- Published on
Art. 50 EU AI Act: Transparenzpflichten und KI-Kennzeichnung
- Authors
- Name
- Tails Azimuth
Die Debatte über den EU AI Act kreist meist um Hochrisiko-KI und die damit verbundenen schweren Pflichtenkataloge. Dabei trifft eine andere Regelungsebene weit mehr Organisationen im Alltag: die Transparenzpflichten aus Artikel 50 der Verordnung (EU) 2024/1689. Sie greifen unabhängig davon, ob ein System hochriskant ist, und betreffen jeden, der Chatbots betreibt, synthetische Inhalte erzeugt oder Deepfakes verbreitet. Wer hier nur ein kleines Compliance-Detail sieht, unterschätzt die Wirkung: Transparenz ist der Punkt, an dem KI-Nutzung für Außenstehende erstmals sichtbar — und damit prüfbar — wird.
Was Artikel 50 regelt
Artikel 50 adressiert die sogenannte Transparenzstufe, eine eigene Risikokategorie neben verbotenen Praktiken und Hochrisiko-KI. Die Logik dahinter ist nicht, ein System zu beschränken, sondern Menschen in die Lage zu versetzen, eine informierte Entscheidung zu treffen. Vier Konstellationen stehen im Zentrum.
Erstens: KI-Systeme, die unmittelbar mit natürlichen Personen interagieren — typischerweise Chatbots und Sprachassistenten — müssen so gestaltet sein, dass die betroffene Person erkennt, dass sie mit einer KI kommuniziert. Die Pflicht entfällt nur, wenn das aus dem Kontext für eine verständige Person ohnehin offensichtlich ist.
Zweitens: Provider von Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen deren Ausgaben in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert markieren. Die Kennzeichnung muss technisch belastbar und interoperabel sein — eine reine Sichtkennzeichnung im Interface genügt nicht.
Drittens: Deployer von Emotionserkennungs- oder biometrischen Kategorisierungssystemen müssen die exponierten Personen über deren Einsatz informieren.
Viertens: Wer Bild-, Audio- oder Videoinhalte erzeugt oder manipuliert, die einen Deepfake darstellen, muss offenlegen, dass der Inhalt künstlich erzeugt oder verändert wurde. Für KI-generierte Texte, die der Information der Öffentlichkeit zu Angelegenheiten von öffentlichem Interesse dienen, gilt eine vergleichbare Offenlegungspflicht.
Provider und Deployer: zwei getrennte Pflichtenstränge
Artikel 50 verteilt die Last bewusst auf zwei Rollen. Der Provider trägt die Pflicht, die Kennzeichnungsfähigkeit technisch in das System einzubauen — etwa über Wasserzeichen oder Metadaten, die Maschinen auslesen können. Der Deployer, der das System konkret einsetzt, trägt die Pflicht zur Offenlegung gegenüber den betroffenen Personen im jeweiligen Anwendungsfall.
Diese Trennung ist mehr als juristische Feinheit. Ein Unternehmen, das ein generatives Modell eines Drittanbieters nutzt, kann sich nicht darauf verlassen, dass die Provider-Pflicht seine eigene Deployer-Offenlegung ersetzt. Beide Stränge müssen erfüllt und — entscheidend — beide müssen nachweisbar sein. Wer einen Vorfall erklären muss, braucht Belege dafür, dass die Kennzeichnung aktiv war und die Offenlegung erfolgt ist, nicht bloß die Behauptung, man habe sich an die Regel gehalten.
Warum Kennzeichnung ohne Nachweis wenig wert ist
Hier liegt der eigentliche Kern für jede Organisation, die Transparenzpflichten ernst nimmt. Eine Kennzeichnung, die sich im Nachhinein nicht rekonstruieren lässt, ist regulatorisch fragil. Im Streitfall — sei es gegenüber einer Aufsichtsbehörde, einem Geschäftspartner oder der Öffentlichkeit — zählt nicht, was eingestellt war, sondern was sich beweisen lässt: Welcher Inhalt wurde wann von welchem System erzeugt, mit welcher Markierung versehen und mit welcher Offenlegung ausgespielt?
Genau das macht Transparenz zu einer Frage der Trust-Infrastructure und nicht zu einer Frage einzelner Häkchen in einer Software. Evidence-based AI Trust bedeutet, dass die Kennzeichnung Teil eines lückenlosen, prüfbaren Protokolls ist. Die Verbindung zu Artikel 12 der Verordnung, der die automatische Protokollierung über die Lebensdauer eines Systems verlangt, ist hier kein Zufall: Wer Transparenzpflichten ohne belastbare Audit-Trails erfüllt, erfüllt sie nur auf dem Papier.
Wie ein System überhaupt in die Transparenzstufe statt in eine schärfere Risikoklasse fällt, hängt von einer sauberen Einstufung ab. Mehr zur Systematik der Risikostufen unter dem EU AI Act findet sich auf ki-risikostufe.de.
Unterschiede über die Rechtsräume
Die Transparenzpflichten gelten unmittelbar für Provider und Deployer mit Bezug zum EU-Binnenmarkt — und damit über die Marktortregel auch für Anbieter ohne Sitz in der EU. Für Organisationen in DE und im EU27-Rest ist Artikel 50 direkt anwendbares Unionsrecht. UK verfolgt einen prinzipienbasierten, sektoralen Ansatz ohne ein deckungsgleiches horizontales Transparenzregime, sodass Pflichten dort eher aus bestehenden Regulatoren und Leitlinien folgen. CH kennt keine identische Kennzeichnungspflicht auf Bundesebene, doch Schweizer Anbieter, die KI-generierte Inhalte in den EU-Markt geben, fallen über den Marktort dennoch unter Artikel 50. Ein US-Nexus wirkt in dieser Konstellation auf der Vendor-Ebene: Ein US-Modellanbieter, dessen Ausgaben in der EU genutzt werden, prägt die Kennzeichnungsfähigkeit, die der europäische Deployer dann ausweisen muss.
Diese Asymmetrie bedeutet praktisch, dass ein und derselbe Inhalt je nach Zielmarkt unterschiedlich behandelt werden muss — ein Argument dafür, die Kennzeichnung technisch von Anfang an interoperabel und nachweisbar aufzusetzen, statt sie nachträglich pro Rechtsraum zu flicken.
Was jetzt zu tun ist
Der verbindliche Zeithorizont für die Durchsetzung ist das Forcing Event am 02.12.2027 (Digital Omnibus). Bis dahin sollte jede Organisation, die mit Nutzern interagierende KI oder generative Systeme einsetzt, drei Dinge geklärt haben: in welcher Rolle — Provider oder Deployer — sie für welches System steht, ob die Kennzeichnung maschinenlesbar und interoperabel umgesetzt ist, und ob jede Offenlegung so protokolliert wird, dass sie sich im Audit rekonstruieren lässt. Diese Bestandsaufnahme lässt sich gut entlang eines Maturity-Modells führen: AIMS (ISO 42001 × CMMI v3) ordnet Transparenz nicht als isolierte Maßnahme ein, sondern als wiederkehrenden, nachweisbaren Prozess innerhalb eines gelebten KI-Managementsystems.
Transparenz ist damit kein Nebenschauplatz, sondern der erste Berührungspunkt, an dem die KI-Nutzung einer Organisation für andere überprüfbar wird. Wer sie als Infrastruktur-Frage behandelt — nachweisbar, audit-ready —, baut das Fundament, auf dem die schwereren Pflichten der Hochrisiko-Welt anschlussfähig werden. Mehr zur AEGIRA Trust-Platform: aegira.ai