Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten

Die Europäische Kommission hat den ersten Entwurf des Verhaltenskodex für die Transparenz von KI-generierten Inhalten veröffentlicht. Dieser Kodex soll Unternehmen dabei unterstützen, die komplexen Transparenzpflichten des Artikel 50 der KI-Verordnung (KI-VO) rechtzeitig umzusetzen, bevor diese Vorschriften am 2. August 2026 verbindlich werden. Das Dokument ist das Ergebnis einer intensiven Zusammenarbeit von Hunderten von Experten aus Industrie, Wissenschaft und Zivilgesellschaft und bildet die Grundlage für eine strukturierte Kennzeichnung von synthetischen Medien wie Deepfakes oder automatisierten KI-Texten. Für Unternehmen bedeutet diese Veröffentlichung den Startschuss für eine detaillierte Auseinandersetzung mit technischen und organisatorischen Anforderungen, die weit über bloße Hinweistexte hinausgehen.

Kennzeichnungspflicht nach der KI-Verordnung

Mit dem Entwurf des Verhaltenskodex rücken nun die Transparenzpflichten nach Artikel 50 der seit dem 1. August 2024 geltenden KI-Verordnung in den Mittelpunkt. Diese sollen dem Risiko von Täuschung und Manipulation durch synthetische Inhalte begegnen und sicherstellen, dass KI-generierte Medien für Nutzer klar erkennbar sind. Ziel ist der Schutz des Vertrauens in den digitalen Informationsraum.

Artikel 50 KI-Verordnung unterscheidet dabei strikt zwischen Anbietern und Betreibern von KI-Systemen. Während Anbieter verpflichtet sind, technische Lösungen zur maschinenlesbaren Kennzeichnung bereitzustellen, müssen Betreiber bestimmte KI-Inhalte – insbesondere Deepfakes und öffentliche Texte – gegenüber Endnutzern offenlegen. Angesichts möglicher Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes handelt es sich nicht um bloße Orientierungshilfen, sondern um zentrale Compliance-Pflichten.

Anbieterpflichten und der mehrschichtige Ansatz zur technischen Kennzeichnung

Der erste Abschnitt des Entwurfs richtet sich primär an Anbieter generativer KI-Systeme und legt einen starken Fokus auf die technische Identifizierbarkeit von Inhalten. Da derzeit keine einzelne Markierungstechnik ausreicht, um die gesetzlichen Anforderungen an Wirksamkeit und Robustheit vollständig zu erfüllen, sieht der Kodex einen mehrschichtigen Ansatz (Multi-layered Approach) vor. Anbieter verpflichten sich demnach, eine Kombination aus verschiedenen aktiven Markierungstechniken zu implementieren, die sowohl maschinenlesbare Metadaten als auch unsichtbare, direkt in den Inhalt eingewobene Wasserzeichen umfassen. Diese technischen Lösungen müssen so konzipiert sein, dass sie typischen Bearbeitungsprozessen wie Bildzuschnitten oder Formatkomprimierungen standhalten und interoperabel über verschiedene Kanäle hinweg funktionieren.

Ein wesentlicher Bestandteil für Anbieter ist zudem die Bereitstellung von Detektionsmechanismen, die es Dritten ermöglichen, die künstliche Herkunft eines Mediums mit einer gewissen Vertrauenswahrscheinlichkeit zu verifizieren. Dies umfasst auch die Einführung von Provenzzertifikaten für Inhalte wie Texte, die keine sichere Einbettung von Metadaten erlauben, um die Herkunft bis zum spezifischen Modell zurückverfolgen zu können. Der Entwurf betont dabei, dass diese Maßnahmen bereits während der Modellentwicklung und nicht erst bei der Ausgabe des Inhalts berücksichtigt werden sollten, um die Integrität der Informationen entlang der gesamten Wertschöpfungskette zu sichern.

Der KINAST „KI-Beauftragte“

Ihre Lösung für rechtssichere KI-Compliance

Jetzt Kontakt aufnehmen!

Betreiberpflichten zur Kennzeichnung von KI-Inhalten

Der zweite Abschnitt des Verhaltenskodex adressiert die Betreiber von KI-Systemen, also Unternehmen, die generative KI für berufliche Zwecke einsetzen. Im Mittelpunkt steht hier die klare und unterscheidbare Offenlegung von Deepfakes sowie von Texten, die dazu dienen, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren. Zur Vereinheitlichung dieser Offenlegung sieht der Entwurf eine gemeinsame Taxonomie vor, die zwischen vollständig KI-generierten und lediglich KI-unterstützten Inhalten unterscheidet. Ziel ist es, den Nutzern durch ein standardisiertes EU-Icon – das vorerst durch Interims-Lösungen wie die Buchstaben „KI“ oder „AI“ ersetzt werden kann – sofort zu signalisieren, dass sie es mit synthetischen Medien zu tun haben.

Besonderheiten bei Deepfakes

Besondere Sorgfalt ist bei Deepfakes geboten, da diese eine täuschende Ähnlichkeit mit realen Personen oder Ereignissen aufweisen und somit erhebliche Manipulationsrisiken bergen. Hier verlangt der Kodex eine Kennzeichnung spätestens zum Zeitpunkt der ersten Interaktion oder Wahrnehmung durch den Endnutzer. Für Texte, die öffentliche Debatten beeinflussen könnten, besteht eine Offenlegungspflicht immer dann, wenn keine ausreichende menschliche Überprüfung oder redaktionelle Verantwortung vorliegt. Unternehmen müssen daher interne Prozesse etablieren, um zu entscheiden, ob ein Inhalt die Schwelle zum öffentlichen Interesse überschreitet und welche Ausnahmen, etwa für offensichtlich künstlerische oder satirische Werke, geltend gemacht werden können.

Sanktionen bei Verstößen gegen die Kennzeichnungspflicht

Die Missachtung der Transparenzvorgaben aus Artikel 50 der KI-Verordnung ist kein Kavaliersdelikt, sondern kann für Unternehmen existenzbedrohende finanzielle Folgen haben. Für Verstöße gegen diese Kennzeichnungspflichten sieht der europäische Gesetzgeber Bußgelder von bis zu 15 Millionen Euro oder bis zu 3 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor, wobei der jeweils höhere Betrag maßgeblich ist. Diese Strafen betreffen sowohl die vollständig fehlende als auch eine lediglich unzureichende Kennzeichnung von KI-Inhalten. Selbst die Bereitstellung falscher oder irreführender Informationen gegenüber den Aufsichtsbehörden im Rahmen von Auskunftsersuchen kann bereits mit bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes geahndet werden.

Bei der Festlegung der konkreten Bußgeldhöhe müssen die Mitgliedstaaten zwar die Interessen von kleinen und mittleren Unternehmen sowie Start-ups berücksichtigen, um deren wirtschaftliches Überleben nicht zu gefährden, dennoch bleibt der Strafrahmen abschreckend. Erste nationale Gesetzentwürfe, wie etwa aus Spanien, zeigen bereits eine Tendenz zu abgestuften Sanktionsmodellen, ordnen das Versäumnis der Kennzeichnung von Deepfakes jedoch konsequent als schwerwiegenden Verstoß ein. Neben den rein monetären Sanktionen drohen Unternehmen zudem nicht-monetäre Maßnahmen wie Verwarnungen, behördliche Anordnungen und ein erheblicher Reputationsverlust bei Kunden und Geschäftspartnern.

Bedeutung für die Unternehmenspraxis

Die Bedeutung dieses Kodex-Entwurfs für Unternehmen kann kaum überschätzt werden, da er die vagen Anforderungen der KI-VO in konkrete operative Maßnahmen übersetzt. Unternehmen sollten den Entwurf zum Anlass nehmen, frühzeitig folgende Maßnahmen zu prüfen.

• Analyse, in welchen Bereichen (z. B. Marketing, HR, Öffentlichkeitsarbeit) generative KI eingesetzt wird
• Einordnung der eigenen Rolle als Anbieter oder Betreiber im Sinne der KI-VO
• Definition klarer Verantwortlichkeiten für Prüfung, Freigabe und Kennzeichnung von KI-Inhalten
• Aufbau eines internen Prüf- und Dokumentationsrahmens zur nachvollziehbaren Umsetzung der Kennzeichnungspflichten
• Integration der Kennzeichnungspflichten in bestehende Content-, IT- und Compliance-Prozesse
• Schulung der beteiligten Mitarbeiter zur neuen Taxonomie (KI-generiert vs. KI-unterstützt) und zu Detektions- und Kennzeichnungstools
• Bewertung des Bußgeld- und Reputationsrisikos bei fehlender oder unzureichender Kennzeichnung
• Nutzung des aktuellen Entwurfs als Orientierungsrahmen zur Vorbereitung auf den finalen Kodex (voraussichtlich Juni 2026)

Fazit

Die Veröffentlichung des ersten Entwurfs des Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten konkretisiert die Anforderungen des Art. 50 KI-VO und bereitet Unternehmen auf den Stichtag 2. August 2026 vor. Während viele technische Details noch in weiteren Iterationen bis Frühjahr 2026 verfeinert werden, steht die Richtung bereits fest: Anonyme KI-Inhalte ohne Herkunftsnachweis wird es im professionellen Umfeld künftig nicht mehr geben. Er schafft insbesondere Klarheit darüber, wann eine Kennzeichnung erforderlich ist und wann eine lediglich unterstützende KI-Nutzung vorliegt. Damit wird der Verhaltenskodex als entscheidende Brücke zwischen dem abstrakten Gesetzeswortlaut und der praktischen Umsetzung im Unternehmensalltag fungieren.

Für Unternehmen stellt sich damit weniger die Frage, ob, sondern wie die Anforderungen konkret und verhältnismäßig umgesetzt werden können. Die Abgrenzung zwischen Anbieter- und Betreiberpflichten, die Einordnung von KI-unterstützten gegenüber vollständig KI-generierten Inhalten sowie die Integration der Kennzeichnung in bestehende Kommunikations- und IT-Strukturen werfen weiterhin Auslegungs- und Umsetzungsfragen auf, zumal Fehlentscheidungen angesichts des hohen Bußgeldrahmens mit finanziellen und reputativen Risiken verbunden sind.

Vor diesem Hintergrund empfiehlt es sich, die eigene KI-Nutzung frühzeitig rechtlich und technisch einzuordnen sowie bestehende Prozesse zu überprüfen und gegebenenfalls anzupassen. Eine fundierte Beratung kann dabei helfen, regulatorische Pflichten korrekt zu interpretieren und praxisgerechte Kennzeichnungskonzepte zu entwickeln. So lassen sich nicht nur belastbare Compliance-Strukturen aufbauen, sondern auch Rechtssicherheit und ein strategischer Vorteil im Umgang mit transparenter KI-gestützter Kommunikation erzielen.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln

• KINAST KI-Beratung 
• KINAST externer KI-Beauftragter
• KINAST KI-Kompetenz-Schulungen

Jetzt unverbindliches Angebot anfordern