Kurzfassung

Acht Jahre hat die EU an ihrem KI-Gesetz gearbeitet. Am 2. August 2026 wird es ernst: Die KI-Verordnung erreicht ihren allgemeinen Geltungsbeginn, die Kennzeichnungspflicht für KI-Inhalte und die Bußgeldregeln werden anwendbar. Dieses Dossier erzählt die komplette Geschichte — von der Experten-Gruppe 2018 über den ChatGPT-Wendepunkt bis zur Omnibus-Debatte 2026 —, erklärt die Risikopyramide, geht Artikel 50 und die Sanktionen im Detail durch, beleuchtet die Kritik von beiden Seiten und endet mit einer konkreten Compliance-Checkliste. Alle Kernaussagen sind mit offiziellen Quellen belegt.

Acht Jahre in einem Bild

Wer verstehen will, warum die EU KI-Inhalte kennzeichnen lässt, muss die Vorgeschichte kennen. Der Zeitstrahl zeigt die wichtigsten Stationen:

2018EU-KI-Strategie; Einsetzung der High-Level Expert Group on AI
2019Ethik-Leitlinien für vertrauenswürdige KI
Feb. 2020Weißbuch zur Künstlichen Intelligenz
Apr. 2021Verordnungsvorschlag der Kommission (COM(2021) 206)
Nov. 2022ChatGPT erscheint — generative KI wird Massenphänomen, die Verhandlungen ändern sich grundlegend
Dez. 2023Trilog-Einigung zwischen Parlament und Rat
1. Aug. 2024Inkrafttreten der VO (EU) 2024/1689
2. Feb. 2025Verbote (Art. 5) und KI-Kompetenzpflicht anwendbar
2. Aug. 2025Pflichten für KI-Modelle mit allgemeinem Verwendungszweck, Governance, Sanktionskapitel
7. Mai 2026Digital-Omnibus-Einigung: Hochrisiko-Pflichten auf Dez. 2027 verschoben, Art. 50 bleibt
10. Juni 2026Finaler Code of Practice zur Kennzeichnung; 11. Juni: Bundestag beschließt Durchführungsgesetz
2. Aug. 2026Allgemeiner Geltungsbeginn — Kennzeichnungspflicht und Bußgeldregeln werden scharf

Kapitel 1: Wie Europa zu seinem KI-Gesetz kam

Die Geschichte beginnt lange vor dem KI-Hype. 2018 veröffentlichte die EU-Kommission ihre KI-Strategie und setzte eine hochrangige Expertengruppe ein, die 2019 Ethik-Leitlinien für „vertrauenswürdige KI" vorlegte[4]. Das Weißbuch vom Februar 2020 formulierte dann erstmals den Regulierungsansatz, der bis heute trägt: kein Pauschalgesetz gegen „die KI", sondern Regeln proportional zum Risiko der konkreten Anwendung.

Im April 2021 folgte der Verordnungsvorschlag — der weltweit erste Versuch, künstliche Intelligenz horizontal, also über alle Branchen hinweg, zu regulieren. Bemerkenswert aus heutiger Sicht: Der Entwurf von 2021 kannte zwar Transparenzpflichten für Chatbots und Deepfakes, aber kein Kapitel über generative Basismodelle. Texte, Bilder und Videos in beliebiger Menge auf Knopfdruck — das war schlicht nicht der Stand der Dinge.

Dann kam der November 2022. ChatGPT machte generative KI innerhalb weniger Wochen zum Massenphänomen, und die laufenden Verhandlungen mussten ein Problem einfangen, das der Entwurf nicht vorgesehen hatte. Das Parlament setzte eigene Regeln für KI-Modelle mit allgemeinem Verwendungszweck durch (heute Kapitel V der Verordnung), und die Kennzeichnungspflichten wurden deutlich ausgebaut. Im Dezember 2023 stand die Trilog-Einigung, im März 2024 stimmte das Parlament zu, am 1. August 2024 trat die Verordnung in Kraft[1,4].

Der Gesetzgeber wusste, dass niemand ein solches Regelwerk über Nacht umsetzt. Deshalb greifen die Pflichten gestaffelt: Zuerst kamen im Februar 2025 die Verbote der schlimmsten Praktiken — dem wollte niemand eine lange Schonfrist geben. Im August 2025 folgten die Pflichten für die Anbieter großer KI-Modelle (GPT, Claude, Gemini und Co.): technische Dokumentation, Urheberrechts-Policy, Trainingsdaten-Zusammenfassung. Diese Stufe betrifft eine Handvoll Konzerne, nicht deren Nutzer. Die dritte Stufe am 2. August 2026 ist die erste, die in der Breite ankommt — und genau um sie geht es in diesem Dossier.

Kapitel 2: Die Risikopyramide — wo stehst du?

Die Verordnung sortiert KI-Anwendungen in vier Ebenen. Die ehrlichste Nachricht dieses Dossiers: Für die große Mehrheit der Unternehmen und Selbstständigen ist nur die dritte Ebene relevant.

Unannehmbares Risiko — verboten (Art. 5, seit Feb. 2025): Social Scoring durch Behörden, unterschwellige Verhaltensmanipulation, Ausnutzung von Schutzbedürftigkeit, ungezieltes Gesichtsbilder-Scraping, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen)
Hohes Risiko — streng reguliert (Anhang III, ab Dez. 2027): KI in Bewerbungsverfahren, Kreditvergabe, Bildung, kritischer Infrastruktur, Strafverfolgung — mit Risikomanagement, Datenqualität, menschlicher Aufsicht, Konformitätsbewertung
Begrenztes Risiko — transparenzpflichtig (Art. 50, ab 2. Aug. 2026): Chatbots, generative KI, Deepfakes, Emotionserkennung — Kennzeichnung statt Verbot. Hier stehen die meisten.
Minimales Risiko — frei: Spamfilter, Empfehlungssysteme, KI in Videospielen — keine besonderen Pflichten

Diese Architektur erklärt auch, warum das verbreitete „die EU verbietet KI" schlicht falsch ist. Verboten ist wenig und Gezieltes. Der Normalfall ist: nutzen erlaubt, täuschen nicht.

Kapitel 3: Der Omnibus — was 2026 wirklich verschoben wurde

Kaum ein Punkt stiftet derzeit so viel Verwirrung wie der „Digital Omnibus". Im November 2025 schlug die Kommission vor, ihre Digitalgesetzgebung zu vereinfachen; am 7. Mai 2026 einigten sich Rat und Parlament politisch, am 13. Mai bestätigten die Mitgliedstaaten[2]. Die formelle Annahme steht noch aus.

Das Ergebnis in einem Satz: Verschoben wurden die Hochrisiko-Pflichten (Anhang III auf den 2. Dezember 2027) — nicht die Transparenzpflichten. Artikel 50 Absatz 1, 3 und 4 kommen am 2. August 2026. Einzige Erleichterung: Generative Systeme, die vor dem Stichtag am Markt sind, haben für die maschinenlesbare Markierung (Absatz 2) bis zum 2. Dezember 2026 Zeit.

Wer also seine Compliance-Roadmap auf Schlagzeilen wie „AI Act verschoben" gestützt und die Kennzeichnung zurückgestellt hat, sollte das jetzt korrigieren. Die Frist, die die meisten betrifft, ist nicht verschoben worden.

Kapitel 4: Artikel 50 im Detail

Artikel 50 ist der Kern des Stichtags für alle, die generative KI einsetzen. Er unterscheidet vier Tatbestände und zwei Adressatenkreise — Anbieter (wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt) und Betreiber (wer es in eigener Verantwortung verwendet):

AbsatzPflichtAdressatBeispiel
50 (1)Interaktionstransparenz: Nutzer müssen erkennen, dass sie mit einer KI kommunizierenAnbieter„Du chattest mit unserem KI-Assistenten" vor dem ersten Prompt
50 (2)Maschinenlesbare Markierung synthetischer Ausgaben (Text, Bild, Audio, Video)AnbieterC2PA-Metadaten, Wasserzeichen im generierten Bild
50 (3)Information bei Emotionserkennung und biometrischer KategorisierungBetreiberHinweis vor einer KI-gestützten Stimmungsanalyse
50 (4)Offenlegung von Deepfakes und KI-Texten zu Angelegenheiten öffentlichen InteressesBetreiber„Dieses Video wurde künstlich erzeugt" am Clip

Die Ausnahmen sind eng gefasst, aber praxisentscheidend:

  • Offensichtlichkeit: Ist die KI-Natur aus Sicht einer angemessen informierten Person ohnehin klar, entfällt der gesonderte Hinweis (Abs. 1).
  • Kunst, Satire, Fiktion: Bei offensichtlich künstlerischen oder satirischen Werken genügt eine Offenlegung, die das Werk nicht beeinträchtigt — der Hinweis im Abspann statt des Stempels mitten im Bild.
  • Redaktionelle Verantwortung: KI-generierte Texte, die menschlich geprüft wurden und für die eine Person die redaktionelle Verantwortung trägt, sind von der Offenlegungspflicht des Abs. 4 ausgenommen. Das ist die zentrale Privilegierung für alle, die KI als Schreibwerkzeug mit Endkontrolle nutzen.

Wie die Kennzeichnung konkret aussehen soll, beschreibt der Code of Practice, den die EU-Kommission am 10. Juni 2026 in finaler Fassung veröffentlicht hat[5]. Er ist freiwillig, definiert aber den praktischen Standard: ein Zwei-Schichten-Modell aus gesicherten Metadaten plus Wasserzeichen für die maschinenlesbare Ebene und Gestaltungsanforderungen für sichtbare Labels. Wer sich daran orientiert, kann Konformität gegenüber der Aufsicht einfach darlegen.

Vier Fallbeispiele aus der Praxis

Fall 1 — der Kundenservice-Bot: Ein Onlineshop beantwortet Anfragen mit einem KI-Chat-Widget. Pflicht nach Abs. 1: Vor Beginn der Unterhaltung muss klar sein, dass eine KI antwortet. Ein Satz im Chat-Fenster genügt („Unser KI-Assistent hilft dir — bei Bedarf übernimmt ein Mensch"). Nennt sich das Widget dagegen „Sofort-Chat mit unserem Team", wird es problematisch.

Fall 2 — KI-Produktbilder: Eine Agentur erstellt fotorealistische Produktszenen mit Bildgeneratoren. Solange das Produkt selbst korrekt dargestellt ist und keine reale Szene vorgetäuscht wird („unser Ladengeschäft in München", das nicht existiert), ist vor allem die maschinenlesbare Markierung des Generators relevant. Beim vorgetäuschten Ladengeschäft greift dagegen Abs. 4 — das ist ein Deepfake im Sinne der Verordnung.

Fall 3 — der KI-gestützte Blog: Ein Selbstständiger schreibt Fachartikel mit KI-Unterstützung, prüft jeden Text und steht mit Namen dafür ein. Dank der Ausnahme für redaktionelle Verantwortung entfällt die Offenlegungspflicht des Abs. 4 — ein freiwilliger Transparenzhinweis bleibt trotzdem die vertrauensbildende Wahl. Veröffentlicht er dagegen ungeprüfte KI-Massentexte zu politischen Themen, ist die Kennzeichnung Pflicht.

Fall 4 — das Social-Media-Reel mit KI-Stimme: Ein Creator vertont seine Videos mit einer geklonten Stimme. Klingt sie nach einer realen, identifizierbaren Person oder wirkt die Vertonung wie eine echte Aufnahme, verlangt Abs. 4 die Offenlegung — ein „KI-Voiceover"-Hinweis in der Beschreibung oder im Video löst das. Bei offensichtlichen Roboterstimmen ist die künstliche Natur selbsterklärend.

Kapitel 5: Warum Kennzeichnung — das Argument hinter der Pflicht

Man kann Artikel 50 als Bürokratie lesen. Der Blick auf die Begründung der Verordnung zeigt ein anderes Bild: Erwägungsgrund 133 benennt Fehlinformation und Manipulation im großen Maßstab, Betrug, Identitätsmissbrauch und Verbrauchertäuschung als die Risiken, gegen die die Kennzeichnung gerichtet ist[1]. Täuschend echte Bilder, Stimmen und Videos entstehen heute in Minuten, mit frei verfügbaren Werkzeugen. Das Problem ist nicht die Technik — das Problem ist, dass niemand mehr unterscheiden kann.

Kennzeichnung ist dabei ein Koordinationsmechanismus: Sie wirkt umso besser, je flächendeckender sie erfolgt. Wenn ehrliche Anbieter ihre KI-Inhalte routinemäßig markieren, wird das Fehlen einer Markierung zum Warnsignal — und Fälschern wird das Handwerk schwerer gemacht, ohne dass irgendjemandem die Nutzung generativer KI verboten würde. Jeder ehrliche Hinweis zahlt auf ein Informationsökosystem ein, dem man wieder trauen kann.

Deshalb unsere freundliche Einladung, hier aus eigener Praxis: Macht es einfach. Ein Hinweis am Inhalt, eine Zeile im Impressum, ein Satz vor dem Chat. Wir kennzeichnen bei mvxlabs unsere KI-unterstützten Texte, Bilder und Podcast-Stimmen im Impressum — die Umstellung hat eine Arbeitsstunde gekostet, und die Erfahrung ist eindeutig: Leser honorieren Ehrlichkeit. Wer transparent arbeitet, erfüllt nicht nur eine Pflicht, sondern baut genau das auf, was KI-generierten Inhalten am meisten fehlt: Glaubwürdigkeit.

Drei Mythen — und was wirklich stimmt

Mythos 1: „Die EU verbietet ChatGPT und Bildgeneratoren." Falsch. Kein einziges generatives Werkzeug wird verboten. Die Verordnung verbietet eng umrissene Praktiken wie Social Scoring — die Nutzung generativer KI wird lediglich mit Transparenzpflichten versehen.

Mythos 2: „Ich muss jede KI-Nutzung offenlegen, sogar interne." Falsch. Die Pflichten knüpfen an Täuschungsgefahr und Veröffentlichung an. Interne Entwürfe, Brainstormings, Code-Assistenz oder die KI-gestützte E-Mail an einen Kollegen lösen keine Kennzeichnungspflicht aus.

Mythos 3: „Als kleiner Anbieter falle ich unter dieselben Regeln wie Google." Halb falsch. Die Pflichten gelten grundsätzlich für alle — aber die maschinenlesbare Markierung ist Sache der Werkzeug-Anbieter, die Bußgelder sind für KMU gedeckelt, und die Bemessungskriterien berücksichtigen die Unternehmensgröße ausdrücklich. Die Last liegt dort, wo die Marktmacht ist.

Kapitel 6: Die nicht so schöne Seite — Sanktionen und Aufsicht

Damit die Regeln ernst genommen werden, stattet Artikel 99 sie mit einem dreistufigen Bußgeldrahmen aus[1,6]:

VerstoßObergrenze
Verbotene Praktiken (Art. 5)35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Sonstige Pflichten, u. a. Transparenz (Art. 50)15 Mio. € oder 3 %
Falschangaben gegenüber Behörden7,5 Mio. € oder 1 %

Grundsätzlich gilt der jeweils höhere Betrag — mit einer wichtigen Ausnahme: Bei KMU einschließlich Start-ups greift der niedrigere Wert (Art. 99 Abs. 6). Und die Behörden müssen den Einzelfall würdigen: Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, Abhilfemaßnahmen, Kooperation, Unternehmensgröße (Abs. 7). Übersetzt: Wer dokumentiert kennzeichnet und auf Beanstandungen reagiert, steht in dieser Abwägung gut da. Wer die Pflicht kennt und ignoriert, nicht.

In Deutschland übernimmt die Bundesnetzagentur die zentrale Marktüberwachung. Der Bundestag hat das Durchführungsgesetz am 11. Juni 2026 beschlossen[3]; bei der Behörde entstehen ein Koordinierungs- und Kompetenzzentrum (KoKIVO) und eine eigene Marktüberwachungskammer. Sektorale Aufsichten bleiben zuständig, die Kennzeichnungsaufsicht in Presse und Rundfunk liegt bei den Landesmedienanstalten. Die Zustimmung des Bundesrats stand bei Veröffentlichung dieses Dossiers noch aus.

Realistische Erwartung für die Praxis: Wie bei der DSGVO ab 2018 dürften Behörden zunächst mit Hinweisen und Abhilfeaufforderungen arbeiten, und die ersten großen Verfahren dürften Konzerne treffen. Die DSGVO-Parallele trägt weiter: Auch dort kamen die ersten Millionenbußgelder erst nach rund anderthalb Jahren, trafen fast ausschließlich Großunternehmen — und die Fälle, die kleine Anbieter tatsächlich erwischten, waren fast immer Fälle von Ignoranz nach Beanstandung, nicht von handwerklichen Fehlern trotz erkennbarer Bemühung. Das ist eine Prognose, keine Zusage — die Instrumente stehen ab dem Stichtag bereit.

Kapitel 7: Die Kontroversen — Kritik von beiden Seiten

Ein ehrliches Dossier verschweigt nicht, dass der AI Act umstritten ist — bemerkenswerterweise aus entgegengesetzten Richtungen.

„Innovationsbremse": die Kritik der Wirtschaft

Der Digitalverband Bitkom warnt seit Jahren, der AI Act drohe „zur Innovationsbremse zu werden". In einer Bitkom-Umfrage unter 152 Tech-Start-ups machten 63 Prozent überzogene Regulierung mit dafür verantwortlich, dass in Europa kaum wettbewerbsfähige KI-Lösungen entstehen[7]. Die Hauptkritik: unklare Begriffe bei der Hochrisiko-Klassifikation, spät kommende technische Standards, Bürokratielast gerade für KMU — und daraus folgend Investitionszurückhaltung. Im Sommer 2025 forderten Teile der Wirtschaft unter dem Schlagwort „Stop the Clock" sogar ein Anhalten der Fristen. Der Digital Omnibus mit seiner Hochrisiko-Verschiebung ist die direkte politische Antwort auf diesen Druck.

„Rückschritt für Grundrechte": die Kritik der Zivilgesellschaft

Von der anderen Seite kommt der Vorwurf, der Omnibus schwäche Schutzmaßnahmen ab, „bevor sie überhaupt in Kraft treten" — so die NGO AlgorithmWatch[8]. Eine Koalition von über 120 Organisationen, darunter EDRi und noyb, bezeichnete das Omnibus-Paket als den „größten Rückschritt für digitale Grundrechte in der Geschichte der EU"[9]. Kritisiert werden unter anderem reduzierte Registertransparenz, Lockerungen bei sensiblen Daten und ein Eilverfahren ohne ordentliche Folgenabschätzung.

Was bedeutet das für die Einordnung?

Beide Kritiklinien haben denselben blinden Fleck gemeinsam: Sie betreffen fast ausschließlich die Hochrisiko- und Governance-Ebene. Die Kennzeichnungspflicht des Artikel 50 ist in beiden Lagern vergleichsweise unumstritten — die Wirtschaft kann sie mit geringem Aufwand erfüllen, die Zivilgesellschaft verteidigt sie als Mindestschutz. Wer also am 2. August „nur" kennzeichnen muss, steht im unkontroversesten Teil des Gesetzes. Das macht die Umsetzung nicht weniger verpflichtend, aber sie ist politisch stabil: Mit einer Rücknahme der Transparenzregeln rechnet niemand.

Kapitel 8: Die Compliance-Checkliste bis zum 2. August

Fünf Schritte, in dieser Reihenfolge — für die meisten kleinen und mittleren Anwender ein Nachmittag Arbeit:

  1. Inventur: Wo steckt generative KI in deinen Angeboten? Chatbots, generierte Texte, Bilder, Audio, Video, eingebettete Dritt-Widgets. Pro System notieren: Bin ich Anbieter oder Betreiber?
  2. Chatbots kennzeichnen: Klarer Hinweis vor Interaktionsbeginn, dass eine KI antwortet — außer es ist offensichtlich.
  3. Inhalte offenlegen: Täuschend echte KI-Bilder/-Videos/-Stimmen und KI-Texte zu Themen öffentlichen Interesses sichtbar kennzeichnen — oder für Texte die redaktionelle Verantwortung dokumentieren (menschliche Prüfung!).
  4. Werkzeuge prüfen: Setzen deine KI-Tools maschinenlesbare Marker (C2PA, Wasserzeichen)? Bei den großen Anbietern zunehmend Standard; bei Eigenentwicklungen gilt die Übergangsfrist bis 2. Dezember 2026 und der Code of Practice als Referenz.
  5. Dokumentieren: Inventur, Entscheidungen und Kennzeichnungspraxis schriftlich festhalten. Das ist im Beanstandungsfall dein wichtigstes Entlastungsmaterial — die Bemessungskriterien des Art. 99 Abs. 7 belohnen genau das.

Und dann? Weiterarbeiten wie bisher. Die Verordnung verbietet dir keine einzige KI-Nutzung, die du als Website-Betreiber, Selbstständiger oder Mittelständler realistisch vorhast. Sie verlangt Ehrlichkeit darüber. Das ist — bei allem berechtigten Streit um andere Teile des Gesetzes — kein unzumutbarer Preis.

Fazit

Der 2. August 2026 beendet eine achtjährige Entstehungsgeschichte und beginnt die eigentliche Bewährungsprobe des AI Act. Für Hochrisiko-Anwender hat der Omnibus Zeit gekauft, für alle anderen gilt: Die Kennzeichnungspflicht kommt, sie ist der stabilste und am wenigsten umstrittene Teil des Gesetzes, und sie ist mit einem Nachmittag Arbeit erfüllbar. Die Bußgelder existieren für die, die täuschen wollen — nicht für die, die transparent arbeiten. Wer jetzt kennzeichnet, dokumentiert und die Entwicklung der Leitlinien im Blick behält, hat aus diesem Gesetz das gemacht, was es für ehrliche Anwender ist: eine Formalie mit Vertrauensbonus.

Quellenapparat
  1. EU-Verordnung im Volltext: Verordnung (EU) 2024/1689 (KI-Verordnung) — Art. 5, 50, 99, 113; Erwägungsgründe 132–137.
  2. Rat der EU: Pressemitteilung zur Digital-Omnibus-Einigung vom 7. Mai 2026.
  3. Deutscher Bundestag: Beschluss des KI-Durchführungsgesetzes am 11. Juni 2026; ergänzend BMDS: Gesetz zur Durchführung der KI-Verordnung und Bundesnetzagentur: KI-Verordnung und KoKIVO.
  4. Europäisches Parlament: KI-Gesetz: erste Regulierung der künstlichen Intelligenz — Genese und Zeitplan.
  5. Europäische Kommission: Code of Practice zur Markierung und Kennzeichnung KI-generierter Inhalte (finale Fassung, 10. Juni 2026).
  6. AI Act Explorer: Artikel 99 — Sanktionen (kommentierte Fassung, inoffiziell).
  7. Bitkom e. V.: Bitkom zur Debatte um den AI Act und AI Act Simplification (Publikation 2025).
  8. AlgorithmWatch: Der KI-Omnibus: Schutzmaßnahmen abschwächen, bevor sie überhaupt in Kraft treten.
  9. EDRi: Reject the proposals to undermine transparency in the AI Act — Stellungnahme der 120+-Organisationen-Koalition.

Hinweis: Dieses Dossier ist eine journalistisch-technische Aufbereitung öffentlich zugänglicher Rechtsquellen, keine Rechtsberatung. Die Omnibus-Angaben beruhen auf der politischen Einigung vom Mai 2026; die formelle Annahme stand bei Veröffentlichung noch aus. Verbindliche Auskünfte zur eigenen Situation gibt ein Fachanwalt für IT-Recht.