AI-Act-Transparenz: Pflichten aus Artikel 50, Deepfake-Kennzeichnung und der Code of Practice
Kurzfassung: das Wesentliche zu den Transparenzpflichten aus Artikel 50
- Artikel 50 gilt für jeden Chatbot, jedes generative KI-Tool und jedes Deepfake-System, nicht nur für Hochrisiko-KI. Wenn Ihr Produkt Inhalte erzeugt oder mit Menschen interagiert, sind Sie erfasst.
- Die vier Transparenzpflichten umfassen: Offenlegung der KI-Interaktion, maschinenlesbare Kennzeichnung von Inhalten, Hinweis zu Emotionserkennung / biometrischer Kategorisierung und Kennzeichnung von Deepfakes / KI-generierten Inhalten.
- Die Frist ist der 2. August 2026. Die Transparenzpflichten werden zusammen mit den Pflichten für Hochrisiko-Systeme durchsetzbar.
- Verstöße lösen Bußgelder von bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes aus, dieselbe Stufe wie Hochrisiko-Verstöße. Siehe den Leitfaden zu Sanktionen.
- Der Code of Practice zur Kennzeichnung und Auszeichnung von KI-Inhalten (Entwurf im März 2026 veröffentlicht, finale Fassung für Juni 2026 erwartet) setzt den praktischen Maßstab für die Compliance. Er schreibt C2PA-Content-Credentials, unsichtbares Watermarking und Metadaten-Standards vor.
- Die Pflichten sind aufgeteilt zwischen Anbietern (Provider) (die KI-Systeme bauen) und Betreibern (Deployer) (die sie nutzen). Beide haben eigene Verantwortlichkeiten. Die eigene Rolle falsch einzuordnen, ist ein Compliance-Fehler, siehe unseren Leitfaden Anbieter vs. Betreiber.
- Anbieter von GPAI-Modellen müssen die nachgelagerte Compliance ermöglichen, indem sie ihre Ausgaben mit den Anforderungen an Kennzeichnung und Auszeichnung kompatibel machen.
Die meisten Organisationen, die sich auf den EU AI Act vorbereiten, konzentrieren sich auf Hochrisiko-Einstufung, Konformitätsbewertung und Risikomanagement. Das ergibt Sinn, das Hochrisiko-Rahmenwerk ist der komplexeste Teil der Verordnung. Aber es gibt eine parallele Reihe von Pflichten, die weit breiter gilt, für Systeme, die die meisten Unternehmen nie als "hochriskant" einstufen würden: Chatbots, Bildgeneratoren, Text-to-Speech-Tools, Video-Synthese-Plattformen und jedes KI-System, das direkt mit Menschen interagiert.
Das sind die Transparenzpflichten nach Artikel 50. Sie gelten unabhängig von der Risikoeinstufung. Ein Kundensupport-Chatbot, der Fragen zur Abrechnung beantwortet, ist erfasst. Ein Marketing-Tool, das Produktfotos erzeugt, ist erfasst. Eine Content-Plattform, die KI-geschriebene Zusammenfassungen veröffentlicht, ist erfasst. Es gibt keine Mindestgrößenschwelle, keine Ausnahme für interne Tools mit nach außen gerichteten Ausgaben und keine Schonfrist über den Durchsetzungstermin 2. August 2026 hinaus.
Dieser Leitfaden behandelt, was Artikel 50 verlangt, wer erfüllen muss, wie der Code of Practice den Gesetzestext in technische Standards übersetzt, und die praktischen Schritte, um vor der Frist konform zu werden. Eine breitere Einführung in die Verordnung finden Sie in unserem Überblick über den EU AI Act.
Die vier Transparenzpflichten
Artikel 50 legt vier eigenständige Transparenzpflichten fest. Jede zielt auf eine andere Kategorie von KI-System und eine andere Art von Offenlegung. Der gemeinsame Faden ist, dass Menschen ein Recht darauf haben zu wissen, wann sie mit KI interagieren, und wann Inhalte, denen sie begegnen, von KI erzeugt oder manipuliert wurden.
Die Pflichten gelten für Systeme, die unter Artikel 50 fallen, unabhängig davon, ob sie zusätzlich als Hochrisiko nach Anhang III eingestuft sind. Ein Hochrisiko-System, das zugleich als Chatbot funktioniert, muss sowohl das Hochrisiko-Rahmenwerk als auch die Transparenzpflichten erfüllen.
1. Offenlegung der KI-Interaktion (Chatbots und virtuelle Assistenten)
Artikel 50(1) verlangt, dass Anbieter sicherstellen, dass ihr KI-System so gestaltet ist, dass natürliche Personen darüber informiert werden, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus den Umständen und dem Nutzungskontext offensichtlich. Die Offenlegung muss vor oder zum Zeitpunkt der ersten Interaktion erfolgen.
Diese Pflicht erfasst:
- Kundensupport-Chatbots (textbasiert, sprachbasiert oder multimodal)
- Virtuelle Assistenten, eingebettet in Produkte oder Dienste
- KI-gestützte Telefon-Agenten, die eingehende oder ausgehende Anrufe bearbeiten
- Interaktive KI-Systeme auf Websites, in Apps oder auf Messaging-Plattformen
Die Offenlegung muss klar, rechtzeitig und verständlich sein. Eine vergrabene AGB-Klausel erfüllt Artikel 50(1) nicht. Der Maßstab ist, dass ein durchschnittlicher Nutzer, der auf das System trifft, vor Beginn der eigentlichen Interaktion verstehen sollte, dass er mit KI und nicht mit einem Menschen kommuniziert.
Die Ausnahme "aus den Umständen offensichtlich" wird eng ausgelegt. Ein roboterhaft klingender Sprachassistent auf einem Smart Speaker mag qualifizieren. Ein ausgefeilter Chatbot, der menschliche Gesprächsmuster nachahmt, mit an Sicherheit grenzender Wahrscheinlichkeit nicht. Im Zweifel: offenlegen.
Praxisbeispiel: Eine europäische Bank setzt auf ihrer Website einen KI-Chatbot ein, um Kontoanfragen zu bearbeiten. Der Chatbot nutzt natürliche Sprache und antwortet in der ersten Person ("Dabei kann ich Ihnen helfen"). Ohne eine klare Offenlegung, etwa ein dauerhaftes Banner mit dem Hinweis "Sie chatten mit einem KI-Assistenten", verstößt die Bank gegen Artikel 50(1). Die Gesprächsflüssigkeit des Chatbots macht die KI-Natur nicht offensichtlich.
2. Maschinenlesbare Kennzeichnung von Inhalten (Watermarks, Metadaten, C2PA)
Artikel 50(2) verlangt, dass Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, sicherstellen, dass die Ausgaben in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind.
Es geht hier nicht um sichtbare Kennzeichnungen (diese Pflicht fällt unter Artikel 50(4)). Artikel 50(2) geht es um technische Kennzeichnung, die in den Inhalt selbst eingebettet ist, für den Endnutzer unsichtbar, aber lesbar durch automatisierte Erkennungswerkzeuge, Plattformen und nachgelagerte Systeme.
Die Kennzeichnung muss sein:
- Wirksam: Widerstandsfähig gegen triviale Entfernung (einfaches Re-Encoding, Screenshots oder Formatkonvertierung sollten die Kennzeichnung nicht vollständig entfernen)
- Interoperabel: Kompatibel mit weithin verbreiteten Standards
- Verhältnismäßig: Der technische Ansatz sollte zum Inhaltstyp und Verbreitungskontext passen
Der Code of Practice legt C2PA (Coalition for Content Provenance and Authenticity) Content-Credentials als primären Standard für Bilder, Video und Audio fest. Für Text sind metadatenbasierte Ansätze der erwartete Weg.
3. Hinweis zu Emotionserkennung und biometrischer Kategorisierung
Artikel 50(3) verlangt, dass Betreiber von Emotionserkennungssystemen und Systemen zur biometrischen Kategorisierung die ihnen ausgesetzten natürlichen Personen informieren. Der Hinweis muss die Funktionsweise des Systems und die Kategorien der verarbeiteten personenbezogenen Daten abdecken.
Diese Pflicht überschneidet sich mit den verbotenen Praktiken aus Artikel 5. Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen ist grundsätzlich verboten. Die Offenlegungspflicht aus Artikel 50(3) gilt für die enge Gruppe von Nutzungen der Emotionserkennung und biometrischen Kategorisierung, die zulässig bleiben, vor allem medizinische/sicherheitsbezogene Anwendungen und bestimmte Sicherheitskontexte.
Betreiber müssen zudem die Datenschutzpflichten der DSGVO erfüllen, was bedeutet, dass der Transparenzhinweis nach Artikel 50(3) mit dem DSGVO-Datenschutzhinweis abgestimmt werden sollte. Siehe unseren Vergleich AI Act vs. DSGVO, wie diese Rahmenwerke zusammenwirken.
4. Kennzeichnung von Deepfakes und KI-generiertem Text
Artikel 50(4) verlangt, dass Betreiber von KI-Systemen, die Inhalte erzeugen oder manipulieren, die einen Deepfake darstellen, offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde. Dasselbe gilt für KI-generierten Text, der veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren.
Das ist die sichtbare, für Menschen bestimmte Kennzeichnung, anders als die maschinenlesbare Kennzeichnung in Artikel 50(2). Die Kennzeichnung muss sein:
- Klar und unterscheidbar für die durchschnittliche Person
- So platziert, dass sie zugänglich ist am Ort der Nutzung (nicht hinter einem Klick versteckt oder in Metadaten vergraben)
- Wirksam für das Medium (visuelle Kennzeichnung für Bilder/Video, hörbare Offenlegung für Audio, Texthinweis für geschriebene Inhalte)
Die Definition von Deepfake nach Artikel 3 ist weit gefasst: KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte, die bestehenden Personen, Objekten, Orten oder Ereignissen ähneln und einer Person fälschlich als echt oder wahrheitsgemäß erscheinen würden. Das erfasst:
- KI-generierte Produktfotos, die realistische Szenen zeigen
- Synthetische Stimmklone, die im Marketing oder in Medien eingesetzt werden
- KI-manipuliertes Video in Werbung, Journalismus oder Unterhaltung
- KI-generierte Profilbilder in nutzergerichteten Kontexten
Für KI-generierten Text gilt die Kennzeichnungspflicht speziell dann, wenn der Text mit dem Zweck veröffentlicht wird, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, es sei denn, der Inhalt hat einen Prozess der menschlichen redaktionellen Prüfung oder Kontrolle durchlaufen und eine natürliche oder juristische Person trägt die redaktionelle Verantwortung. Diese Ausnahme ist bedeutsam für Medienunternehmen (siehe Ausnahmen und Grenzfälle).
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenWer erfüllen muss: Anbieter vs. Betreiber
Artikel 50 verteilt die Pflichten zwischen Anbietern und Betreibern. Zu verstehen, welche Pflichten auf welche Rolle fallen, ist entscheidend, besonders weil viele Organisationen sowohl Anbieter (ihrer eigenen Tools) als auch Betreiber (von KI Dritter) sind.
Die Pflicht des Anbieters ist vor allem auf der Designebene: das System so bauen, dass Compliance möglich und unkompliziert ist. Die Pflicht des Betreibers ist operativ: sicherstellen, dass Transparenz die betroffenen Menschen tatsächlich erreicht.
Eine detaillierte Aufschlüsselung aller Anbieter- und Betreiberpflichten im gesamten AI Act finden Sie im Vergleich Anbieter vs. Betreiber. Die Rollendefinitionen sind in Artikel 3 festgelegt, und die betreiberspezifischen Pflichten sind in Artikel 26 ausgeführt.
Eine wichtige Folge: Wenn ein Anbieter keine Offenlegungs- oder Kennzeichnungsfunktionen in das System einbaut, kann der Betreiber möglicherweise nicht konform sein. In diesem Fall sollte der Betreiber entweder Compliance-Funktionen vom Anbieter verlangen, den Anbieter wechseln oder ergänzende Offenlegungsmechanismen bauen, denn die Offenlegungspflicht des Betreibers wird durch das Versäumnis des Anbieters, sie zu ermöglichen, nicht entschuldigt.
Der Code of Practice zur Kennzeichnung und Auszeichnung
Die EU-Kommission hat ihren Entwurf des Code of Practice zur Kennzeichnung und Auszeichnung von KI-Inhalten im März 2026 veröffentlicht, die finale Fassung wird bis Juni 2026 erwartet. Obwohl der Code of Practice technisch freiwillig ist, funktioniert er als praktischer Compliance-Maßstab, Regulierer werden ihn nutzen, um zu bewerten, ob Organisationen ihre Pflichten aus Artikel 50(2) nach Treu und Glauben erfüllt haben.
Der Code of Practice behandelt drei technische Bereiche:
Content-Credentials (C2PA)
Der Code befürwortet den C2PA (Coalition for Content Provenance and Authenticity) Standard als primäres interoperables Rahmenwerk für die Inhaltsherkunft. C2PA-Content-Credentials sind ein kryptografisch signiertes Manifest, das in eine Mediendatei eingebettet oder ihr zugeordnet ist und Folgendes festhält:
- Den Ursprung des Inhalts (welches Tool oder System ihn erzeugt hat)
- Die durchgeführten Aktionen (Erzeugung, Bearbeitung, Komposition)
- Die Identität des Akteurs (der Anbieter oder Betreiber, nicht zwingend der Endnutzer)
- Einen manipulationssicheren Hash, der das Manifest mit dem Inhalt verknüpft
C2PA-Credentials werden bereits von Adobe, Microsoft, Google, OpenAI und großen Kameraherstellern unterstützt. Der Code of Practice macht C2PA zum faktischen EU-Standard für Bilder, Video und Audio.
Unsichtbares Watermarking
Für Inhalte, denen die Metadaten entfernt werden könnten (z. B. Uploads in sozialen Medien, Screenshots, Formatkonvertierungen), empfiehlt der Code of Practice unsichtbares Watermarking als zweite Schicht. Unsichtbare Watermarks werden in den Signalbereich des Inhalts eingebettet und überstehen gängige Transformationen.
Der Code schreibt keinen bestimmten Watermarking-Algorithmus vor, verlangt aber, dass der Ansatz ist:
- Robust gegen gängige Transformationen (Kompression, Zuschnitt, Re-Encoding, Formatkonvertierung)
- Nicht wahrnehmbar für menschliche Betrachter/Hörer
- Erkennbar durch standardisierte Erkennungswerkzeuge
- Mit einer Mindest-Nutzlast versehen, die ausreicht, um den KI-Ursprung zu identifizieren
Metadaten-Anforderungen für Text
Textinhalte bringen besondere Herausforderungen mit sich, weil es kein visuelles oder akustisches Signal gibt, in das sich ein Watermark einbetten ließe. Der Code of Practice verfolgt einen metadatenbasierten Ansatz für Text:
- KI-generierter Text sollte Provenance-Metadaten im Dokument, in der API-Antwort oder in der Publishing-Infrastruktur tragen
- Für web-veröffentlichten Text sollten strukturierte Metadaten (z. B. schema.org-Annotationen, HTTP-Header oder RSS-Feed-Tags) die KI-Erzeugung anzeigen
- Der Code erkennt an, dass statistisches Text-Watermarking (das Verändern von Token-Wahrscheinlichkeiten, um ein erkennbares Signal einzubetten) noch experimentell ist, und verlangt es nicht, ermutigt aber zu Forschung und künftiger Übernahme
Leitfaden zur technischen Umsetzung
Artikel 50 und den Code of Practice in Produktionssysteme zu übersetzen, erfordert konkrete Entwicklungsarbeit. Nachfolgend eine praktische Aufschlüsselung nach Pflicht.
Chatbot-Offenlegung umsetzen (Artikel 50(1))
Die Offenlegung muss eindeutig sein und vor der eigentlichen Interaktion erscheinen. Empfohlene Muster:
- Web-Chat: Ein dauerhaftes Banner oder eine erste Nachricht des Systems mit dem Hinweis: "Sie chatten mit einem KI-Assistenten." Das Banner sollte während des gesamten Gesprächs sichtbar bleiben, nicht nur in der ersten Nachricht.
- Sprachassistenten / KI-Telefon-Agenten: Eine hörbare Offenlegung zu Beginn der Interaktion: "Dieser Anruf wird von einem KI-System bearbeitet." Wiederholen, wenn das Gespräch weitergeleitet wird oder sich der Kontext ändert.
- Messaging-Plattformen (Integrationen für WhatsApp, Slack, Teams): Den Anzeigenamen und das Profil des Bots so setzen, dass die KI-Natur klar erkennbar ist (z. B. "Acme AI Assistant"). Eine Offenlegung in der ersten Nachricht hinzufügen.
- E-Mail: Wenn KI E-Mail-Antworten erzeugt oder wesentlich entwirft, einen sichtbaren Hinweis im Textkörper oder in der Signatur einfügen: "Diese Antwort wurde von einem KI-System erzeugt."
Maschinenlesbare Kennzeichnung von Inhalten umsetzen (Artikel 50(2))
Für Bilder und Video:
- Ein C2PA-SDK (z. B. die Open-Source-Bibliothek
c2pa-rsoder Adobes Content Authenticity SDK) in Ihre Generierungs-Pipeline integrieren. - Zum Zeitpunkt der Generierung ein C2PA-Manifest erstellen, das das KI-Tool, die Generierungsaktion und die Anbieteridentität angibt.
- Das Manifest in die Ausgabedatei einbetten (JPEG, PNG, WebP, MP4, WebM).
- Als zweite Schicht ein unsichtbares Watermark mit einem robusten Algorithmus anwenden (z. B. Einbettung im Spektralbereich für Bilder, Spread-Spectrum-Einbettung für Audio/Video).
- Überprüfen, dass Manifest und Watermark Ihre Verbreitungs-Pipeline überstehen (CDN-Verarbeitung, Thumbnail-Erzeugung, Formatkonvertierung).
Für Audio:
- C2PA-Content-Credentials auf die Audiodatei anwenden.
- Ein unsichtbares Audio-Watermark im Spektralbereich einbetten.
- Die Robustheit gegen gängige Transformationen testen: MP3-Kompression, Abtastraten-Konvertierung und teilweises Clipping.
Für Text:
- API-Antworten mit Provenance-Metadaten kennzeichnen (z. B. einem
X-AI-Generated: trueHTTP-Header oder einemprovenance-Feld in der JSON-Antwort). - Für veröffentlichte Webinhalte schema.org-strukturierte Daten oder ein Meta-Tag hinzufügen, das die KI-Erzeugung anzeigt.
- In CMS-Workflows KI-Generierungs-Metadaten neben dem Inhaltsdatensatz speichern, damit nachgelagerte Systeme auf die Herkunftsinformationen zugreifen können.
Kennzeichnung von Deepfakes und Inhalten umsetzen (Artikel 50(4))
Die sichtbare Kennzeichnung muss für den Konsumenten des Inhalts zugänglich sein:
- Bilder: Eine sichtbare Kennzeichnung (z. B. "KI-generiert" oder "Mit KI erstellt") an gut lesbarer Stelle einblenden. Alternativ die Kennzeichnung in der UI neben dem Bild mit einem Provenance-Icon anzeigen, das zur C2PA-Verifizierung verlinkt.
- Video: Eine dauerhafte oder wiederkehrende Bildschirm-Kennzeichnung während der Wiedergabe anzeigen. Bei Kurzvideos eine Kennzeichnung im ersten Frame und in regelmäßigen Abständen.
- Audio: Eine hörbare Offenlegung zu Beginn und/oder eine sichtbare Kennzeichnung in der Player-Oberfläche bereitstellen.
- Text: Einen klaren Hinweis am Anfang oder Ende des Inhalts einfügen: "Dieser Artikel wurde von KI erzeugt" oder "Dieser Inhalt wurde mit Unterstützung von KI erstellt."
Ausnahmen und Grenzfälle
Artikel 50 enthält mehrere Ausnahmen, die die Kennzeichnungs- und Offenlegungspflichten in bestimmten Kontexten einschränken.
Künstlerische, satirische und kreative Werke
Artikel 50(4) sieht eine Ausnahme für KI-generierte Inhalte vor, die zu künstlerischen, satirischen, kreativen oder fiktionalen Zwecken genutzt werden. In solchen Fällen ist die Deepfake-Kennzeichnungspflicht reduziert: Die Offenlegung muss nicht auf oder in dem Inhalt selbst platziert werden, sondern muss "in geeigneter Weise offengelegt werden, die die Darstellung oder den Genuss des Werks nicht beeinträchtigt".
In der Praxis bedeutet das, dass ein Film mit KI-generierten visuellen Effekten oder ein satirisches Video mit KI-Gesichtstausch die KI-Offenlegung im Abspann, in den Metadaten oder in einer begleitenden Beschreibung platzieren darf statt als Bildschirm-Kennzeichnung während der Wiedergabe. Die Ausnahme beseitigt die Offenlegungspflicht nicht, sie lockert die Anforderung an die Platzierung.
Die Ausnahme "offensichtliche KI"
Artikel 50(1) nimmt die Offenlegung der KI-Interaktion dort aus, wo die KI-Natur aus den Umständen und dem Nutzungskontext offensichtlich ist, und zwar für eine hinreichend informierte, aufmerksame Person. Diese Ausnahme wird von den Leitlinien der Kommission eng ausgelegt.
Systeme, die wahrscheinlich qualifizieren: einfache regelbasierte Telefonmenüs ("Für Abrechnung die 1 wählen"), klar roboterhafte Stimmen ohne menschliche Nachahmung oder Spiel-NPCs in einem offensichtlich fiktionalen Kontext.
Systeme, die wahrscheinlich nicht qualifizieren: Chatbots der GPT-Klasse mit flüssiger natürlicher Sprache, KI-Sprach-Agenten, die auf menschlichen Stimmklonen trainiert wurden, oder jedes System, bei dem eine vernünftige Person glauben könnte, sie interagiere mit einem Menschen.
Ausnahmen für die Strafverfolgung
Artikel 50 sieht begrenzte Ausnahmen für Nutzungen durch die Strafverfolgung und die nationale Sicherheit vor. Wo eine Offenlegung eine laufende Ermittlung gefährden, die Aufdeckung krimineller Aktivitäten verhindern oder die nationale Sicherheit beeinträchtigen würde, können die Transparenzpflichten aufgeschoben, aber nicht dauerhaft aufgehoben werden. Die Offenlegung muss "ohne unangemessene Verzögerung" erfolgen, sobald die Rechtfertigung entfällt.
Ausnahme der redaktionellen Prüfung für KI-generierten Text
KI-generierter Text, der veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, muss gekennzeichnet werden, es sei denn, der Text hat einen Prozess der menschlichen redaktionellen Prüfung oder Kontrolle durchlaufen und eine natürliche oder juristische Person trägt die redaktionelle Verantwortung für die Veröffentlichung.
Diese Ausnahme ist für Medienorganisationen gedacht. Ein Nachrichtenanbieter, der KI nutzt, um Artikel zu entwerfen, aber jeden Entwurf vor der Veröffentlichung einer redaktionellen Prüfung, einem Faktencheck und einer menschlichen Freigabe unterzieht, muss die Ausgabe nicht als KI-generiert kennzeichnen, sofern der Anbieter die redaktionelle Verantwortung trägt. Die Ausnahme gilt nicht, wenn die redaktionelle Prüfung oberflächlich oder automatisiert ist.
Sanktionen für Transparenzverstöße
Verstöße gegen die Transparenzpflichten aus Artikel 50 fallen unter Stufe 2 der Sanktionsstruktur des AI Act, wie in Artikel 99 festgelegt:
- Bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (für große Organisationen)
- Bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag niedriger ist (für KMU und Startups, eine Verhältnismäßigkeitsanpassung)
Die Durchsetzung erfolgt durch die nationalen Marktüberwachungsbehörden in jedem EU-Mitgliedstaat. Das AI Office der Kommission beaufsichtigt GPAI-bezogene Pflichten, aber die Durchsetzung der Transparenz auf Einsatzebene ist national.
Auslöser für die Durchsetzung sind unter anderem:
- Verbraucherbeschwerden über nicht offengelegte KI-Interaktionen oder nicht gekennzeichnete Deepfakes
- Proaktive Marktüberwachung (Behörden, die Chatbots testen und Plattformen nach nicht gekennzeichneten KI-Inhalten durchsuchen)
- Meldungen von Plattformen (Hosting-Plattformen, die Inhalte melden, denen erforderliche Kennzeichnungen fehlen)
- Sektorspezifische Regulierer (Finanz-, Gesundheits- oder Telekom-Regulierer, die Transparenzmängel in ihren Sektoren feststellen)
Das Sanktionsniveau, identisch mit dem für Verstöße bei Hochrisiko-Systemen, signalisiert, dass die Kommission Transparenz als Kernpflicht behandelt, nicht als Nebensache. Organisationen, die Artikel 50 als "nur Kennzeichnung" abtun, unterschätzen sowohl die regulatorische Absicht als auch das Durchsetzungsrisiko.
Die vollständige Aufschlüsselung der Sanktionen, einschließlich Berechnungsmethodik und DSGVO-Vergleich, finden Sie im Leitfaden zu Sanktionen des EU AI Act.
Praxisszenarien zur Compliance
Szenario 1: SaaS-Unternehmen mit einem Kundensupport-Chatbot
Ein B2B-SaaS-Unternehmen setzt auf seiner Website und in seiner Mobile-App einen KI-Chatbot ein, um Kundensupport-Anfragen der Stufe 1 zu bearbeiten (Passwort-Resets, Abrechnungsfragen, Funktionserklärungen). Der Chatbot nutzt ein feinabgestimmtes großes Sprachmodell und antwortet in natürlicher Sprache.
Pflichten:
- Offenlegung der KI-Interaktion (Art. 50(1)): Der Chatbot muss Nutzer vor Beginn der eigentlichen Konversation klar informieren, dass sie mit KI interagieren. Eine Offenlegung in der ersten Nachricht ("Ich bin ein KI-Assistent") plus ein dauerhafter UI-Indikator erfüllt dies.
- Maschinenlesbare Kennzeichnung von Inhalten (Art. 50(2)): Wenn der Chatbot Textantworten erzeugt, muss der Anbieter des zugrunde liegenden LLM Provenance-Metadaten umsetzen. Das SaaS-Unternehmen (als Betreiber) sollte prüfen, dass die API-Antworten des LLM-Anbieters Provenance-Felder enthalten und diese durch die Auslieferungs-Pipeline erhalten bleiben.
- Deepfake-Kennzeichnung (Art. 50(4)): Nicht anwendbar, es sei denn, der Chatbot erzeugt Bilder, Audio oder Video.
Praxisbeispiel: Der Chatbot des SaaS-Unternehmens antwortet einem Nutzer, der fragt "Kann ich mit einem Menschen sprechen?", mit "Natürlich, ich verbinde Sie." Die Weiterleitung dauert 30 Sekunden, in denen der Chatbot das Gespräch fortsetzt, um Kontext zu sammeln. Der Nutzer glaubt, er spreche bereits mit einem Menschen. Das ist ein Compliance-Fehler, der Übergabepunkt muss klar wiederherstellen, ob der Nutzer mit KI oder einem Menschen spricht.
Szenario 2: Marketingagentur, die KI-generierte Produktbilder nutzt
Eine Marketingagentur nutzt ein KI-Bildgenerierungs-Tool, um Produktfotos, Lifestyle-Bilder und Social-Media-Inhalte für ihre Kunden zu erstellen. Die Bilder zeigen realistische Produkte in realistischen Umgebungen.
Pflichten:
- Maschinenlesbare Kennzeichnung von Inhalten (Art. 50(2)): Das KI-Bildgenerierungs-Tool (Anbieter) muss in jedes erzeugte Bild C2PA-Content-Credentials und unsichtbare Watermarks einbetten. Die Agentur (Betreiber) darf diese Kennzeichnungen nicht entfernen.
- Deepfake-Kennzeichnung (Art. 50(4)): Wenn die Bilder realen Szenen ähneln und fälschlich echt erscheinen könnten, muss die Agentur sie am Ort der Veröffentlichung als KI-generiert kennzeichnen. Bei Social-Media-Posts bedeutet das eine sichtbare Bildunterschrift oder Einblendung. Bei Produktgalerien auf der Website eine Kennzeichnung neben oder auf dem Bild.
Praxisbeispiel: Die Agentur erzeugt ein Produktfoto einer Handtasche in einer Pariser Straßenszene. Das Bild ist fotorealistisch. Ohne Kennzeichnung könnte ein Verbraucher glauben, das Foto sei vor Ort aufgenommen worden. Die Agentur muss es kennzeichnen, auch wenn es kommerzieller Inhalt ist, die Deepfake-Definition erfasst realistische KI-generierte Bilder, die fälschlich echt erscheinen könnten. Die künstlerische/satirische Ausnahme gilt nicht für kommerzielle Produktfotografie.
Szenario 3: Medienunternehmen, das KI-geschriebene Nachrichtenzusammenfassungen veröffentlicht
Eine Nachrichten-Aggregationsplattform nutzt KI, um Zusammenfassungen aktueller Ereignisse zu erzeugen, veröffentlicht neben Links zu den Quellartikeln. Die Zusammenfassungen werden ohne menschliche redaktionelle Prüfung erzeugt.
Pflichten:
- Maschinenlesbare Kennzeichnung von Inhalten (Art. 50(2)): Die Textzusammenfassungen müssen Provenance-Metadaten tragen, die die KI-Erzeugung anzeigen. Die Plattform sollte strukturierte Daten (schema.org oder gleichwertig) auf den Zusammenfassungsseiten umsetzen.
- Deepfake-Kennzeichnung / KI-Text-Offenlegung (Art. 50(4)): Da die Zusammenfassungen veröffentlicht werden, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, und nicht einer menschlichen redaktionellen Prüfung unterliegen, muss die Plattform sie als KI-generiert kennzeichnen. Ein sichtbarer Hinweis wie "Diese Zusammenfassung wurde von KI erzeugt" am Anfang jeder Zusammenfassung ist erforderlich.
Praxisbeispiel: Die Plattform argumentiert, ihre Zusammenfassungen "formulierten die Quellartikel nur um" und stellten daher keine KI-generierten Inhalte dar, die eine Offenlegung erforderten. Dieses Argument scheitert, Artikel 50(4) gilt für KI-generierten Text, der zu Angelegenheiten von öffentlichem Interesse veröffentlicht wird, unabhängig davon, ob die zugrunde liegenden Fakten von menschlichen Quellen stammten. Der Generierungsprozess, nicht die Originalität der Fakten, löst die Pflicht aus.
Wie Artikel 50 mit den GPAI-Pflichten zusammenwirkt
Anbieter von GPAI-Modellen (allgemeiner Verwendungszweck), Organisationen, die Foundation Models oder große Sprachmodelle entwickeln, haben nach Artikel 51 und Artikel 53 Pflichten, die die Artikel-50-Compliance nachgelagert direkt unterstützen.
Konkret müssen GPAI-Anbieter:
-
Maschinenlesbare Kennzeichnung von Inhalten ermöglichen: GPAI-Modelle, die synthetische Inhalte erzeugen, müssen so gestaltet sein, dass nachgelagerte Anbieter und Betreiber ihre Ausgaben in Übereinstimmung mit Artikel 50(2) kennzeichnen können. Das bedeutet, die API oder Ausgabe-Pipeline des GPAI-Modells muss die Erzeugung von C2PA-Credentials, das Einbetten von Watermarks oder das Metadaten-Tagging unterstützen.
-
Technische Dokumentation bereitstellen: GPAI-Anbieter müssen Dokumentation liefern, die für nachgelagerte Anbieter ausreicht, um die Fähigkeiten, Grenzen und Ausgabemerkmale des Modells zu verstehen, einschließlich der verfügbaren Kennzeichnungs- und Auszeichnungsmechanismen.
-
Transparenzfunktionen unterstützen: Wenn ein GPAI-Modell einen Chatbot oder ein interaktives System antreibt, muss der Modellanbieter sicherstellen, dass das System so konfiguriert werden kann, dass es die Offenlegungen nach Artikel 50(1) liefert.
Die praktische Folge ist, dass Organisationen, die GPAI-Modelle von Dritten einsetzen (z. B. GPT, Claude, Gemini, Llama, Mistral), prüfen sollten, ob der Modellanbieter Folgendes anbietet:
- C2PA-kompatible Ausgabekennzeichnung für Bilder, Video und Audio
- Provenance-Metadaten in API-Antworten für Text
- Konfigurierbare Offenlegungsmechanismen für interaktive Anwendungsfälle
Wenn der GPAI-Anbieter diese Funktionen nicht anbietet, muss der Betreiber ergänzende Lösungen umsetzen oder riskiert Nichtkonformität. Für eine tiefere Analyse der GPAI-Pflichten siehe unseren Leitfaden zu GPAI-Pflichten.
Schritt-für-Schritt-Compliance-Checkliste
Nutzen Sie diese Checkliste zusammen mit der vollständigen EU-AI-Act-Compliance-Checkliste und dem AI-Act-Bewertungstool, um die Transparenzlage Ihrer Organisation zu bestätigen.
-
Alle KI-gestützten Berührungspunkte inventarisieren. Identifizieren Sie jedes System, das mit natürlichen Personen interagiert (Chatbots, Sprachassistenten, Empfehlungsoberflächen) oder Inhalte erzeugt (Text, Bilder, Audio, Video). Beziehen Sie interne Tools ein, deren Ausgaben externe Zielgruppen erreichen.
-
Jeden Berührungspunkt gegen die vier Pflichten aus Artikel 50 einordnen. Ordnen Sie jedes System der relevanten Pflicht bzw. den relevanten Pflichten zu: Offenlegung der KI-Interaktion, maschinenlesbare Kennzeichnung, Hinweis zur Emotionserkennung oder Deepfake-/Inhaltskennzeichnung. Viele Systeme lösen mehr als eine aus.
-
Ihre Rolle für jedes System bestimmen. Legen Sie für jedes KI-System fest, ob Sie Anbieter, Betreiber oder beides sind. Nutzen Sie die Kriterien in Artikel 3 und unseren Leitfaden Anbieter vs. Betreiber.
-
Bestehende Offenlegungen prüfen. Überprüfen Sie aktuelle Chatbot-Interaktionen, erzeugte Inhaltsausgaben und nutzergerichtete Hinweise. Identifizieren Sie Lücken, wo KI-Interaktion nicht offengelegt oder KI-generierter Inhalt nicht gekennzeichnet ist.
-
Maschinenlesbare Kennzeichnung überprüfen. Für jedes KI-System, das Bilder, Video, Audio oder Text erzeugt: bestätigen Sie, dass C2PA-Content-Credentials, unsichtbare Watermarks oder Provenance-Metadaten eingebettet werden. Testen Sie, dass die Kennzeichnungen Ihre Verbreitungs-Pipeline überstehen.
-
Chatbot-Offenlegungen umsetzen oder verbessern. Fügen Sie allen Chatbot- und Assistenten-Oberflächen klare, dauerhafte Hinweise zur KI-Interaktion hinzu. Testen Sie mit echten Nutzern, um zu bestätigen, dass die Offenlegung bemerkt und verstanden wird.
-
Sichtbare Inhaltskennzeichnungen umsetzen. Für KI-generierte oder manipulierte Inhalte, die unter Artikel 50(4) fallen, fügen Sie am Ort der Veröffentlichung oder Verbreitung sichtbare Kennzeichnungen hinzu. Legen Sie ein einheitliches Kennzeichnungsformat über die Kanäle hinweg fest.
-
Compliance des GPAI-Anbieters prüfen. Wenn Sie GPAI-Modelle von Dritten nutzen, fordern Sie Dokumentation zu den Kennzeichnungsfunktionen des Anbieters nach Artikel 50(2) an. Überprüfen Sie, dass Content-Credentials oder Watermarks verfügbar und aktiv sind.
-
Verträge und AVVs aktualisieren. Stellen Sie sicher, dass Verträge mit KI-Anbietern Pflichten enthalten, Transparenzfunktionen zu erhalten, Provenance-Werkzeuge bereitzustellen und Sie über Änderungen der Kennzeichnungsfähigkeiten zu informieren.
-
Alles dokumentieren. Halten Sie Ihre Artikel-50-Compliance-Maßnahmen in Ihrer technischen Dokumentation oder einem eigenständigen Transparenz-Compliance-Register fest. Dokumentation ist Ihr primärer Nachweis in einem Durchsetzungsverfahren.
-
Relevante Teams schulen. Marketing-, Kundensupport-, Produkt- und Entwicklungsteams müssen ihre Pflichten aus Artikel 50 verstehen. Erstellen Sie klare interne Leitlinien, wann und wie KI-Interaktion offengelegt und KI-generierter Inhalt gekennzeichnet wird.
-
Laufende Überwachung etablieren. Transparenz-Compliance ist keine einmalige Übung. Neue KI-Tools, aktualisierte Modelle und geänderte Verbreitungskanäle können neue Pflichten auslösen. Bauen Sie die Artikel-50-Prüfung in Ihren regelmäßigen Compliance-Zyklus ein.
Häufig gestellte Fragen
Gilt Artikel 50, wenn mein Chatbot in seinem Namen klar als "KI-Assistent" gekennzeichnet ist?
Möglicherweise, aber der Name allein reicht womöglich nicht. Artikel 50(1) verlangt, dass natürliche Personen informiert werden, dass sie mit KI interagieren. Ein Name wie "KI-Assistent" ist ein starker Hinweis, aber die Leitlinien der Kommission betonen, dass die Offenlegung am Ort der Interaktion eindeutig und ausdrücklich sein sollte. Best Practice: Kombinieren Sie einen klaren Namen mit einer Offenlegung in der ersten Nachricht und einem dauerhaften UI-Indikator. Verlassen Sie sich nicht allein auf den Produktnamen.
Muss ich KI-generierte Bilder mit einem Watermark versehen, wenn sie nur intern genutzt werden?
Artikel 50(2) gilt für Anbieter von KI-Systemen, die Inhalte erzeugen, die Pflicht wird zum Zeitpunkt der Erzeugung ausgelöst, nicht der Verbreitung. Wenn das KI-System darauf ausgelegt ist, synthetische Bilder zu erzeugen, muss der Anbieter maschinenlesbare Kennzeichnungen einbetten, unabhängig vom beabsichtigten Zweck. Rein interne Nutzung befreit den Anbieter nicht. Die Kennzeichnungspflicht des Betreibers nach Artikel 50(4) (sichtbare Offenlegung) gilt jedoch vor allem für Inhalte, die natürliche Personen oder die Öffentlichkeit erreichen.
Was, wenn meine KI Text erzeugt, den ein Mensch dann stark bearbeitet, bevor er veröffentlicht wird?
Die Ausnahme der redaktionellen Prüfung in Artikel 50(4) greift. Wenn der KI-generierte Text eine sinnvolle menschliche redaktionelle Prüfung durchläuft und eine natürliche oder juristische Person die redaktionelle Verantwortung für die endgültige Veröffentlichung trägt, muss der Text nicht als KI-generiert gekennzeichnet werden. "Sinnvolle" Prüfung bedeutet substanziellen Faktencheck, Umschreiben oder redaktionelle Einschätzung, kein flüchtiges Überfliegen oder automatisierte Rechtschreibprüfung.
Wie wirkt Artikel 50 mit den Transparenzpflichten der DSGVO zusammen?
Sie ergänzen sich, sie doppeln sich nicht. DSGVO Artikel 13 verlangt Transparenz über die Verarbeitung personenbezogener Daten, einschließlich der Information betroffener Personen über automatisierte Entscheidungsfindung. AI Act Artikel 50 verlangt Transparenz über die KI-Natur des Systems und seiner Ausgaben, unabhängig davon, ob personenbezogene Daten verarbeitet werden. Organisationen sollten beide Sätze von Offenlegungen zu einem einheitlichen Transparenzansatz abstimmen. Siehe unseren Leitfaden AI Act vs. DSGVO.
Wann gilt die Ausnahme für "künstlerische Werke" für Marketinginhalte?
Eng. Die künstlerische/satirische/kreative Ausnahme in Artikel 50(4) gilt für Werke mit einem echten künstlerischen, satirischen oder fiktionalen Zweck. Kommerzielle Marketinginhalte, Produktbilder, Werbevideos, Werbematerialien, qualifizieren sich nicht als künstlerischer Ausdruck im Sinne dieser Ausnahme. Wenn Sie Marketing-Assets mit KI erzeugen, müssen Sie sie kennzeichnen.
Kann ich einen einzigen Hinweis "KI-generierte Inhalte" auf meiner Website nutzen, statt jeden einzelnen Inhalt zu kennzeichnen?
Nein. Artikel 50(4) verlangt eine Kennzeichnung, die am Ort der Nutzung zugänglich ist. Ein seitenweiter Hinweis im Footer oder in den AGB reicht nicht. Jeder einzelne KI-generierte Inhalt, der unter die Kennzeichnungspflicht fällt, muss individuell als KI-generiert erkennbar sein, durch eine angrenzende Kennzeichnung, Einblendung, Bildunterschrift oder einen gleichwertigen Mechanismus, den eine vernünftige Person beim Antreffen des konkreten Inhalts bemerken würde.


