Auf einen Blick: Ab 02.08.2026 verlangt Art. 50 KI-VO vier Transparenz-Pflichten von KMU: Chatbots müssen sich als KI zu erkennen geben, KI-generierte Texte zu öffentlichen Themen müssen gekennzeichnet werden, Deepfakes brauchen Markierung, Emotion-Recognition-Systeme müssen informieren. Bußgelder bis 15 Mio EUR oder 3 Prozent Umsatz nach Art. 99 KI-VO. Die Umsetzung ist im Kern simpel, der Audit-Aufwand ist nicht zu unterschätzen.
Die Omnibus-Verschiebung vom 07.05.2026 hat viele Hochrisiko-Pflichten auf Ende 2027 geschoben. Art. 50 KI-VO ist davon ausgenommen. Wer einen Chatbot, KI-generierte Bilder oder KI-Texte zu öffentlichen Themen einsetzt, muss zum 02.08.2026 transparent sein. Was das genau bedeutet, welche vier Pflicht-Bereiche es gibt, wo die Ausnahmen liegen und wie ein KMU mit 30 oder 200 Mitarbeitern die Umsetzung pragmatisch hinbekommt.
Der häufigste Fehler in der Vorbereitungsphase: Geschäftsführer denken, ein Hinweis in der Datenschutzerklärung reicht. Tut er nicht. Die Transparenzpflicht greift am Touchpoint, nicht im Fußnoten-Bereich der Website.
Die vier Pflicht-Bereiche nach Art. 50 KI-VO
Art. 50 KI-VO regelt vier Konstellationen, in denen Nutzer informiert werden müssen.
Pflicht eins betrifft Chatbots. Vor dem Beginn der Interaktion muss klar sein, dass die Person mit einem KI-System spricht und nicht mit einem Menschen. Ein einzeiliger Hinweis vor dem Chatfenster ist die pragmatische Lösung. "Du chattest mit einem KI-Assistenten" oder "Dieser Chat wird von einer KI beantwortet, bei Bedarf eskalieren wir an unser Team." Eine Datenschutzerklärung im Footer reicht nicht, weil der Nutzer sie typischerweise vor der Interaktion nicht liest.
Pflicht zwei betrifft KI-generierte Texte zu öffentlichen Themen. Was sind öffentliche Themen? Politik, Gesundheit, Wissenschaft, Gesellschaft, Justiz, Bildung. Wer zu diesen Themen Texte veröffentlicht, die überwiegend von KI erzeugt sind, muss dies kennzeichnen. Reine Marketing-Texte oder Produktbeschreibungen fallen nicht darunter. Blog-Artikel zu Steuerrecht, Gesundheitstipps oder politischen Themen schon.
Pflicht drei betrifft KI-generierte Bilder, Videos und Audio (Deepfakes). Diese Inhalte müssen erkennbar markiert werden. Die EU-Kommission favorisiert den C2PA-Standard (Coalition for Content Provenance and Authenticity), der maschinenlesbare Metadaten in Bildern verankert. Für den Praxisbedarf reicht aktuell ein sichtbarer Texthinweis wie "KI-generiert" als Bildunterschrift.
Pflicht vier betrifft Emotion-Recognition-Systeme. Wer eine Software einsetzt, die Stimmung, Müdigkeit oder andere emotionale Zustände einer Person analysiert (typischerweise in Call-Centern, in HR-Tools oder im Fahrzeugbau), muss die betroffenen Personen darüber informieren. Das ist die seltenste der vier Pflichten, aber für Unternehmen mit Sprach-Analytik im Service relevant.
Die Ausnahmen nach Art. 50 Abs. 4
Drei Ausnahmen sind im Gesetz definiert.
Erste Ausnahme: Strafverfolgung. Wenn eine Behörde KI-Tools zur Aufklärung von Straftaten einsetzt, gelten die Transparenz-Pflichten eingeschränkt. Diese Ausnahme ist für KMU nicht relevant.
Zweite Ausnahme: Satirische Inhalte. Eine satirische Persiflage eines Politikers, die offensichtlich übertrieben ist, muss nicht mit "KI-generiert" gekennzeichnet werden, wenn die satirische Natur erkennbar ist. Das Gericht hat in solchen Fällen einzelfallabhängig zu prüfen.
Dritte Ausnahme: Kreative Werke mit klarer künstlerischer Einordnung. Ein Werbespot, der erkennbar Fiktion ist, eine Reklame-Welt, eine künstlerische Inszenierung. Hier gilt die Markierung erleichtert, wenn der künstlerische Charakter eindeutig ist.
Wichtig: Ausnahme zwei und drei sind eng zu interpretieren. Wer eine KI-generierte "Kundenstimme" oder ein "Testimonial-Video" als angeblich echte Person ausgibt, fällt nicht unter die Kunst-Ausnahme. Das ist Täuschung und nach §§ 3, 5 UWG ohnehin verboten.
Was die Pflicht NICHT verlangt
Die häufigsten Fehlinterpretationen in der Beratungspraxis.
Art. 50 verlangt nicht, dass du jeden KI-unterstützten Arbeitsschritt kennzeichnest. Wenn du einen Blog-Artikel mit ChatGPT entwirfst und dann redaktionell überarbeitest, ist der finale Text dein Werk. Eine Kennzeichnung ist nicht zwingend, kann aber als Vertrauenssignal sinnvoll sein.
Art. 50 verlangt nicht, dass du das verwendete Modell benennen musst. Ein "Diese Antwort wurde von einer KI erstellt" reicht. Ob im Hintergrund Claude, GPT, Gemini oder ein eigenes Modell läuft, ist für die Pflicht irrelevant.
Art. 50 verlangt nicht, dass der Hinweis besonders prominent gestaltet sein muss. Er muss vor der Interaktion erkennbar und für den durchschnittlichen Nutzer verständlich sein. Das ist eine pragmatische Anforderung, kein Banner-Bombardement.
| KI-Anwendung | Transparenz-Pflicht | Form der Kennzeichnung |
|---|---|---|
| Kunden-Chatbot auf Website | Ja, vor Chat | Texthinweis im/vor Chatfenster |
| KI-generiertes Stockfoto im Blog | Ja | Bildunterschrift "KI-generiert" |
| ChatGPT-unterstützter Marketing-Text | Nein, wenn redaktionell überarbeitet | Optional |
| Blog-Artikel zu Politik, überwiegend KI | Ja | Hinweis am Artikelende |
| Werbespot mit KI-Avatar | Ja | Bildunterschrift oder Wasserzeichen |
| Voice-Bot für Terminbuchung | Ja, vor Gespräch | Sprach-Hinweis "Du sprichst mit einer KI" |
| Internes Tool ohne Außenwirkung | Nein | Nicht erforderlich |
Bußgeldrahmen und Vollzug
Art. 99 KI-VO regelt den Bußgeldrahmen. Bei Verstößen gegen die Transparenz-Pflicht nach Art. 50 KI-VO drohen Bußgelder bis zu 15 Mio EUR oder 3 Prozent des weltweiten Jahresumsatzes (es gilt der jeweils höhere Wert). Im KMU-Kontext ist die Umsatz-Bemessung in den meisten Fällen niedriger als die 15 Mio EUR, aber bei 30 Mio EUR Umsatz wären das im theoretischen Maximum 900.000 EUR.
In der Praxis werden die Bußgelder gestaffelt verhängt. Erstvorfälle mit niedriger Wirkung führen typischerweise zu Verwarnung und Auflagen. Wiederholungstäter oder schwere Verstöße können in den oberen Bereich des Rahmens fallen.
Zuständig in Deutschland ist die Bundesnetzagentur (BNetzA) als Marktüberwachungsbehörde für die KI-VO. Für datenschutzrelevante Aspekte (etwa wenn ein Chatbot personenbezogene Daten verarbeitet) bleibt der Bundesbeauftragte für den Datenschutz (BfDI) plus die Landesdatenschutzbehörden zuständig. Im Streitfall kann eine Beschwerde nach der einen Behörde direkt auch die andere mit auf den Plan rufen.
Wichtig zu verstehen: Bußgelder sind nicht der einzige Risiko-Kanal. Verstöße gegen Art. 50 KI-VO können parallel als irreführende geschäftliche Handlung nach §§ 3, 5 UWG abgemahnt werden. Wettbewerbsverbände sind seit dem OLG-Hamm-Urteil vom 12.05.2026 sensibilisiert für KI-bezogene Compliance-Lücken.
Praxis-Umsetzung: Vier Touchpoints, vier Lösungen
Wie sieht die Umsetzung in einer normalen Mittelstands-Website aus?
Chatbot-Hinweis: Direkt über dem Chat-Eingabefeld eine kleine Zeile, die vor Beginn der Interaktion sichtbar ist. Beispiel: "Du chattest mit einem KI-Assistenten von Müller GmbH. Bei kniffligen Fragen leiten wir an unser Team weiter." Position oberhalb des Eingabefelds, nicht im Footer. Schriftgröße so, dass sie ohne Lupe lesbar ist.
Deepfake-Markierung in Marketing-Content: Bei KI-generierten Stockfotos eine Bildunterschrift mit "KI-generiert" oder ein dezenter Wasserzeichen-Hinweis in der Ecke. Bei Werbespots eine kurze Texteinblendung am Anfang oder Ende des Spots. Tools wie das C2PA-Plugin in Adobe Photoshop oder fotodetective Standalone-Tools markieren Metadaten automatisch.
KI-Text-Hinweis bei öffentlichen Themen: Am Artikelende ein dezenter Hinweis "Dieser Artikel wurde mit KI-Unterstützung erstellt und redaktionell geprüft" oder bei stark KI-generiertem Content "Dieser Beitrag basiert auf einer KI-Erstellung". Die genaue Formulierung sollte zur Tonalität der Marke passen.
Emotion-Recognition-Hinweis: Vor Start des Telefonats per Sprachansage "Dieses Gespräch wird zur Qualitätssicherung mit einer Sprachanalyse-KI ausgewertet" oder per Vorab-Disclaimer in einer Buchungs-App, falls die Analyse beim Telefonservice eingesetzt wird.
Vorbereitungs-Zeitplan bis 02.08.2026
Drei Monate sind noch Zeit. Wer jetzt anfängt, kommt mit moderatem Aufwand durch.
Bis 01.06.2026: Audit aller Touchpoints. Welche KI-Tools laufen aktuell auf welcher Plattform? Welche Inhalte sind KI-generiert? Welche Anwendungsfälle fallen unter Art. 50?
Bis 15.06.2026: Klassifizierung. Welche der vier Pflicht-Bereiche sind betroffen? Welche Touchpoints brauchen Anpassung? Eine simple Tabelle mit Touchpoint, Pflicht-Typ und Verantwortlichem reicht.
Bis 30.06.2026: Texte und Disclaimer formulieren. Standard-Wording für Chatbots, Bildunterschriften, Artikelhinweise. Idealerweise mit dem Datenschutzbeauftragten und der Rechtsabteilung abgestimmt.
Bis 15.07.2026: Technische Umsetzung. Disclaimer in Chatbot-Code einbauen, Bildunterschriften in CMS pflegen, Voice-Bot-Vorschaltung anpassen. Bei komplexen Setups (Multi-Channel mit Chatbot auf Website + WhatsApp + Telegram) braucht das Zeit für QA.
Bis 01.08.2026: Final-Check und Go-Live. Test auf allen Endgeräten, alle Touchpoints durchspielen, dokumentierte Test-Protokolle als Compliance-Nachweis.
Praxis: Hartmann Versicherungsmakler in Ingolstadt
Hartmann Versicherungsmakler, ein mittelständischer Makler mit 28 Mitarbeitern in Ingolstadt, betreibt seit 2024 einen KI-Chatbot auf der Website für Erstanfragen zu Tarifen und Versicherungs-Themen. Außerdem werden in der Marketing-Pipeline KI-generierte Bilder für Social-Media-Posts und Blog-Header genutzt. Drittens läuft im Call-Center seit Anfang 2026 eine Sprach-Analytik, die emotionale Zustände der Anrufer auswertet.
Im Februar 2026 hat der Geschäftsführer Hartmann das Thema Art. 50 in einer Compliance-Sitzung aufgegriffen. Externe Beraterin wurde eingebunden, Audit lief im März. Ergebnis: Alle drei KI-Anwendungen sind transparenz-pflichtig.
Lösungen, die umgesetzt wurden. Chatbot: Hinweis direkt über dem Eingabefeld "Du chattest mit einem KI-Assistenten. Bei rechtlich oder finanziell verbindlichen Fragen leiten wir an unsere Berater weiter." Bilder: Auf der Website-CMS-Ebene ein zentraler Bildtyp "KI-generiert" mit automatischer Bildunterschrift bei Veröffentlichung. Call-Center: Sprachansage zu Beginn jedes Gesprächs "Dieser Anruf wird zur Qualitätssicherung mit Sprachanalyse-KI ausgewertet. Sie können der Analyse jederzeit widersprechen."
Implementierungs-Aufwand insgesamt: 14 Tage interner Aufwand verteilt auf drei Mitarbeiter, plus 3.500 EUR externe Beraterhonorare. Die Sprachansage im Call-Center war der größte Posten (2.100 EUR), weil das Voicebot-System dafür angepasst werden musste.
Was Hartmann nach der Umstellung gemessen hat: Die Abbruchrate im Chatbot ist um 4 Prozent gestiegen (Nutzer, die nach dem Hinweis "Du chattest mit einer KI" abbrechen). Die Conversion-Rate auf Beratungstermine ist gleich geblieben. Bei der Sprachansage im Call-Center gab es einzelne Beschwerden, aber keine substantielle Auswirkung auf das Geschäft.
Hartmanns Einschätzung: Der Aufwand war moderat, der Geschäftsschaden minimal, die Compliance-Sicherheit hoch. Vor allem die Versicherungs-Branche wird in den nächsten Monaten genau hinschauen, weil die Aufsichtsbehörden (BaFin plus BNetzA) sich auf die Branche fokussieren werden.
Konflikt mit dem OLG-Hamm-Urteil
Ein Punkt, der oft missverstanden wird: Die Transparenzpflicht nach Art. 50 KI-VO ersetzt nicht die Haftung nach §§ 3, 5 UWG, die das OLG Hamm am 12.05.2026 klargestellt hat.
Übersetzt: Auch wenn du den Chatbot ordnungsgemäß als KI kennzeichnest, kannst du wettbewerbsrechtlich abgemahnt werden, wenn der Bot falsche Aussagen produziert. Die beiden Regelungen wirken parallel.
Transparenz erfüllt die Informations-Pflicht ("der Nutzer weiß, mit was er es zu tun hat"). Sie schützt nicht vor der Inhalts-Verantwortung ("der Nutzer darf darauf vertrauen, dass die gegebene Aussage stimmt").
Für die Praxis bedeutet das: Beide Compliance-Stränge sind nötig. Art. 50-konformer Hinweis vor dem Chat plus rechtssichere Architektur (RAG-Wissensbasis, Konfidenz-Filter, Eskalations-Mechanismus). Wer nur das eine macht, hat eine Lücke. Wer beides macht, hat den aktuellen Stand der Compliance erfüllt.
Eine breitere Architektur-Diskussion findet sich im OLG-Hamm-Artikel, in der Datenschutz-Architektur für KI-Tools und in der KI-Kompetenzpflicht nach Art. 4 KI-VO. Die drei Themen greifen ineinander.
Wer das unterschätzt
In Beratungsmandaten sehen wir nach dem Omnibus-Beschluss zwei Reaktionsmuster zu Art. 50, die beide gefährlich sind.
Erstes Muster: "Wir warten ab, ob da wirklich etwas kommt." Schwierig, weil der Stichtag fixiert ist. Bei vielen Hochrisiko-Pflichten wurde verschoben, bei Art. 50 nicht. Wer am 01.08.2026 immer noch auf "die EU wird's schon nicht so streng nehmen" hofft, riskiert Abmahnungen sobald der erste Wettbewerbsverband sich der KMU-Landschaft annimmt.
Zweites Muster: "Ein Hinweis im Footer reicht." Auch falsch. Art. 50 fordert die Transparenz am Touchpoint. Footer-Hinweise sind nur als Ergänzung sinnvoll, nicht als primärer Compliance-Baustein.
Drittes Muster (selten, aber heikel): "Die Datenschutzerklärung sagt schon alles." Eine DSE erfüllt DSGVO-Pflichten, keine KI-VO-Pflichten. Wer die beiden Compliance-Stränge in einem Dokument vermischt, hat in der Regel weder das eine noch das andere sauber.
Wer in den nächsten 60 Tagen einen sauberen Audit-Prozess aufsetzt, hat keinen Stress am Stichtag. Wer warten will, kann das tun, aber er sollte den Anwalt schon einmal vorwarnen.
Empfehlung: Drei Schritte für die nächsten 30 Tage
Wenn du Art. 50 noch nicht systematisch angegangen bist, sind das die ersten drei Schritte.
Schritt eins: Stelle dir und deinem Team drei Fragen. Wo läuft auf unserer Website ein Chatbot? Welche KI-generierten Bilder oder Videos veröffentlichen wir? Verarbeiten wir irgendwo Emotion-Recognition-Daten?
Schritt zwei: Sortiere die Anwendungen nach den vier Art.-50-Kategorien. Was fällt unter Pflicht 1 bis 4? Was fällt unter eine der Ausnahmen?
Schritt drei: Texte formulieren und QA. Standard-Wording für jeden Touchpoint definieren, Reviews mit Datenschutzbeauftragtem und ggf. externer Beratung, technische Umsetzung in CMS und Chatbot-System. Bei komplexen Setups extern unterstützen lassen, der Stichtag rückt näher.
Wer das Thema systematisch lernen will, statt punktuell zu reagieren, findet im Digitalisierungsmanager das passende Curriculum. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro. Die Module zu Compliance und Risikomanagement decken auch Art. 50 in den größeren Zusammenhang ein.
Häufige Fragen
Muss ich auch interne KI-Tools nach Art. 50 kennzeichnen?
Nein, sofern sie ausschließlich intern genutzt werden und keine Außenwirkung haben. Ein Tool, das Mitarbeiter bei der internen Recherche unterstützt, fällt nicht unter Art. 50, weil keine externen Endnutzer betroffen sind. Sobald aber Inhalte aus internen KI-Tools nach außen kommuniziert werden (z.B. KI-Texte im Kundenbrief, KI-Bilder in der Marketingbroschüre), greifen die Transparenz-Pflichten.
Reicht ein Hinweis in der Datenschutzerklärung?
Nein. Art. 50 fordert eine Transparenz vor oder zum Zeitpunkt der Interaktion. Die Datenschutzerklärung liest der durchschnittliche Nutzer typischerweise nicht oder nicht vollständig. Der Hinweis muss am Touchpoint stehen, also vor dem Chatfenster, bei der Bildunterschrift oder als Voice-Vorschaltung. Eine DSE-Klausel ist sinnvoll als zusätzliche Information, ersetzt aber den Touchpoint-Hinweis nicht.
Was passiert, wenn ich am 02.08.2026 noch nicht compliant bin?
Theoretisch drohen Bußgelder bis 15 Mio EUR oder 3 Prozent Umsatz. In der Praxis werden die Aufsichtsbehörden in den ersten Wochen typischerweise Verwarnungen und Auflagen aussprechen, bevor sie maximale Bußgelder verhängen. Trotzdem riskierst du parallel wettbewerbsrechtliche Abmahnungen nach §§ 3, 5 UWG durch Wettbewerbsverbände, die unabhängig von der KI-VO-Aufsicht direkt klagen können. Wer am Stichtag nicht compliant ist, sollte mit 5.000 bis 25.000 EUR Risiko-Exposure kalkulieren, plus den internen Aufwand für nachträgliche Compliance unter Zeitdruck.
Gilt Art. 50 auch für KI-generierte Marketing-Texte?
Nur eingeschränkt. Reine Werbe-Texte, Produktbeschreibungen und Marketing-Content sind nicht generell als "öffentliche Themen" einzustufen. Die Transparenz-Pflicht für KI-Texte nach Art. 50 Abs. 4 zielt auf politische, gesundheitliche, wissenschaftliche und gesellschaftliche Themen. Wer einen KI-generierten Blog-Artikel zu einem politischen Thema veröffentlicht, sollte kennzeichnen. Wer eine KI-generierte Produktbeschreibung veröffentlicht, muss das in der Regel nicht. Eine freiwillige Kennzeichnung kann trotzdem als Vertrauenssignal sinnvoll sein.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
Bereit für den nächsten Schritt? Wenn du KI im Geschäftsalltag systematisch einsetzen willst, statt nur an einzelnen Tools zu basteln, schau dir den Digitalisierungsmanager an. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro.
Zuletzt geprüft am 25. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.