EU-KI-Verordnung: Pflichten für synthetische Medien 2026
Artikel 50 der EU-KI-Verordnung verpflichtet Anbieter ab 2. August 2026 zur Kennzeichnung synthetischer Medien. Wer muss was tun — und welche Bußgelder drohen?
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokArtikel 50 der EU-KI-Verordnung (Verordnung (EU) 2024/1689) — auch bekannt als EU AI Act — verpflichtet Anbieter und Betreiber von KI-Systemen zur Transparenz gegenüber Nutzern, die mit synthetischen Medien oder KI-gestützten Systemen in Berührung kommen. Die Transparenzpflichten für synthetische Medien gelten ab dem 2. August 2026 und erfassen jede Organisation, die KI-Systeme für Nutzerinnen und Nutzer in der EU bereitstellt oder einsetzt — unabhängig vom Unternehmenssitz. Für Unternehmen, die Deepfakes, KI-Chatbots oder automatisierte Bildgenerierung nutzen, ist die Frist näher als sie erscheint.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine rechtliche oder regulatorische Beratung dar. Die regulatorischen Verweise sind zum Veröffentlichungsdatum aktuell. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Fachkraft.
Was die EU-KI-Verordnung für synthetische Medien vorschreibt
Die EU-KI-Verordnung definiert synthetische Medien als KI-generierte oder KI-manipulierte Bilder, Audio- und Videoinhalte, die einer existierenden Person, einem Objekt, einem Ort oder einem Ereignis ähneln. Der Begriff umfasst realistische Deepfakes ebenso wie synthetisch erzeugten Text und Audioinhalte, die von einer vernünftigen Person irrtümlich als authentisch eingestuft werden könnten.
Artikel 50 bündelt vier eigenständige Transparenzpflichten. Artikel 50 Absatz 1 verpflichtet Anbieter von KI-Chatbots und virtuellen Assistenten dazu, Endnutzerinnen und Endnutzer darüber zu informieren, dass sie mit einem KI-System interagieren — es sei denn, dies ergibt sich aus dem Kontext für eine durchschnittlich verständige Person. Artikel 50 Absatz 2 verpflichtet Anbieter von Emotionserkennungs- und biometrischen Kategorisierungssystemen zur aktiven Offenlegung gegenüber den betroffenen Personen. Artikel 50 Absatz 3 legt die schwerste Last auf Anbieter von Deepfake-Generatoren: Sie müssen maschinenlesbare Markierungen — Metadaten oder Wasserzeichen — in den generierten Inhalten einbetten. Artikel 50 Absatz 4 sieht eine Ausnahme für legitime Zwecke wie Kunst, Satire und Parodie vor.
Unsere Plattform stellt fest, dass 12 % aller dokumentenbezogenen Betrugsversuche KI-generierte synthetische Medien enthalten — ein Wert, der die Bedeutung technischer Erkennung und gesetzlicher Offenlegungspflichten verdeutlicht. CheckFile prüft monatlich 180.000 Dokumente mit einer Betrugserkennung von 94,8 % Recall. Die vollständige Verordnung ist über EUR-Lex abrufbar.
Wer muss die Anforderungen erfüllen
Die Verordnung unterscheidet zwischen zwei Hauptkategorien von Verpflichteten. Anbieter sind Organisationen, die ein KI-System auf den Markt bringen oder in Betrieb nehmen — darunter Technologieanbieter, SaaS-Plattformen und API-Anbieter. Betreiber (in der Verordnung als "Deployer" bezeichnet) sind Organisationen, die ein KI-System im beruflichen Kontext für eigene Zwecke einsetzen — beispielsweise eine Bank, die eine KYC-Plattform mit KI-gestützter Bildverarbeitung nutzt.
Beide Kategorien tragen eigene Pflichten, wobei die primäre Verantwortung für technische Maßnahmen wie Wasserzeichenmarkierung beim Anbieter liegt. Betreiber sind gegenüber ihren Endkunden für die Einhaltung der Offenlegungspflichten verantwortlich.
| Partei | Pflicht | Frist |
|---|---|---|
| Anbieter eines KI-Chatbots oder virtuellen Assistenten | Offenlegung, dass der Nutzer mit einer KI kommuniziert (Art. 50 Abs. 1) | 2. August 2026 |
| Anbieter eines Emotionserkennungssystems | Aktive Mitteilung an betroffene Personen (Art. 50 Abs. 2) | 2. August 2026 |
| Anbieter eines Deepfake-Generators | Einbettung maschinenlesbarer Markierungen in generierten Inhalten (Art. 50 Abs. 3) | 2. August 2026 |
| Anbieter eines GPAI-Modells | Technische Lösungen zur Erkennung und Markierung implementieren (Art. 50 Abs. 5) | 2. August 2025 |
| Betreiber (Deployer) | Endnutzer über KI-generierte Inhalte informieren; Offenlegungspflichten einhalten | 2. August 2026 |
| Importeur/Händler | Sicherstellen, dass importierte KI-Systeme die Anforderungen aus Art. 50 erfüllen | 2. August 2026 |
Importeure und Händler aus Drittstaaten tragen dieselben Pflichten wie europäische Anbieter, wenn sie KI-Systeme auf dem EU-Markt bereitstellen. Die Verordnung sieht keine Befreiung auf Basis der Unternehmensgröße vor, wenngleich die Bußgeldstruktur für kleine und mittelständische Unternehmen gedeckelt ist.
Technische Anforderungen: Wasserzeichen und der C2PA-Standard
Artikel 50 Absatz 3 schreibt vor, dass Deepfake-Inhalte maschinenlesbare Markierungen enthalten müssen. Die Verordnung legt keinen spezifischen technischen Standard fest, doch der C2PA-Standard (Coalition for Content Provenance and Authenticity) ist die branchenweite Referenz, die den gesetzlichen Anforderungen entspricht.
C2PA arbeitet mit sogenannten "Content Credentials": kryptografisch signierten Metadaten, die einem Bild, Audiofragment oder Video angehängt werden. Diese Metadaten dokumentieren, wer den Inhalt erstellt hat, welches KI-Modell eingesetzt wurde und wann der Inhalt generiert wurde. Die Credentials bleiben nachweislich mit der Datei verknüpft, auch nach Weiterleitung oder Speicherung in einem anderen Kontext.
Für Anbieter von Systemen zur Generierung synthetischer Medien bedeutet dies konkret, dass ihre Systeme bei jeder Ausgabe automatisch C2PA-Markierungen anwenden müssen. Für Betreiber, die KI-generierte Inhalte in Kundenprozesse integrieren — etwa bei der automatisierten Identitätsdokumentenprüfung — ist es entscheidend, vertraglich zu prüfen, ob der eingesetzte KI-Anbieter nachweislich die Anforderungen aus Artikel 50 Absatz 3 erfüllt. Weiterführende Informationen zu Deepfake-Dokumenten finden Sie in unserem Artikel über synthetische Identitätsdokumente.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat technische Richtlinien zur Absicherung KI-basierter Systeme veröffentlicht, die als ergänzende Grundlage für die Implementierung maschinenlesbarer Markierungen dienen können. Biometrische Daten in Wasserzeichen können zudem besondere Kategorien personenbezogener Daten im Sinne der DSGVO darstellen, was eine parallele datenschutzrechtliche Prüfung erforderlich macht.
Bereit, Ihre Prüfungen zu automatisieren?
Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.
Kostenloses Pilotprojekt anfragenSanktionen bei Nichteinhaltung
Die Sanktionsstruktur der EU-KI-Verordnung (Artikel 99) kennt drei Ebenen. Verstöße gegen verbotene KI-Praktiken (Artikel 5) werden mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet. Verstöße gegen die Transparenzpflichten aus Artikel 50 fallen in die zweite Sanktionsstufe.
| Verstoßtyp | Höchstbußgeld |
|---|---|
| Verbotene KI-Praktiken (Art. 5) | 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes |
| Transparenzpflichten (Art. 50) und sonstige Pflichten | 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes |
| Falsche Angaben gegenüber Behörden (Art. 99 Abs. 4) | 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes |
| KMU-Bußgelder (falsche Angaben) | Gedeckelt auf den jeweils niedrigeren Betrag |
In Deutschland sind die Durchsetzungsbefugnisse auf mehrere Behörden verteilt. Die BaFin übernimmt eine zentrale Aufsichtsfunktion für KI im Finanzdienstleistungsbereich und hat bereits 2024 Orientierungshilfen zum Einsatz von KI in der Finanzbranche veröffentlicht. Das BSI ist für technische Sicherheitsaspekte zuständig, während die Bundesnetzagentur (BNetzA) Zuständigkeiten in regulierten Märkten wahrnimmt. Datenschutzrechtliche Verstöße im Zusammenhang mit KI werden von den Landesdatenschutzbehörden sowie dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verfolgt.
Bußgelder werden je Verstoß verhängt, nicht je betroffenes Dokument oder je Transaktion. Eine Plattform, die weder eine Offenlegungsbenachrichtigung bei einem KI-Chatbot einrichtet noch Wasserzeichen in Deepfake-Ausgaben einbettet, riskiert getrennte Bußgelder für jeden verletzten Artikel. Weiterführende Informationen zur Betrugserkennung im Dokumentenbereich finden Sie in unserem Artikel zur KI-Dokumentenbetrugserkennung.
Compliance-Zeitplan: Kritische Termine
Die EU-KI-Verordnung sieht eine gestaffelte Anwendung vor. Nicht alle Pflichten gelten gleichzeitig, was eine differenzierte Planung unabdingbar macht.
| Datum | Pflicht |
|---|---|
| 1. August 2024 | Verordnung tritt in Kraft |
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5) werden anwendbar |
| 2. August 2025 | Pflichten für GPAI-Modelle (Kapitel V, einschließlich Art. 50 Abs. 5) werden anwendbar |
| 2. August 2026 | Transparenzpflichten für synthetische Medien (Art. 50 Abs. 1–4) und Hochrisiko-KI-Pflichten werden anwendbar |
| Fortlaufend | Nationale Behörden setzen durch; Europäisches KI-Büro koordiniert |
Für Unternehmen, die GPAI-Modelle (General-Purpose AI, z. B. große Sprachmodelle) anbieten oder einsetzen, galt die Pflicht zur Implementierung technischer Erkennungslösungen bereits ab dem 2. August 2025. Anbieter, die unter Kapitel V der Verordnung fallen, müssen nachweisen können, dass ihre Modelle mit Erkennungs- und Markierungsfähigkeiten ausgestattet sind. Ergänzende Informationen zur AML-Compliance im Zusammenhang mit KI-Pflichten finden Sie in unserem AMLD6-Compliance-Leitfaden.
Praktische Compliance-Checkliste für Unternehmen
Die Einhaltung von Artikel 50 erfordert eine Kombination aus rechtlicher Analyse, technischer Implementierung und Prozessanpassung. Die folgenden Schritte bieten einen praxistauglichen Ansatz für die meisten Organisationen.
Schritt 1: KI-Systemportfolio erfassen. Identifizieren Sie alle KI-Systeme, die Ihr Unternehmen anbietet oder einsetzt. Stellen Sie fest, welche Systeme synthetische Medien erzeugen oder verarbeiten, und bestimmen Sie, ob Ihr Unternehmen je System als Anbieter oder Betreiber einzustufen ist.
Schritt 2: Anwendbare Pflichten je System bestimmen. Für jedes KI-System: Welcher Absatz von Artikel 50 ist einschlägig? Ein Chatbot fällt unter Art. 50 Abs. 1, ein Deepfake-Generator unter Art. 50 Abs. 3. Dokumentieren Sie diese Zuordnung für Ihre Compliance-Akte.
Schritt 3: Lieferketten prüfen. Wenn Sie als Betreiber einen externen KI-Anbieter nutzen, stellen Sie vertraglich sicher, dass der Anbieter seinen Pflichten aus Art. 50 Abs. 3 und Art. 50 Abs. 5 nachkommt. Fordern Sie nachweisbare Belege — keine Selbstauskünfte, sondern technische Dokumentation der C2PA-Implementierung.
Schritt 4: Offenlegungshinweise implementieren. Fügen Sie für KI-Chatbots und virtuelle Assistenten sichtbare Offenlegungshinweise in der Benutzeroberfläche ein. Der Hinweis muss vor der ersten Interaktion erscheinen und darf nicht in den Allgemeinen Geschäftsbedingungen verborgen sein.
Schritt 5: C2PA-Wasserzeichen für generierte Inhalte einrichten. Als Anbieter von synthetischen Mediengeneratoren: Integrieren Sie C2PA-Markierungen in die Ausgabepipeline. Prüfen Sie auf c2pa.org, welche Open-Source-Bibliotheken für Ihren technischen Stack verfügbar sind.
Schritt 6: Datenschutzdokumentation aktualisieren. Wasserzeichen können personenbezogene Daten enthalten. Stimmen Sie die Implementierung mit Ihrem Datenschutzbeauftragten (DSB/DPO) ab und aktualisieren Sie Ihr Verarbeitungsverzeichnis sowie Ihre Datenschutzerklärung gemäß DSGVO und BDSG.
Schritt 7: Betroffene Mitarbeitende schulen. Stellen Sie sicher, dass Marketingteams, Produktmanager und Rechtsabteilungen verstehen, welche Inhalte Offenlegungspflichten auslösen. Interne Sensibilisierung ist in vielen Compliance-Programmen das schwächste Glied.
Schritt 8: Dokumentieren und überwachen. Halten Sie alle Compliance-Maßnahmen in einer nachweisbaren Akte fest. Richten Sie intern einen Überprüfungszyklus für die Zeit nach dem 2. August 2026 ein, damit Sie belegen können, dass Sie nicht nur zum Stichtag, sondern auch danach compliant geblieben sind.
CheckFile bietet Dokumentenprüfungs-Lösungen zur Erkennung und Kennzeichnung KI-generierter Dokumente. Unsere Sicherheitsarchitektur erfüllt die Anforderungen für die Verarbeitung sensibler Identitätsdaten. Eine Übersicht der verfügbaren Pakete finden Sie unter Preise. Einen umfassenderen Rahmen bietet unser Leitfaden zur Dokumenten-Compliance.
Häufig gestellte Fragen
Gilt Artikel 50 auch für Unternehmen außerhalb der EU?
Ja. Die EU-KI-Verordnung hat eine extraterritoriale Wirkung, die mit der DSGVO vergleichbar ist. Ein Anbieter mit Sitz außerhalb der EU, der KI-Systeme für Nutzerinnen und Nutzer in der EU bereitstellt, fällt unter die Verordnung. Maßgeblich ist nicht, ob das Unternehmen eine Niederlassung in der EU hat, sondern ob die Ausgaben für Personen oder Organisationen in der EU bestimmt sind.
Wann ist die Ausnahme für Satire und Parodie anwendbar?
Artikel 50 Absatz 4 sieht eine Ausnahme für synthetische Medien vor, die für künstlerische Zwecke, Satire oder Parodie verwendet werden, sofern betroffene Personen oder die Öffentlichkeit erkennen können, dass der Inhalt nicht authentisch ist. Die Ausnahme gilt nicht automatisch: Der Anbieter muss nachweisen können, dass der Einsatz in den Anwendungsbereich der Ausnahme fällt und kein irreführendes Ziel verfolgt wird. Im Zweifel gilt die Offenlegungspflicht.
Müssen kleine Unternehmen ebenfalls Artikel 50 erfüllen?
Ja. Die EU-KI-Verordnung sieht keine Befreiung auf Basis der Unternehmensgröße für die Transparenzpflichten nach Artikel 50 vor. Allerdings sind die Höchstbußgelder für kleine und mittelständische Unternehmen gedeckelt — bei der Übermittlung falscher Angaben an Aufsichtsbehörden gilt eine Obergrenze von 7,5 Millionen Euro oder 1 % des Jahresumsatzes. Die inhaltliche Pflicht — Offenlegung und Wasserzeichenmarkierung — gilt auch für ein Einzelunternehmen, das ein Deepfake-Tool anbietet.
Was ist der Unterschied zwischen einem Anbieter und einem Betreiber unter der EU-KI-Verordnung?
Ein Anbieter bringt ein KI-System auf den Markt oder stellt es zur Nutzung bereit — etwa ein Softwareunternehmen, das einen KI-Bildgenerator verkauft oder als Dienst anbietet. Ein Betreiber setzt ein vorhandenes KI-System für eigene berufliche Zwecke ein, wie eine Bank, die eine externe KI-Plattform zur Identitätsprüfung nutzt. Die technischen Pflichten (Wasserzeichenmarkierung) liegen primär beim Anbieter; die Offenlegungspflichten gegenüber Endkunden obliegen dem Betreiber.
Wie verhält sich die EU-KI-Verordnung zur DSGVO bei synthetischen Medien von Personen?
Beide Regelwerke überschneiden sich bei synthetischen Medien, die erkennbare Personen zeigen. Die DSGVO ist anwendbar, wenn synthetische Medien personenbezogene Daten enthalten oder verarbeiten — was bei Deepfakes realer Personen nahezu immer der Fall ist. Die EU-KI-Verordnung ergänzt dies um spezifische Offenlegungs- und Kennzeichnungspflichten. Eine Deepfake-Anwendung muss daher beiden Regelwerken genügen: DSGVO-Rechtmäßigkeit für die Verarbeitung personenbezogener Daten und Art. 50 Abs. 3 für die technische Markierung der Ausgaben. In Deutschland sind für datenschutzrechtliche Aspekte die zuständigen Landesdatenschutzbehörden sowie der BfDI zuständig, für finanzdienstleistungsbezogene KI-Anwendungen zusätzlich die BaFin.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.