Recht & Regulierung

Schreibt der EU AI Act C2PA vor? Was Artikel 50 wirklich verlangt

Der EU AI Act nennt C2PA nicht. Artikel 50 verlangt ab dem 2. August 2026 trotzdem eine maschinenlesbare Kennzeichnung von KI-Inhalten, und C2PA ist der Standard, der diese Anforderung erfüllt. Was Anbieter, Betreiber und Fotografen wissen sollten.

ByLumethic Team
8 Min. Lesezeit
Share

Die kurze Antwort

Nein. Der EU AI Act (Verordnung (EU) 2024/1689) nennt C2PA an keiner Stelle seines verbindlichen Textes. Die Verordnung ist bewusst technologieneutral gehalten.

Für sich genommen führt diese Antwort allerdings in die Irre. Nach Artikel 50 Absatz 2 müssen Anbieter generativer KI-Systeme synthetische Inhalte in einem maschinenlesbaren Format kennzeichnen, sodass sie als künstlich erzeugt oder manipuliert erkennbar sind. Die zugehörigen Erwägungsgründe beschreiben, welche Art von Technik der Gesetzgeber dabei vor Augen hatte, darunter Metadaten-Kennzeichnung und kryptografische Verfahren zum Nachweis von Herkunft und Echtheit von Inhalten. Genau das leistet C2PA, und einen anderen offenen, breit eingesetzten Standard mit diesen Eigenschaften gibt es 2026 nicht.

Präzise formuliert: Der AI Act schreibt das Ergebnis vor, das C2PA liefert, ohne den Standard selbst vorzuschreiben. Für die meisten Organisationen ist C2PA damit der kürzeste belastbare Weg zur Compliance mit Artikel 50. Deshalb taucht die Frage in juristischen Prüfungen immer wieder auf, und deshalb liegt die praktische Antwort näher an einem „faktisch ja", als der Verordnungstext vermuten lässt.

Was Artikel 50 tatsächlich verlangt

Artikel 50 regelt Transparenzpflichten für mehrere Konstellationen. Für Bilder sind zwei davon relevant.

Anbieter generativer KI-Systeme (Artikel 50 Absatz 2). Wer ein System anbietet, das synthetische Audio-, Bild-, Video- oder Textinhalte erzeugt, muss dafür sorgen, dass die Ausgaben „in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind". Die technischen Lösungen müssen „wirksam, interoperabel, belastbar und zuverlässig" sein, soweit technisch machbar und unter Berücksichtigung des Stands der Technik. Ein sichtbares Label allein genügt nicht, die Kennzeichnung muss maschinenlesbar sein.

Betreiber von Deepfake-Systemen (Artikel 50 Absatz 4). Wer mit einem KI-System Bild-, Audio- oder Videoinhalte erzeugt oder verändert, die realen Personen, Objekten, Orten, Einrichtungen oder Ereignissen merklich ähneln und fälschlich echt wirken, muss offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Für erkennbar künstlerische, satirische oder fiktionale Werke gilt eine abgeschwächte Offenlegungspflicht, damit die Kennzeichnung das Werk nicht beeinträchtigt.

Ebenso wichtig ist, was Artikel 50 nicht tut: Fotografen und Verlagen, die authentische Kamerafotos veröffentlichen, legt er keinerlei Pflichten auf. Echte Fotos liegen schlicht außerhalb des Anwendungsbereichs. Die Compliance-Last trifft diejenigen, die Inhalte mit KI erzeugen oder verändern.

Wo C2PA ins Spiel kommt

Die verbindlichen Artikel sind technologieneutral. Die Erwägungsgründe, die bei der Auslegung herangezogen werden, sind konkreter. Erwägungsgrund 133 zählt auf, welche Techniken für die maschinenlesbare Kennzeichnung in Betracht kommen: Wasserzeichen, Metadaten-Kennzeichnungen, kryptografische Verfahren zum Nachweis von Herkunft und Echtheit des Inhalts, Protokollierungsverfahren, Fingerabdrücke oder Kombinationen daraus.

Mehrere dieser Techniken sind genau das, was der C2PA-Standard bietet. Sein Manifest besteht aus kryptografisch signierten Metadaten, seine Assertion-Kette ist ein Herkunftsnachweis, und die feste Bindung zwischen Manifest und Pixeln macht nachträgliche Eingriffe erkennbar. Entwickelt wurde die Spezifikation von der Coalition for Content Provenance and Authenticity, zu deren Mitgliedern Adobe, Microsoft, Google, OpenAI, Sony, Canon, Nikon, Leica und die BBC gehören. Sie steht hinter den „Content Credentials", die Adobe Firefly, DALL·E und immer mehr Kameras inzwischen mitliefern.

Juristisch entscheidend ist das Wort Interoperabilität. Artikel 50 Absatz 2 verlangt interoperable Kennzeichnungslösungen, „soweit technisch machbar". Ein proprietäres Wasserzeichen, das nur sein Anbieter lesen kann, verträgt sich damit schlecht. Ein offener Standard mit veröffentlichter Spezifikation und unabhängigen Implementierungen quer durch die Branche erfüllt die Anforderung dagegen ohne Weiteres. Nach Artikel 50 Absatz 7 soll das AI Office der Kommission Verhaltenskodizes zur Erkennung und Kennzeichnung künstlich erzeugter Inhalte fördern, und der interoperable Stand der Technik, den es dabei am Markt vorfindet, heißt C2PA.

Für ein Compliance-Team sieht die ehrliche Rechtslage 2026 so aus: Niemand ist verpflichtet, ausgerechnet C2PA einzusetzen. Verpflichtend ist eine maschinenlesbare, erkennbare und interoperable Kennzeichnung, und C2PA ist der einzige produktive offene Standard, der das nachweislich leistet. Wer sich für etwas anderes entscheidet, muss begründen können, dass es genauso wirksam und interoperabel ist.

Zeitplan und Sanktionen

Der AI Act trat am 1. August 2024 in Kraft, seine Pflichten greifen gestaffelt. Die Transparenzpflichten des Artikels 50 gelten ab dem 2. August 2026, zusammen mit dem Großteil der übrigen Vorschriften.

Verstöße gegen Artikel 50 können mit Geldbußen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist (Artikel 99 Absatz 4). Das ist die mittlere Sanktionsstufe, unterhalb der Bußgelder für verbotene Praktiken, aber alles andere als symbolisch.

Aus dem Zeitplan folgt zweierlei. Generative KI-Anbieter mit Nutzern in der EU mussten ihre Kennzeichnung vor August 2026 produktiv haben, was erklärt, warum die C2PA-Einführung bei den großen Generatoren 2025 und 2026 deutlich an Fahrt aufgenommen hat; unsere Übersicht zur SynthID- und Wasserzeichen-Adoption zeichnet das nach. Und weil sich erst in der Durchsetzung klären wird, was als „erkennbar" und „interoperabel" gilt, führt derjenige die einfacheren Gespräche mit der Aufsicht, der den anerkannten offenen Standard einsetzt.

Was das für echte Fotos bedeutet

Artikel 50 regelt synthetische Inhalte, nicht authentische. Seine mittelbaren Folgen treffen trotzdem Fotografen, Redaktionen und Plattformen, die mit echten Bildern arbeiten.

Sobald KI-Inhalte flächendeckend gekennzeichnet sind, gilt ungekennzeichneter Inhalt nicht mehr als „vermutlich echt", sondern als „nicht belegt". Es entstehen zwei Klassen von Inhalten: solche mit Herkunftsnachweis und solche ohne. Publikum, Plattformen, Wettbewerbsjurys und Gerichte werden die Frage zunehmend umdrehen. Nicht mehr „Ist das KI?", sondern „Können Sie belegen, dass es keine ist?"

Ein kryptografischer Herkunftsnachweis beantwortet diese Frage für echte Inhalte auf dieselbe Weise, wie die Kennzeichnung nach Artikel 50 sie für synthetische beantwortet. Ein Foto mit belegter Herkunft trägt genau das maschinenlesbare Vertrauenssignal, auf das sich das Ökosystem nach dem AI Act einpendelt, sei es über kamerasignierte C2PA-Credentials oder über eine RAW-zu-JPEG-Verifizierung, die zeigt, dass das Bild von einem echten Kamerasensor stammt.

Diese Lücke schließt Lumethic. Die wenigsten Fotografen besitzen bisher eine C2PA-fähige Kamera, und Credentials gehen in Bearbeitungsabläufen leicht verloren. Mit dem Verify-then-Sign-Ansatz entsteht der Herkunftsnachweis nachträglich: Sie laden Ihr Kamera-RAW und das veröffentlichte JPEG hoch, das System bestätigt forensisch, dass beide zusammengehören, und Sie erhalten einen Verifizierungs-Report, den Sie weitergeben können und der an dasselbe C2PA-Ökosystem anschließt, um das herum die Kennzeichnungspflicht des AI Acts gebaut ist. Das Ausprobieren ist kostenlos, ein Konto ist nicht nötig.

Häufig gestellte Fragen

Schreibt der EU AI Act C2PA Content Credentials vor?

Nicht namentlich. Artikel 50 Absatz 2 verlangt von Anbietern generativer KI-Systeme eine maschinenlesbare, erkennbare und interoperable Kennzeichnung ihrer Ausgaben, und Erwägungsgrund 133 nennt Metadaten-Kennzeichnung und kryptografische Herkunftsnachweise als geeignete Techniken. C2PA ist der einzige breit eingesetzte offene Standard, auf den diese Beschreibung passt, und damit der faktische Weg zur Compliance, obwohl die Verordnung formal technologieneutral bleibt.

Wird C2PA irgendwo im EU AI Act erwähnt?

In den verbindlichen Artikeln nicht. Die Erwägungsgründe beschreiben die Technikfamilien, die die C2PA-Spezifikation umsetzt, etwa Metadaten-Kennzeichnung und kryptografische Herkunfts- und Echtheitsnachweise. Verweise auf konkrete Standards dürften in den Verhaltenskodizes auftauchen, die das AI Office nach Artikel 50 Absatz 7 fördert.

Ab wann gilt Artikel 50 der KI-Verordnung?

Ab dem 2. August 2026. Der AI Act trat am 1. August 2024 in Kraft, seine Pflichten greifen gestaffelt. Die Transparenzpflichten des Artikels 50, also die maschinenlesbare Kennzeichnung synthetischer Inhalte und die Deepfake-Offenlegung, gelten mit dem Hauptteil der Verordnung ab August 2026.

Welche Strafen drohen bei Verstößen gegen Artikel 50?

Geldbußen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Artikel 99 Absatz 4). Die Behörden der Mitgliedstaaten können weitere Durchsetzungsmaßnahmen ergreifen.

Haben Fotografen Pflichten aus Artikel 50?

Nein. Artikel 50 verpflichtet Anbieter und Betreiber von KI-Systemen, die Inhalte erzeugen oder verändern. Wer authentisch mit der Kamera fotografiert, muss nichts kennzeichnen. Der Druck auf Fotografen entsteht mittelbar: Wenn synthetische Inhalte flächendeckend gekennzeichnet sind, wird der Echtheitsnachweis für echte Fotos zur Markterwartung. Das ist eine Frage des Herkunftsnachweises, keine rechtliche.

Erfüllt eine RAW-Datei die Provenance-Erwartungen des AI Acts?

Der AI Act stellt an echte Fotos keine Anforderungen, es gibt also nichts zu erfüllen. Eine RAW-Datei ist trotzdem der stärkste verfügbare Beleg dafür, dass ein Bild in einer Kamera entstanden ist. Eine forensische RAW-zu-JPEG-Verifizierung macht aus diesem Beleg einen weitergebbaren, maschinenlesbaren Report und gibt echten Bildern dieselbe Art von Vertrauenssignal, die Artikel 50 für synthetische vorschreibt.

Related Reading

#Regulierung#EU-Recht#AI Act#C2PA#Compliance#Content Provenance