Muss ich KI-Bilder in meiner Website kennzeichnen?

Kennzeichnungspflicht nach Art.50 Absatz 4 KI-VO - einfach erklärt

22. Juni 2026 | Lesedauer 10 Min

Werkbank Logo
Thorsten Schneider
Gründer und CEO der Werkbank GmbH
Tags:Art 50 KI-VOComplianceDeepfakesKI
photorealistic_woman_portrait_in_wooden_frame_web

Muss ich KI-Bilder in meiner Website kennzeichnen?

Die Antwort lautet wie so oft: "Das kommt drauf an."

Die KI-VO - wie auch. der zugrunde liegende EU AI Act - sehen im Artikel 50 ausdrücklich eine Verpflichtung vor, Texte, Bilder, Videos und Audio-Inhalte welche mittels künstlicher Intelligenz (KI) erzeugt oder bearbeitet wurden als "KI-generierte Inhalte" zu kennzeichnen.

Wie muss die Kennzeichnung nach Art 50 KI-VO erfolgen?

Wie bei allen Pflichten unterscheidet die KI-VO auch hier nach der jeweiligen Rolle des Verpflichteten:

Bei den Kennzeichnungspflichten des Artikel 50 KI-VO wird grundsätzlich unterschieden zwischen einem "Anbieter" eines KI-Systems und dem "Betreiber"..

Bin ich "Anbieter" oder "Betreiber" im Sinne der KI-VO?

Die Unterscheidung zwischen Anbieter und Betreiber ist relativ einfach:

  • Anbieter ist derjenige, der ein KI-System entwickelt oder im eigenen Namen vertreibt - also zum Beispiel Google oder OpenAI.
  • Betreiber ist der Anwender des KI-Systems, welcher das KI-System bzw. die damit erstellten Inhalte nutzt - also zum Beispiel der Betreiber einer Website, auf der mit KI generierte Bilder verwendet werden.

Die Kennzeichnung durch den Anbieter

Anbieter von KI-Systemen werden durch Artikel 50 Absatz 2 KI-VO verpflichtet, alle KI-generierten Inhalte (Bilder, Video, Audio und Textinhalte) in einer maschinenlesbaren Form als KI-generierte Inhalte zu kennzeichnen.

Was hier im Absatz 2 mit "maschinenlesbar" gemeint ist, wird von der EU im ersten Entwurf des Code of Practice (COD) genauer definiiert.

Demnach genügt es z.B. nicht, wenn Anbieter generierte Bilder lediglich mit entsprechenden Metadaten oder Wasserzeichen versehen. Diese können leicht durch Kompression oder Beschnitt eines Bildes unlesbar werden. Es wird daher von Anbietern von KI-Systemen explizit eine "mehrstufige" Kennzeichnung mittels verschiedener technischer Mittel gefordert.

Die Kennzeichnung durch den Betreiber

"Betreiber" - also quasi die Verwender der KI-generierten Inhalte - sind ebenfalls zu einer Kennzeichnung der verwendeten Inhalte verpflichtet.

Diese Kennzeichnungspflicht für Betreiber ist geregelt in Art. 50 Absatz 4 KI-VO. Dort heisst es unter anderem:

split_face__photoreal_skin_and_neon_wireframe_web

„Betreiber eines KI‑Systems, das Bild-, Ton- oder Videoinhalte erzeugt oder manipuliert, die ein Deepfake sind, müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden...“

Artikel 50 Absatz 4 KI-VO

Hier stellt sich natürlich sofort die Frage, was mit "offenlegen" gemeint ist, und welche Inhalte als "Deepfake" gelten.

Was ist ein "Deepfake" im Sinne der KI-VO?

In der KI-VO ist der Begriff "Deepfake" deutlich weiter gefasst, als er im üblichen Sprachgebrauch verwendet wird.

Die Definition von Deepfake findet sich In Artikel 3 Nr.60 KI-VO:

„durch KI erzeugter oder manipulierter Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde“

Artikel 3 Nr. 60 KI-VO

Das Schlüsselwort hier ist "wirklich".

Im englischen Original des EU AI Acts ist die Definition sprachlich noch ein bisschen deutlicher. Dort wird stattdessen der Begriff "existing" verwendet.

Das bedeutet, dass eine menschenlesbare Kennzeichnungspflicht gem. Artikel 4 für den Betreiber nur in den Fällen besteht, in denen mit einem KI-generierten oder mit KI bearbeiteten Bild real existierende Personen, Objekte, Orte oder Ereignisse abgebildet werden.

Wie muss nun die Kennzeichnung gem. Absatz 4 erfolgen?

Möglicherweise könnte ja bereits durch die vom Anbieter des KI-Systems vorgenommene Kennzeichnung gem. Artikel 50 Absatz 2 KI-VO ausreichen, um "offen zu legen", dass es sich z.B. um KI-Bild handelt?

Genügt es, wenn ich als Betreiber auf die Kennzeichnung des Anbieters vertraue?

Die Antwort lautet leider: Nein.

Absatz 4 schreibt ausdrücklich eine menschenlesbare Kennzeichnung vor. Dies folgert u.a. anderem aus dem Erwägungsgrund Nr. 134 zu Artikel 50.

Auch lässt sich dies aus der Systematik des Absatz 4 schliessen, der auch mit seinen übrigen Regelungen den Schutz des Menschen vor unbemerkter Interaktion mit KI bewirken will.

Adressat der in Absatz 4 geforderten Kennzeichnungen ist daher der Mensch, nicht eine Maschine.

Aus diesem Grund ist die rein maschinenlesbare Kennzeichnung, wie sie von Anbietern in Absatz 2 gefordert ist hier nicht ausreichend.

Die menschenlesbare Kennzeichnung ist also in Absatz 4 zusätzlich zur maschinenlesbaren Kennzeichnung aus Absatz 2 vorgeschrieben.

Die EU stellt offizielle Icons für die Kennzeichnung bereit

Ein weiteres Indiz für die beabsichtigte menschenlesbare Kennzeichnung ist zudem, dass die Europäische Union offizielle Icons für die menschenlesbare Kennzeichnung von KI-generierten oder KI-bearbeiteten Bildern oder Videos entwickelt hat.

Die Icons können hier heruntergeladen werden:
https://digital-strategy.ec.europa.eu/en/policies/eu-icons-labelling-ai-generated-content

Mensch vs. Maschine

So einfach sich die Kennzeichnungspflicht für Abbildungen von Personen darstellt, so kompliziert wird die Beurteilung von "Deepfakes" bei Objekten wie zum Beispiel den Produkten in einer Website:

Nach dem Wortsinn müssten ja zum Beispiel fotorealistische 3D-Produktabbildungen gekennzeichnet werden, wenn sie von einer KI generiert oder bearbeitet wurden. Denn nach der Definition des Art. 3 Nr.60 KI-VO wären es ja Deepfakes.

Dieselben Abbildungen müssten aber nicht gekennzeichnet werden, wenn sie von einem Menschen zum Beispiel mittels eines 3D-Programmes gerendert wurden.

Tatsächlich folgt dieser scheinbare Widerspruch aus dem Schutzgedanken des Artikel 50 KI-VO, welcher ausdrücklich auf die Gefahren massenhaft und automatisiert möglicher Generierung von DeepFakes abstellt, Dies folgt u.a. bereits aus dem Satz 2 des Erwägungsgrundes 133:

  • Die breite Verfügbarkeit und die zunehmenden Fähigkeiten dieser Systeme wirken sich erheblich auf die Integrität des Informationsökosystems und das ihm entgegengebrachte Vertrauen aus, weil neue Risiken in Bezug auf Fehlinformation und Manipulation in großem Maßstab, Betrug, Identitätsbetrug und Täuschung der Verbraucher entstehen.

Wer auf Nummer sicher gehen möchte, sollte nicht nur Abbildungen realer Personen, sondern auch Produktabbildungen, die mit Hilfe von KI generiert oder bearbeitet wurden entsprechend gem. Artikel 50 Absatz 4 KI-VO kennzeichnen.

Hierfür bieten sich die von EU zur Verfügung gestellten offiziellen Icons an (siehe oben).

--
Über den Autor:
Thorsten Schneider ist seit 27 Jahren Geschäftsführer der Digitalagentur Werkbank GmbH, hat Rechtswissenschaften an der WWU Münster studiert und ist zertifizierter CDO (Bitkom) sowie KI Compliance Manager (ISITS).