Ab wann gelten die AI-Act-Transparenzpflichten fuer KI-Bilder?

Die Kennzeichnungspflichten nach Art. 50 der Verordnung (EU) 2024/1689 gelten ab dem 2. August 2026 fuer Betreiber, die synthetische Bilder veroeffentlichen. Parallel sind seit dem 2. August 2025 die GPAI-Pflichten fuer Modell-Anbieter wie Midjourney, DALL-E und Adobe Firefly wirksam: Diese muessen urheberrechtsbezogene Zusammenfassungen ihrer Trainingsdaten veroeffentlichen. Unternehmen sollten ihre Offenlegungs- und Provenance-Prozesse nicht erst Ende Juli 2026 aufsetzen — drei Monate sind wenig, wenn interne Workflows, Tool-Freigaben und Schulungen involviert sind.

Gilt die DSGVO bei Midjourney, DALL-E oder aehnlichen Bildtools?

Ja, sobald Prompts, Uploads, Referenzbilder oder Outputs personenbezogene Daten enthalten. Dann muessen Rechtsgrundlage (Art. 6 DSGVO), Rollenverteilung (Auftragsverarbeiter oder eigener Verantwortlicher), Drittlandtransfers, Speicherfristen und gegebenenfalls eine Datenschutz-Folgenabschaetzung geprueft werden. Die EDPB-Stellungnahme vom 18. Dezember 2024 zu KI-Modellen hat bestaetigt, dass DSGVO-Grundsaetze einschliesslich Rechtsgrundlage und Anonymitaetspruefung vollstaendig gelten.

Was sind die groessten rechtlichen Risiken bei KI-Marketingbildern?

Die haeufigsten Risiken entstehen durch Kombination: (1) personenbezogene Daten in Prompts oder Uploads ohne Rechtsgrundlage oder AVV — Bussgeld bis 4 % Jahresumsatz nach Art. 83 Abs. 5 DSGVO; (2) Verletzung von Urheber-, Marken- oder Persoenlichkeitsrechten Dritter; (3) irrefuehrende realistische synthetische Inhalte ohne Kennzeichnung — ab August 2026 Bussgeld nach KI-Verordnung moeglich. Kampagnenbilder mit realistischen Personen oder fingierten Ereignissen gehoeren in einen Freigabeprozess.

Welche Bussgelder drohen bei DSGVO-Verstoessen mit KI-Bildtools?

Nach Art. 83 Abs. 5 DSGVO koennen Verstoesse gegen Grundsaetze (Art. 5), Rechtsgrundlagen (Art. 6) oder Drittlandanforderungen (Art. 44 ff.) mit bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Bei KI-Bildtools entstehen Risiken insbesondere durch Prompts oder Uploads mit personenbezogenen Daten ohne Rechtsgrundlage oder AVV, durch nicht genehmigte Drittlandtransfers sowie durch fehlende oder ungueltige Einwilligung bei besonderen Datenkategorien. Deutsche Datenschutzbehoerden haben KI-Datenschutzverstoesse aktiv verfolgt.

compliance

KI-Bildgenerierung DSGVO 2026: Compliance-Leitfaden fuer Deutschland

5. Mai 2026

Kurzantwort

Unternehmen in Deutschland koennen KI-Bildgenerierung fuer Marketing und Design rechtmaessig einsetzen — muessen aber DSGVO, AI-Act-Transparenzpflichten nach Art. 50 der Verordnung (EU) 2024/1689, Vendor-Vertraege sowie Urheber- und Persoenlichkeitsrechte pruefen. GPAI-Pflichten gelten seit August 2025. Die Kennzeichnungsfrist nach Art. 50 laeuft am 2. August 2026.

GPAI-Modell-Anbieter (Midjourney, DALL-E, Adobe Firefly) unterliegen seit 2. August 2025 Trainingsdaten- und Urheberrechts-Transparenzpflichten.
Art. 50 KI-Verordnung: Kennzeichnungspflicht fuer synthetische Bilder ab 2. August 2026 — Offenlegungsprozesse jetzt aufsetzen.
DSGVO-Verstoesse mit personenbezogenen Daten in Prompts oder Uploads koennen Bussgeld bis 4 % des weltweiten Jahresumsatzes ausloesen.
Midjourney bietet keinen DSGVO-AVV — kein personenbezogenes Datenmaterial in Midjourney-Workflows verwenden.

KI-Bildgenerierung ist fuer Unternehmen in Deutschland regelmaessig zulaessig, sollte aber als kombinierte DSGVO-, IP- und AI-Act-Frage behandelt werden — nicht nur als Kreativ-Tool-Thema. Mit der Kennzeichnungsfrist nach Art. 50 der Verordnung (EU) 2024/1689 am 2. August 2026 besteht jetzt konkreter Handlungsbedarf: Wer Midjourney, DALL-E, Adobe Firefly oder Stable Diffusion einsetzt, muss Offenlegungsprozesse, DSGVO-Compliance und Freigabeprozesse vor der Veroeffentlichung sichergestellt haben. Drei Monate sind weniger als sie klingen.

Wenn Sie den groesseren Rechtsrahmen einordnen moechten, lesen Sie unsere EU AI Act Compliance-Checkliste fuer deutsche Unternehmen.

Was Unternehmen zuerst pruefen sollten

Am schnellsten laesst sich KI-Bildgenerierung-Compliance in Deutschland beurteilen, wenn Sie die Risiken nach Themen trennen:

Thema	Typischer Ausloeser	Sofortmassnahme
DSGVO	Prompts, Uploads oder Outputs enthalten identifizierbare Personen oder Unternehmensdaten	Rechtsgrundlage, AVV, Transfers, Loeschung und Sicherheit pruefen
AI-Act-Transparenz	Synthetische Bilder koennen Nutzer ueber ihren Ursprung taeuschen	Offenlegungsregel, Provenance-Prozess und Freigabe bis August 2026 aufsetzen
Urheberrecht und verwandte Rechte	Prompts orientieren sich an geschuetzten Werken, Logos, Stilen oder Referenzmaterial	Source-Material, Vendor-GPAI-Pflichten und markensichere Nutzung pruefen
Arbeitsrecht und Governance	Mitarbeiter nutzen Bildtools in regulierten oder ueberwachten Prozessen	Richtlinie, Schulung, Freigaben und gegebenenfalls Betriebsratsprozess aufsetzen

Fuer tool-spezifische Themen finden Sie vertiefende Seiten zu Midjourney, DALL-E, Adobe Firefly und Stable Diffusion.

DSGVO-AVV-Status der wichtigsten Bildgenerierungstools (Stand Mai 2026)

Tool	Anbieter	AVV verfuegbar?	Drittlandtransfer	Besonderheiten
Midjourney	Midjourney Inc. (USA)	Nein	USA, SCCs fehlen haeufig	Kein Art.-28-AVV; fuer personenbezogene Daten nicht geeignet
DALL-E	OpenAI (USA)	Ja, ueber OpenAI API	USA, SCCs vorhanden	AVV gilt fuer API-Nutzung; nicht fuer ChatGPT-Nutzer automatisch
Adobe Firefly	Adobe Inc. (USA/EU)	Ja, fuer Enterprise	EU-Hosting-Option vorhanden	Keine Modellnutzung von Kundendaten (Enterprise); GPAI-Pflichten erfuellt
Stable Diffusion	Stability AI / Open Source	Abhaengig vom Hostingmodell	Kein Transfer bei Self-Hosting	Bei Cloud-Hosting Anbieter-AVV pruefen

EU AI Act: Aktuelle Pflichten und die August-2026-Frist

Viele Unternehmen ueberschaetzen das AI-Act-Risiko und unterschaetzen die operative Umsetzung. Die meisten Anwendungsfaelle der Bildgenerierung sind keine Hochrisiko-KI-Systeme nach der Verordnung (EU) 2024/1689, koennen aber Transparenzpflichten nach Art. 50 ausloesen.

Der aktuelle Stand der AI-Act-Pflichten (Mai 2026):

Der AI Act ist am 1. August 2024 in Kraft getreten und gilt als EU-Verordnung unmittelbar in Deutschland.
Verbote unzulaessiger Praktiken und KI-Kompetenzpflichten (Art. 4, Art. 5 KI-VO) gelten seit dem 2. Februar 2025.
GPAI-Modell-Anbieter — also die Hersteller von Midjourney, DALL-E, Adobe Firefly, Stable Diffusion und vergleichbaren Modellen — unterliegen seit dem 2. August 2025 ihren Anbieterpflichten (Art. 53–55 KI-VO): Technische Dokumentation, urheberrechtsbezogene Zusammenfassung der Trainingsdaten und eine Copyright-Policy sind jetzt Pflicht. Anbieter muessen ausserdem einen Opt-out aus dem Text-and-Data-Mining nach der DSM-Richtlinie respektieren.
Die Transparenzpflichten nach Art. 50 — insbesondere die Kennzeichnungspflicht fuer KI-generierte Bilder, die Personen, Orte oder Ereignisse realistisch darstellen — gelten ab 2. August 2026. Noch drei Monate bis zur Frist.

Bei KI-Bildgenerierung sind fuer Art.-50-Compliance diese Fragen entscheidend:

Wirkt der Output wie ein echtes Foto oder dokumentarischer Inhalt?
Werden reale Personen synthetisch dargestellt?
Koennte das Bild in einem sensiblen Kontext — Werbung, Investor Relations, Krisen-PR, Recruiting — manipulativ wirken?
Kann Ihr Anbieter maschinenlesbare Provenance-Marker oder andere erkennbare Kennzeichnungen liefern?

Stilisierte Marketing-Illustrationen sind in der Regel risikoarm. Realistische CEO-Portraits, Produktfotos oder Eventbilder, die nie stattgefunden haben, fallen unter Art. 50 und benoetigen eine Kennzeichnung.

Aktuelle Entwicklungen 2025–2026: Was sich geaendert hat

2. August 2025: GPAI-Pflichten fuer Modell-Anbieter sind in Kraft

Seit dem 2. August 2025 unterliegen Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modelle) den Pflichten der KI-Verordnung. Fuer Unternehmen als Nutzer bedeutet das: Ihr KI-Bildanbieter muss eine nachweisliche Copyright-Policy vorhalten. Fehlt diese — oder ist die veroeffentlichte Zusammenfassung offensichtlich unvollstaendig — erhoehen sich die IP-Risiken auf Nutzerseite, wenn ein Dritter Trainingsdatenverletzungen geltend macht.

EDPB-Stellungnahme vom 18. Dezember 2024 zu KI-Modellen

Der Europaeische Datenschutzausschuss hat in seiner Opinion 28/2024 klargestellt, dass DSGVO-Grundsaetze — einschliesslich Rechtsgrundlage, Zweckbindung und Datenminimierung — beim Training und beim Einsatz von KI-Modellen vollstaendig gelten. Besonders relevant: Die EDPB betont, dass Anonymisierungsbehauptungen von Anbietern einer robusten Pruefung standzuhalten haben. Ein Modell, das Trainingsdaten reproduzieren kann, verarbeitet moeglicherweise weiterhin personenbezogene Daten — die Anbieteraussage “Ihre Daten sind anonym” entbindet Unternehmen nicht von der DSGVO-Pruefung.

DSK und Datenschutzbehoerden: Koordinierte KI-Pruefaktionen 2026

Die Konferenz der unabhaengigen Datenschutzaufsichtsbehoerden des Bundes und der Laender (DSK) hat fuer 2026 koordinierte Pruefaktionen zu KI-gestuetzten Verarbeitungen angekuendigt — explizit auch im Bereich generativer KI. Deutsche Aufsichtsbehoerden haben in der Vergangenheit zueigig auf schlagzeilentraechtige DSGVO-Verstoesse im KI-Bereich reagiert; bei Bildtools mit personenbezogenen Daten besteht echtes Durchsetzungsrisiko.

Maerkte reagieren: Plattformen aktualisieren Compliance-Infrastruktur

Grosse Bildplattformen und Marketing-Stacks — Adobe, Getty Images, Shutterstock — haben im ersten Halbjahr 2026 ihre Provenance-Infrastruktur ausgebaut, teils basierend auf dem C2PA-Standard (Coalition for Content Provenance and Authenticity). Fuer Unternehmen, die Adobe Firefly nutzen, sind C2PA Content Credentials bereits verfuegbar. Wer Midjourney oder Open-Source-Modelle nutzt, muss die Kennzeichnung derzeit manuell loesen.

August 2026: Drei Monate verbleiben

Unternehmen, die noch keine interne Regel zur Kennzeichnung KI-generierter Bilder haben, sind faktisch in Verzug. Art. 50 Abs. 2 KI-Verordnung verpflichtet Betreiber, die synthetische Bilder veroeffentlichen, zur Kennzeichnung des kuenstlichen Ursprungs — es sei denn, die Inhalte werden erkennbar kuenstlerisch oder satirisch genutzt. Marketingabteilungen, Agenturen und Design-Teams brauchen jetzt Governance-Regeln, keine Ankuendigungen.

DSGVO-Risiken entstehen oft frueher als AI-Act-Risiken

Fuer deutsche Unternehmen ist die DSGVO haeufig das erste scharfe Rechtsregime. Wenn Mitarbeiter Portraits, Kundenfotos, Screenshots, Ausweisdokumente oder interne Unterlagen in ein Bildtool hochladen, verarbeiten sie personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.

Dann stellen sich sofort diese Fragen:

Welche Rechtsgrundlage nach Art. 6 DSGVO stuetzt die Verarbeitung (berechtigtes Interesse, Einwilligung, Vertragserfuellung)?
Ist der Anbieter Auftragsverarbeiter nach Art. 28 DSGVO — dann brauchen Sie einen schriftlichen AVV — oder handelt er als eigener Verantwortlicher, z. B. fuer Modelltraining?
Werden Prompts, Referenzdateien oder Outputs ausserhalb des EWR gespeichert oder verarbeitet? Drittlandtransfers erfordern geeignete Garantien nach Art. 46 DSGVO.
Nutzt der Anbieter Kundendaten fuer Modellverbesserung? Das kann ein eigenstaendiger Verarbeitungszweck sein, der eine separate Rechtsgrundlage und Transparenzinformation benoetigt.
Benoetigen Sie wegen des Risikos fuer Betroffene eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO?

Praktische Faustregel: Ohne freigegebenen Prozess sollten keine personenbezogenen Daten — insbesondere keine Fotos identifizierbarer Personen — in Bild-Prompts oder Referenz-Uploads gelangen. Die EDPB-Stellungnahme vom Dezember 2024 hat den Massstab verschaerft: Die Anonymisierungsbehauptung eines Anbieters allein reicht nicht als Rechtfertigung fuer den Wegfall der DSGVO-Pruefung.

Fuer Workflows mit biometrischen Referenzen oder Gesichtserkennungskomponenten verweisen wir auf unsere Seite zur KI-Biometrie-Identifizierung.

Urheberrecht, Marke und Persoenlichkeitsrecht bilden die eigentliche Haftungsebene

Unternehmen fragen oft zuerst, ob der generierte Output ihnen “gehoert”. Praktisch wichtiger ist, ob der Workflow Verletzungs- oder Anspruchsrisiken schafft.

Typische Warnsignale:

Prompts, die explizit auf einen bekannten Kuenstler oder ein geschuetztes Werk referenzieren
Nutzung urheberrechtlich geschuetzter Referenzbilder ohne Erlaubnis als Input
Synthetische Darstellungen realer Personen ohne Einwilligungs- und Persoenlichkeitsrechtspruefung nach §§ 22, 23 KUG (Kunsturhebergesetz)
Outputs mit erkennbaren Logos, Verpackungen oder geschuetzten Designs — Markenrecht greift auch bei KI-Outputs
Kampagnenbilder, die ein reales Ereignis, eine reale Person oder eine Unterstuetzung vortaeuschen, die nie existiert hat

Seit dem 2. August 2025 muessen GPAI-Modell-Anbieter eine urheberrechtsbezogene Zusammenfassung ihrer Trainingsdaten veroeffentlichen und eine Policy zum Opt-out aus dem Text-and-Data-Mining nach Art. 4 der DSM-Richtlinie vorhalten. Das entlastet Nutzer aber nicht vollstaendig: Wenn ein Rechteinhaber nachweist, dass ein Anbieter sein spezifisches Werk ohne Erlaubnis genutzt hat, bleibt das Haftungsrisiko auf Nutzerseite real — insbesondere wenn kommerzieller Output aus diesem Werk entstand.

Unternehmen brauchen deshalb weiterhin: Vertragspruefung (wer haftet fuer IP-Ansprueche Dritter?), Vendor-Due-Diligence (hat der Anbieter seine GPAI-Pflichten nachweislich erfuellt?) und Freigabekontrollen (ist der konkrete Output erkennbar frei von geschuetztem Drittmaterial?).

Offenlegung, Kennzeichnung und Provenance nach Art. 50

Wenn Unternehmen ueber Offenlegung bei KI-Bildern sprechen, denken sie oft zuerst an einen sichtbaren Hinweis. Das kann sinnvoll sein, reicht allein aber nicht.

Art. 50 Abs. 2 der Verordnung (EU) 2024/1689 verpflichtet Betreiber ab dem 2. August 2026, KI-generierte oder KI-manipulierte Bilder zu kennzeichnen, wenn sie fuer Personen “wie authentisch oder wahr” erscheinen koennen. Ausnahmen bestehen fuer erkennbar kuenstlerische oder satirische Kontexte sowie fuer Strafverfolgungszwecke.

Ein praxistaugliches Offenlegungssetup umfasst in der Regel:

Eine Regel, wann sichtbare Kennzeichnung Pflicht ist — mindestens fuer realistische Personen, dokumentarisch wirkende Ereignisbilder, Produktfotos mit Vertrauensanspruch, Testimonials.
Maschinenlesbare Provenance, soweit technisch moeglich — z. B. durch den C2PA-Standard, den Adobe Firefly bereits unterstuetzt. Metadaten-Workflows verringern spaetere Nachweisaufwand erheblich.
Eine Freigabepflicht fuer Hochrisiko-Content — realistische Gesichter, politische Bilder, regulierte Claims, Investor Relations, Krisenkommunikation.
Dokumentation — welches Tool, welches Modell, welche Prompt-Klasse, welche Ausgangsmaterialien. Das ist Compliance-Nachweis und erleichtert spaetere Beschwerdebearbeitung gegenueber Behoerden.

Eine stilisierte Marketing-Illustration ist in der Regel risikoarm. Ein realistisches CEO-Portrait, ein fingiertes Produktfoto oder ein Eventbild, das nie stattgefunden hat, benoetigt Kennzeichnung — und ab August 2026 ist das keine Empfehlung mehr, sondern Pflicht mit Bussgeldrisiko.

Wenn Ihr Unternehmen auch synthetische Bewegtbilder einsetzt, lesen Sie unsere Seite zur KI-Videogenerierung.

Compliance-Checkliste bis August 2026

Fuer Unternehmen, die KI-Bildgenerierung bereits nutzen oder einfuehren wollen, ist die Zeit bis zum 2. August 2026 jetzt konkret knapp. Die folgende Checkliste strukturiert die wesentlichen Schritte:

Phase 1: Bestandsaufnahme (sofort)

Alle Bildgenerierungstools inventarisieren — welche Teams nutzen welche Tools, in welchen Workflows?
Eingesetzte Workflows nach DSGVO-Risiko (personenbezogene Daten?) und Art.-50-Relevanz (realistische Inhalte?) bewerten
Vendor-Status pruefen: AVV vorhanden, GPAI-Pflichten erfuellt, EU-Hosting verfuegbar?
Nicht freigegebene Tools identifizieren und Shadow-AI-Einsatz adressieren

Phase 2: DSGVO-Compliance sichern

Rechtsgrundlage nach Art. 6 DSGVO fuer jeden Workflow mit personenbezogenen Daten dokumentieren
AVV mit Anbieter pruefen oder abschliessen (Adobe Firefly Enterprise, OpenAI API)
Drittlandtransfers bewerten — Standardvertragsklauseln nachlegen, falls keine EU-Hosting-Option genutzt wird
DSFA erstellen oder aktualisieren, wenn Bilder identifizierbarer Personen systematisch verarbeitet werden

Phase 3: Art.-50-Offenlegung aufsetzen

Interne Regel definieren: welche Content-Klassen benoetigen Kennzeichnung?
Provenance-Prozess einrichten (C2PA-Unterstuetzung pruefen, Metadaten-Workflow einrichten)
Freigabeprozess fuer Hochrisiko-Content implementieren — realistische Personen, politische Bilder, regulierte Claims
Dokumentation sicherstellen: Tool, Modell, Prompt-Klasse, Quellmaterial pro Output-Typ

Phase 4: Urheberrecht und IP

Vendor-Due-Diligence: Hat der Anbieter seine GPAI-Transparenzpflichten nachweislich erfuellt? Copyright-Policy verfuegbar und geprueft?
Vertragliche Haftungsverteilung pruefen: Wer steht fuer IP-Ansprueche Dritter gerade?
Interne Prompt-Regeln festlegen: keine expliziten Kuenstlernamen, keine geschuetzten Logos, keine realen Personen ohne Pruefung

Phase 5: Governance und Schulung

Freigegebene Tool-Liste definieren — nicht jedes Team sollte eigene Modelle auswaehlen
Mitarbeiter zu DSGVO-Risiken, Kennzeichnungspflichten und IP-Warnsignalen schulen (KI-Kompetenz-Pflicht nach Art. 4 KI-VO)
Betriebsrat einbinden, sofern Bildtools Mitarbeiter abbilden oder in ueberwachte Prozesse eingebettet sind

Praktische Schutzmassnahmen fuer Unternehmen in Deutschland

Unternehmen, die KI-Bildgenerierung skalieren, sollten als Mindestset folgende Kontrollen einrichten:

1. Uploads begrenzen

Untersagen Sie personenbezogene Daten, Kundendateien, vertrauliche Unterlagen und fremde Referenzbilder in Bild-Prompts und Uploads, sofern es keinen dokumentierten Freigabepfad gibt.

2. Tools zentral freigeben

Legal, Privacy und Security sollten einen begrenzten Satz freigegebener Anbieter und Vertragsbedingungen definieren. Nicht jedes Team sollte sein eigenes Modell auswaehlen duerfen.

3. Veroeffentlichungsregeln festlegen

Bestimmen Sie, wann KI-generierte Bilder in Marketing, Investor Relations, Recruiting oder Produktdokumentation verwendet werden duerfen und wann eine menschliche Freigabe zwingend ist. Diese Regeln benoetigen Sie spaetestens ab August 2026.

4. Nachweise sichern

Bewahren Sie Prompt-Vorlagen, Quelldateien und Freigabeunterlagen so auf, dass Sie Beschwerden nachvollziehen und den Workflow gegenueber Behoerden belegen koennen.

5. Mitarbeiter schulen

Der AI Act verlangt KI-Kompetenz nach Art. 4 KI-Verordnung. Bei Bildtools sollte die Schulung DSGVO-Risiken, Kennzeichnungspflichten nach Art. 50, IP-Warnsignale und interne Eskalationswege abdecken.

6. HR und Betriebsrat einbinden

Wenn Bildgenerierungs-Workflows Mitarbeiter abbilden, interne Profile nutzen oder in ueberwachte Prozesse eingebettet sind, koennen neben Datenschutz auch arbeitsrechtliche Fragen entstehen.

Wann individuelle Rechtsberatung sinnvoll wird

Allgemeine Hinweise reichen nicht, wenn reale Personen, regulierte Branchen, sensible Daten, Investor-Kommunikation, Gesundheitsbezug, Arbeitsverhaeltnisse oder grosse oeffentliche Kampagnen betroffen sind. Dann geht es nicht um die abstrakte Frage, ob KI-Bildgenerierung erlaubt ist, sondern ob Ihr konkreter Workflow rechtlich belastbar ist.

Compound Law beraet Unternehmen in Deutschland zu AI Act, DSGVO, Commercial Contracts, Arbeitsrecht und IP rund um generative KI. Wenn Sie einen Workflow, Vendor-Stack oder Offenlegungsprozess pruefen moechten, kontaktieren Sie uns.

Branchenspezifische Anforderungen finden Sie in unseren Leitfaeden zu den KI-Act-Pflichten in der Medien- und Unterhaltungsbranche und den Compliance-Anforderungen im Einzelhandel und E-Commerce. Einen vollstaendigen Ueberblick bietet unser EU AI Act Compliance-Hub.

FAQ

Ist KI-Bildgenerierung fuer Unternehmen in Deutschland erlaubt?

In vielen Faellen ja. Entscheidend sind der konkrete Einsatzfall, ob personenbezogene Daten verarbeitet werden, die vertraglichen Vendor-Regeln sowie Urheber-, Marken- und Persoenlichkeitsrechte. Ab dem 2. August 2026 kommen Kennzeichnungspflichten nach Art. 50 der Verordnung (EU) 2024/1689 hinzu, wenn synthetische Bilder Nutzer ueber ihren Ursprung taeuschen koennen.

Wie wirkt sich der AI Act auf KI-generierte Bilder aus?

Besonders relevant sind die Transparenzpflichten aus Art. 50 — Kennzeichnungspflicht fuer synthetische Bilder ab 2. August 2026 — sowie die seit August 2025 geltenden GPAI-Anbieterpflichten. Fuer die meisten Unternehmen liegt die Herausforderung darin, Offenlegungsprozesse, Provenance-Dokumentation und Freigabeprozesse rechtzeitig aufzusetzen.

Brauchen wir fuer Bildtools eine DSGVO-Pruefung?

Ja, sobald der Workflow personenbezogene Daten beruehrt — bei Prompts mit Namensbezug, hochgeladenen Fotos, Referenzmaterial oder Outputs mit identifizierbaren Personen. Geprueft werden muessen Rechtsgrundlage, Rollenverteilung, Drittlandtransfers, AVV, Speicherfristen und gegebenenfalls eine DSFA.

Duerfen wir KI-generierte Bilder in der Werbung verwenden?

Oft ja, aber nicht ohne Leitplanken. Pruefen Sie, ob das Bild Verbraucher taeuschen, eine reale Person oder ein fingiertes Ereignis darstellen, geschuetzte Materialien wiedergeben oder lauterkeitsrechtliche Risiken ausloesen kann. Realistische Kampagneninhalte mit Personen oder fingierten Ereignissen gehoeren in einen Freigabeprozess und benoetigen ab August 2026 eine Kennzeichnung.

Bieten Midjourney, DALL-E und Adobe Firefly einen DSGVO-AVV?

Adobe Firefly stellt fuer Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit und bietet eine EU-Hosting-Option; Kundendaten werden nicht fuer Modelltraining genutzt. DALL-E (OpenAI) stellt ueber die API einen AVV bereit. Midjourney bietet keinen standardmaessigen Art.-28-DSGVO-AVV an — fuer Workflows mit personenbezogenen Daten ist das problematisch. Stable Diffusion kann lokal gehostet werden und vermeidet Drittlandtransfers. Einen detaillierten Vergleich finden Sie in der DSGVO-AVV-Tabelle oben.

Gelten die KI-Bildgenerierungs-Compliancepflichten auch fuer Stable Diffusion?

Ja. DSGVO-Pflichten, IP-Risiken und AI-Act-Transparenzpflichten gelten unabhaengig vom eingesetzten Tool. Bei selbst gehostetem Stable Diffusion entfaellt das Drittlandtransfer-Problem. IP-Risiken bei Prompts und Outputs, interne Governance-Regeln und Freigabepflichten fuer veroeffentlichte Inhalte bleiben vollumfaenglich relevant. Mehr dazu auf unserer Seite zu Stable Diffusion.

Zenjob: Legal als strategischer Wachstumstreiber

Leverests US-Expansion: Grenzüberschreitendes Legal für Fintech