Kennzeichnung KI-generierter Inhalte: Der Code of Practice zu Artikel 50 AI Act nimmt Form an

Mit August 2026 greifen die Transparenzpflichten aus Artikel 50 der KI-Verordnung. Wer generative KI-Systeme bereitstellt oder einsetzt, muss KI-generierte Inhalte kennzeichnen und Deepfakes offenlegen. Damit das in der Praxis funktioniert, hat das AI Office einen freiwilligen Code of Practice ausarbeiten lassen, dessen Entwurfsprozess inzwischen weit fortgeschritten ist. Höchste Zeit, sich die Eckpunkte anzusehen.

Worum es bei Artikel 50 geht

Artikel 50 adressiert ein konkretes Risiko: Täuschung und Manipulation durch synthetische Inhalte. Die Norm zielt auf die Integrität des Informationsökosystems und unterscheidet dabei sauber zwischen zwei Rollen, die aus dem übrigen Verordnungsgefüge bereits vertraut sind.

• Anbieter (Provider) generativer KI-Systeme trifft die Pflicht aus Art. 50 Abs. 2: Die Ausgaben ihrer Systeme, also Audio, Bild, Video und Text, müssen in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sein. Die eingesetzten technischen Lösungen sollen wirksam, interoperabel, robust und zuverlässig sein, soweit das technisch machbar ist. Das ist der entscheidende Vorbehalt: Berücksichtigt werden die Besonderheiten der jeweiligen Inhaltsart, die Implementierungskosten und der allgemein anerkannte Stand der Technik, wie er sich in einschlägigen technischen Normen niederschlagen kann.
• Betreiber (Deployer) trifft demgegenüber die Offenlegungspflicht aus Art. 50 Abs. 4. Sie betrifft zwei Fälle. Erstens Deepfakes, also Bild-, Audio- oder Videoinhalte, die existierende Personen, Objekte, Orte oder Ereignisse nachbilden und einer Person fälschlich als echt erscheinen würden. Zweitens KI-generierte oder manipulierte Textpublikationen, die die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren. Letztere sind ausgenommen, wenn die Publikation einer menschlichen Überprüfung unterlag und redaktionelle Verantwortung getragen wird. Diese Ausnahme ist für Medienhäuser und alle, die journalistisch oder redaktionell arbeiten, von erheblicher Bedeutung.

Darüber hinaus gibt es die horizontale Anforderung aus Art. 50 Abs. 5: Die Information an die betroffenen natürlichen Personen muss klar und unterscheidbar erfolgen.

Zwei Arbeitsgruppen entlang der Pflichtenstruktur

Der Code spiegelt diese Rollenteilung wider. Arbeitsgruppe 1 widmet sich den Anbieterpflichten, also der maschinenlesbaren Markierung und Detektierbarkeit. Arbeitsgruppe 2 befasst sich mit den Betreiberpflichten zur Offenlegung von Deepfakes und Textpublikationen. Beide Gruppen bearbeiten zusätzlich die querschnittlichen Themen, darunter die Informationsanforderungen nach Abs. 5 und die Zusammenarbeit der Akteure entlang der Wertschöpfungskette.

Eingebunden ist ein breites Spektrum an Stakeholdern: Anbieter generativer Systeme, Entwickler von Markierungs- und Detektionsverfahren, Verbände der Betreiber, Zivilgesellschaft, Wissenschaft sowie sehr große Online-Plattformen. Geleitet werden die Gruppen von unabhängigen Vorsitzenden und stellvertretenden Vorsitzenden.

Freiwillig, aber mit Vermutungswirkung

Wichtig für die Einordnung: Der Code ist kein eigenständiges Recht. Wird er von der Kommission gebilligt, dient er Anbietern und Betreibern als freiwilliges Instrument, um die Einhaltung ihrer Pflichten nach Art. 50 Abs. 2 und 4 nachzuweisen. Wer dem Code folgt, schafft sich also einen belastbaren Nachweispfad. Wer einen eigenen Weg geht, muss die Konformität anderweitig begründen. Parallel zum Code erarbeitet die Kommission Leitlinien, die den Anwendungsbereich der gesetzlichen Pflichten klären und jene Aspekte abdecken, die der Code nicht erfasst.

Zeitplan zur endgültigen Veröffentlichung

Der Entwurfsprozess läuft seit Herbst 2025 in mehreren Runden. Die erste Fassung wurde im Dezember 2025 veröffentlicht, die zweite am 3. März 2026. Am 8. Mai 2026 folgten die Entwürfe der Leitlinien samt eigener Konsultation. Die Schlussplenarsitzung und die Veröffentlichung der finalen Fassung sind für Mai bis Juni 2026 vorgesehen. Der gesamte siebenmonatige Prozess ist bewusst so terminiert, dass Anbieter und Betreiber vor dem Geltungsbeginn der Pflichten im August 2026 ausreichend Vorlauf haben.

Was das praktisch bedeutet

Für Organisationen, die generative KI einsetzen, lohnt sich jetzt eine Bestandsaufnahme. Drei Fragen stehen im Vordergrund.

• Erstens die Rollenklärung: Bin ich im konkreten Anwendungsfall Anbieter, Betreiber oder beides? Davon hängt ab, ob die Markierungspflicht nach Abs. 2 oder die Offenlegungspflicht nach Abs. 4 greift, und in vielen Setups greifen beide gleichzeitig.
• Zweitens die technische Umsetzung: Wer Inhalte produziert, sollte prüfen, ob die genutzten Systeme bereits maschinenlesbare Kennzeichnungen liefern, etwa über Wasserzeichen oder Metadatenstandards wie C2PA. Der Vorbehalt der technischen Machbarkeit entlastet nicht von der Pflicht, den Stand der Technik zu kennen und zu dokumentieren.
• Drittens die Prozessseite: Die redaktionelle Ausnahme bei Textpublikationen muss nachvollziehbar belegt sein. Wer sich darauf stützt, braucht einen dokumentierten Review-Prozess und eine klar zugeordnete redaktionelle Verantwortung. Ein bloßer Hinweis genügt nicht.

Für die Governance heißt das: KI-Kennzeichnung gehört in das Verzeichnis der eingesetzten KI-Systeme, in die Risikobetrachtung und in die internen Richtlinien. Wer ohnehin an einem AI-Management-System nach ISO 42001 oder an der AI-Act-Umsetzung arbeitet, kann Artikel 50 sauber als eigenen Kontrollpunkt einhängen.

Die Originalinformation der Europäischen Kommission samt Zeitplan und Verweisen auf die jeweiligen Entwurfsfassungen kann man hier nachlesen: Code of Practice on marking and labelling of AI-generated content