Die EU-Kommission hat einen Praxisleitfaden zur verpflichtenden Kennzeichnung von KI-generierten Inhalten vorgelegt, um die Transparenz bei Bildern, Videos und Texten zu erhöhen. Während die allgemeinen Regeln bereits im August 2026 in Kraft treten, werden sie für große Anbieter laut FAZ erst ab Dezember verbindlich.
Brüssel rückt die Zügel für Anbieter wie ChatGPT und Claude an. Der neue Leitfaden der EU-Kommission ist zwar rechtlich nicht unmittelbar bindend, fungiert aber als entscheidender Gradmesser für die Durchsetzung des verbindlichen KI-Gesetzes (EU AI Act), das am 1. August 2024 offiziell in Kraft getreten ist. Für Unternehmen bedeutet das: Die Zeit der freiwilligen Selbstverpflichtung endet.
Besonderes Augenmerk liegt dabei auf sogenannten General Purpose AI (GPAI)-Modellen. Diese Modelle, die für eine Vielzahl von Aufgaben eingesetzt werden können, unterliegen je nach Rechenleistung bei der Ausbildung unterschiedlichen Anforderungen. Modelle, deren kumulative Rechenleistung einen Schwellenwert von 1025 FLOPS (Floating Point Operations) überschreitet, werden als Modelle mit systemischem Risiko eingestuft und müssen strengere Transparenz- und Sicherheitsauflagen erfüllen.
Konkrete Vorgaben für Bild, Video und Audio
Die Anforderungen an die Sichtbarkeit sind strikt. Die Kennzeichnungspflicht fällt unter die Kategorie der „begrenzten Risiken“ innerhalb des risikobasierten Ansatzes der EU. Bilder und Videos müssen künftig klar als „KI generiert“ oder „KI modifiziert“ markiert werden. Laut n-tv sollen diese Etiketten etwa in einer Ecke des Bildausschnitts platziert werden.
Bei Videos reicht ein einmaliger Hinweis nicht aus. Die Kennzeichnung muss entweder direkt zu Beginn erscheinen, dauerhaft sichtbar bleiben oder in regelmäßigen Abständen erneut eingeblendet werden. Die Kommission schlägt zudem interaktive Elemente vor: Wer beispielsweise mit der Maus über ein KI-verfälschtes Gesicht fährt, könnte eine entsprechende Einblendung erhalten.
Auch andere Medienformate sind abgedeckt:
- Audio: KI-generierte Podcasts müssen zu Beginn einen Hinweis in gesprochener Sprache enthalten.
- Text: Etiketten sollen über dem Text oder unmittelbar nahe der Überschrift platziert werden.
- Kunst und Satire: Hier sind die Regeln lockerer, damit der Genuss des Werks nicht zu stark beeinträchtigt wird.
Diese Detailtiefe zeigt, dass die EU nicht nur auf technische Wasserzeichen setzt, die für Laien unsichtbar sind, sondern auf eine explizite, menschlich wahrnehmbare Kommunikation. Während technische Standards wie C2PA (Coalition for Content Provenance and Authenticity) Metadaten zur Herkunft speichern, fordert die EU-Kommission eine für den Endnutzer unmittelbar erkennbare Kennzeichnung.
Zeitplan und drakonische Strafen bei Verstößen
Die Implementierung erfolgt in Etappen, basierend auf der Risikoklassifizierung des EU AI Act. Das Gesetz unterteilt KI-Systeme in vier Risikostufen: unannehmbares Risiko (verboten), hohes Risiko, begrenztes Risiko und minimales Risiko.
Während die allgemeinen Transparenz- und Kennzeichnungspflichten für August 2026 angesetzt sind, gibt es für spezifische Risikokategorien separate Fristen. Wie Börse Express berichtet, wurde die Frist für Hochrisiko-KI-Systeme – dazu zählen etwa Anwendungen in der kritischen Infrastruktur oder im Personalwesen – auf den 2. Dezember 2027 verschoben.
Ein kritischer Meilenstein liegt jedoch früher: Das Verbot von sexualisierten Deepfakes tritt bereits am 2. Dezember 2026 in Kraft.
Die Überwachung dieser Regeln obliegt primär dem neu geschaffenen European AI Office innerhalb der EU-Kommission. Dieses Büro ist zentral für die Durchsetzung der Regeln bei GPAI-Modellen zuständig und arbeitet mit den nationalen Aufsichtsbehörden der Mitgliedstaaten zusammen.
Wer die Vorgaben ignoriert, riskiert existenzbedrohende Summen. Die Strafen bei Verstößen gegen die KI-Verordnung sind massiv:
| Strafmaß-Typ | Maximalbetrag / Prozentsatz |
|---|---|
| Fixbetrag | Bis zu 15 Millionen Euro |
| Umsatzbasiert | Bis zu drei Prozent des weltweiten Jahresumsatzes |
Diese Drohkulisse soll sicherstellen, dass insbesondere die großen Tech-Giganten die Kennzeichnung nicht als optional betrachten.
Compliance-Risiken und der Aufstieg europäischer Alternativen
Die regulatorische Last treibt eine Verschiebung in der Infrastruktur voran. Die Integration von KI-Modellen in Unternehmenssoftware schafft neue Angriffsflächen. Ein Beispiel ist das Model Context Protocol (MCP), über das Konnektoren für xAIs Grok auf Dienste wie Outlook, SharePoint oder GitHub zugreifen. Experten warnen hier vor erheblichen Risiken durch sogenannte Prompt-Injection-Angriffe.
Für deutsche Unternehmen ist die DSGVO-konforme Nutzung zwingend. Das bedeutet in der Praxis: Speicherung auf EU-Servern und spezifische Auftragsverarbeitungsverträge (AVV). Fabian Roser, AI Officer der Agentur Superspring und Certified AI Officer (EU AI Act), betont in einem Beitrag für die ahgz, dass die neuen Regeln besser sind als ihr Ruf, sofern man die Transparenzpflichten richtig versteht.
Dieser regulatorische Druck wirkt als Katalysator für lokale Anbieter. Es boomen derzeit europäische Alternativen, die Datensicherheit und Compliance nativ integrieren:
- Eustella: Das Wiener Unternehmen newsrooms.ai bietet Chatbots auf deutschen Servern unter Nutzung von Open-Source-Modellen an.
- Solita: Der IT-Dienstleister fungiert als autorisierter Wiederverkäufer für Anthropic in Europa und garantiert die Datenspeicherung innerhalb der EU.
- Entplexit: Eine Plattform, die Datenschutzlösungen speziell für die DACH-Region bündelt.
Die Verschiebung der Fristen für Hochrisiko-Systeme gibt Unternehmen zwar kurzfristig Luft, doch die Vorbereitung auf die Kennzeichnungspflichten im August 2026 ist bereits jetzt geschäftskritisch. Wer seine Lieferketten und KI-Schnittstellen nicht revisionsfähig gestaltet, begibt sich in eine rechtliche Grauzone, die durch die neue EU-Praxis zunehmend eng wird.
Find more reporting in our Unternehmen section.
