Die Art. 50 KI-VO Transparenzpflichten zwingen Sie ab dem 02.08.2026 dazu, Ihre Kunden und Nutzer über jeden direkten KI-Kontakt zu informieren. Gemeint sind vier sehr konkrete Situationen: ein Chatbot auf Ihrer Webseite, ein KI-generiertes Werbevideo, ein System, das Stimmungen oder Alter aus dem Gesichtsbild ableitet, und jede Form von Deepfake, die Sie veröffentlichen. Wer ab August 2026 noch ohne Hinweis arbeitet, riskiert ein Bußgeld von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher liegt.

Auf einen Blick: Art. 50 EU AI Act verlangt mehrere Transparenzpflichten. Anbieter von Chatbots müssen Nutzer über die Interaktion mit einer KI informieren. Anbieter generativer KI müssen Ausgaben maschinenlesbar als KI-erzeugt markieren. Betreiber von Emotionserkennung oder biometrischer Kategorisierung müssen Betroffene informieren. Wer Deepfakes verbreitet, muss offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde. Die Pflichten greifen ab 02.08.2026.

Was Art. 50 KI-VO regelt

Art. 50 KI-VO bündelt die Transparenzanforderungen für eine sehr spezifische Kategorie von KI-Systemen: solche, die direkt mit Menschen interagieren oder Inhalte erzeugen, die für Menschen bestimmt sind. Der Gesetzgeber nennt das im Erwaegungsgrund 132 die "besondere Gefahr der Verwechslung". Wenn Sie nicht mehr wissen, ob Sie gerade mit einem Menschen sprechen, ein echtes Foto sehen oder eine echte Stimme hören, dann verlieren Sie die Fähigkeit, Inhalte rational zu bewerten. Genau das will Art. 50 verhindern.

Die Norm unterscheidet zwischen vier Pflichten, die je nach Anwendungsfall greifen. Sie betreffen unterschiedliche Akteure: teils den Anbieter eines Systems (also den Hersteller), teils den Betreiber (also denjenigen, der das System einsetzt). Wer welche Rolle ausfüllt, ergibt sich aus Art. 3 KI-VO Begriffsbestimmungen. In den meisten KMU-Konstellationen sind Sie der Betreiber, weil Sie ein fertiges Modell von OpenAI, Anthropic oder Google in Ihre Prozesse einbauen.

Pflicht Wer ist verantwortlich? Was muss kommuniziert werden?
Abs. 1: Direktinteraktion Anbieter Hinweis, dass eine KI antwortet
Abs. 2: Generative Inhalte Anbieter Maschinenlesbare Markierung
Abs. 3: Emotion und Biometrie Betreiber Aktive Information der Betroffenen
Abs. 4: Deepfakes Betreiber Offenlegung der künstlichen Herkunft

Pflicht 1: Chatbots und KI-Direktinteraktion

Sobald ein KI-System dafür gemacht ist, direkt mit Menschen zu interagieren, muss der Anbieter es so gestalten, dass der Nutzer erkennt, dass er mit einer Maschine kommuniziert. Klassische Fälle sind Webseiten-Chatbots, Sprachassistenten am Telefon und virtuelle Agenten in Apps. Die Information muss spätestens beim ersten Kontakt erfolgen, klar verständlich sein und sich an den durchschnittlichen Nutzer richten.

Es gibt zwei Ausnahmen. Die erste greift, wenn die künstliche Herkunft "aus Sicht einer angemessen informierten, aufmerksamen und verständigen natürlichen Person offensichtlich ist". Ein humanoider Roboter, der Sie auf einer Messe begrüßt, fällt darunter. Ein Voicebot mit Studio-Stimme dagegen nicht. Die zweite Ausnahme betrifft den Einsatz durch Strafverfolgungsbehörden zur Aufdeckung, Verhütung oder Verfolgung von Straftaten. Für ein normales Unternehmen ist diese Ausnahme irrelevant.

In der Praxis reicht ein Disclaimer beim Chat-Start: "Sie chatten mit einem virtuellen Assistenten. Bei komplexen Anliegen leiten wir Sie an einen Mitarbeiter weiter." Wichtig ist die Klarheit. Formulierungen wie "Wir nutzen smarte Technologien" oder "Unser digitaler Helfer steht Ihnen zur Seite" sind zu vage und erfüllen die Pflicht nicht.

Pflicht 2: Maschinenlesbare Markierung generativer KI-Ausgaben

Anbieter generativer KI müssen ihre Ausgaben technisch markieren, sodass später automatisiert erkennbar ist, dass der Inhalt von einer Maschine stammt. Betroffen sind synthetische Audios, Bilder, Videos und Texte. Diese Pflicht trifft den Anbieter, also den Hersteller des Modells. Sie betrifft Sie als kleines oder mittleres Unternehmen nur dann unmittelbar, wenn Sie selbst ein eigenes generatives Modell entwickeln oder bereitstellen.

Praktisch durchgesetzt wird die Markierung über Standards wie C2PA, kurz für Coalition for Content Provenance and Authenticity. C2PA ist ein offener technischer Standard, getragen unter anderem von Adobe, BBC, Intel, Microsoft und mittlerweile mehr als 6.000 Mitgliedern. C2PA bettet kryptografisch signierte Manifeste in Mediendateien ein. Diese Manifeste dokumentieren, wer den Inhalt wann mit welchem Werkzeug erzeugt oder bearbeitet hat. Die Signatur ist fälschungssicher, weil sie über digitale Zertifikate nach X.509 abgesichert wird.

Reine C2PA-Metadaten sind zerbrechlich. Sobald eine Datei über soziale Netzwerke läuft, werden Metadaten oft entfernt. Deshalb empfiehlt die Industrie sogenannte Durable Content Credentials. Diese kombinieren das Manifest mit unsichtbaren Wasserzeichen und Inhalts-Fingerprints. Wasserzeichen überleben Kompression und Format-Konvertierung. Fingerprints erlauben es, die Herkunft auch ohne erhaltene Metadaten aus einer Datenbank wiederherzustellen.

Für Sie als Anwender bedeutet das: Sie müssen nichts implementieren. Sie sollten aber wissen, dass viele große Anbieter bereits sichtbar machen, ob ein Bild oder Video maschinell erzeugt wurde. Wenn Sie KI-Bilder oder KI-Videos weitergeben, geben Sie diese Markierungen mit weiter. Sie dürfen sie nicht aktiv entfernen.

Pflicht 3: Emotionserkennung und biometrische Kategorisierung

Wer ein System einsetzt, das Emotionen erkennt oder Menschen biometrisch kategorisiert, muss die betroffenen Personen über den Betrieb des Systems informieren. Hier sind Sie als Betreiber direkt in der Pflicht, weil die Norm an die Nutzung anknüpft, nicht an die Herstellung.

Emotionserkennung meint Systeme, die aus Gesicht, Stimme oder Körpersprache auf Gefühlszustände schließen. Beispiele sind Tools, die in Bewerbungsgesprächen die Stimmung des Kandidaten bewerten, oder Software in Call-Centern, die die Frustrationsschwelle des Anrufers messen soll. Biometrische Kategorisierung meint Systeme, die Personen anhand biometrischer Daten in Gruppen einordnen, etwa nach Alter, Geschlecht oder ethnischer Zugehörigkeit. Beides wird unter anderem in der Werbung und im Sicherheitsbereich eingesetzt.

Die Information muss vor der Verarbeitung erfolgen. Sie muss aktiv sein, nicht versteckt im Kleingedruckten einer langen Datenschutzerklärung. Wer ein solches System einsetzt, ohne zu informieren, verstößt gegen Art. 50 Abs. 3. Daneben gelten weiterhin die strengeren Regeln der DSGVO für besondere Kategorien personenbezogener Daten. Beide Rechtsrahmen müssen kumulativ erfüllt werden. Wie die Pflichten als Betreiber zusammenspielen, ist in Art. 26 KI-VO Betreiber-Pflichten ausführlicher dargestellt.

Pflicht 4: Deepfakes und künstliche Inhalte

Ein Deepfake ist ein KI-generierter oder KI-manipulierter Inhalt, der echten Personen, Gegenständen oder Ereignissen ohne erkennbare Veränderung ähnelt. Wer einen Deepfake verbreitet, muss offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde. Das gilt für Bilder, Videos und Audios. Die Offenlegung muss klar, sichtbar und spätestens beim ersten Kontakt mit dem Inhalt erfolgen.

Es gibt eine differenzierte Regel für künstlerische, satirische, fiktionale oder analoge Werke. Hier muss die Offenlegung "in geeigneter Weise" erfolgen, "die die Anzeige oder den Genuss des Werks nicht beeinträchtigt". Ein Filmtitel im Abspann, der die Verwendung von KI-Voice-Cloning kennzeichnet, reicht. Ein riesiger Disclaimer mitten im Bild wäre unverhältnismäßig.

Eine eigene Sonderregel gilt für KI-generierte Texte. Werden sie veröffentlicht, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, muss die künstliche Herkunft offengelegt werden. Wichtig: Diese Pflicht entfällt, wenn der Text einer menschlichen Prüfung oder redaktionellen Kontrolle unterlag und eine natürliche oder juristische Person die redaktionelle Verantwortung übernimmt. Damit wird das Journalisten-Privileg geschützt. Eine Zeitung, die einen KI-Entwurf von einem Redakteur prüfen und freigeben lässt, muss den Artikel nicht als KI-Text kennzeichnen.

Für KMU heißt das: Wenn Sie KI-Bilder oder KI-Videos in Werbung einsetzen, die echten Personen oder echten Orten ähneln, brauchen Sie einen Kennzeichnungshinweis. Wenn Sie KI-Texte über politische, gesellschaftliche oder regulatorische Themen veröffentlichen, brauchen Sie entweder einen Hinweis oder einen dokumentierten redaktionellen Prüfprozess.

Wann Art. 50 KI-VO greift

Art. 50 wird am 02.08.2026 wirksam. Bis dahin haben Sie Zeit, Ihre Webseiten, Ihre Marketing-Pipelines und Ihre internen Tools so anzupassen, dass die Transparenzpflichten technisch und organisatorisch erfüllt werden. Das Datum ist im sogenannten Digital Omnibus, dem aktuellen Vereinfachungspaket der EU, ausdrücklich nicht angetastet worden. Es steht fest.

Wichtig ist die saubere Abgrenzung zu anderen Fristen. Die Art. 4 KI-Kompetenzpflicht und das Verbot bestimmter Praktiken nach Art. 5 gelten bereits seit 02.02.2025. Die Vorschriften für Hochrisiko-Systeme (Art. 6 ff.) greifen weitgehend ebenfalls erst ab 02.08.2026, in Teilen sogar erst ab 02.08.2027. Wer alle Fristen gemeinsam plant, vermeidet Doppel-Arbeit und kann Schulungen, Dokumentation und technische Anpassungen gebündelt umsetzen.

Eine Übergangsregel gilt für KI-Systeme, die vor dem Stichtag in den Verkehr gebracht wurden. Hier setzt der Digital Omnibus Spielräume für die Nachrüstung. Wer also schon heute einen Chatbot betreibt, sollte den Disclaimer trotzdem bis Sommer 2026 nachziehen. Verlassen Sie sich nicht darauf, dass eine Übergangsregel Sie dauerhaft schützt.

Praxis-Fall KMU: Webseite mit Chatbot

Ein Bayreuther Steuerberater betreibt auf seiner Webseite einen Chatbot, der häufig gestellte Fragen zu Steuererklärungen beantwortet. Was muss bis 02.08.2026 geändert werden?

Erstens: Ein klarer Hinweis beim Start des Chats. Beispiel: "Sie chatten mit einem virtuellen Assistenten. Bei komplexen Themen verbinden wir Sie mit einem Steuerberater." Dieser Text muss vor der ersten Nachricht des Nutzers sichtbar sein, nicht erst nach der ersten Antwort.

Zweitens: Eine Wiederholung des Hinweises im Footer der Chat-Box. Das stellt sicher, dass auch Nutzer, die über einen Deeplink oder einen geteilten Chat-Link einsteigen, die Information bekommen.

Drittens: Eine Erwähnung in der Datenschutzerklärung. Dort gehören technische Details hin, etwa welches Modell verwendet wird, ob Verläufe gespeichert werden und wer der Anbieter ist.

Viertens: Eine interne Dokumentation, dass der Chatbot Art. 50 Abs. 1 erfüllt. Das ist Bestandteil Ihres Compliance-Nachweises, falls die Bundesnetzagentur als zuständige Aufsichtsbehörde nachfragt.

Praxis-Fall KMU: KI-Bilder für Social Media

Eine Marketing-Agentur erstellt für einen Kunden Instagram-Posts mit KI-generierten Bildern. Ein Bild zeigt eine fiktive Familie beim Frühstück, ein anderes eine Stadtszene, ein drittes ein KI-Portrait eines bekannten Politikers. Welche Pflichten greifen?

Das Familien- und das Stadtbild sind KI-Bilder, aber keine Deepfakes im Sinne des Art. 50 Abs. 4. Sie zeigen keine echten Personen und keinen echten Ort, sondern frei erfundene Szenen. Eine Kennzeichnungspflicht aus Art. 50 Abs. 4 besteht hier nicht. Sinnvoll bleibt der Hinweis trotzdem, weil viele Plattformen mittlerweile eigene Kennzeichnungsregeln haben und weil ein offener Umgang Vertrauen schafft.

Das KI-Portrait des Politikers ist ein klassischer Deepfake. Es zeigt eine echte Person in einer Situation, die so nie stattgefunden hat. Hier greift Art. 50 Abs. 4. Die Offenlegung muss klar und sichtbar sein, etwa als Overlay im Bild oder als deutlicher Hinweis in der Bildunterschrift. Ein versteckter Vermerk irgendwo in den Hashtags reicht nicht. Wenn der Inhalt zusätzlich Themen von öffentlichem Interesse berührt, greift parallel die Textregel nach Art. 50 Abs. 4 für den Begleittext.

Häufige Fragen

Wer ist Anbieter eines Chatbots im Sinne der KI-VO? Anbieter ist, wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen in den Verkehr bringt. Wenn Sie einen Chatbot auf Basis von OpenAI in Ihre Webseite integrieren, sind Sie in der Regel Betreiber. OpenAI ist Anbieter. Wenn Sie den Chatbot aber unter eigenem Namen verkaufen oder als eigene Lösung vermarkten, können Sie zum Anbieter werden.

Gilt Art. 50 auch für interne Chatbots im Unternehmen? Ja, sofern der Chatbot mit natürlichen Personen interagiert. Ein interner HR-Bot, der Mitarbeiter zu Urlaubsregeln berät, fällt unter Art. 50 Abs. 1. Mitarbeiter sind natürliche Personen. Die Pflicht greift unabhängig davon, ob das System öffentlich oder intern eingesetzt wird.

Was ist mit ChatGPT, Claude oder Gemini? Muss ich da etwas anpassen? Die Anbieter dieser Modelle sind verantwortlich für die maschinenlesbare Markierung ihrer Ausgaben nach Art. 50 Abs. 2. Wenn Sie ChatGPT direkt nutzen, ohne ein Frontend zwischenzuschalten, ist OpenAI in der Anbieterrolle. Wenn Sie ChatGPT in Ihre eigene Anwendung einbetten und Nutzern bereitstellen, werden Sie Betreiber. Dann gelten Abs. 1 (Chatbot-Hinweis) und Abs. 4 (Deepfake-Hinweis, falls passend), nicht aber Abs. 2.

Wie sieht C2PA in der Praxis aus? C2PA-Manifeste sind für normale Nutzer unsichtbar. Sie werden in die Metadaten einer Datei eingebettet und mit einem kryptografischen Schlüssel signiert. Plattformen können die Signatur auswerten und ein kleines Symbol anzeigen, das die Herkunft signalisiert. Adobe Photoshop, Microsoft Designer und einige weitere Tools unterstützen C2PA bereits beim Export. Sie als Anwender müssen nichts konfigurieren.

Brauche ich eine technische Implementierung, um Art. 50 zu erfüllen? Für die meisten KMU-Fälle nein. Die Hauptlast liegt auf den Anbietern der Modelle. Sie selbst müssen Disclaimer setzen, Hinweise in Datenschutzerklärungen ergänzen, Mitarbeiter schulen und ein internes Verzeichnis Ihrer KI-Systeme führen. Welche Strukturen dafür sinnvoll sind, vermittelt der Digitalisierungsmanager im Modul KI-Compliance.

Art. 50 KI-VO ist im Vergleich zu Art. 6 ff. über Hochrisiko-Systeme die zugänglichere Norm. Sie verlangt keine technischen Hochleistungen, sondern Klarheit. Wer Klarheit als Standardhaltung etabliert, ist auch bei den nächsten Stufen der KI-VO gut aufgestellt. Wenn Sie in Ihrer Organisation noch keine Person haben, die Compliance-Themen rund um KI verantwortet, ist der Digitalisierungsmanager der direkteste Weg dorthin. Die Kompetenz-Grundlage dazu liefert die Art. 4 KI-Kompetenzpflicht, die seit Februar 2025 ohnehin gilt.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp