KI-Kennzeichnungspflichten ab dem 2. August 2026

Bereits am 1. August 2024 war die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (nachfolgend KI-VO) in Kraft getreten. In wenigen Wochen, ab dem 2. August 2026, ist die KI-VO dann allgemein anwendbar. Besonders wichtig in diesem Zusammenhang ist die Pflicht zur Kennzeichnung von bestimmten KI-Inhalten, da besonders viele Unternehmen davon betroffen sein werden.

Von der Gestaltung der Unternehmenswebseite über den Einsatz von Chatbots im Kundenservice und die Pflege von Social-Media-Kanälen bis hin zur Erstellung von Präsentationen, Videos, Newslettern und Marketingmaterialien – digitale Technologien sind im Unternehmensalltag äußerst nützlich. Doch KI‑gestützte Desinformation ist eine reale Gefahr, die enorme Schäden in verschiedenen Bereichen wie Rufschädigung, politische Einflussnahme, Identitätsdiebstahl und Vermögensdelikte sowie erhebliche Persönlichkeitsrechtsverletzungen anrichten kann. Dieser Gefahr will die EU mit der KI-Verordnung entgegenwirken.

In diesem Beitrag gebe ich einen Überblick über die Regelung zum Umgang mit generierten Inhalten, deren Anwendungsbereiche, Ausnahmen und Rechtsfolgen bei der Nichtbeachtung – immer anhand praxisnaher Beispiele.

Art. 50 II und IV KI-VO unterscheidet zwischen Anbietern und Betreibern eines KI-Systems mit entsprechend unterschiedlichen Pflichten mit der Inbezugnahme aus dem jeweiligen Verantwortungsbereich. Die Begriffe „Anbieter“ und „Betreiber“ sind zwar in der Verordnung definiert, die Einordnung ist dennoch in der Praxis nicht immer einfach, es kann sogar zu einer Änderung kommen: 

• Als Anbieter nach Art. 3 Nr. 3 KI-VO bezeichnet wird „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich.“ Daher sind Anbieter alle Unternehmen, die ihre KI-Systeme anderen Nutzern bereitstellen, z. B. ChatGPT, Claude, MidJourney, Copy.ai oder IBM. Wenn eine Marketingagentur MidJourney oder DALL·E für Kundenprojekte nutzt, ist das Unternehmen hinter dem Tool MidJourney oder DALL·E daher schlicht Anbieter.
• Als Betreiber nach Art. 3 Nr.4 KI-VO definiert ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“. Typischerweise ist dies ein Unternehmen, das ein KI-System vom Anbieter erwirbt und anschließend einsetzt, wie z. B. ein Onlineshop, welcher ChatGPT für Kundenservice-Anfragen nutzt. Nicht geklärt ist, ob Betreiber auch der einzelne Nutzer in einem Unternehmen sein kann.

In vielen Fällen kauft ein Unternehmen ein KI-System von einem Anbieter und setzt es anschließend selbst ein. So können Anbieter und Betreiber auch personenidentisch sein, etwa wenn der Anbieter ein KI-System zur Eigennutzung entwickelt und in Betrieb nimmt.

Der Inhaber eines Social-Media-Accounts etwa könnte sogar Anbieter sein, wenn er das KI-System unter eigenem Namen oder Marke in Verkehr bringt oder wesentlich verändert, etwa durch Anpassung der Zweckbestimmung oder Integration in eigene Produkte (Art. 25 KI-VO). In der Praxis ist der Social-Media-Account-Inhaber jedoch meist Betreiber, nicht Anbieter, sofern er das KI-System lediglich nutzt und nicht vertreibt oder modifiziert.

Bei den regulierten Inhalten handelt es sich um Texte, Bilder, Videos, Audios, die mittels einer KI‑Anwendung erstellt wurden. Sie sind oft von wirklichen Inhalten nicht ohne Weiteres zu unterscheiden. 

Die Kennzeichnungspflichten nach Art. 50 II KI-VO richten sich an den Anbieter eines KI-Systems, der die Voraussetzungen der Erzeugung oder der Manipulation erfüllt. Er muss sicherstellen, dass die Ausgaben des KI-Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind. Diese Pflichten gelten nebeneinander. Eine Vorgabe für die „maschinenlesbare Form“ enthalten die KI-VO oder die Erwägungsgründe nicht. Die Kennzeichnungspflicht für den Anbieter sieht auch Ausnahmen vor. Und zwar soll eine Kennzeichnungspflicht stets dann entfallen, wenn „die KI-Systeme eine unterstützende Funktion für die Standardbearbeitung ausführen oder die vom Betreiber bereitgestellten Eingabedaten oder deren Semantik nicht wesentlich verändern.“ Als Beispiel ist hier die Textkorrektur oder Übersetzungs-KI-Systeme genannt. Ob eine Textkorrektur wie z. B. DeepL-write ebenfalls von der Ausnahme erfasst ist, wird wohl stets eine Einzelfallauslegung in Bezug auf die Bearbeitung bleiben. Möglich ist, dass auch hier eine Kennzeichnungspflicht entfällt. 

Betreiber von KI‑Anwendungen, die mittels Bild-, Ton- oder Video Deepfakes erstellen, müssen gem. Art. 50 IV UAbs. 1 offenlegen, dass es sich um solche handelt. Hier ist die Unterscheidung zwischen Deepfake und sonstigem erstellten Inhalt relevant. Deepfake, ist nach Art. 3 Nr.60 KI-VO eine durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde. Die Transparenzpflicht besteht daher nur bei Deepfakes. Einschränkend ist die Kennzeichnung vorzunehmen, dass die Darstellung oder der Genuss der Werke nicht beeinträchtigt, sofern es sich dabei um offensichtlich künstlerisches, kreatives, satirisches, fiktionales oder analoges Werk oder Programm handelt. Es ist davon auszugehen, dass die Auslegung des Begriffes „offensichtlich“ künstlerisch, kreativ… die Gerichte in Zukunft beschäftigen werden.

Wenn es sich um erzeugte oder manipulierte Texte handelt, sind diese als erzeugt oder manipuliert zu kennzeichnen (Art. 50 IV 4 KI-VO). Dies gilt nicht für KI-Systeme, die zur Aufdeckung von Straftaten zugelassen sind oder wenn die durch KI erzeugten Inhalte einem Verfahren der menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und wenn eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt. Wird jedoch dieser durch KI erzeugte Text durch einen Menschen überprüft und trägt eine Person die Verantwortung für die Veröffentlichung, entfällt die Kennzeichnungspflicht. Für die Erstellung von KI-erzeugten Texten bestehen somit weiterhin, ohne einer Kennzeichnungspflicht zu unterliegen, weitgehende Möglichkeiten, insbesondere, dass die Veröffenlichungsverantwortlichkeit auch durch juristische Personen übernommen werden kann. Wenn diese Möglichkeit in Unternehmen genutzt werden soll, sollten diese Mechanismen und Verantwortlichkeiten geregelt werden.

Die Art der Kennzeichnung ist vom Gesetzgeber nicht konkret bestimmt worden und wird daher in kommenden Gerichtsverfahren Anlass zur Auseinandersetzung bieten. Festgelegt ist jedoch, dass die Informationen spätestens zum Zeitpunkt der ersten Interaktion oder Aussetzung in klarer und eindeutiger Weise bereitgestellt werden müssen. Zudem müssen diese den geltenden Barrierefreiheitsanforderungen entsprechen.

Die Offenlegungspflicht ist beispielsweise dann als erfüllt anzusehen, wenn der Inhalt mit dem gut erkennbaren Hinweis „KI-generierter Text“ versehen ist. Auch Hinweise wie „KI-generiert“, „mit KI erzeugtes Bild“, „erstellt mit Unterstützung von KI“ oder „synthetische Stimme“ wären passend. Fraglich ist, ob auch eine anderweitige Offenlegung genügt und ob es ausreicht, diese Information nur am Anfang eines Werks zu zeigen. Der Gesetzestext spricht an dieser Stelle von einer Transparenzpflicht, nicht von einer Kennzeichnungspflicht.

Zusammenfassend zeigt sich, dass die Regelungen für Unternehmen im Einzelfall sowohl hinsichtlich ihres Anwendungsbereichs als auch bei ihrer praktischen Umsetzung erhebliche Herausforderungen mit sich bringen können. Sollten die Vorgaben der KI-VO jedoch nicht umgesetzt werden, drohen Bußgelder und zusätzlich die Gefahr von Abmahnungen.

Juristische Personen können sogar unmittelbar mit Geldbußen von bis zu 15 Mio. € oder bis zu 3 % des gesamten weltweiten Jahresumsatzes eines Geschäftsjahrs belegt werden, je nachdem welcher Betrag höher ausfällt. Die Regelungen des Art. 50 II und IV KI-VO sind höchstwahrscheinlich als Marktverhaltensregelungen nach den Regeln des unlauteren Wettbewerbs (hier § 3a UWG) einzuordnen, somit können Mitbewerber und bestimmte Verbände kostenpflichtige Abmahnungen aussprechen und sogar Gerichtsverfahren anstrengen.

Spätestens ab dem 2. August 2026 müssen die Vorgaben der KI-VO umgesetzt worden sein. Unternehmen sollten zunächst ihre KI-Tools erfassen und nach ihrem Anwendungsbereich (Anbieter oder Betreiber) bewerten. Neben einer Kennzeichnungspflicht empfiehlt sich zudem eine interne Richtlinie zur Nutzung von KI-Anwendungen, in der die Geschäftsführung klar festlegt, welche Tools wie erlaubt sind und wer ggf. die Verantwortung für die Veröffentlichung von KI-generierten Texten trägt. Somit können Risiken minimiert werden. Generelle Verbote bergen das Risiko von Schatten-KI mit unerwünschten negativen Folgen. Es ist davon auszugehen, dass es ab August zu Abmahnungen und im Jahresverlauf auch zu Gerichtsverfahren kommen wird.

Unabhängig von gesetzlichen Vorgaben verpflichten einige KI-Anbieter ihre Nutzer bereits vertraglich zur Kennzeichnung. Diese gelten zunächst unabhängig vom gesetzgeberischen Willen und werden in den jeweiligen Lizenzvereinbarungen für die Nutzer verpflichtend. Mögliche Folgen bei Verstößen gegen Plattformrichtlinien können beispielhaft sein die Entfernung oder Sperrung einzelner Beiträge, Reichweitenbegrenzung („Shadowban“ / reduzierte Sichtbarkeit) oder Verwarnungen oder „Strikes“ gegen den Account oder eine vorübergehende oder dauerhafte Kontosperre.

Autorin: Luise Klufmöller LL.M. (Rechtsanwältin | Fachanwältin für Urheber- und Medienrecht | Fachanwältin für gewerblichen Rechtsschutz)