Alle Leitfäden

Jul 15, 2026 · 8 Min. Lesezeit

KI-Kennzeichnungspflicht 2026: Der Praxis-Leitfaden zu Art. 50

Die KI-Kennzeichnungspflicht nach Artikel 50 der EU-KI-Verordnung rückt näher: Ab dem 2. August 2026 müssen bestimmte KI-Systeme und ihre Ausgaben transparent gekennzeichnet werden. Dieser Leitfaden erklärt praxisnah, was gekennzeichnet werden muss, wer in der Pflicht steht, ab wann die Regeln greifen und wie Sie strukturiert – pro Produkt – vorgehen. Er ersetzt keine Rechtsberatung, sondern hilft Ihnen, die operative Vorarbeit sauber aufzusetzen.

Was die KI-Kennzeichnungspflicht regelt

Artikel 50 der KI-Verordnung bündelt die sogenannten Transparenzpflichten. Der Grundgedanke ist einfach: Menschen sollen erkennen können, wann sie mit einer KI sprechen und wann Inhalte künstlich erzeugt oder manipuliert wurden. Es geht nicht darum, KI zu verbieten, sondern darum, Täuschung zu vermeiden und informierte Entscheidungen zu ermöglichen.

Wichtig für die Einordnung: Diese Kennzeichnungspflichten gelten unabhängig davon, ob Ihr System als „Hochrisiko" eingestuft ist. Sie knüpfen allein an die Art der Interaktion oder des Inhalts an. Auch ein harmloser Chatbot oder ein Bildgenerator kann also betroffen sein.

Ab wann gilt die Kennzeichnungspflicht?

Die Transparenzpflichten des Artikels 50 werden nach Artikel 113 ab dem 2. August 2026 anwendbar. Das ist das maßgebliche Datum, an dem Sie funktionsfähig sein sollten.

Für die maschinenlesbare Kennzeichnung synthetischer Inhalte auf Anbieterseite gibt es eine begrenzte Übergangsmöglichkeit: Für bestimmte Systeme, die bereits vor dem allgemeinen Anwendungsbeginn auf dem Markt waren, kann sich dieser Teil bis zum 2. Dezember 2026 erstrecken. Verstehen Sie das nicht als generellen Aufschub – es ist eine eng gefasste Ausnahme für Bestandssysteme, nicht der neue Regeltermin.

Die vier Pflichtkategorien im Detail

Artikel 50 unterscheidet vier Konstellationen. Prüfen Sie jede einzeln für Ihr Produkt – oft trifft mehr als eine zu.

Art. 50(1) – KI-Interaktion offenlegen

Wer ein KI-System bereitstellt, das direkt mit Menschen interagiert (Chatbots, Sprachassistenten, KI-gestützte Support-Widgets), muss die betroffenen Personen darüber informieren, dass sie mit einer KI kommunizieren. Die Ausnahme: Es ist aus Sicht einer verständigen, aufmerksamen Person ohnehin offensichtlich. Verlassen Sie sich nicht vorschnell auf diese Ausnahme – im Zweifel ist ein klarer Hinweis der sichere Weg.

Art. 50(2) – KI-generierte Inhalte maschinenlesbar kennzeichnen

Anbieter von Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen deren Ausgaben in einem maschinenlesbaren Format als künstlich generiert oder manipuliert markieren. Gemeint ist eine technische Auszeichnung, die Maschinen (Plattformen, Browser, Prüfsysteme) auslesen können – etwa über Metadaten. Ein rein sichtbares Wasserzeichen für Menschen genügt dieser konkreten Pflicht nicht.

Art. 50(3) – Emotions- und Biometriesysteme

Betreiber von Systemen zur Emotionserkennung oder zur biometrischen Kategorisierung müssen die exponierten Personen über den Einsatz informieren. Zusätzlich ist die Verarbeitung personenbezogener Daten nach der DSGVO auszugestalten. Hier laufen KI-Verordnung und Datenschutzrecht parallel – beides muss zusammengedacht werden.

Art. 50(4) – Deepfakes und Informationstexte

Betreiber müssen Deepfakes – künstlich erzeugte oder manipulierte Bild-, Audio- oder Videoinhalte, die real wirken – als solche offenlegen. Ebenso ist KI-generierter oder -manipulierter Text offenzulegen, der veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren. Es gibt enge Ausnahmen, etwa bei redaktioneller Kontrolle mit menschlicher Verantwortung oder bei künstlerischen und satirischen Werken. Diese Ausnahmen sind schmal – ob Ihr Fall darunterfällt, ist eine Frage für die Rechtsberatung.

Wie eine gute Offenlegung aussieht

Bei der Offenlegung gegenüber Menschen zählt Verständlichkeit, nicht juristisches Kleingedrucktes. Ein Hinweis sollte rechtzeitig (vor oder zu Beginn der Interaktion), klar formuliert und gut wahrnehmbar sein – nicht in einer langen Datenschutzerklärung versteckt. Bei Deepfakes und öffentlich informierenden Texten gehört die Kennzeichnung dorthin, wo der Inhalt konsumiert wird, damit sie niemandem entgeht. Formulieren Sie in der Sprache Ihrer Nutzer und vermeiden Sie irreführende Relativierungen wie „teilweise automatisiert", wenn der Inhalt vollständig KI-generiert ist.

Wer ist betroffen: Anbieter oder Betreiber?

Die KI-Verordnung verteilt Pflichten auf zwei Rollen, und die Unterscheidung entscheidet, welche Absätze für Sie gelten.

  • Anbieter (englisch *provider*): Wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Anbieter tragen vor allem die Pflichten aus Art. 50(1) und 50(2).
  • Betreiber (englisch *deployer*): Wer ein KI-System im Rahmen seiner beruflichen Tätigkeit einsetzt. Betreiber tragen vor allem die Pflichten aus Art. 50(3) und 50(4).

In der Praxis sind viele Produktteams beides zugleich – etwa wenn Sie einen eigenen Chatbot anbieten (Anbieter) und zugleich ein Emotionserkennungs-Feature eines Dritten einsetzen (Betreiber). Ordnen Sie deshalb jede Funktion einzeln zu.

Auch außerhalb der EU

Der Anwendungsbereich reicht über die EU-Grenzen hinaus. Anbieter und Betreiber außerhalb der EU können erfasst sein, sobald ihre Systeme auf dem EU-Markt bereitgestellt werden oder deren Ausgaben in der EU verwendet werden. Ein Firmensitz in den USA oder Großbritannien schließt die Pflichten also nicht aus, wenn EU-Nutzerinnen und -Nutzer erreicht werden.

Fremd-Modelle über eine API entbinden nicht

Ein verbreitetes Missverständnis: „Wir nutzen nur die API von OpenAI oder Anthropic, also sind das deren Pflichten." Der Aufruf eines fremden Modells nimmt Ihnen nicht die Pflichten ab, die an das KI-System hängen, das Sie bereitstellen oder betreiben. Sie entscheiden über die Nutzerschnittstelle, den Kontext und die veröffentlichten Ausgaben – und damit über die Kennzeichnung.

Das Anpassen oder Feintunen eines Allzweckmodells macht Sie nicht automatisch zu dessen Anbieter. Eine wesentliche Modifikation kann jedoch eine eigene Bewertung als GPAI-Anbieter auslösen – ein Grenzfall, den Sie mit rechtlicher Beratung und der Kommissionsleitlinie zu GPAI-Anbieterpflichten klären sollten.

Häufige Missverständnisse

  • „Ein sichtbarer Hinweis reicht immer." Für die Offenlegung gegenüber Menschen (Art. 50(1), 50(4)) ist ein klarer Hinweis zentral. Für maschinenlesbare Markierung (Art. 50(2)) braucht es zusätzlich eine technische Auszeichnung – beides sind unterschiedliche Anforderungen.
  • „Wir sind kein Hochrisiko-System, also betrifft uns Art. 50 nicht." Die Transparenzpflichten gelten unabhängig von der Risikoklasse.
  • „Eine Prüfung für das ganze Unternehmen genügt." Die Pflichten hängen an Systemen in Produkten. Bewerten Sie pro Produkt und pro Funktion, nicht pauschal pro Firma.
  • „Wir sind fertig, sobald etwas markiert ist." Die KI-Verordnung und die offiziellen Leitlinien – nicht ein Tool oder ein Artikel – bestimmen, ob Ihre Umsetzung ausreicht.

Schritt für Schritt: so gehen Sie pro Produkt vor

Die folgende Reihenfolge hat sich als praktikable operative Vorarbeit bewährt. Sie ersetzt keine juristische Einzelfallprüfung, strukturiert aber die Arbeit.

1. Inventar erstellen. Listen Sie jede KI-Funktion pro Produkt auf: Chat, Sprachein-/ausgabe, Text-, Bild-, Audio- oder Videogenerierung, Emotions-/Biometrieanalyse. 2. Rolle bestimmen. Sind Sie für diese Funktion Anbieter, Betreiber oder beides? Notieren Sie es je Funktion. 3. Kategorie zuordnen. Welcher der vier Absätze (50(1)–(4)) greift? Mehrfachnennungen sind normal. 4. EU-Bezug prüfen. Erreichen Sie EU-Nutzer oder werden Ausgaben in der EU verwendet? Falls ja, gelten die Pflichten unabhängig vom Firmensitz. 5. Umsetzung planen. Für Interaktion: gut sichtbarer, verständlicher Hinweis. Für synthetische Ausgaben: maschinenlesbare Markierung. Für Emotions-/Biometriesysteme: Information plus DSGVO-konforme Datenverarbeitung. Für Deepfakes/Informationstexte: klare Offenlegung. 6. Ausnahmen dokumentieren. Wenn Sie sich auf „offensichtlich" oder eine enge Ausnahme berufen, halten Sie die Begründung schriftlich fest – und lassen Sie sie rechtlich prüfen. 7. Belegen und wiederholen. Dokumentieren Sie, wo und wie gekennzeichnet wird, und überprüfen Sie es bei jeder Produktänderung erneut.

Ein Beispiel aus der Praxis

Nehmen wir eine fiktive SaaS für Kundensupport mit drei KI-Funktionen:

  • Support-Chatbot (Sie sind Anbieter). Er interagiert direkt mit Endnutzern. Art. 50(1) greift: Ein Hinweis wie „Sie chatten mit einem KI-Assistenten" beim Gesprächsbeginn informiert klar.
  • Automatisch erzeugte Antwort-Zusammenfassungen als Bild-/Textkacheln (Sie sind Anbieter). Werden synthetische Inhalte erzeugt, greift Art. 50(2): Die Ausgaben sind zusätzlich maschinenlesbar als KI-generiert zu markieren.
  • Analyse der Kundenstimmung aus Sprachnachrichten über einen Drittanbieter (Sie sind Betreiber). Handelt es sich um Emotionserkennung, greift Art. 50(3): Die betroffenen Personen sind zu informieren, und die Datenverarbeitung ist an der DSGVO auszurichten.

Ergebnis: Drei Funktionen, zwei Rollen, drei unterschiedliche Pflichten – in einem Produkt. Genau deshalb lohnt die Bewertung pro Funktion statt pauschal.

Warum sich die Vorarbeit jetzt lohnt

Die Zuständigkeit für die Durchsetzung liegt bei den nationalen Marktüberwachungsbehörden der Mitgliedstaaten. Unabhängig davon, wie einzelne Behörden künftig vorgehen: Wer die eigenen KI-Funktionen früh inventarisiert, den Rollen zuordnet und die Kennzeichnung dokumentiert, verschafft sich Planungssicherheit und vermeidet hektische Last-Minute-Umbauten kurz vor dem 2. August 2026.

Ein weiterer Grund ist Vertrauen: Transparente Hinweise auf KI-Interaktion und KI-generierte Inhalte sind zunehmend eine Erwartung von Nutzerinnen und Nutzern, nicht nur eine rechtliche Vorgabe. Wer sauber kennzeichnet, kommuniziert Verlässlichkeit. Behandeln Sie die Kennzeichnung deshalb als festen Bestandteil Ihres Produkt- und Release-Prozesses, nicht als einmaliges Projekt: Jede neue KI-Funktion durchläuft dieselbe kurze Prüfung von Rolle, Kategorie und EU-Bezug.

Was maschinenlesbare Kennzeichnung leistet – und was nicht

Für Art. 50(2) verwendete Verfahren wie eingebettete HTML-Auszeichnungen, JSON-LD oder Header-Metadaten sind beratende Metadaten, keine signierten Herkunftsnachweise. Sie sind keine C2PA-Zertifizierung und sollten nicht für sich allein als ausreichend behandelt werden – Metadaten lassen sich beim Weiterverarbeiten verlieren. Betrachten Sie sie als einen Baustein, nicht als Beweis.

Ergänzend gibt es einen freiwilligen EU-Verhaltenskodex zur Transparenz KI-generierter Inhalte, an dem Sie sich orientieren können. Für die verbindliche Auslegung sind der Verordnungstext selbst und die offiziellen Hinweise des AI Act Service Desk der EU-Kommission maßgeblich. Einen guten Einstieg bietet zudem der Referenz-Erklärtext zu Artikel 50.

Wichtiger Hinweis

Dieser Beitrag ist keine Rechtsberatung und kann keine rechtliche Prüfung Ihres konkreten Falls ersetzen. Er hilft Ihnen, die operative Vorarbeit zu strukturieren; ob eine Umsetzung ausreicht, bestimmen die KI-Verordnung und die offiziellen Leitlinien – nicht dieser Artikel. Ziehen Sie für verbindliche Einordnungen, insbesondere bei Ausnahmen und GPAI-Grenzfällen, qualifizierte Rechtsberatung hinzu.

Nächster Schritt

Wenn Sie einen strukturierten Startpunkt suchen, kann ein kurzer, kostenloser Readiness-Check helfen, Ihre KI-Funktionen den vier Kategorien zuzuordnen und offene Punkte pro Produkt sichtbar zu machen – als Grundlage für das Gespräch mit Ihrer Rechtsberatung, nicht als Ersatz dafür.

Sieh genau, was für dein Produkt gilt

Kostenlosen Check starten

Quellen

This is compliance tooling, not legal advice. Consult counsel for your specific case.