Der Omnibus-Deal vom 7. Mai 2026 hat viele Hochrisiko-Pflichten des AI Acts verschoben. Annex III rutscht auf den 2. Dezember 2027, Annex I auf den 2. August 2028. Was er nicht verschoben hat, ist Artikel 50 Absatz 2. Ab dem 2. August 2026 müssen Anbieter generativer KI-Systeme ihre Outputs als KI-generiert maschinenlesbar kennzeichnen. Wer heute noch wartet, dass „die EU das auch nochmal verschiebt”, plant für ein Szenario, das so nicht eintritt. Dieser Beitrag ordnet die Pflicht für den Mittelstand ein, zeigt drei Implementierungs-Pfade und liefert einen pragmatischen 30/60/90-Tage-Plan.
Was der Omnibus verschoben hat, und was nicht
Die folgende Tabelle zeigt den Stand nach dem 7. Mai, basierend auf der Trilog-Einigung. Sie ist die Grundlage für jede Mittelstands-Roadmap zu KI-Compliance in diesem Jahr.
| Pflicht | Ursprünglich | Neu | Status |
|---|---|---|---|
| Art. 50(2) Watermarking | 2. August 2026 | 2. August 2026 | bleibt |
| Annex III (Hochrisiko, Standard) | 2. August 2026 | 2. Dezember 2027 | verschoben |
| Annex I (Hochrisiko, produktbezogen) | 2. August 2027 | 2. August 2028 | verschoben |
| GPAI Code of Practice | August 2025 | August 2025 | bereits in Kraft |
| Art. 5 Verbote | 2. Februar 2025 | 2. Februar 2025 | bereits in Kraft |
Für den Mittelstand bedeutet das: Wer GenAI für Marketing-Content, Chatbots oder Bildproduktion einsetzt, hat ab dem 2. August 2026 eine konkrete Pflicht. Für Systeme, die am Stichtag bereits am Markt sind, gilt eine Übergangsfrist bis zum 2. Dezember 2026. Wer neu startet, hat keine.
Was Art. 50(2) konkret fordert
Anbieter von GenAI-Systemen müssen sicherstellen, dass die Outputs ihrer Systeme „als künstlich erzeugt oder manipuliert markiert und in einem maschinenlesbaren Format” erkennbar sind. Das betrifft Text, Bild, Audio und Video gleichermaßen. „Maschinenlesbar” heißt nicht „für Menschen sichtbar”. Ein eingebettetes C2PA-Manifest in einem Bild ist konform, eine sichtbare Wasserzeichen-Grafik allein ist es nicht. Ein „KI-generiert”-Hinweis am Textende ist hilfreich, reicht aber rechtlich nicht aus. Pflichtenträger ist der Provider, also wer das System bereitstellt. Wer ChatGPT, Claude oder Mistral nur als Endkunde nutzt, ist nicht selbst Provider. Wer aber ein eigenes RAG-System betreibt, eine Marketing-Bild-Pipeline mit Stable Diffusion fährt oder einen Chatbot für Kunden ausliefert, ist es.
Wen es im Mittelstand wirklich trifft
Drei Profile sind eindeutig in Pflicht:
Marketing-Automation mit GenAI-Bildern. Wer Bilder oder Video-Snippets für Kampagnen mit Stable Diffusion, Midjourney via API, DALL-E oder einem eigenbetriebenen Modell erzeugt und veröffentlicht, muss diese Outputs maschinenlesbar kennzeichnen. Das gilt auch dann, wenn die Bilder durch menschliche Designer nachbearbeitet werden.
Chatbot-Output für Kunden. Ein Kundenservice-Bot, der LLM-Antworten ausliefert, fällt unter die Pflicht. Auch wenn die Antworten aus einem RAG-System mit eigenem Index kommen. Maschinenlesbarkeit kann hier ein signierter Provenance-Header in der API-Antwort oder ein eingebettetes Metadaten-Feld im ausgelieferten HTML sein.
RAG-Pipelines mit synthetischer Anreicherung. Sobald das System neben dem Retrieval auch generative Komponenten ausliefert, die als Antwort an externe Empfänger gehen, greift die Pflicht. Reines Retrieval ohne Generierung ist nicht erfasst, aber das ist im Praxiseinsatz selten der ganze Stack.
Zwei Profile sind ausgenommen:
Interne KI-Tools ohne Veröffentlichung. Ein interner Dev-Assistent, ein interner Wissensbasis-Chatbot oder ein RAG für die Buchhaltung erzeugt Outputs, die das Unternehmen nicht verlassen. Hier greift Art. 50(2) nicht. Trotzdem lohnt sich Watermarking aus Audit-Gründen, dazu unten mehr.
Klassisches NLP ohne generative Modelle. Wer Named Entity Recognition, Klassifikation oder Sentiment-Analyse betreibt, betreibt kein GenAI-System im Sinne des AI Acts und ist nicht in Pflicht.
Drei Implementierungs-Pfade
Watermarking ist kein einheitliches Verfahren. Für unterschiedliche Modalitäten gelten unterschiedliche Best Practices.
Pfad 1: C2PA-Manifeste für Bild, Audio und Video. Die Coalition for Content Provenance and Authenticity (C2PA) hat einen offenen Standard für eingebettete Provenance-Manifeste etabliert. Adobe, Microsoft, OpenAI und Google unterstützen ihn. Für Bild-Pipelines existieren stabile Open-Source-SDKs (c2pa-rs in Rust, c2pa-python, c2pa-js). Ein Manifest enthält das erzeugende Modell, den Zeitstempel, die kryptografische Signatur des Producers und optional die Inferenz-ID. Implementierungsaufwand für ein typisches Marketing-Bild-Pipeline-Setup: unter zwei Wochen.
Pfad 2: Signierter Provenance-Header für Text. Für Text-Outputs ist der C2PA-Standard noch nicht so flächig etabliert. Pragmatische Variante: Ein JSON-Header in der API-Antwort mit Modellversion, Inferenz-ID, Prompt-Template-ID und Timestamp, kryptografisch signiert mit dem privaten Schlüssel des Providers. Eingebetteter Marker im HTML als data-Attribut oder Meta-Tag. Für interne Audit-Trails ist dieser Ansatz ohnehin sinnvoll und löst zwei Probleme auf einmal.
Pfad 3: Detection-Pipeline für Robustheit. Watermarks überleben nicht jede Verarbeitung. Re-Encoding, Re-Posting auf sozialen Netzwerken, Screenshot-Workflows zerstören Provenance-Manifeste teilweise. Eine begleitende Detection-Pipeline prüft eingehende Inhalte gegen die eigene Modell-Signatur und ist für jeden Provider sinnvoll, der seine Outputs in Re-Posting-anfälligen Kanälen ausspielt. Googles SynthID ist ein interessantes Beispiel für robustes Image-Watermarking, das auch nach Re-Encoding noch detektierbar bleibt.
Eine ehrliche Architektur kombiniert alle drei Pfade. C2PA für die Produktion, Provenance-Header für API-Outputs, Detection für die Verifikation.
Der 30/60/90-Tage-Plan
Tage 1 bis 30: Inventar. Welche Systeme im Haus erzeugen KI-Output, der das Unternehmen verlässt? Das ist die Voraussetzung jeder Compliance-Maßnahme. Wer das nicht weiß, kann nichts kennzeichnen. Wir empfehlen den Inventur-Ansatz über DNS-Logs, SSO-Telemetrie und Endpoint-Discovery. Ergebnis nach 30 Tagen: eine Liste der In-Scope-Systeme mit Verantwortlichen und geschätztem Output-Volumen.
Tage 31 bis 60: Pilot. Wählen Sie ein System aus dem Inventar, typischerweise die Marketing-Bild-Pipeline, weil sie technisch klar ist und keine kundenseitige Latenz-Diskussion auslöst. Implementieren Sie C2PA-Manifeste durchgängig, dokumentieren Sie den Schlüssel-Management-Prozess und etablieren Sie ein internes Monitoring. Ergebnis nach 60 Tagen: ein produktiv watermarkendes System mit dokumentiertem Betriebsmodell.
Tage 61 bis 90: Roll-out. Übertragen Sie das Pilot-Setup auf die restlichen In-Scope-Systeme, übergeben Sie an Plattform- oder Produkt-Teams und verankern Sie das Watermarking-Setup in den Build-Pipelines. Ein abschließender Audit-Bericht für die Geschäftsführung schließt die 90 Tage ab. Wer am 2. Mai 2026 startet, ist am 31. Juli 2026 fertig. Wer am 1. Juni startet, hat bis zum 2. August noch knapp zwei Monate, was für den Pilot reicht, aber den Roll-out in die Übergangsfrist verlegt.
Drei typische Stolperfallen
„Wir warten auf den Anbieter.” Für SaaS-LLMs wie ChatGPT oder Claude liefert der Anbieter Watermarking-Bausteine. Für eigenbetriebene Modelle (Ollama, Llama-Stack, vLLM-Setups, fine-getunte Stable-Diffusion-Instanzen) muss man selbst signieren. Wer eine Eigenbetriebs-Architektur fährt, wartet umsonst.
„C2PA ist zu komplex.” In der Praxis nicht. Die Open-Source-SDKs reduzieren die Integration in ein bestehendes Bild-Pipeline-Setup auf einen überschaubaren Sprint. Die wirkliche Komplexität liegt nicht in der Implementierung, sondern im Schlüssel-Management, das man aber für jeden anderen kryptografischen Use Case ohnehin braucht.
„Detection brauchen wir nicht.” Bis jemand Re-Posting-Inhalte hochlädt, die behauptet, von Ihnen zu stammen. Dann brauchen Sie eine Verifikations-Pipeline, idealerweise gestern. Die paar Tage Aufwand sind investierter als ein juristisches Nachspiel.
Bezug zu DSGVO und NIS2
Signierte Provenance-Header sind Audit-Trail-tauglich. Sie zeigen, welches Modell wann mit welchem Prompt-Template welchen Output erzeugt hat. Das ist exakt die Art von Nachvollziehbarkeit, die nach DSGVO Art. 5(1)(f) (Integrität und Vertraulichkeit) und nach NIS-2 Art. 21 (Risikomanagement-Maßnahmen) ohnehin gefordert wird. Wer Watermarking sauber implementiert, erschlägt drei Compliance-Themen mit einer Infrastruktur. Wir haben den NIS-2-Kontext separat in unserem Beitrag zur NIS-2-Compliance aufgearbeitet, der bei der Watermarking-Planung als Anker dienen kann.
Drei Fragen vor jedem GenAI-Projekt ab dem 2. August
Verlässt der Output das Unternehmen? Wenn ja, greift Art. 50(2). Ist der Provider ein externer Dienstleister, der bereits konform watermarkt? Wenn ja, prüfen Sie die Konformität, sonst supplementieren Sie selbst. Existiert ein internes Inventar der Systeme, die GenAI-Output produzieren? Wenn nicht, ist der erste Sprint des 30/60/90-Plans der Inventar-Sprint.
Fazit
Die Watermarking-Pflicht ist im Mittelstand technisch lösbar und braucht keine Sechs-Monats-Beratung. Drei klare Implementierungs-Pfade, ein 30/60/90-Tage-Plan, ein begrenzter Personenkreis von Verantwortlichen. Wer heute startet, ist mit Pilot und Roll-out vor der Übergangsfrist durch. Wer den 2. August abwartet, hat ein Compliance-Problem ohne Spielraum.
EverBright IT begleitet Mittelständler bei der Watermarking-Readiness von der Inventur über die C2PA-Pilotierung bis zum Roll-out. Mehr zu unserer KI-Beratung oder direkt 30-Min-Erstgespräch zur Watermarking-Readiness vereinbaren.
Häufige Fragen
Wer ist Provider im Sinne von Art. 50(2)?
Provider ist, wer ein GenAI-System bereitstellt. Wer ChatGPT oder Claude nur als Endkunde nutzt, ist nicht Provider. Wer ein eigenes System mit eigenem Modell oder eigenem Wrapper für externe Modelle bereitstellt, schon. Eine Marketing-Bild-Pipeline mit Stable Diffusion, ein Chatbot mit eigenem RAG, ein Content-Tool mit fine-getuntem Modell sind Provider-Setups.
Was passiert, wenn ich Outputs nicht watermarke?
Art. 99 AI Act sieht für Verstöße gegen Art. 50 Bußgelder bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Für KMU ist die nationale Umsetzung in Deutschland erst in Vorbereitung, aber die EU-Untergrenze gilt. Wichtiger als das Bußgeld ist meist die Vertrauensfrage gegenüber Kunden und Aufsichtsbehörden.
Reicht ein sichtbarer „KI-generiert”-Hinweis?
Nein. Art. 50(2) verlangt explizit eine maschinenlesbare Kennzeichnung. Ein sichtbarer Hinweis ist eine gute Ergänzung, ersetzt aber das technische Marking nicht. C2PA-Manifeste, signierte Header oder eingebettete Watermark-Signale sind die akzeptierten Verfahren.
Was, wenn der Output durch Menschen nachbearbeitet wurde?
Die Pflicht greift, sobald der Output „künstlich erzeugt oder manipuliert” wurde, unabhängig vom Bearbeitungsgrad. Ein KI-generiertes Marketing-Bild, das durch einen Designer retuschiert wurde, bleibt KI-generiert. Das Manifest sollte beide Schritte dokumentieren, also Generierung und Bearbeitung.
Wie hoch ist der typische Implementierungsaufwand?
Für eine Marketing-Bild-Pipeline rechnen wir mit zwei bis vier Personenwochen, inklusive C2PA-SDK-Integration, Schlüssel-Management-Setup und Monitoring. Für einen API-basierten Chatbot mit signiertem Provenance-Header sind drei bis sechs Personenwochen realistisch, je nach Integrationstiefe. Roll-out auf weitere Systeme skaliert dann pro System um die Hälfte.
