Visuelle und akustische Marker für KI-Inhalte
Die Umsetzung der Transparenzvorgaben erfolgt über eine Kombination aus sichtbaren Labels und technischen Metadaten. Laut einem Praxisleitfaden der EU-Kommission sollen Videos und Fotos durch Etiketten in einer Ecke des Bildes klar als „KI generiert“ oder „KI modifiziert“ gekennzeichnet werden. In Videos müssen diese Hinweise zu Beginn erscheinen, dauerhaft eingeblendet bleiben oder in regelmäßigen Abständen wiederholt werden.
Für unterschiedliche Medientypen sieht die Kommission spezifische Formate vor:
Ausnahmen gibt es für Kunstwerke oder Satire, bei denen die Labels den Genuss des Werks nicht übermäßig beeinträchtigen dürfen.
Technische Standards und digitale Wasserzeichen
Da einzelne Verfahren oft nicht ausreichen, fordert die EU einen mehrschichtigen technischen Ansatz. Wie heise online berichtet, müssen Anbieter von generativer KI eine Kombination aus mindestens zwei maschinenlesbaren Ebenen implementieren. Dazu gehören manipulationssichere digitale Signaturen mit Zeitstempeln sowie unsichtbare Wasserzeichen, die schwer vom Inhalt zu trennen sind.
Besondere Regeln gelten für Texte: Fließtexte mit mehr als 200 Zeichen, die keine konventionellen Metadaten transportieren können, benötigen ebenfalls Wasserzeichen. Der Zugriff auf die entsprechenden Erkennungswerkzeuge bleibt jedoch vorerst auf verifizierte Experten beschränkt.
Unternehmen, die diesen freiwilligen Verhaltenskodex unterzeichnen und umsetzen, können dies gegenüber den Behörden als Nachweis nutzen, dass sie die gesetzlichen Pflichten des AI Acts erfüllen. Gleichzeitig ist es Anbietern untersagt, Werkzeuge zu vertreiben, die diese Schutzmechanismen umgehen.
Die weite Definition des KI-Betreibers
Ein kritischer Punkt der neuen Regulierung ist die Definition, wer für die Kennzeichnung verantwortlich ist. Die Pflicht trifft nicht nur die Software-Entwickler, sondern die sogenannten Betreiber. Laut einer Analyse von wbs.legal ist ein Betreiber jede natürliche oder juristische Person, die ein KI-System in eigener beruflicher Verantwortung nutzt.
Dies weitet den Kreis der Betroffenen massiv aus. Betroffen sind unter anderem:
Auch der Begriff „Deepfake“ wird extrem weit ausgelegt. Es müssen nicht zwingend reale Personen imitiert werden; bereits ein fotorealistisch generiertes, aber frei erfundenes menschliches Gesicht gilt als Deepfake, sofern es in der realen Welt so existieren könnte und einer Person fälschlicherweise als echt erscheinen würde.
Zeitplan und verbindliche Fristen
Die Einführung der Regeln erfolgt gestaffelt. Während einige Kernregeln bereits im August 2026 greifen, haben Unternehmen bei komplexeren Systemen längere Übergangsfristen. Durch den Digital Omnibus wurden die Zeitpläne für Hochrisiko-KI präzisiert.
Haftungsrisiken und nationale Aufsicht
Die regulatorische Verschärfung bringt erhebliche finanzielle und rechtliche Risiken mit sich. Verstöße gegen die Transparenzvorgaben können zu immensen Bußgeldern führen. Besonders brisant ist die persönliche Haftung: Laut AD HOC NEWS haften Geschäftsführer bei Verstößen gegen die Legalitätspflicht persönlich, wobei eine D&O-Versicherung bei wissentlicher Pflichtverletzung keinen Schutz bietet.
In Deutschland übernimmt die Bundesnetzagentur eine zentrale Rolle. Sie fungiert als nationale Aufsicht für den EU Data Act und überwacht unter anderem den Datenzugang bei IoT-Produkten sowie den Wechsel von Cloud-Anbietern.
Für Unternehmen bedeutet dies einen akuten Dokumentationszwang. Bereits seit Februar 2025 ist die Förderung von KI-Kompetenz vorgeschrieben, doch die Umsetzung hinkt hinterher. Die Kombination aus strengen Kennzeichnungspflichten und der persönlichen Haftung der Führungsebene zwingt Firmen nun dazu, ihre KI-Workflows rechtssicher einzuordnen.
Find more reporting in our Unternehmen section.
