Transparenzpflichten im EU AI Act

Was Art. 50 ab August 2026 von Unternehmen verlangt

Während die Hochrisiko-Fristen des EU AI Act durch den Digital Omnibus voraussichtlich verschoben werden, bleibt ein Stichtag unverändert bestehen: Am 2. August 2026 werden die Transparenzpflichten nach Art. 50 anwendbar. Sie betreffen Anbieter und Betreiber von KI-Systemen gleichermaßen und stellen Anforderungen an die Kennzeichnung, Offenlegung und technische Markierung KI-generierter Inhalte.

Für viele Unternehmen sind diese Pflichten der erste unmittelbare Berührungspunkt mit dem EU AI Act. Wer Chatbots, Bildgeneratoren, Textgenerierungssysteme oder Emotionserkennung einsetzt oder anbietet, muss in weniger als vier Monaten nachweisen können, dass die Transparenzanforderungen erfüllt sind. Dieser Beitrag erläutert, was Art. 50 konkret verlangt, wie der aktuelle Stand der Orientierungshilfen aussieht und welche Schritte Unternehmen jetzt einleiten sollten.

1. Art. 50 im Überblick: Vier Absätze, unterschiedliche Adressaten

Art. 50 der KI-Verordnung adressiert unterschiedliche Transparenzszenarien und richtet sich sowohl an Anbieter als auch an Betreiber von KI-Systemen. Die vier Absätze bilden ein abgestuftes System, das von der direkten Interaktion mit Nutzern bis zur Kennzeichnung synthetischer Inhalte reicht.

Art. 50 Abs. 1 – Offenlegung bei direkter Interaktion (Anbieterpflicht): Anbieter von KI-Systemen, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, müssen sicherstellen, dass Nutzer darüber informiert werden, dass sie mit einem KI-System interagieren. Ausgenommen sind Fälle, in denen dies für eine angemessen informierte Person unter Berücksichtigung der Umstände offensichtlich ist. Eine weitere Ausnahme gilt für KI-Systeme, die gesetzlich zur Erkennung, Verhütung, Ermittlung oder Verfolgung von Straftaten zugelassen sind.

Art. 50 Abs. 2 – Maschinenlesbare Kennzeichnung synthetischer Inhalte (Anbieterpflicht): Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen sicherstellen, dass die Ausgaben in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind. Die Umsetzung muss wirksam, interoperabel, robust und zuverlässig sein, wobei die technische Machbarkeit, die Besonderheiten der Inhalte, die Umsetzungskosten und der Stand der Technik zu berücksichtigen sind. Dies ist die technisch anspruchsvollste Pflicht und betrifft insbesondere Anbieter generativer KI-Systeme.

Art. 50 Abs. 3 – Offenlegung bei Emotionserkennung und biometrischer Kategorisierung (Betreiberpflicht): Betreiber von KI-Systemen zur Emotionserkennung oder biometrischen Kategorisierung müssen die betroffenen Personen über den Einsatz informieren und die einschlägigen Datenschutzvorschriften einhalten – insbesondere die DSGVO (Verordnung (EU) 2016/679), die Datenschutzverordnung für Organe und Einrichtungen der EU (Verordnung (EU) 2018/1725) und die Strafverfolgungsrichtlinie (Richtlinie (EU) 2016/680).

Art. 50 Abs. 4 – Offenlegung bei Deepfakes und KI-generierten Texten (Betreiberpflicht): Betreiber von KI-Systemen, die Bild-, Audio- oder Video-Deepfakes erzeugen oder manipulieren, müssen die künstliche Herkunft offenlegen. Gleiches gilt für Betreiber, die KI-generierte Texte veröffentlichen, sofern diese Angelegenheiten von öffentlichem Interesse betreffen. Eine Ausnahme besteht für offensichtlich künstlerische, kreative, satirische, fiktionale oder vergleichbare Werke, bei denen die Kennzeichnung die Darstellung oder den Genuss nicht beeinträchtigen darf.

2. Fristen: Was gilt ab wann?

Die Transparenzpflichten nach Art. 50 folgen einem differenzierten Zeitplan:

Die Kernpflichten aus Art. 50 Abs. 1, 3 und 4 werden am 2. August 2026 anwendbar – 24 Monate nach Inkrafttreten der Verordnung. Dieser Termin ist durch den Digital Omnibus nicht betroffen und steht fest.

Für die maschinenlesbare Kennzeichnung synthetischer Inhalte nach Art. 50 Abs. 2 ist die Fristlage derzeit Gegenstand der Trilog-Verhandlungen zum Digital Omnibus. Das Europäische Parlament fordert eine Frist bis zum 2. November 2026 – drei Monate nach dem allgemeinen Anwendungsdatum. Die Kommission hatte in ihrem Omnibus-Vorschlag eine längere Übergangsfrist bis zum 2. Februar 2027 vorgeschlagen. Die endgültige Frist wird im Trilog festgelegt, der bis Ende April 2026 abgeschlossen werden soll.

Für die Praxis bedeutet das: Die Pflicht, Nutzer über KI-Interaktion zu informieren (Abs. 1), Betroffene über Emotionserkennung aufzuklären (Abs. 3) und Deepfakes sowie KI-Texte zu kennzeichnen (Abs. 4), gilt ab August 2026 ohne Einschränkung. Lediglich für die technische Wasserzeichenpflicht (Abs. 2) besteht eine realistische Chance auf eine kurze zusätzliche Übergangsfrist.

3. Der Code of Practice: Orientierungshilfe für die technische Umsetzung

Die Kommission erarbeitet parallel zu den gesetzlichen Pflichten einen Code of Practice zur Kennzeichnung und Markierung KI-generierter Inhalte. Dieser ist rechtlich nicht bindend, dient jedoch als anerkannter Nachweis der Regelkonformität – vergleichbar mit dem GPAI Code of Practice nach Art. 53.

Der erste Entwurf wurde am 17. Dezember 2025 veröffentlicht und definierte grundlegende Prinzipien für die Kennzeichnung synthetischer Inhalte. Nach einer Konsultationsphase bis zum 23. Januar 2026 folgte am 3. März 2026 der zweite Entwurf. Dieser ist deutlich konkreter und technisch präskriptiver als die erste Fassung. Die Kommission beschreibt ihn als „gestrafft und vereinfacht, mit größerer Flexibilität und reduziertem Compliance-Aufwand“.

Die finale Fassung des Code of Practice wird für Anfang Juni 2026 erwartet – rund zwei Monate vor dem Anwendungsdatum. Damit steht die praktische Orientierungshilfe rechtzeitig zur Verfügung, allerdings bleibt die Vorbereitungszeit für Unternehmen knapp.

Was der Code of Practice vorsieht:

Der zweite Entwurf verfolgt einen mehrschichtigen, technologieneutralen Ansatz. Keine einzelne Technik wird als ausreichend betrachtet. Stattdessen sollen Anbieter mindestens zwei maschinenlesbare Verfahren kombinieren:

• Digital signierte Metadaten: Einbettung kryptografisch gesicherter Herkunftsinformationen nach Standards wie C2PA (Coalition for Content Provenance and Authenticity) und IPTC.
• Imperceptible Watermarking: Nicht wahrnehmbare Wasserzeichen auf Pixel- oder Frequenzebene, die auch nach Bearbeitung oder Komprimierung erhalten bleiben sollen.
• Fingerprinting und Logging: Als ergänzende, aber nicht verpflichtende Maßnahmen vorgesehen.

Für Unternehmen, die generative KI-Systeme anbieten, bedeutet das: Die technische Implementierung erfordert eine Kombination aus Metadaten-Einbettung und Wasserzeichentechnik. Der Standard C2PA wird in der Praxis als Referenzrahmen betrachtet, auch wenn der Code of Practice technologieneutral formuliert ist.

4. Pflichten für Anbieter und Betreiber: Wer muss was tun?

Art. 50 unterscheidet klar zwischen Anbieterpflichten (Abs. 1 und 2) und Betreiberpflichten (Abs. 3 und 4). Diese Unterscheidung ist für die Compliance-Planung entscheidend.

Anbieter von KI-Systemen mit direkter Nutzerinteraktion (z. B. Chatbots, virtuelle Assistenten) müssen sicherstellen, dass Nutzer wissen, dass sie mit einem KI-System kommunizieren. Die Umsetzung kann über eine deutlich sichtbare Kennzeichnung in der Benutzeroberfläche erfolgen – etwa durch einen Hinweis beim Einstieg in die Konversation oder eine permanente Kennzeichnung im Interface.

Anbieter generativer KI-Systeme (z. B. Bild-, Video-, Audio- oder Textgeneratoren) tragen die technisch anspruchsvollste Pflicht: die maschinenlesbare Kennzeichnung aller Ausgaben. Dies betrifft sowohl eigenständige Generierungstools als auch KI-Funktionen, die in bestehende Produkte integriert sind.

Betreiber von Emotionserkennungs- oder Kategorisierungssystemen müssen die betroffenen Personen informieren. In der Praxis betrifft dies Anwendungen im Personalwesen (Analyse von Bewerbungsgesprächen), im Kundenservice (Stimmungserkennung in Telefonaten) oder in der Sicherheitsbranche (biometrische Zugangssysteme). Die DSGVO-Anforderungen an Transparenz und Einwilligung gelten parallel.

Betreiber, die Deepfakes veröffentlichen oder KI-Texte zu Themen von öffentlichem Interesse publizieren, müssen die künstliche Herkunft kenntlich machen. Die Ausnahme für künstlerische und satirische Werke ist eng gefasst: Sie befreit nicht von der Transparenz insgesamt, sondern erlaubt lediglich eine weniger invasive Form der Kennzeichnung, die das Werk nicht beeinträchtigt.

5. Zusammenspiel mit GPAI-Pflichten und Sanktionen

Die Transparenzpflichten nach Art. 50 stehen nicht isoliert. Sie bilden zusammen mit den GPAI-Pflichten nach Art. 53 ein komplementäres System: Art. 53 regelt die Transparenz auf Modellebene – GPAI-Anbieter müssen technische Dokumentation, Modellinformationen und urheberrechtliche Angaben an nachgelagerte Anbieter weitergeben. Art. 50 regelt die Transparenz auf Anwendungsebene – gegenüber Nutzern und Betroffenen. Beide Pflichtenstränge ergänzen sich: Ein GPAI-Anbieter muss Art. 53 erfüllen; ein Unternehmen, das auf diesem Modell ein Produkt aufbaut, muss Art. 50 erfüllen.

Die Durchsetzung der GPAI-Pflichten durch die Kommission beginnt am 2. August 2026 – zeitgleich mit dem Anwendungsdatum der Transparenzpflichten. Damit wird August 2026 zum ersten Monat, in dem regulatorische Maßnahmen sowohl auf Modell- als auch auf Anwendungsebene möglich sind.

Sanktionen bei Verstößen:

Verstöße gegen Art. 50 fallen unter die zweite Sanktionsstufe der KI-Verordnung (Art. 99). Die Bußgelder betragen bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Im Vergleich: Verstöße gegen die verbotenen KI-Praktiken (Art. 5) können mit bis zu 35 Millionen Euro oder 7 Prozent des Umsatzes geahndet werden; die Bereitstellung unrichtiger Informationen an Behörden (Art. 99 Abs. 5) mit bis zu 7,5 Millionen Euro oder 1 Prozent des Umsatzes.

Kleine und mittlere Unternehmen sowie Startups erhalten bei der Bemessung der Bußgelder besondere Berücksichtigung. Der Digital Omnibus sieht darüber hinaus eine automatische Bußgeldreduktion von 50 Prozent für KMU und 75 Prozent für Kleinstunternehmen vor.

6. Handlungsempfehlungen: Was Unternehmen jetzt tun sollten

Die verbleibende Vorbereitungszeit bis August 2026 ist knapp. Die finale Fassung des Code of Practice wird voraussichtlich erst im Juni 2026 vorliegen, die endgültige Frist für Art. 50 Abs. 2 erst nach Abschluss der Trilog-Verhandlungen feststehen. Dennoch sind die inhaltlichen Anforderungen hinreichend klar, um jetzt zu handeln.

Bestandsaufnahme durchführen: Welche KI-Systeme im Unternehmen fallen unter Art. 50? Dies umfasst Chatbots, virtuelle Assistenten, generative KI-Tools, Emotionserkennungssysteme und biometrische Kategorisierung. Auch KI-Funktionen, die in bestehende Produkte oder Prozesse integriert sind, müssen erfasst werden.

Rollenklärung vornehmen: Ist das Unternehmen Anbieter, Betreiber oder beides? Die Pflichten unterscheiden sich. Ein Unternehmen, das einen eigenen Chatbot auf Basis eines GPAI-Modells betreibt, kann gleichzeitig Betreiber (Art. 50 Abs. 4 für KI-generierte Texte) und Anbieter (Art. 50 Abs. 1 für die Nutzerinteraktion) sein.

Technische Umsetzung vorbereiten: Für Anbieter generativer Systeme ist die Implementierung maschinenlesbarer Kennzeichnung der aufwendigste Schritt. Der zweite Entwurf des Code of Practice gibt bereits eine klare technische Orientierung: Kombination aus digital signierten Metadaten und imperceptiblem Watermarking. Die Evaluierung geeigneter Standards (insbesondere C2PA) und die Integration in bestehende Entwicklungspipelines sollten zeitnah beginnen.

Nutzerkommunikation gestalten: Für Chatbots und interaktive Systeme müssen Hinweistexte und Kennzeichnungen in der Benutzeroberfläche gestaltet werden. Für Deepfake- und Textkennzeichnung sind Offenlegungsformate zu definieren.

Dokumentation aufbauen: Die Einhaltung der Transparenzpflichten sollte systematisch dokumentiert werden – sowohl als Nachweis gegenüber Aufsichtsbehörden als auch als Grundlage für das Qualitätsmanagementsystem, das für Hochrisiko-KI-Systeme ohnehin aufgebaut werden muss.

Fazit: August 2026 steht – und kommt schneller als gedacht

Die Transparenzpflichten nach Art. 50 sind die erste regulatorische Bewährungsprobe für den EU AI Act in der Breite. Anders als die Hochrisiko-Bestimmungen, die voraussichtlich verschoben werden, gilt der 2. August 2026 für die Transparenzpflichten unverändert. Die technische Orientierungshilfe nimmt mit dem zweiten Entwurf des Code of Practice konkrete Form an, und die Sanktionen sind mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Umsatzes substantiell.

Unternehmen, die KI-Systeme anbieten oder einsetzen, sollten die verbleibende Zeit nutzen, um ihre Systeme zu inventarisieren, die technische Umsetzung vorzubereiten und die organisatorischen Prozesse für Kennzeichnung und Offenlegung zu etablieren. Der regulatorische Rahmen ist klar genug, um jetzt zu handeln – auch wenn einzelne Details wie die Wasserzeichenfrist noch im Trilog verhandelt werden.

Lesen Sie mehr zum Thema!

• EU AI Act – Die vier Risikoklassen im Überblick
• Compliance-Strategien für Hochrisiko-KI im Unternehmen