Ab dem 2. August 2026 gelten nach Art. 50 KI-VO besondere Transparenzpflichten für bestimmte KI-Systeme sowie für die von diesen Systemen generierten Inhalte (für die technische Markierung nach Art. 50 Abs. 2 bei Bestandssystemen gilt aufgrund der zwischenzeitlich final beschlossenen Omnibus-Novelle eine Übergangsfrist bis 2. Dezember 2026). Erfasst sein können insbesondere alltägliche Anwendungen wie Chatbots, KI-Avatare, KI-Stimmen, Deepfakes, KI-generierte Bilder, Videos und bestimmte KI-Texte.
Menschen sollen erkennen können, wann sie mit KI interagieren oder wann ihnen künstlich erzeugte oder manipulierte Inhalte gezeigt werden. Die KI-VO will Täuschungen vermeiden, verlangt aber nicht, jede KI-Nutzung offenzulegen. Wer KI nur als internes Hilfsmittel, Formulierungshilfe, Übersetzungstool oder Korrekturwerkzeug nutzt, fällt nicht automatisch unter eine Kennzeichnungspflicht.
Für Unternehmen sind die Transparenz- und Kennzeichnungspflichten vor allem in Kundenservice, Marketing, Social Media, E-Commerce, Medienarbeit und Medienproduktion relevant. Wichtig ist dabei die Unterscheidung zwischen Anbietern und Betreibern. Anbieter stellen KI-Systeme bereit oder bringen sie unter eigenem Namen in den Markt. Betreiber setzen KI-Systeme in eigener Verantwortung ein. Je nach Rolle gelten unterschiedliche Pflichten.
Für die praktische Umsetzung sind außerdem zwei Dokumente bedeutsam. Die von der EU-Kommission erarbeiteten Leitlinien zu den Transparenzpflichten nach Art. 50 AI Act erläutern die einzelnen Transparenzpflichten, die Rollen von Anbietern und Betreibern sowie zahlreiche Anwendungsbeispiele. Sie liegen weiterhin als Leitlinienentwurf vor. Ein freiwilliger Verhaltenskodex “Code of Practice on Transparency of AI-Generated Content” der Kommission konkretisiert vor allem die technische Markierung und Erkennung KI-generierter Inhalte sowie die sichtbare oder hörbare Kennzeichnung von Deepfakes und bestimmten KI-Texten.
Wann müssen KI-Systeme und KI-Inhalte gekennzeichnet werden?
Art. 50 KI-VO erfasst bestimmte Situationen, in denen Menschen erkennen sollen, dass sie mit KI interagieren oder mit künstlich erzeugten oder manipulierten Inhalten konfrontiert werden. Die einzelnen Pflichten unterscheiden sich danach, worum es geht und wen die Pflicht trifft. Teilweise sind Anbieter von KI-Systemen verpflichtet. Teilweise sind Betreiber verpflichtet, die ein KI-System in eigener Verantwortung einsetzen. Ein Unternehmen kann im Einzelfall beide Rollen haben.
Chatbots und KI-Assistenten: Hinweis auf KI-Interaktion
KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, sind so zu konzipieren, dass Nutzerinnen und Nutzer erkennen können, dass sie nicht mit einem Menschen, sondern mit einem KI-System interagieren. Das betrifft vor allem Chatbots, virtuelle Assistenten, KI-Avatare, Sprachassistenten und KI-Agenten.
Die Pflicht trifft Anbieter von KI-Systemen, die direkt mit Menschen interagieren. Anbieter müssen das System so gestalten, dass natürliche Personen darüber informiert werden, dass sie mit einem KI-System kommunizieren. Ein Unternehmen kann aber auch selbst Anbieter werden. Das kommt insbesondere in Betracht, wenn es auf Basis eines fremden Modells oder einer API einen eigenen kundenorientierten Chatbot entwickelt, konfiguriert und unter eigener Marke bereitstellt. Das zugrunde liegende Modell kann dann weiterhin von einem Dritten stammen. Gleichwohl kann das Unternehmen Anbieter des darauf aufsetzenden KI-Systems sein.
- Beispiel: Ein Unternehmen setzt auf seiner Website einen Chatbot im Kundenservice ein. Der Bot beantwortet Fragen zu Produkten, Lieferzeiten oder Reklamationen. Dann sollte zu Beginn der Interaktion ein klarer Hinweis erscheinen, etwa: „Sie chatten hier mit einem KI-Assistenten.“
Ein Hinweis ist nur dann entbehrlich, wenn die KI-Interaktion offensichtlich ist. Darauf sollte man sich nicht vorschnell verlassen. Ob etwas offensichtlich ist, kann von Gestaltung, Kontext und Zielgruppe abhängen. Bei Kindern, älteren Personen oder weniger technikaffinen Zielgruppen ist daher besondere Sorgfalt geboten.
Nicht ausreichend ist es regelmäßig, die Information nur in AGB, Datenschutzhinweisen oder einer technischen Dokumentation zu verstecken. Der Hinweis muss dort erscheinen, wo die Interaktion stattfindet. Bei einem Chatbot also im Chatfenster.
KI-generierte Inhalte: technische Markierung durch Anbieter
Bei KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, ist eine technische Kennzeichnung von KI-generierten oder KI-manipulierten Inhalten sicherzustellen. Die Ausgaben sollen maschinenlesbar markiert und als künstlich erzeugt oder manipuliert erkennbar sein. Diese technische Markierung muss – anders als bei Deepfakes (siehe unten) – nicht für Menschen sichtbar oder hörbar sein. Sie dient in erster Linie der Nachprüfbarkeit durch Dritte wie Plattformen, Forschungseinrichtungen oder Behörden. Das stellt auch der aktuelle Entwurf der Leitlinien der EU-Kommission zu Art. 50 KI-VO klar (Rn. 67: ‚The scope of the marking obligation is limited to implementing machine-readable marks.‘).
Die Pflicht trifft Anbieter, die geeignete technische Lösungen vorsehen müssen. In Betracht kommen z.B. Metadaten, Wasserzeichen, kryptografische Herkunftsnachweise oder vergleichbare Verfahren. In vielen Fällen wird eine Kombination mehrerer Verfahren erforderlich sein, weil einzelne Methoden Schwächen haben können. Für bereits in Verkehr gebrachte KI-Systeme, also bestehende Systeme die vor dem 2. August auf dem Markt waren, gilt aufgrund der final beschlossenen Omnibus-Novelle eine Übergangsfrist bis 2. Dezember 2026.
Der Code of Practice kann hier als Umsetzungshilfe dienen. Er beschreibt beispielhaft einen mehrschichtigen Ansatz. Dazu gehören insbesondere digital signierte Metadaten, nicht wahrnehmbare Wasserzeichen und passende Erkennungslösungen. Ziel ist, dass KI-generierte oder KI-manipulierte Inhalte wirksam, zuverlässig, robust und interoperabel erkannt werden können.
Betreiber sind nicht unmittelbar Adressaten dieser technischen Markierungspflicht. Für sie kann die Pflicht aber praktisch relevant werden. Wer KI-generierte Inhalte nutzt, sollte vorhandene technische Markierungen nicht unnötig entfernen. Beim Einkauf oder bei der Integration von KI-Systemen sollte geprüft werden, ob technische Markierungs- und Erkennungslösungen unterstützt werden.
Emotionserkennung und biometrische Kategorisierung: Information betroffener Personen
Wer ein Emotionserkennungssystem oder ein System zur biometrischen Kategorisierung einsetzt, muss die betroffenen Personen darüber informieren. Emotionserkennung meint Systeme, die Emotionen oder Absichten natürlicher Personen anhand biometrischer Daten erkennen oder ableiten sollen. Biometrische Kategorisierung betrifft Systeme, die Personen anhand biometrischer Daten bestimmten Kategorien zuordnen.
Die Pflicht trifft Betreiber solcher Systeme. Die Leitlinien verlangen hierfür keine bestimmte Form. Je nach Einsatzkontext kommen schriftliche Hinweise, gut sichtbare Schilder, Pop-ups, standardisierte Icons, mündliche Hinweise oder Kombinationen daraus in Betracht. Die Information muss spätestens beim ersten Kontakt mit dem System erfolgen und barrierefrei zugänglich sein.
- Beispiel: Ein Unternehmen setzt in einem Ausstellungsraum Kameras ein, um Gesichter von Besucherinnen und Besuchern zu erfassen und sie bestimmten Altersgruppen zuzuordnen. Dann müssen die betroffenen Personen über den Betrieb des Systems informiert werden. Datenschutzrechtliche Anforderungen kommen hinzu.
Diese Systeme können tief in die Privatsphäre eingreifen. Unternehmen sollten daher nicht nur die Transparenzpflicht prüfen, sondern auch Rechtsgrundlage der Datenverarbeitung, Zweck, Datenminimierung, Speicherdauer und Sicherheitsmaßnahmen.
Deepfakes: Kennzeichnung künstlich erzeugter oder manipulierter Inhalte
Betreiber von KI-Systemen, die Deepfakes erzeugen, müssen offenlegen, dass diese Inhalte künstlich erzeugt oder manipuliert wurden. Bei Deepfakes geht es um KI-generierte oder KI-manipulierte Bild-, Ton- oder Videoinhalte, die als echt oder wahr erscheinen können. Nutzerinnen und Nutzer sollen erkennen können, dass der Inhalt künstlich erzeugt oder manipuliert wurde.
Betreiber kann insbesondere sein, wer ein KI-System in eigener Verantwortung nutzt, um entsprechende Inhalte zu erstellen, bearbeiten oder veröffentlichen zu lassen. Das können Unternehmen, Behörden, Vereine, Agenturen, Medienhäuser, Selbstständige, Influencer oder sonstige Organisationen sein.
Ein Deepfake liegt nicht nur vor, wenn eine konkrete bekannte Person imitiert wird. Erfasst sein können auch realistisch wirkende Personen, Orte, Gegenstände oder Ereignisse, wenn der Inhalt fälschlicherweise als echt oder wahr erscheinen kann. Eine Täuschungsabsicht ist nicht erforderlich. Entscheidend ist, ob der Inhalt für Menschen als echt oder wahr erscheinen kann.
- Beispiel: Ein Unternehmen veröffentlicht ein realistisches Video, in dem eine bekannte Person scheinbar ein Produkt empfiehlt. Die Person hat diese Aussage nie gemacht. Das Video muss gekennzeichnet werden. Zusätzlich können Persönlichkeitsrechte verletzt sein.
Nicht jede Bearbeitung macht einen Inhalt zum Deepfake. Kleine technische Korrekturen sind regelmäßig unkritischer. Dazu gehören etwa geringe Helligkeitsanpassungen, Komprimierung, Rauschreduzierung, Formatänderungen oder kleinere Zuschnitte. Anders kann es sein, wenn Inhalte wesentlich verändert werden, etwa durch Austausch einer Person, Veränderung einer Aussage, Erzeugung einer neuen Szene oder Hinzufügen eines nicht vorhandenen Objekts.
Wie sollte die Kennzeichnung erfolgen?
Auch für die Kennzeichnung von Deepfakes kann der Code of Practice praktisch herangezogen werden. Er sieht etwa ein EU-Icon oder ein gleichwertiges Label vor. Für Bilder und Videos sollte der Hinweis so platziert werden, dass er unmittelbar wahrnehmbar ist. Bei längeren Videos oder Livestreams kann eine wiederholte Anzeige erforderlich sein. Reine Audioinhalte können durch einen kurzen hörbaren Hinweis zu Beginn gekennzeichnet werden.
Für künstlerische, kreative, satirische, fiktionale oder vergleichbare Inhalte gilt eine abgeschwächte Form der Offenlegung. Die Kennzeichnung muss dann so erfolgen, dass sie die Darstellung oder den Genuss des Werks nicht unangemessen beeinträchtigt. Eine Kennzeichnung bleibt aber grundsätzlich erforderlich, wenn der Inhalt als Deepfake einzuordnen ist.
Unternehmen sollten bei Deepfakes intern festlegen, wer die Veröffentlichung freigibt und wer die Kennzeichnung kontrolliert. Besonders sensibel sind Werbung mit Testimonials, politische Inhalte, Gesundheitsinformationen, Finanzthemen, täuschend echte Produktdarstellungen und Inhalte mit realen oder realistisch wirkenden Personen.
KI-generierte Texte: Kennzeichnung bei Themen von öffentlichem Interesse
Bei KI-generieren bzw. KI-maipulierten Texten muss grundsätzlich offengelegt werden, dass der Text künstlich erzeugt wurde, wenn der Text veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren. Erfasst sind damit nur bestimmte veröffentlichte Texte mit Bezug zu öffentlichen Themen. Angelegenheiten von öffentlichem Interesse können etwa zum Beispiel Politik, Verwaltung, Justiz, Gesundheit, Umwelt, Verbraucherschutz, Sicherheit, Wissenschaft oder wirtschaftliche Entwicklungen mit Bedeutung für die Allgemeinheit sein. Reine Unterhaltung, rein interne Texte oder private Kommunikation fallen regelmäßig nicht darunter.
Die Pflicht trifft Betreiber von KI-Systemen, die solche Texte erzeugen oder manipulieren und veröffentlichen, also z.B. Unternehmen, Behörden, Vereine, Medienhäuser, Agenturen, Selbstständige, Kanzleien, Verbände, Parteien, Forschungseinrichtungen. Betreiber müssen offenlegen, dass der Text künstlich erzeugt oder manipuliert wurde, sofern keine Ausnahme greift.
- Beispiel: Ein vollständig KI-generierter Artikel über eine aktuelle politische Entscheidung wird ohne menschliche Kontrolle veröffentlicht. Dann liegt eine Kennzeichnungspflicht nahe.
Eine wichtige Ausnahme gilt, wenn der Text menschlich überprüft oder redaktionell kontrolliert wurde und eine Person oder Organisation die redaktionelle Verantwortung trägt. Die Prüfung muss ernsthaft sein. Eine bloße Rechtschreibkontrolle oder ein kurzer Blick auf den Text dürfte hierbei nicht genügen. Erforderlich ist eine inhaltliche Prüfung durch eine Person mit ausreichender Sachkunde. Außerdem muss klar sein, wer die Verantwortung für die Veröffentlichung trägt.
Für Unternehmen empfiehlt sich ein einfacher redaktioneller Prozess. Es sollte festgelegt werden, wann KI-Texte fachlich geprüft werden, wer die Freigabe erteilt und wer die Verantwortung für die Veröffentlichung trägt. Bei Texten zu öffentlichen Themen sollte die Prüfung nachvollziehbar dokumentiert werden.
Praktische Umsetzung der KI-Kennzeichnung im Unternehmen
Unternehmen sollten ihre KI-Nutzung frühzeitig erfassen und einfache Zuständigkeiten festlegen. Entscheidend ist, dass vor Veröffentlichung oder Einsatz geprüft wird, ob eine Transparenz- oder Kennzeichnungspflicht besteht.
Im Kern sollten drei Fragen beantwortet werden: Interagieren Menschen direkt mit einem KI-System? Werden Bild-, Audio-, Video- oder Textinhalte mit KI erzeugt oder manipuliert? Und wer verantwortet den konkreten Einsatz oder die Veröffentlichung?
Bei kundenorientierten KI-Systemen sollte außerdem geprüft werden, ob das Unternehmen nur Betreiber ist oder durch die konkrete Gestaltung auch Anbieterpflichten übernimmt. Das kann insbesondere relevant werden, wenn z.B. auf Basis einer API ein eigener Dienst unter eigener Marke bereitgestellt wird.
Eine Kennzeichnung muss klar, rechtzeitig und dort erfolgen, wo Nutzerinnen und Nutzer den Inhalt wahrnehmen. Hinweise in AGB, Impressum oder Untermenüs genügen regelmäßig nicht. Bei regelmäßiger KI-Nutzung sind kurze interne Richtlinien, Freigabeprozesse und Schulungen sinnvoll. Die Prüfung muss nicht überformalisiert werden, sollte aber nachvollziehbar sein.
Gelten die KI-Transparenzpflichten auch für Privatpersonen?
Für Privatpersonen enthält die KI-VO eine wichtige Ausnahme. Wer ein KI-System ausschließlich persönlich und nicht beruflich nutzt, ist regelmäßig nicht Adressat der Betreiberpflichten aus Art. 50 KI-VO. Die Nutzung muss aber tatsächlich privat bleiben.
- Beispiel: Eine Person erstellt KI-Weihnachtskarten mit Familienmitgliedern und verschickt sie an Verwandte. Das ist typischerweise privat
Anders kann es sein, wenn der Account oder Inhalt nicht mehr rein privat ist. Das betrifft etwa Influencer-Profile, monetarisierte Kanäle, berufliche Eigenwerbung, Vereinsseiten oder organisierte Kampagnenkommunikation.Auch öffentliche Posts können problematisch sein, wenn sie öffentliche Debatten beeinflussen sollen oder können. Das gilt besonders bei politischen, wirtschaftlichen oder gesellschaftlich relevanten Inhalten.
Die Ausnahme von der KI-VO bedeutet zudem nicht, dass private Deepfake-Posts rechtlich unproblematisch sind. Persönlichkeitsrechte, das Recht am eigenen Bild, Datenschutzrecht, Urheberrecht und Strafrecht können weiterhin greifen.
Welche Sanktionen drohen bei Verstößen gegen die Transparenzpflichten?
Verstöße gegen bestimmte Transparenzpflichten nach Art. 50 KI-VO können mit Geldbußen geahndet werden. Der Bußgeldrahmen kann bis zu 15 Millionen Euro oder bis zu 3 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Der Höchstbetrag sagt aber wenig über den konkreten Einzelfall aus. Behörden müssen verhältnismäßig entscheiden. Relevant sind unter anderem Art, Schwere und Dauer des Verstoßes, Verschulden, Reichweite, mögliche Schäden und Abhilfemaßnahmen.
Für Unternehmen können neben Bußgeldern weitere Folgen entstehen. Wettbewerber oder Verbände können Unterlassungsansprüche geltend machen, wenn eine fehlende oder irreführende Kennzeichnung zugleich wettbewerbsrechtlich relevant ist. Betroffene Personen können zivilrechtlich vorgehen. Plattformen können Inhalte kennzeichnen, entfernen oder Accounts beschränken. In schweren Fällen kommen strafrechtliche Risiken hinzu.
- Beispiel: Ein Unternehmen wirbt mit einem täuschend echten KI-Video, in dem eine Person scheinbar ein Produkt empfiehlt. Ohne Einwilligung und ohne Kennzeichnung drohen mehrere Risiken zugleich: Verstoß gegen Transparenzpflichten, Persönlichkeitsrechtsverletzung, wettbewerbsrechtliche Ansprüche und Plattformmaßnahmen.
Die Einhaltung anerkannter Umsetzungsstandards oder Verhaltenskodizes kann in der Praxis helfen, Compliance nachzuweisen. Sie ersetzt aber nicht die eigene Prüfung. Wer davon abweicht, sollte dokumentieren können, wie die Transparenzpflichten auf anderem Weg erfüllt werden. Unternehmen sollten daher nicht nur auf einzelne Labels setzen. Erforderlich ist ein Mindestmaß an Organisation. Dazu gehören Zuständigkeiten, Freigabeprozesse, Schulung, Dokumentation und regelmäßige Überprüfung. Das gilt besonders, wenn KI-Inhalte regelmäßig veröffentlicht werden
Fazit
Nach Art. 50 KI-VO muss nicht jede KI-Nutzung gekennzeichnet werden. Entscheidend ist, ob Menschen mit KI interagieren oder mit künstlich erzeugten oder manipulierten Inhalten konfrontiert werden, bei denen Transparenz rechtlich verlangt wird.
Um dies sicherzustellen, solltenUnternehmen ihre KI-Nutzung frühzeitig erfassen, Rollen klären und einfache Freigabeprozesse schaffen. Besonders wichtig ist die Prüfung, ob das Unternehmen nur Betreiber ist oder durch die konkrete Gestaltung eines KI-Dienstes auch Anbieterpflichten übernimmt.
Kennzeichnungen müssen klar, rechtzeitig und dort erfolgen, wo Nutzerinnen und Nutzer den Inhalt wahrnehmen. Versteckte Hinweise in Rechtstexten genügen regelmäßig nicht.
Der Code of Practice kann bei der praktischen Umsetzung helfen, insbesondere bei technischen Markierungen und bei der Kennzeichnung von Deepfakes und bestimmten KI-Texten. Rein private und nicht berufliche KI-Nutzung ist regelmäßig ausgenommen. Andere rechtliche Risiken, etwa Persönlichkeitsrechte, Datenschutzrecht oder Strafrecht, bleiben aber bestehen.
Wir beraten Unternehmen/Organisationen bei dem rechtskonformen Einsatz von KI im Unternehmen. Diese Leistungen können individuell projektbasiert oder im Rahmen der Leistungen als KI-Beauftragter erfolgen. Kontaktieren Sie uns gerne bei Fragen.


