Die Art. 50 KI-VO Transparenzpflichten zwingen Sie ab dem 02.08.2026 dazu, Ihre Kunden und Nutzer über jeden direkten KI-Kontakt zu informieren. Gemeint sind vier sehr konkrete Situationen: ein Chatbot auf Ihrer Webseite, ein KI-generiertes Werbevideo, ein System, das Stimmungen oder Alter aus dem Gesichtsbild ableitet, und jede Form von Deepfake, die Sie veroeffentlichen. Wer ab August 2026 noch ohne Hinweis arbeitet, riskiert ein Bußgeld von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag hoeher liegt.
Auf einen Blick: Art. 50 EU AI Act verlangt mehrere Transparenzpflichten. Anbieter von Chatbots müssen Nutzer über die Interaktion mit einer KI informieren. Anbieter generativer KI müssen Ausgaben maschinenlesbar als KI-erzeugt markieren. Betreiber von Emotionserkennung oder biometrischer Kategorisierung müssen Betroffene informieren. Wer Deepfakes verbreitet, muss offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde. Die Pflichten greifen ab 02.08.2026.
Was Art. 50 KI-VO regelt
Art. 50 KI-VO buendelt die Transparenzanforderungen für eine sehr spezifische Kategorie von KI-Systemen: solche, die direkt mit Menschen interagieren oder Inhalte erzeugen, die für Menschen bestimmt sind. Der Gesetzgeber nennt das im Erwaegungsgrund 132 die "besondere Gefahr der Verwechslung". Wenn Sie nicht mehr wissen, ob Sie gerade mit einem Menschen sprechen, ein echtes Foto sehen oder eine echte Stimme hoeren, dann verlieren Sie die Faehigkeit, Inhalte rational zu bewerten. Genau das will Art. 50 verhindern.
Die Norm unterscheidet zwischen vier Pflichten, die je nach Anwendungsfall greifen. Sie betreffen unterschiedliche Akteure: teils den Anbieter eines Systems (also den Hersteller), teils den Betreiber (also denjenigen, der das System einsetzt). Wer welche Rolle ausfuellt, ergibt sich aus Art. 3 KI-VO Begriffsbestimmungen. In den meisten KMU-Konstellationen sind Sie der Betreiber, weil Sie ein fertiges Modell von OpenAI, Anthropic oder Google in Ihre Prozesse einbauen.
| Pflicht | Wer ist verantwortlich? | Was muss kommuniziert werden? |
|---|---|---|
| Abs. 1: Direktinteraktion | Anbieter | Hinweis, dass eine KI antwortet |
| Abs. 2: Generative Inhalte | Anbieter | Maschinenlesbare Markierung |
| Abs. 3: Emotion und Biometrie | Betreiber | Aktive Information der Betroffenen |
| Abs. 4: Deepfakes | Betreiber | Offenlegung der künstlichen Herkunft |
Pflicht 1: Chatbots und KI-Direktinteraktion
Sobald ein KI-System dafür gemacht ist, direkt mit Menschen zu interagieren, muss der Anbieter es so gestalten, dass der Nutzer erkennt, dass er mit einer Maschine kommuniziert. Klassische Faelle sind Webseiten-Chatbots, Sprachassistenten am Telefon und virtuelle Agenten in Apps. Die Information muss spätestens beim ersten Kontakt erfolgen, klar verständlich sein und sich an den durchschnittlichen Nutzer richten.
Es gibt zwei Ausnahmen. Die erste greift, wenn die künstliche Herkunft "aus Sicht einer angemessen informierten, aufmerksamen und verstaendigen natuerlichen Person offensichtlich ist". Ein humanoider Roboter, der Sie auf einer Messe begruesst, faellt darunter. Ein Voicebot mit Studio-Stimme dagegen nicht. Die zweite Ausnahme betrifft den Einsatz durch Strafverfolgungsbehoerden zur Aufdeckung, Verhuetung oder Verfolgung von Straftaten. Für ein normales Unternehmen ist diese Ausnahme irrelevant.
In der Praxis reicht ein Disclaimer beim Chat-Start: "Sie chatten mit einem virtuellen Assistenten. Bei komplexen Anliegen leiten wir Sie an einen Mitarbeiter weiter." Wichtig ist die Klarheit. Formulierungen wie "Wir nutzen smarte Technologien" oder "Unser digitaler Helfer steht Ihnen zur Seite" sind zu vage und erfuellen die Pflicht nicht.
Pflicht 2: Maschinenlesbare Markierung generativer KI-Ausgaben
Anbieter generativer KI müssen ihre Ausgaben technisch markieren, sodass später automatisiert erkennbar ist, dass der Inhalt von einer Maschine stammt. Betroffen sind synthetische Audios, Bilder, Videos und Texte. Diese Pflicht trifft den Anbieter, also den Hersteller des Modells. Sie betrifft Sie als kleines oder mittleres Unternehmen nur dann unmittelbar, wenn Sie selbst ein eigenes generatives Modell entwickeln oder bereitstellen.
Praktisch durchgesetzt wird die Markierung über Standards wie C2PA, kurz für Coalition for Content Provenance and Authenticity. C2PA ist ein offener technischer Standard, getragen unter anderem von Adobe, BBC, Intel, Microsoft und mittlerweile mehr als 6.000 Mitgliedern. C2PA bettet kryptografisch signierte Manifeste in Mediendateien ein. Diese Manifeste dokumentieren, wer den Inhalt wann mit welchem Werkzeug erzeugt oder bearbeitet hat. Die Signatur ist faelschungssicher, weil sie über digitale Zertifikate nach X.509 abgesichert wird.
Reine C2PA-Metadaten sind zerbrechlich. Sobald eine Datei über soziale Netzwerke laeuft, werden Metadaten oft entfernt. Deshalb empfiehlt die Industrie sogenannte Durable Content Credentials. Diese kombinieren das Manifest mit unsichtbaren Wasserzeichen und Inhalts-Fingerprints. Wasserzeichen ueberleben Kompression und Format-Konvertierung. Fingerprints erlauben es, die Herkunft auch ohne erhaltene Metadaten aus einer Datenbank wiederherzustellen.
Für Sie als Anwender bedeutet das: Sie müssen nichts implementieren. Sie sollten aber wissen, dass viele große Anbieter bereits sichtbar machen, ob ein Bild oder Video maschinell erzeugt wurde. Wenn Sie KI-Bilder oder KI-Videos weitergeben, geben Sie diese Markierungen mit weiter. Sie duerfen sie nicht aktiv entfernen.
Pflicht 3: Emotionserkennung und biometrische Kategorisierung
Wer ein System einsetzt, das Emotionen erkennt oder Menschen biometrisch kategorisiert, muss die betroffenen Personen über den Betrieb des Systems informieren. Hier sind Sie als Betreiber direkt in der Pflicht, weil die Norm an die Nutzung anknuepft, nicht an die Herstellung.
Emotionserkennung meint Systeme, die aus Gesicht, Stimme oder Koerpersprache auf Gefuehlszustaende schließen. Beispiele sind Tools, die in Bewerbungsgespraechen die Stimmung des Kandidaten bewerten, oder Software in Call-Centern, die die Frustrationsschwelle des Anrufers messen soll. Biometrische Kategorisierung meint Systeme, die Personen anhand biometrischer Daten in Gruppen einordnen, etwa nach Alter, Geschlecht oder ethnischer Zugehoerigkeit. Beides wird unter anderem in der Werbung und im Sicherheitsbereich eingesetzt.
Die Information muss vor der Verarbeitung erfolgen. Sie muss aktiv sein, nicht versteckt im Kleingedruckten einer langen Datenschutzerklaerung. Wer ein solches System einsetzt, ohne zu informieren, verstoesst gegen Art. 50 Abs. 3. Daneben gelten weiterhin die strengeren Regeln der DSGVO für besondere Kategorien personenbezogener Daten. Beide Rechtsrahmen müssen kumulativ erfuellt werden. Wie die Pflichten als Betreiber zusammenspielen, ist in Art. 26 KI-VO Betreiber-Pflichten ausfuehrlicher dargestellt.
Pflicht 4: Deepfakes und künstliche Inhalte
Ein Deepfake ist ein KI-generierter oder KI-manipulierter Inhalt, der echten Personen, Gegenstaenden oder Ereignissen ohne erkennbare Veraenderung aehnelt. Wer einen Deepfake verbreitet, muss offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde. Das gilt für Bilder, Videos und Audios. Die Offenlegung muss klar, sichtbar und spätestens beim ersten Kontakt mit dem Inhalt erfolgen.
Es gibt eine differenzierte Regel für kuenstlerische, satirische, fiktionale oder analoge Werke. Hier muss die Offenlegung "in geeigneter Weise" erfolgen, "die die Anzeige oder den Genuss des Werks nicht beeintraechtigt". Ein Filmtitel im Abspann, der die Verwendung von KI-Voice-Cloning kennzeichnet, reicht. Ein riesiger Disclaimer mitten im Bild waere unverhaeltnismaessig.
Eine eigene Sonderregel gilt für KI-generierte Texte. Werden sie veroeffentlicht, um die Öffentlichkeit über Angelegenheiten von oeffentlichem Interesse zu informieren, muss die künstliche Herkunft offengelegt werden. Wichtig: Diese Pflicht entfaellt, wenn der Text einer menschlichen Prüfung oder redaktionellen Kontrolle unterlag und eine natuerliche oder juristische Person die redaktionelle Verantwortung übernimmt. Damit wird das Journalisten-Privileg geschuetzt. Eine Zeitung, die einen KI-Entwurf von einem Redakteur prüfen und freigeben laesst, muss den Artikel nicht als KI-Text kennzeichnen.
Für KMU heißt das: Wenn Sie KI-Bilder oder KI-Videos in Werbung einsetzen, die echten Personen oder echten Orten aehneln, brauchen Sie einen Kennzeichnungshinweis. Wenn Sie KI-Texte über politische, gesellschaftliche oder regulatorische Themen veroeffentlichen, brauchen Sie entweder einen Hinweis oder einen dokumentierten redaktionellen Pruefprozess.
Wann Art. 50 KI-VO greift
Art. 50 wird am 02.08.2026 wirksam. Bis dahin haben Sie Zeit, Ihre Webseiten, Ihre Marketing-Pipelines und Ihre internen Tools so anzupassen, dass die Transparenzpflichten technisch und organisatorisch erfuellt werden. Das Datum ist im sogenannten Digital Omnibus, dem aktuellen Vereinfachungspaket der EU, ausdruecklich nicht angetastet worden. Es steht fest.
Wichtig ist die saubere Abgrenzung zu anderen Fristen. Die Art. 4 KI-Kompetenzpflicht und das Verbot bestimmter Praktiken nach Art. 5 gelten bereits seit 02.02.2025. Die Vorschriften für Hochrisiko-Systeme (Art. 6 ff.) greifen weitgehend ebenfalls erst ab 02.08.2026, in Teilen sogar erst ab 02.08.2027. Wer alle Fristen gemeinsam plant, vermeidet Doppel-Arbeit und kann Schulungen, Dokumentation und technische Anpassungen gebuendelt umsetzen.
Eine Uebergangsregel gilt für KI-Systeme, die vor dem Stichtag in den Verkehr gebracht wurden. Hier setzt der Digital Omnibus Spielraeume für die Nachruestung. Wer also schon heute einen Chatbot betreibt, sollte den Disclaimer trotzdem bis Sommer 2026 nachziehen. Verlassen Sie sich nicht darauf, dass eine Uebergangsregel Sie dauerhaft schuetzt.
Praxis-Fall KMU: Webseite mit Chatbot
Ein Bayreuther Steuerberater betreibt auf seiner Webseite einen Chatbot, der häufig gestellte Fragen zu Steuererklaerungen beantwortet. Was muss bis 02.08.2026 geaendert werden?
Erstens: Ein klarer Hinweis beim Start des Chats. Beispiel: "Sie chatten mit einem virtuellen Assistenten. Bei komplexen Themen verbinden wir Sie mit einem Steuerberater." Dieser Text muss vor der ersten Nachricht des Nutzers sichtbar sein, nicht erst nach der ersten Antwort.
Zweitens: Eine Wiederholung des Hinweises im Footer der Chat-Box. Das stellt sicher, dass auch Nutzer, die über einen Deeplink oder einen geteilten Chat-Link einsteigen, die Information bekommen.
Drittens: Eine Erwähnung in der Datenschutzerklaerung. Dort gehören technische Details hin, etwa welches Modell verwendet wird, ob Verlaeufe gespeichert werden und wer der Anbieter ist.
Viertens: Eine interne Dokumentation, dass der Chatbot Art. 50 Abs. 1 erfuellt. Das ist Bestandteil Ihres Compliance-Nachweises, falls die Bundesnetzagentur als zuständige Aufsichtsbehoerde nachfragt.
Praxis-Fall KMU: KI-Bilder für Social Media
Eine Marketing-Agentur erstellt für einen Kunden Instagram-Posts mit KI-generierten Bildern. Ein Bild zeigt eine fiktive Familie beim Fruehstueck, ein anderes eine Stadtszene, ein drittes ein KI-Portrait eines bekannten Politikers. Welche Pflichten greifen?
Das Familien- und das Stadtbild sind KI-Bilder, aber keine Deepfakes im Sinne des Art. 50 Abs. 4. Sie zeigen keine echten Personen und keinen echten Ort, sondern frei erfundene Szenen. Eine Kennzeichnungspflicht aus Art. 50 Abs. 4 besteht hier nicht. Sinnvoll bleibt der Hinweis trotzdem, weil viele Plattformen mittlerweile eigene Kennzeichnungsregeln haben und weil ein offener Umgang Vertrauen schafft.
Das KI-Portrait des Politikers ist ein klassischer Deepfake. Es zeigt eine echte Person in einer Situation, die so nie stattgefunden hat. Hier greift Art. 50 Abs. 4. Die Offenlegung muss klar und sichtbar sein, etwa als Overlay im Bild oder als deutlicher Hinweis in der Bildunterschrift. Ein versteckter Vermerk irgendwo in den Hashtags reicht nicht. Wenn der Inhalt zusätzlich Themen von oeffentlichem Interesse berührt, greift parallel die Textregel nach Art. 50 Abs. 4 für den Begleittext.
Häufige Fragen
Wer ist Anbieter eines Chatbots im Sinne der KI-VO? Anbieter ist, wer ein KI-System entwickelt oder entwickeln laesst und unter eigenem Namen in den Verkehr bringt. Wenn Sie einen Chatbot auf Basis von OpenAI in Ihre Webseite integrieren, sind Sie in der Regel Betreiber. OpenAI ist Anbieter. Wenn Sie den Chatbot aber unter eigenem Namen verkaufen oder als eigene Loesung vermarkten, können Sie zum Anbieter werden.
Gilt Art. 50 auch für interne Chatbots im Unternehmen? Ja, sofern der Chatbot mit natuerlichen Personen interagiert. Ein interner HR-Bot, der Mitarbeiter zu Urlaubsregeln beraet, faellt unter Art. 50 Abs. 1. Mitarbeiter sind natuerliche Personen. Die Pflicht greift unabhängig davon, ob das System öffentlich oder intern eingesetzt wird.
Was ist mit ChatGPT, Claude oder Gemini? Muss ich da etwas anpassen? Die Anbieter dieser Modelle sind verantwortlich für die maschinenlesbare Markierung ihrer Ausgaben nach Art. 50 Abs. 2. Wenn Sie ChatGPT direkt nutzen, ohne ein Frontend zwischenzuschalten, ist OpenAI in der Anbieterrolle. Wenn Sie ChatGPT in Ihre eigene Anwendung einbetten und Nutzern bereitstellen, werden Sie Betreiber. Dann gelten Abs. 1 (Chatbot-Hinweis) und Abs. 4 (Deepfake-Hinweis, falls passend), nicht aber Abs. 2.
Wie sieht C2PA in der Praxis aus? C2PA-Manifeste sind für normale Nutzer unsichtbar. Sie werden in die Metadaten einer Datei eingebettet und mit einem kryptografischen Schlüssel signiert. Plattformen können die Signatur auswerten und ein kleines Symbol anzeigen, das die Herkunft signalisiert. Adobe Photoshop, Microsoft Designer und einige weitere Tools unterstuetzen C2PA bereits beim Export. Sie als Anwender müssen nichts konfigurieren.
Brauche ich eine technische Implementierung, um Art. 50 zu erfuellen? Für die meisten KMU-Faelle nein. Die Hauptlast liegt auf den Anbietern der Modelle. Sie selbst müssen Disclaimer setzen, Hinweise in Datenschutzerklaerungen ergänzen, Mitarbeiter schulen und ein internes Verzeichnis Ihrer KI-Systeme fuehren. Welche Strukturen dafür sinnvoll sind, vermittelt der Digitalisierungsmanager im Modul KI-Compliance.
Art. 50 KI-VO ist im Vergleich zu Art. 6 ff. über Hochrisiko-Systeme die zugaenglichere Norm. Sie verlangt keine technischen Hochleistungen, sondern Klarheit. Wer Klarheit als Standardhaltung etabliert, ist auch bei den nächsten Stufen der KI-VO gut aufgestellt. Wenn Sie in Ihrer Organisation noch keine Person haben, die Compliance-Themen rund um KI verantwortet, ist der Digitalisierungsmanager der direkteste Weg dorthin. Die Kompetenz-Grundlage dazu liefert die Art. 4 KI-Kompetenzpflicht, die seit Februar 2025 ohnehin gilt.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.