KI-Bildgenerierung: Risikoklasse und Pflichten im EU-KI-Recht
KI-Bildgeneratoren (Text-to-Image wie Midjourney, DALL-E, Stable Diffusion) sind nach Art. 50 Abs. 2 AI Act KI mit BEGRENZTEM RISIKO — kennzeichnungspflichtig, wenn veröffentlicht verbreitete Bilder die Realität abbilden (für Menschen erkennbar + maschinenlesbar). Ausnahme: offenkundig kreative/fiktive Inhalte. Keine Konformitätsbewertung, ab dem 2. August 2026. Der Anbieter stellt die technischen Kennzeichnungsmittel bereit. Überlagert: DSGVO (Verarbeitung personenbezogener Trainings-/Outputdaten), Urheberrecht (Trainingsdaten, Outputs — DSM-Richtlinie Art. 4 TDM mit Opt-out; GPAI-Anbieter müssen eine urheberrechtsbasierte Trainingsdaten-Zusammenfassung nach Art. 53 Abs. 1 lit. d erstellen). Schädliche realitätsabbildende Bilder (z. B. Deepfakes realer Personen) haben zivil-/strafrechtliche Folgen (Persönlichkeitsrecht).
Steve Baka
Begrenztes Risiko und Kennzeichnungspflicht
Art. 50 Abs. 4 verpflichtet Anbieter, dafür zu sorgen, dass veröffentlicht verbreitete KI-Inhalte, die die Realität abbilden (insbesondere Bilder und Videos), für Menschen erkennbar sind; plus maschinenlesbare Kennzeichnung (Abs. 2). Bei Bildgeneratoren bedeutet das: realitätsabbildende Outputs sind zu kennzeichnen; reine fiktive/kreative Bilder fallen nicht unter die Pflicht (offenkundig kreativ). Keine Konformitätsbewertung, keine CE, keine notifizierte Stelle. Die Pflicht ist informationell; Sanktion bei Verstoß bis 7,5 Mio. EUR / 1 % Umsatz (Art. 99 Abs. 5). Praktisch: der Anbieter stellt Metadaten-Watermarking bereit; Plattformen und Nutzer müssen die Kennzeichnung beim Veröffentlichen berücksichtigen. Gültig ab dem 2. August 2026.
Urheberrecht und Trainingsdaten
Zwei Dimensionen: (1) Trainingsdaten — Bildgeneratoren werden oft auf großen, urheberrechtlich geschützten Bilddatensätzen (LAION, Web-Scraping) trainiert. Die DSM-Richtlinie (Art. 4) erlaubt Text-and-Data-Mining mit Opt-out (Machine-Readable Reservation); Künstler können also dem Mining widersprechen. Der AI Act verlangt von GPAI-Anbietern eine urheberrechtsbasierte Trainingsdaten-Zusammenfassung (Art. 53 Abs. 1 lit. d). (2) Outputs — KI-generierte Bilder sind nach vielen nationalen Rechten mangels menschlicher Schöpfung nicht urheberrechtlich geschützt; können aber urheberrechtsverletzend sein, wenn sie im Stil geschützter Werke/Personen erzeugt werden. Eine klare Dokumentation der Trainingsdatennachweise und der Opt-out-Berücksichtigung schützt im Streitfall.
Haftung und Persönlichkeitsrecht
Schädliche realitätsabbildende Bilder (z. B. Gesichter echter Personen in kompromittierenden Kontexten, „Deepfake-Pornografie") haben über die Kennzeichnung hinausgehende Rechtsfolgen: allgemeines Persönlichkeitsrecht, Recht am eigenen Bild (KUG), Unterlassungs- und Schadensersatzansprüche; Strafrecht (Verleumdung, Betrug, Erpressung, Verbreitung von Bildern in § 184 StGB); Urheberrecht bei Nachahmung geschützter Werke. Die revidierte Produkthaftungsrichtlinie (2024/2853) und die AI Liability Directive erweitern die zivilrechtliche Haftung für KI-Schäden. Anbieter kommerzieller Bildgeneratoren sollten: Opt-out-Respektierung, Inhaltsrichtlinien, Mechanismen gegen missbräuchliche Nutzung (z. B. Gesichterfilter, Minderjährigenschutz), und klare Kennzeichnung implementieren.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Müssen KI-Bilder gekennzeichnet werden?
Realitätsabbildende veröffentlichte Bilder ja (Art. 50 Abs. 4). Offenkundig fiktive/kreative Bilder sind ausgenommen. Keine Konformitätsbewertung, ab 2. Aug. 2026.
Greift Urheberrecht bei Training?
Ja. DSM-Richtlinie Art. 4 erlaubt TDM mit Opt-out. GPAI-Anbieter müssen eine urheberrechtsbasierte Trainingsdaten-Zusammenfassung erstellen (Art. 53 Abs. 1 lit. d). Künstler können widersprechen.
Welche Haftungsrisiken bestehen?
Persönlichkeitsrecht (Unterlassung/Schadensersatz), Strafrecht (Verleumdung, Deepfake-Pornografie § 184 StGB), Urheberrecht. Produkthaftungs-/AI Liability Directive erweitern zivilrechtliche Haftung.
Rechtskonforme Umsetzung für KI-Bildgenerierung?
Wenn du KI-Bildgenerierung rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.