Zurück zur Übersicht
22.12.2025 Fachbeitrag

AI ACT: Wie müssen Unternehmen KI-generierte Inhalte kennzeichnen?

Update Datenschutz Nr. 225

Mit den Transparenzvorschriften des Art. 50 KI-VO reagiert der europäische Gesetzgeber auf die wachsende Verbreitung von KI-generierten und KI-manipulierten Inhalten und die damit verbundenen Risiken für Vertrauen, Meinungsbildung und demokratische Prozesse. Die Regelungen verpflichten Anbieter und Betreiber bestimmter KI-Systeme, den künstlichen Ursprung von Inhalten kenntlich zu machen und für Nutzer erkennbar auszugestalten. Da Art. 50 KI-VO die konkreten technischen und organisatorischen Anforderungen jedoch nur in Grundzügen vorgibt, hat die Europäische Kommission einen ersten Entwurf eines freiwilligen Verhaltenskodex zur Transparenz von KI-generierten Inhalten veröffentlicht. Der Entwurf soll die gesetzlichen Vorgaben des Art. 50 KI-VO konkretisieren und zugleich als praxisnaher Maßstab für die Umsetzung der Transparenzpflichten dienen.

I. Rechtlicher Rahmen: Transparenzvorschriften des Art. 50 KI-VO

Art. 50 KI-VO enthält ein gestuftes System von Transparenzpflichten, das je nach Art des KI-Systems und der Rolle des jeweiligen Akteurs zwischen Anbietern und Betreibern differenziert. Zentrale Leitidee ist es, sicherzustellen, dass natürliche Personen erkennen können, ob sie mit einem KI-System interagieren oder mit KI-generierten beziehungsweise KI-manipulierten Inhalten konfrontiert werden. Zugleich trägt die Norm dem Umstand Rechnung, dass Transparenzanforderungen kontextabhängig sind und nicht in jedem Fall in gleicher Intensität greifen können oder sollen.

Den Schwerpunkt der Vorschrift bilden die Transparenzpflichten für generative KI-Systeme. Anbieter solcher Systeme müssen gem. Art. 50 Abs. 2 sicherstellen, dass synthetische Audio-, Bild-, Video- oder Textinhalte in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind. Art. 50 KI-VO verzichtet dabei bewusst auf die Festlegung konkreter technischer Verfahren, formuliert jedoch qualitative Anforderungen an Wirksamkeit, Interoperabilität, Belastbarkeit und Zuverlässigkeit der eingesetzten Lösungen. Zugleich sind technische Machbarkeit, Inhaltsspezifika, wirtschaftliche Zumutbarkeit und der Stand der Technik zu berücksichtigen.

Auf Betreiberseite enthält Art. 50 Abs. 4 KI-VO spezifische Offenlegungspflichten für besonders sensible Anwendungsfälle (wir berichteten). So müssen Deepfakes als künstlich erzeugt oder manipuliert offengelegt werden, um Täuschungsrisiken zu begrenzen. Für offensichtlich künstlerische, kreative, satirische oder fiktionale Inhalte wird diese Pflicht jedoch abgeschwächt und auf eine angemessene Offenlegung beschränkt, die den Charakter des Werks nicht beeinträchtigt. Vergleichbare Transparenzanforderungen gelten für KI-generierte oder -manipulierte Texte, die zur Information der Öffentlichkeit über Angelegenheiten von öffentlichem Interesse veröffentlicht werden (typischerweise Nachrichten), sofern keine menschliche Überprüfung oder redaktionelle Verantwortung vorliegt.

Flankiert werden diese Pflichten durch Art. 50 Abs. 5 KI-VO mit Vorgaben zur klaren, eindeutigen und barrierefreien Bereitstellung der Informationen spätestens bei der ersten Konfrontation mit dem KI-System oder dem KI-Inhalt.

Vor diesem Hintergrund sieht Art. 50 KI-VO ausdrücklich die Ausarbeitung von Praxisleitfäden und Verhaltenskodizes auf Unionsebene vor, um die offenen Begriffe und technischen Anforderungen zu konkretisieren – und schafft damit die rechtliche Grundlage für den nun vorgelegten Entwurf eines Verhaltenskodex für KI-generierte Inhalte.

II. Zentrale Inhalte des Entwurfes

Der von der Europäischen Kommission veröffentlichte Entwurf des Verhaltenskodex zur Transparenz von KI-generierten Inhalten versteht sich ausdrücklich als Konkretisierung der Transparenzpflichten des Art. 50 KI-VO. Er wurde von zwei multidisziplinär besetzten Arbeitsgruppen erarbeitet und basiert auf umfangreichen Konsultationen mit Industrie, Wissenschaft, Zivilgesellschaft und Mitgliedstaaten. Der Kodex ist dabei bewusst als Soft-Law-Instrument ausgestaltet: Er ist rechtlich nicht verbindlich, soll aber als Referenzrahmen für die Umsetzung der gesetzlichen Pflichten dienen und zugleich den Aufsichtsbehörden eine einheitliche Bewertungsgrundlage bieten

1. Abschnitt 1: Pflichten für Anbieter generativer KI-Systeme

Abschnitt 1 des Entwurfs richtet sich an Anbieter generativer KI-Systeme und zielt darauf ab, die in Art. 50 Abs. 2 und 5 KI-VO normierten Transparenzpflichten zur technisch zuverlässigen Kennzeichnung von Audio-, Bild-, Video- oder Textinhalten technisch und organisatorisch zu konkretisieren. Der Kodex verfolgt dabei einen klar funktionalen Ansatz. Er legt nicht ein bestimmtes technisches Verfahren fest, sondern formuliert verbindliche Grundprinzipien, gestufte Verpflichtungen und konkrete Maßnahmen, anhand derer Anbieter die Kennzeichnung und Erkennbarkeit KI-generierter oder KI-manipulierter Inhalte sicherstellen sollen.  

Zentraler Ansatz des Entwurfes ist der mehrschichtige („multi-layered“) Kennzeichnungsansatz. Der Entwurf geht ausdrücklich davon aus, dass es derzeit keine einzelne Technik gibt, die den gesetzlichen Anforderungen allein gerecht werden kann. Anbieter verpflichten sich daher, eine Kombination mehrerer aktiver Markierungstechniken einzusetzen, die sich gegenseitig ergänzen und absichern. Dazu zählen insbesondere maschinenlesbare Metadaten, nicht wahrnehmbare Wasserzeichen sowie – wo erforderlich – ergänzende Fingerprinting- oder Logging-Mechanismen.

Für Inhalte, die eine Metadateneinbettung erlauben, sieht der Kodex vor, dass Informationen zur Herkunft und zum Entstehungsprozess des Inhalts in die Metadaten aufgenommen und digital signiert werden. Ergänzend sollen KI-generierte oder manipulierte Inhalte mit einem unischtbaren  Wasserzeichen versehen werden, das möglichst robust gegenüber typischen Bearbeitungsschritten wie Kompression, Zuschnitt oder Formatwechsel ist. Der Entwurf lässt offen, ob diese Wasserzeichen während des Trainings, bei der Inferenz oder im Output-Layer gesetzt werden, fordert jedoch ausdrücklich die „bestmögliche technisch und wirtschaftlich tragbare“ Umsetzung. Für besonders herausfordernde Inhaltstypen – etwa kurze Texte – können zusätzliche Verfahren wie Logging oder Hashing eingesetzt werden, um eine spätere Zuordnung zu ermöglichen,

Besondere Aufmerksamkeit widmet der Kodex der Verantwortung entlang der Wertschöpfungskette. Anbieter von Basismodellen, insbesondere von generativen KI-Modellen mit allgemeinem Verwendungszweck oder offenen Gewichten, sollen Markierungstechniken bereits auf Modellebene implementieren, um nachgelagerten Anbietern die Einhaltung der Transparenzpflichten zu erleichtern. Gleichzeitig bleibt die Gesamtverantwortung für die ordnungsgemäße Kennzeichnung beim jeweiligen Anbieter des KI-Systems, insbesondere bei multimodalen Ausgaben oder der Kombination mehrerer Modelle.

Neben der Markierung verlangt Abschnitt 1 auch, dass KI-generierte Inhalte nachvollziehbar detektierbar sind. Anbieter sollen hierfür kostenlose Schnittstellen, APIs oder öffentlich zugängliche Detektoren bereitstellen, mit denen Nutzer und Dritte prüfen können, ob Inhalte von einem bestimmten KI-System erzeugt oder manipuliert wurden. Die Ergebnisse müssen verständlich erläutert und barrierefrei zugänglich sein. Ergänzend werden forensische Erkennungsverfahren gefordert, die auch dann greifen, wenn Markierungen entfernt oder beschädigt wurden, um Manipulationsversuchen entgegenzuwirken.

Flankiert werden diese technischen Verpflichtungen durch Anforderungen an Interoperabilität, Standardisierung und Governance. Anbieter sollen sich an offenen Standards orientieren, gemeinsame Verifikationsinfrastrukturen unterstützen und ihre Lösungen regelmäßig testen, überwachen und weiterentwickeln. Hierzu sieht der Kodex u. a. adaptive Bedrohungsmodelle, dokumentierte Compliance-Frameworks sowie eine enge Zusammenarbeit mit Marktüberwachungsbehörden vor. Insgesamt zeichnet Abschnitt 1 damit ein anspruchsvolles, aber bewusst flexibles Umsetzungsmodell, das technologische Innovation ermöglichen soll, zugleich jedoch hohe Erwartungen an die organisatorische und technische Reife generativer KI-Anbieter stellt.

2. Abschnitt 2: Pflichten für Betreiber

Abschnitt 2 des Entwurfs konkretisiert die Transparenzpflichten des Art. 50 Abs. 4 und 5 KI-VO für Betreiber von KI-Systemen, die Deepfakes oder bestimmte KI-generierte bzw. KI-manipulierte Texte einsetzen und verbreiten. Anders als Abschnitt 1, der primär auf technische Markierung und maschinenlesbare Erkennbarkeit abzielt, steht hier die für Menschen unmittelbar wahrnehmbare Offenlegung des KI-Ursprungs im Vordergrund. Der Kodex versteht diese Pflichten ausdrücklich als Ergänzung zu den technischen Maßnahmen der Anbieter und verortet die Verantwortung für die konkrete Ausgestaltung der Transparenz bei denjenigen Akteuren, die Inhalte tatsächlich veröffentlichen oder verbreiten.

Zentrales Element des Betreiberteils ist die Einführung einer einheitlichen Offenlegungslogik, die unionsweit wiedererkennbar und kontextangemessen sein soll. Hierzu sieht der Entwurf zunächst eine gemeinsame Taxonomie vor, die zwischen vollständig KI-generierten Inhalten und KI-assistierten Inhalten unterscheidet. Diese Differenzierung soll es Nutzern ermöglichen, das Ausmaß der KI-Beteiligung besser einzuordnen, insbesondere im Hinblick auf Täuschungspotenziale und inhaltliche Eingriffstiefe. Die Taxonomie dient zugleich als Grundlage für alle weiteren Kennzeichnungs- und Offenlegungsmaßnahmen der Betreiber.

Auf dieser Basis verpflichtet der Kodex Betreiber, Deepfakes sowie KI-generierte oder -manipulierte Texte zu Themen von öffentlichem Interesse mithilfe eines gemeinsamen Icons zu kennzeichnen. Bis zur Entwicklung eines EU-weit einheitlichen Symbols ist die Nutzung eines Übergangsicons vorgesehen, das regelmäßig aus einer zweibuchstabigen Abkürzung für künstliche Intelligenz (z. B. „AI“, „KI“) besteht. Das Icon muss bei der ersten Konfrontation klar sichtbar, eindeutig zuordenbar und in einer für das jeweilige Medium geeigneten Position angebracht werden. Perspektivisch soll ein interaktives EU-Symbol entwickelt werden, das nicht nur auf den KI-Ursprung hinweist, sondern auch weiterführende Informationen zu Art und Umfang der KI-Bearbeitung zugänglich macht, etwa durch Verknüpfung mit maschinenlesbaren Provenienzdaten aus Abschnitt 1 des Kodex.

Der Entwurf legt großen Wert auf eine kontextspezifische Ausgestaltung der Offenlegung. Für unterschiedliche Formate wie etwa Echtzeitvideos, aufgezeichnete Videos, Bilder, Audioinhalte oder multimodale Inhalte werden jeweils angepasste Offenlegungsformen beschrieben. So kann bei Videos eine dauerhafte Einblendung des Icons erforderlich sein, während bei Audioformaten ergänzend oder alternativ akustische Hinweise vorgesehen sind. Für besonders eingriffsintensive Inhalte wie Deepfakes fordert der Kodex eine klare, zeitnahe und für das Publikum ohne zusätzliche Interaktion wahrnehmbare Kennzeichnung. Zugleich trägt Abschnitt 2 den grundrechtlichen Spannungen Rechnung, die mit Transparenzpflichten einhergehen können. Für offensichtlich künstlerische, kreative, satirische oder fiktionale Werke wird eine abgeschwächte Offenlegung vorgesehen, die den Genuss und die Aussagekraft des Werks nicht beeinträchtigen darf. Gleichwohl sollen auch in diesen Fällen geeignete Hinweise auf den Einsatz von KI erfolgen, um Täuschung zu vermeiden und Rechte Dritter zu wahren.

Besondere Regelungen enthält der Kodex schließlich für KI-generierte oder -manipulierte Texte zu Angelegenheiten von öffentlichem Interesse. Betreiber müssen solche Texte grundsätzlich offenlegen, es sei denn, sie wurden einer menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen und es trägt eine natürliche oder juristische Person die redaktionelle Verantwortung. Um sich auf diese Ausnahme berufen zu können, verlangt der Entwurf nachvollziehbare interne Prozesse und eine dokumentierte Zuweisung redaktioneller Verantwortung.

Flankiert werden die materiellen Offenlegungspflichten durch organisatorische Anforderungen. Betreiber sollen interne Compliance-Dokumentationen vorhalten, Mitarbeitende schulen und Mechanismen zur Meldung und Korrektur fehlerhafter oder unterlassener Kennzeichnungen einrichten. Zudem betont der Kodex die Bedeutung der Barrierefreiheit: Offenlegungen müssen auch für Menschen mit Behinderungen wahrnehmbar sein, etwa durch alternative Textbeschreibungen, Audiohinweise oder ausreichende visuelle Kontraste. Insgesamt positioniert Abschnitt 2 die Betreiber als zentrale Schnittstelle zwischen technischer Markierung und öffentlicher Wahrnehmung von KI-Inhalten und weist ihnen eine aktive Rolle beim Schutz des Informationsraums zu.

III. Praktische Auswirkungen und Handlungsempfehlungen

Der Entwurf des Verhaltenskodex verdeutlicht, dass die Transparenzpflichten des Art. 50 KI-VO rechtzeitig umgesetzt werden sollten, auch wenn sie erst ab August 2026 verbindlich gelten. Zwar ist der Kodex rechtlich unverbindlich, er dürfte jedoch als zentraler Referenzrahmen für Aufsichtsbehörden dienen und damit faktisch den Maßstab für eine ordnungsgemäße Umsetzung setzen. Anbieter und Betreiber sollten ihn daher bereits jetzt bei der Ausgestaltung ihrer Compliance berücksichtigen.

Für Anbieter generativer KI-Systeme folgt daraus insbesondere, dass Kennzeichnung und Detektierbarkeit von KI-Inhalten als Bestandteil des Systemdesigns verstanden werden müssen. Eine nachträgliche Implementierung ist technisch und organisatorisch nur begrenzt möglich. Empfohlen ist daher eine frühzeitige Bewertung geeigneter Markierungs- und Detektionsverfahren sowie der Aufbau von Dokumentations- und Testprozessen zur Nachweisführung gegenüber Aufsichtsbehörden.

Betreiber von KI-Systemen stehen vor der Aufgabe, klare interne Prozesse zur Einordnung, Kennzeichnung und Offenlegung von KI-Inhalten zu etablieren. Dies betrifft insbesondere den Umgang mit Deepfakes, KI-Texten zu Themen von öffentlichem Interesse sowie die saubere Abgrenzung redaktionell verantworteter Inhalte. Interne Leitlinien, Schulungen und Meldeprozesse können dazu beitragen, Kennzeichnungspflichten konsistent und kontextangemessen umzusetzen.

IV. Ausblick und Fazit

Der Entwurf des Verhaltenskodex liefert eine wichtige Konkretisierung der Transparenzpflichten des Art. 50 KI-VO und gibt eine klare Richtung für die künftige Praxis vor. Nach Abschluss der laufenden Konsultationsphase soll im Frühjahr 2026 ein überarbeiteter Entwurf vorgelegt werden, bevor der finale Verhaltenskodex voraussichtlich bis Mitte 2026 veröffentlicht wird. Die Transparenzpflichten des Art. 50 KI-VO werden ab dem 2. August 2026 verbindlich anwendbar sein. Vor diesem Hintergrund zeigt sich bereits jetzt, dass Transparenz von KI-generierten Inhalten zu einem dauerhaften Compliance-Thema wird. Unternehmen und öffentliche Stellen sind daher gut beraten, die weitere Entwicklung des Kodex eng zu verfolgen und Transparenzanforderungen frühzeitig in ihre KI-Strategien zu integrieren.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.
 

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung
22.09.2025
Richtungsweisendes EuGH-Urteil zur Pseudonymisierung personenbezogener Daten
17.09.2025
Rechtliche Rahmenbedingungen beim Einsatz von KI-AGENTEN
11.09.2025
Data Act: Ab dem 12. September gelten neue Pflichten für die Datenherausgabe
03.09.2025
EuG bestätigt Wirksamkeit des EU-US Data Privacy Framework

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.