben, damit die Behörde sie bearbeiten kann. Dazu gehören die Identität des Beschwerdeführers, eine Beschreibung des vermuteten Verstoßes, die Angabe des betroffenen KI-Systems samt Anbieter oder Betreiber und nach Möglichkeit Beweismittel.
Eine vollständige Anonymisierung ist nicht in jedem Fall vorgesehen, aber Beschwerdeführer können je nach Konstellation Vertraulichkeit verlangen oder über geschützte Meldekanäle gehen. Anonyme Hinweise sind möglich, führen aber meist nur zu einer behördlichen Eigenprüfung, weil die Behörde keine Rückfragen stellen kann. Wer mit Namen und nachvollziehbaren Beweisen kommt, löst deutlich wahrscheinlicher eine echte Prüfung aus.
Der Beschwerdeführer hat einen Anspruch darauf, über den Status und das Ergebnis informiert zu werden. Er erfährt also, ob seine Beschwerde zu einer Prüfung geführt hat und wie diese ausgegangen ist.
Der Pfad über Art. 86
Art. 85 steht nicht allein. Er greift eng mit Art. 86 ineinander, dem Recht auf Erklärung einer individuellen Entscheidung. Wer von einer automatisierten Hochrisiko-KI betroffen ist, etwa bei einer abgelehnten Bewerbung oder einer verweigerten Kreditzusage, kann nach Art. 86 eine klare Erklärung der Entscheidung verlangen.
Diese Erklärung ist oft der erste Schritt. Aus einer unzureichenden oder ausweichenden Antwort des Unternehmens wird schnell der Anlass für eine Art-85-Beschwerde. Der Betroffene merkt: Hier läuft etwas nicht sauber, ich gehe zur Behörde. Wer also die Auskunftsverlangen nach Art. 86 schlampig beantwortet, füttert damit die Beschwerden nach Art. 85.
Whistleblower aus den eigenen Reihen
Eine der unterschätzten Quellen sitzt im eigenen Unternehmen. Das Hinweisgeberschutzgesetz ist seit dem 2. Juli 2023 in Kraft und schützt Beschäftigte, die Verstöße melden. Es gilt auch für Verstöße gegen die KI-VO.
Ein Datenschutzbeauftragter, ein Compliance-Mitarbeiter oder ein Entwickler, der intern beobachtet, dass eine eingesetzte KI gegen die Verordnung verstösst, kann diesen Hinweis über die interne Meldestelle oder über eine externe Meldestelle abgeben. Wird er deshalb benachteiligt, gekündigt oder unter Druck gesetzt, greift der Schutz des HinSchG. Unternehmen, die auf einen internen Hinweis mit Repressalien reagieren, verschärfen ihre Lage erheblich.
Drei Beispiele aus dem Mittelstand
Der abgelehnte Bewerber ist das Lehrbuch-Szenario. Ein KMU nutzt ein KI-CV-Screening, sortiert Bewerbungen automatisch vor und lehnt ab. Ein Kandidat, der sich übergangen fühlt, beschwert sich bei der Bundesnetzagentur. Die Behörde prüft, ob das System als Hochrisiko-KI nach Art. 6 in Verbindung mit Anhang III einzustufen ist und ob die zugehörigen Pflichten erfüllt wurden. Wurde keine Risikobewertung gemacht, keine menschliche Aufsicht eingerichtet, kein Logging vorgehalten, steht das Unternehmen schlecht da.
Das zweite Szenario betrifft Inhaltsmoderation. Ein Kunde einer Plattform fühlt sich durch eine KI-gestützte Sperrung ungerecht behandelt und wirft dem Betreiber vor, weder die Transparenzpflichten nach Art. 50 noch die Betreiberpflichten nach Art. 26 einzuhalten. Auch hier kann er sich nach Art. 85 an die Behörde wenden.
Das dritte Szenario kommt von innen. Der Datenschutzbeauftragte eines mittelständischen Betriebs stellt fest, dass eine intern eingesetzte KI personenbezogene Daten in einer Weise verarbeitet, die er für einen KI-VO-Verstoß hält. Er meldet das über die externe Meldestelle nach HinSchG. Die Behörde nimmt die Spur auf.
Was bei Verstößen droht
Die Beschwerde selbst kostet niemanden etwas. Was sie auslösen kann, ist teuer. Stellt die Marktüberwachung einen Verstoß fest, drohen je nach Art des Verstoßes gestaffelte Bußgelder.
Für die meisten Verstöße gegen Anbieter- und Betreiberpflichten sieht Art. 99 Bußgelder bis zu 15 Millionen Euro oder bis zu 3 Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. Für die schwersten Verstöße, etwa gegen die verbotenen Praktiken nach Art. 5, sind es bis zu 35 Millionen Euro oder 7 Prozent. Für ein kleines Unternehmen mit drei Millionen Euro Jahresumsatz greift die prozentuale Deckelung, der absolute Betrag bleibt aber empfindlich.
Wer hier glaubt, das treffe nur die grossen Konzerne, irrt. Die Behörde muss bei der Bemessung zwar Größe und Wirtschaftskraft berücksichtigen, aber sie kann auch ein KMU sanktionieren.
Was KMU jetzt vorbereiten sollten
Die ehrliche Einordnung aus der Beratungspraxis: Das Beschwerderecht ist das wirkungsvollste Compliance-Instrument der ganzen Verordnung. Eine Behörde, die jeden Hochrisiko-KI-Anbieter aktiv prüft, gibt es nicht. Eine Behörde, die auf eine konkrete Beschwerde reagieren muss, gibt es jetzt. Das verlagert die Aufsicht von der trägen Eigeninitiative zur reaktiven Pflicht. Wer das unterschätzt, verlässt sich darauf, dass schon niemand klagen wird, und genau das geht in der Praxis regelmässig schief.
Vorbereitung heisst hier vor allem Dokumentation. Wer ein KI-System betreibt, das andere Menschen betrifft, sollte vier Dinge griffbereit haben. Eine dokumentierte Risikobewertung nach Art. 9, falls das System unter Hochrisiko fällt. Abrufbare Logs nach Art. 12, damit nachvollziehbar bleibt, wie das System entschieden hat. Klare interne Ansprechpartner, die wissen, wer bei einer Behörden-Anfrage antwortet. Und einen Prozess, der eingehende Beschwerden sauber erfasst, bevor sie nach aussen wandern.
Wer eine interne Beschwerde ernst nimmt und sie sauber bearbeitet, verhindert oft, dass aus einer internen Unzufriedenheit eine externe Behörden-Beschwerde wird. Das ist der beste Schutz vor Art. 85, den es gibt.
Was Unternehmen auf keinen Fall tun sollten, ist die instinktive Abwehrreaktion. Den Beschwerdeführer abwimmeln, Logs löschen, einen meldenden Mitarbeiter unter Druck setzen. Wer das macht, fügt zur ursprünglichen Compliance-Frage einen schweren, eigenständigen Verstoß hinzu und macht aus einem möglicherweise harmlosen Fall einen Skandal. Löschen ist im Zweifel Beweisvereitelung, Druck auf Whistleblower ist eine Verletzung des HinSchG.
Häufige Fragen
Kann ich mich anonym beschweren?
Anonyme Hinweise sind möglich, führen aber meist nur zu einer behördlichen Eigenprüfung, weil die Behörde keine Rückfragen stellen kann und Ihnen kein Ergebnis mitteilen wird. Wer als Beschäftigter einen Verstoß im eigenen Unternehmen meldet, ist über das Hinweisgeberschutzgesetz vor Repressalien geschützt und kann über geschützte Meldekanäle gehen.
Was kostet eine Beschwerde nach Art. 85?
Für den Beschwerdeführer kostet das Einreichen einer Beschwerde bei der Marktüberwachungsbehörde nichts. Teuer wird es nur für das Unternehmen, gegen das sich die Beschwerde richtet, falls die Behörde einen Verstoß feststellt und ein Bußgeld nach Art. 99 verhängt.
Wie lange dauert die Prüfung?
Die KI-VO setzt keine starre Frist für die Bearbeitung. Die Behörde muss die Beschwerde priorisieren, in angemessener Zeit prüfen und den Beschwerdeführer über Stand und Ergebnis informieren. In der Praxis hängt das Tempo stark von der Auslastung der Bundesnetzagentur und der Schwere des gemeldeten Verstoßes ab.
Kann ich als Betroffener Schadensersatz fordern?
Art. 85 selbst begründet kein Recht auf Schadensersatz, sondern nur den Anspruch auf behördliche Prüfung. Schadensersatzansprüche können sich aber aus anderen Vorschriften ergeben, etwa der DSGVO bei einer datenschutzwidrigen Verarbeitung oder dem allgemeinen Haftungsrecht. Die behördliche Feststellung eines Verstoßes kann ein Zivilverfahren später stützen.
Gilt das Beschwerderecht nur für Hochrisiko-KI?
Das Beschwerderecht ist nicht auf Hochrisiko-Systeme beschränkt. Beschwert werden kann über jeden vermuteten Verstoß gegen die KI-VO, also auch über Verstöße gegen die Transparenzpflichten nach Art. 50 oder gegen verbotene Praktiken nach Art. 5. Der praktische Schwerpunkt liegt allerdings bei Hochrisiko-Anwendungen, weil dort die meisten Pflichten greifen.
Für Unternehmen, die ihre KI-Systeme rechtssicher aufstellen wollen, lohnt sich der Blick auf das eng verwandte Recht auf Erklärung nach Art. 86, das in der Praxis fast immer die Vorstufe zu einer Beschwerde bildet. Wer das Compliance-Wissen rund um die KI-VO im eigenen Betrieb aufbauen will, statt es teuer einzukaufen, findet im Digitalisierungsmanager eine geförderte Weiterbildung, die genau diese Schnittstelle aus KI-Einsatz, Datenschutz und Verordnungspflichten abdeckt.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.