Zum Hauptinhalt springen
KMU-Cap: 3% Jahresumsatz

AI-Act-Bußgelder für Makler: Was wirklich droht

Die Schlagzeilen sind dramatisch: bis zu 35 Mio. EUR oder 7% Jahresumsatz. Realität für ein KMU-Maklerbüro mit 600.000 EUR Umsatz: maximal 18.000 EUR Bußgeld bei einem schweren Pflichten-Verstoß - und das auch nur im theoretischen Worst-Case. Dieser Artikel sortiert die drei Bußgeld-Stufen, erklärt die KMU-Verhältnismäßigkeitsklausel, ordnet die BaFin-Rolle ein und zeigt fünf konkrete Präventionsmaßnahmen.

Die drei Bußgeld-Stufen im Überblick

Art. 99 KI-VO definiert drei Sanktionsstufen, je nach Schwere des Verstoßes. Wichtig ist: pro Stufe ein eigener Maximalwert, und Art. 99 Abs. 6 entscheidet zugunsten von KMU.

Stufe 1: Verbotene Praktiken (Art. 5)

35 Mio. EUR oder 7% Umsatz

KMU-Cap: niedrigerer Wert

Praxis-Relevanz für Makler: sehr gering. Verbotene Praktiken sind z.B. Social Scoring, biometrische Massenidentifikation - das setzt kein KMU-Maklerbüro ein.

Stufe 2: Anbieter-/Betreiber-Pflichten (Art. 99 Abs. 4)

15 Mio. EUR oder 3% Umsatz

KMU-Cap: niedrigerer Wert

Praxis-Relevanz für Makler: hoch. Hier landen Art. 4 (Kompetenz), Art. 26 (Betreiber-Pflichten), Art. 50 (Transparenz).

Stufe 3: Falschangaben (Art. 99 Abs. 5)

7,5 Mio. EUR oder 1% Umsatz

KMU-Cap: niedrigerer Wert

Praxis-Relevanz für Makler: mittel. Falschangaben gegenüber Marktüberwachung - z.B. unwahre Auskünfte bei einer Prüfung.

Quelle: Art. 99 KI-VO im Volltext. Ergänzende Einordnung u.a. bei Kanzlei Michaelis.

KMU-Verhältnismäßigkeit (Art. 99 Abs. 6)

Art. 99 Abs. 6 KI-VO besagt: Bei Klein- und Mittel-Unternehmen (inkl. Start-ups) gilt der niedrigere der beiden Bußgeld-Werte. Das ist eine ungewöhnliche Klausel - in vielen anderen EU-Verordnungen (etwa DSGVO) gilt der höhere Wert.

Konkret-Rechnung für drei typische Maklerbüros:

Büro-UmsatzStufe-2-Maximum (15 Mio. ODER 3%)Tatsächlicher KMU-Cap
300.000 EUR15 Mio. ODER 9.000 EUR9.000 EUR
800.000 EUR15 Mio. ODER 24.000 EUR24.000 EUR
2,5 Mio. EUR15 Mio. ODER 75.000 EUR75.000 EUR

Wichtig: Das ist der theoretische Maximalwert. Im Praxis-Prüfungsfall sind Faktoren wie Schwere des Verstoßes, Wiederholungsfall, Kooperationsverhalten, vorhandene Dokumentation entscheidend. Erstverstöße bei KMU mit erkennbarem Bemühen führen typischerweise zur Nachbesserungsanordnung, nicht zum Maximal-Bußgeld.

Wer haftet im Pool-Setup?

Bei einem Pool-bereitgestellten KI-Tool gibt es drei Adressaten, die theoretisch belangt werden können:

  • Der Pool als Anbieter

    Haftet für Anbieter-Pflichten - Konformitätsbewertung, technische Dokumentation, Post-Market-Monitoring. Wenn das Pool-Tool als Hochrisiko gilt und keine Konformitätserklärung hat, ist der Pool dran.

  • Sie als Makler/Betreiber

    Haften für Betreiber-Pflichten - Gebrauchsanweisung befolgen, geschultes Personal, Logging-Aufbewahrung, Vorfall-Meldung. Wer ohne Schulung KI einsetzt, hat ein Betreiber-Problem - unabhängig davon, ob der Pool brav konform ist.

  • Der eigentliche Tool-Anbieter (z.B. OpenAI)

    Bei General-Purpose-AI (GPAI) gelten besondere Regeln aus Art. 53 und 55. OpenAI/Anthropic/Google müssen GPAI- Transparenz-Anforderungen erfüllen. Im Maklerbüro ist das selten direkt relevant - Sie sehen den Foundation- Anbieter ja nur indirekt.

Praxis-Konsequenz: Holen Sie sich schriftliche Bestätigung von Ihrem Pool, dass das eingesetzte KI-Tool AI-Act-konform ist und eine Konformitätserklärung (falls Hochrisiko) vorliegt. Ein Standard-Vendor-Brief reicht oft. Mehr dazu in Spoke 5 zur Dokumentation.

BaFin-Aufsicht - mittelbar relevant

Die BaFin ist nicht die zentrale KI-VO-Bußgeldbehörde. Trotzdem sollten Makler sie auf dem Schirm haben:

  • Die BaFin prüft Versicherungsvermittler aufsichtsrechtlich (IDD, MaGo, Vermittlerregister). KI-Einsatz im Büro ist potenziell Prüfthema, weil er Beratungsqualität, MaGo- Inhalte und Geschäftsorganisation berührt.
  • Nach Art. 74 Abs. 6 KI-VO ist die BaFin Marktüberwachungs- behörde für Hochrisiko-KI im Finanzdienstleistungssektor. Das trifft Versicherer als Anbieter, nicht direkt Makler als Betreiber - aber die Schnittstelle existiert.
  • Die BaFin hat 2025 Auslegungshilfen zur KI-Nutzung im Vermittlermarkt veröffentlicht. Stand: kein eigenes KI-Bußgeldverfahren bisher, aber Hinweise in Branchenrundschreiben. BaFin-KI-Seite.

Zivilrechtliche Haftung

Neben Bußgeldern droht zivilrechtliche Haftung gegenüber Kunden. Drei typische Szenarien:

  • Beratungsfehler: KI hat falsche Tarifangabe oder Vertragsklausel im Anschreiben produziert, Sie haben nicht gegengelesen, Kunde erleidet Schaden. Klassische Schadenersatzhaftung aus Maklervertrag.
  • Datenschutzverletzung: Kundendaten in einen ChatGPT-Prompt ohne AVV gegeben, Kundennachricht landet in einem Trainings-Pool. Bußgeld droht von Datenschutzbehörde, zivilrechtliche Schadenersatzanspruch nach Art. 82 DSGVO.
  • Persönlichkeitsverletzung: Deepfake- Material ohne Kennzeichnung in Social Media gepostet, Betroffener klagt. Wettbewerbsrechtliche Abmahnungen kommen oft schneller als Bußgeld-Bescheide.

Faustregel: Bußgelder sind die theoretische Spitze, aber die wahrscheinliche Schmerzgrenze sind Reputation, zivilrechtliche Ansprüche und Kosten der internen Aufarbeitung.

Fünf Präventionsmaßnahmen

Was Makler praktisch tun können, um Bußgeld- und Haftungsrisiken auf ein sinnvolles Minimum zu drücken:

01

Dokumentation as a Habit

Jede Schulung, jede Tool-Einführung, jede Risiko-Selbsteinschätzung schriftlich. Ein gepflegtes Compliance-Verzeichnis ist die beste Verteidigung im Prüfungsfall.

02

BHV-Police prüfen

Mit Ihrem Berufshaftpflicht-Versicherer das Thema KI besprechen, ggf. Annex oder Erweiterung vereinbaren. Cyber-Police separat checken.

03

Vier-Augen-Prinzip bei Kundeninhalten

Kein KI-generierter Inhalt geht ohne menschliche Prüfung an den Kunden. Mail-Versandfreigabe nur durch Berater oder geprüfte Backoffice-Person.

04

Vendor-Briefe an Anbieter

Pool, Software-Hersteller, Tool-Anbieter schriftlich zur AI-Act-Konformität ihrer KI-Produkte befragen. Antworten archivieren - das ist Ihre eigene Sorgfaltspflicht.

05

Vorfall-Logbuch

Halluzinationen, Datenschutz-Vorfälle, Beschwerden mit KI-Bezug intern dokumentieren. Lessons-Learned-Termine als Schulungen anrechnen.

Weiterlesen

Pillar: EU AI Act für Makler

Stichtage, Pflichten, 7-Schritte-Fahrplan.

Anhang-III-Prüfung

Wann gilt KI als Hochrisiko - Selbsttest und Pflichten.

Dokumentation: AI Act + DSGVO + GoBD

Wie Sie prüfungsfest dokumentieren.

Steuerberater & Compliance

Ähnliche Prüf-Logik in Steuerkanzleien.

Häufige Fragen zu Bußgeldern und Haftung

Vier Fragen, die uns Makler in Erstgesprächen 2025/2026 am häufigsten stellen.

Nicht direkt. Die KI-VO-Marktüberwachung ist auf nationaler Ebene neu organisiert - in Deutschland zuständig sind in erster Linie die Bundesnetzagentur (zentrale Koordinierung) und sektorale Aufsichten. Die BaFin ist nach Art. 74 Abs. 6 KI-VO Marktüberwachungsbehörde für Hochrisiko-Systeme im Finanzdienstleistungssektor - also für Banken und Versicherer als Anbieter solcher KI. Für einen normalen Maklerbetrieb als Betreiber gilt: BaFin prüft aufsichtsrechtlich (IDD/MaGo), KI-VO-spezifische Bußgelder läuft über die zuständige Marktüberwachung.

Bei reinem Kompetenzpflicht-Verstoß ohne weitere Verstöße ist Art. 99 Abs. 4 einschlägig - bis 15 Mio. EUR oder 3% Jahresumsatz. Bei KMU greift Abs. 6 (niedrigerer Wert). Realistisch im Erstverstoß: zunächst Anordnung zur Nachbesserung, dann Zwangsgeld, dann Bußgeld. Bei einem 600.000-EUR-Maklerbüro wäre das maximal denkbare Bußgeld 18.000 EUR - meist wird deutlich weniger oder eine Nachbesserungsfrist gesetzt.

Standardpolicen für Versicherungsmakler decken Beratungsfehler. KI-spezifische Klauseln (Halluzinations-Schäden, Output-Fehler ohne menschliche Prüfung) sind in jüngeren Policen oft explizit ergänzt - oder explizit ausgeschlossen. Wir empfehlen: einmal mit Ihrem BHV-Versicherer klären, ob KI-Nutzung im Büro gemeldet werden soll, ob ein KI-Annex zur Police existiert. Cyber-Police separat prüfen.

Ja, das ist eine normale Haftung aus dem Maklervertrag. Sie sind verantwortlich für das, was an den Kunden geht - egal ob handgeschrieben, von einer Mitarbeiterin oder von KI vorformuliert. Der Prüfungs- und Freigabeprozess ist Ihre Pflicht. Wenn ein fehlerhaftes Anschreiben (z.B. falsche Tarifangabe) ohne Prüfung rausgeht, haftet das Büro. KI-Nutzung ist hier kein Entlastungsgrund, sondern höchstens ein Faktor in der Schwere des Fehlers.

Hinweis zum Leistungsumfang

Das AI-Act-Compliance-Kit ist eine technisch-organisatorische Hilfestellung zur Umsetzung der KI-Kompetenzpflicht nach Art. 4 der EU-Verordnung 2024/1689 (KI-VO) und ersetzt keine Rechtsberatung. Vorlagen, Schulungsinhalte und Dokumentationen sind redaktionell sorgfältig erstellt, können aber den Einzelfall nicht ersetzen. Für eine rechtsverbindliche Bewertung Ihrer konkreten Situation empfehlen wir die Hinzuziehung einer Rechtsanwältin oder eines Rechtsanwalts mit Schwerpunkt IT- und Versicherungsrecht. Stand der Inhalte: Mai 2026, Quelle: Verordnung (EU) 2024/1689 (KI-VO).

Risiko-Position prüfen - in einem Gespräch

Wir gehen mit Ihnen durch: aktueller Compliance-Stand, BHV- Police-Status, Pool-Vertragslage, fehlende Dokumentation. Output: eine Liste der drei dringlichsten Maßnahmen.

Erstberatung buchen