2026 ist das Jahr, in dem KI-Bußgelder in Deutschland erstmals real werden. Bisher hat keine deutsche Aufsichtsbehörde bei reinen KI-Verstößen sechsstellig zugeschlagen. Das ändert sich gerade — durch DSGVO (Art. 22, Art. 30, Art. 35), durch die EU KI-Verordnung (Art. 5 Verbote seit August 2025 bußgeldbewehrt, Art. 6ff Hochrisiko ab August 2026) und durch die Bundesnetzagentur als neue zentrale Aufsicht. Was Mittelständler tatsächlich riskieren — und was sie konkret tun können, um nicht in den ersten Sanktionswellen zu landen.
Die zwei Bußgeld-Quellen 2026
1) DSGVO-Bußgelder (seit 2018, Trend steigend)
Europäische Aufsichtsbehörden haben seit 2018 über 7 Milliarden Euro DSGVO-Bußgelder verhängt (Stand 2026). Konkrete KI-bezogene Fälle:
- Italienische Aufsicht (Garante) hat OpenAI mehrfach untersucht und sanktioniert wegen unrechtmäßiger Datenverarbeitung beim ChatGPT-Training
- Mehrere deutsche Aufsichtsbehörden haben Stellungnahmen veröffentlicht: ChatGPT-Free/Plus für berufliche Verarbeitungen sehr kritisch
- Bußgeldrahmen DSGVO: bis 20 Mio EUR oder 4 % Konzernumsatz
2) EU KI-Verordnung (seit 02.02.2025 schrittweise in Kraft)
| KI-VO Artikel | Was reguliert | Bußgeldrahmen | Seit wann durchsetzbar |
|---|---|---|---|
| Art. 5 (Verbotene Praktiken) | Social Scoring, manipulative KI etc. | Bis 35 Mio EUR oder 7 % Konzernumsatz | 02.08.2025 |
| Art. 6ff (Hochrisiko-Pflichten) | HR, Kreditvergabe, kritische Infrastruktur | Bis 15 Mio EUR oder 3 % Konzernumsatz | 02.08.2026 (vorbehaltlich Omnibus-Verschiebung) |
| Art. 50 (Transparenz) | Chatbot-Kennzeichnung, Deepfake-Markierung | Bis 15 Mio EUR oder 3 % Konzernumsatz | 02.08.2026 |
| Art. 51ff (GPAI) | Allgemeine KI-Modelle | Bis 15 Mio EUR oder 3 % Konzernumsatz | 02.08.2025 |
| Art. 4 (KI-Kompetenz) | Schulungspflicht der Mitarbeiter | Nicht direkt bußgeldbewehrt — aber Sorgfaltspflicht-Verletzung bei Schäden | 02.02.2025 |
Wer in Deutschland Bußgelder verhängt
Die Aufsichtsstruktur in Deutschland ist verteilt:
- Datenschutz-Aufsichtsbehörden der Länder: Zuständig für DSGVO-Verstöße. In jedem Bundesland eine eigene (Bayerisches Landesamt für Datenschutzaufsicht, Hamburgischer Beauftragter etc.)
- Bundesnetzagentur: Wird zentrale KI-VO-Aufsicht in Deutschland (offizielle Benennung steht noch aus)
- Marktüberwachungsbehörden: Für Hochrisiko-KI in Produkten
- Bundesarbeitsgericht und Arbeitsgerichte: Für arbeitsrechtliche Aspekte (BR-Mitbestimmung)
Welche Verstöße in der Praxis am häufigsten geahndet werden
| Verstoß | Häufigkeit | Typische Sanktion |
|---|---|---|
| Personenbezogene Daten in ChatGPT Free/Plus ohne AVV | Sehr häufig in KMU | Bisher Verwarnung, ab 2026 fünfstellige Bußgelder erwartet |
| Verarbeitungsverzeichnis (ROPA) nicht aktualisiert | 68 % der KMU | Bei Anlass-Prüfung: 5.000 bis 50.000 EUR |
| Keine DSFA bei Hochrisiko-Verarbeitung | Häufig bei HR-Tools | 10.000 bis 100.000 EUR bei mittelständischer Größe |
| Fehlende Information der Betroffenen | Häufig | 5.000 bis 50.000 EUR |
| Fehlende Kennzeichnung von KI-Inhalten (ab Art. 50) | Erwartet 2026 | Bis 15 Mio EUR (große Akteure), bei KMU verhältnismäßig niedrig |
| Diskriminierende KI-Recruiting-Tools | Erwartet 2026 | Schadenersatz nach AGG plus Aufsichtsbescheid |
Was KMU realistisch riskieren
Die Bußgelder werden in der Regel verhältnismäßig zur Unternehmensgröße bemessen. Konkrete Erwartung für ein typisches 50-bis-250-Personen-Unternehmen 2026:
- Erstverstoß ohne Schaden: Verwarnung mit Auflagen (Schulung nachholen, ROPA aktualisieren)
- Verstoß mit Schaden für Betroffene: Bußgeld 10.000 bis 200.000 EUR plus Schadenersatz
- Wiederholter / vorsätzlicher Verstoß: Bußgeld bis 4 % Konzernumsatz möglich
Die Haftungsdimension ist oft größer als das direkte Bußgeld: Reputationsschaden, Vertrauensverlust bei Kunden, Wettbewerbsnachteile bei Ausschreibungen.
Konkreter Schutzplan
Sofort (diese Woche)
- KI-Tool-Inventur. Welche Tools nutzt euer Haus, wer hat welchen Tarif?
- Auftragsverarbeitungsverträge (AVV) prüfen — Free/Plus-Tarife sind kritisch
- Mitarbeiter informieren: kein Hochladen sensibler Daten in Free-/Plus-KI
Innerhalb 30 Tage
- Verarbeitungsverzeichnis (ROPA) aktualisieren — KI-Tools eintragen
- Tool-Whitelist erstellen + dokumentieren
- Bei Hochrisiko-Anwendungen (HR, Kreditvergabe): DSFA starten
- Schulungsplan für Mitarbeiter aufstellen
Innerhalb 90 Tage
- QCG-Antrag bei Agentur für Arbeit für Mitarbeiter-Schulung (bis 100 % förderfähig)
- Erste Schulungs-Welle starten (DigiMan oder vergleichbar)
- Datenschutzbeauftragten oder externe Beratung einbinden
- Bei Hochrisiko-KI: Risikomanagement-System dokumentieren
Innerhalb 180 Tage
- Schulungs-Stand auf 100 % der KI-Nutzer hochziehen
- Art.-50-Kennzeichnung (Chatbots, KI-generierte Inhalte) implementieren
- Audit-Trail für KI-Entscheidungen aufbauen
Die Schulung ist der einfachste Hebel
Mehr als 70 % der typischen DSGVO/KI-Verstöße entstehen durch fehlende Mitarbeiter-Kompetenz: Daten werden in falsche Tools geladen, Hinweise werden ignoriert, Verarbeitungen werden nicht dokumentiert. Eine zertifizierte Schulung löst das Problem an der Quelle.
Die Art.-4-Pflicht (seit 02.02.2025) ist nicht nur Compliance-Erfüllung, sondern auch Bußgeld-Schutz: Wer dokumentiert geschult hat, hat einen wesentlich besseren Stand vor jeder Aufsichtsbehörde.
Förderung über das Qualifizierungschancengesetz (QCG): bis 100 % Kurskostenübernahme plus optionaler Lohnzuschuss.
Was diese Woche tun
- Status-Check: Sind eure Mitarbeiter dokumentiert geschult? (Falls nein: rotes Risiko-Signal)
- Tool-AVV-Audit: Welche Tools haben einen vollständigen AVV, welche nicht?
- QCG-Beratung: Termin bei Agentur für Arbeit. Welche Schulung wäre für eure Mitarbeiter förderfähig?
- Bei Hochrisiko (HR-KI etc.): Datenschutzbeauftragten oder Anwalt für Datenschutz einbinden
Wir helfen bei der Schulung
Die DigiMan-Weiterbildung deckt DSGVO, EU AI Act, Risiko-Management und konkrete Compliance ab. 100 % über QCG förderfähig. Mitarbeiter sind nach 4 Monaten in der Lage, KI-Risiken zu erkennen und zu vermeiden. 15 Minuten kostenloses Erstgespräch.
Bußgeld-Risiko durch Schulung minimieren?
Eine zertifizierte KI-Weiterbildung dokumentiert Compliance-Erfüllung. 100 % über QCG förderfähig. 15 Minuten kostenloses Erstgespräch.