KI-Verbotsnormen für Deepfakes: Wie sicher sind Chatbots mit Bildfunktion bis Dezember 2026?

Am 11. Juni 2026 hat das Europäische Parlament die KI-Verbotsnormen für sexualisierte Deepfakes endgültig beschlossen. Bis zum 2. Dezember 2026 müssen Anbieter von Chatbots mit Bildfunktion nachweisen, dass ihre Systeme keine intimen Darstellungen identifizierbarer Personen ohne Einwilligung erzeugen können. Was das konkret bedeutet – und warum die operative Umsetzung weitaus schwieriger ist, als die Pressemitteilungen der EU-Kommission suggerieren.

Was das Parlament am 11. Juni tatsächlich beschlossen hat

Der Beschluss vom 11. Juni 2026 klingt auf den ersten Blick eindeutig: KI-Systeme, die Material über sexuellen Kindesmissbrauch generieren oder intime Darstellungen identifizierbarer Personen ohne deren Einwilligung erzeugen, dürfen in der EU nicht mehr in Verkehr gebracht werden. Das Europäische Parlament hat diese Verschärfung im Rahmen des sogenannten digitalen Omnibuspakets verabschiedet. Das Besondere daran ist die Verlagerung der Verantwortung: Nicht mehr nur wer Deepfakes verbreitet, sondern wer die Werkzeuge dazu bereitstellt, steht jetzt in der Pflicht.

Die Fristen sind klar gestaffelt. Die meisten Bestimmungen des AI Act greifen ab dem 2. August 2026. Die spezifischen Verbote und technischen Schutzpflichten rund um Deepfakes und sexualisierte Inhalte folgen zum 2. Dezember 2026. Anbieter haben also rund ein halbes Jahr, um ihre Systeme anzupassen – oder sie vom Markt zu nehmen. Das klingt nach ausreichend Zeit, unterschätzt aber die technische Komplexität.

Entscheidend ist eine oft übersehene Formulierung im Parlamentsbeschluss: Verboten sind nicht Bildgeneratoren per se, sondern Systeme, die ohne angemessene technische Schutzvorkehrungen solche Inhalte ermöglichen. Das eröffnet einen Interpretationsspielraum, der in der Praxis erhebliche Konsequenzen hat. Denn wer definiert, was „angemessen“ ist? Die Antwort darauf fehlt bislang in den finalen technischen Vorgaben.

Deepfakes und KI-Verbotsnormen: Was wirklich unter das Verbot fällt

Hier schleicht sich ein verbreiteter Irrtum ein, den man korrigieren muss. „Die EU verbietet Deepfakes“ – diese Vereinfachung kursiert in zahlreichen Medienberichten. Sie ist falsch. Das Europäische Parlament untersagt konkret Systeme wie Nudifier-Apps, die explizit darauf ausgelegt sind, sexualisierte Darstellungen identifizierbarer Personen ohne deren Zustimmung zu generieren. KI-gestützte Bildbearbeitung, kreative Bildgenerierung, audiovisueller Content für Filmproduktionen oder Marketingzwecke – das alles bleibt grundsätzlich erlaubt.

Die Grenze verläuft entlang zweier Kriterien: Erstens die Identifizierbarkeit der dargestellten Person. Abstrakte oder fiktive Figuren fallen nicht unter die KI-Verbotsnormen. Zweitens die fehlende Einwilligung. Systeme, die gezielt für nicht-einvernehmliche intime Darstellungen konzipiert sind oder diese ohne ausreichende Schutzfilter ermöglichen, sind verboten. Das trifft vor allem Tools wie Nudifier-Apps direkt – also Anwendungen, die Fotos realer Menschen in sexualisierte Darstellungen umwandeln.

Trotzdem betrifft das Regulierungspaket einen erheblichen Teil des Markts. Viele Chatbots mit Bildfunktion, die heute auf Basis großer Sprachmodelle mit Bildgeneratoren kombiniert werden, könnten theoretisch für solche Zwecke missbraucht werden. Genau das macht die Compliance-Anforderungen so anspruchsvoll: Ein generatives System, das für kreative Anwendungen gebaut wurde, lässt sich oft auch für missbräuchliche Zwecke nutzen. Die Frage ist, welche Schutzmechanismen Anbieter einbauen müssen, damit ihr System nicht unter das Verbot fällt.

Content-Moderation als operatives Kernproblem

Meine Einschätzung: Die eigentliche Herausforderung liegt nicht im politischen Beschluss, sondern in seiner technischen Umsetzung. Content-Moderation für generative KI-Systeme ist kein gelöstes Problem. Klassische Filteransätze, die auf bekannten Hash-Werten oder Schlüsselwörtern basieren, greifen bei promptbasierter Bildgenerierung schlicht nicht zuverlässig. Ein Deepfake entsteht nicht durch das Hochladen einer verbotenen Datei, sondern durch die Kombination eines harmlosen Ausgangsprompts mit kreativen Umgehungsstrategien.

Anbieter großer Bildgeneratoren wie OpenAI, Google oder Stability AI betreiben bereits mehrschichtige Moderationssysteme: Prompt-Filter, Output-Klassifikatoren und manuelle Review-Prozesse. Doch diese Systeme sind nicht unfehlbar. Die sogenannte Jailbreak-Problematik – also das systematische Umgehen von Sicherheitsfiltern durch geschickt formulierte Eingaben – ist dokumentiert und wird von der Security-Community regelmäßig neu bewertet. Wer regelmäßig mit KI-Assistenten arbeitet, weiß: Selbst gut gemeinte Filter produzieren sowohl False Positives, die legitime kreative Arbeit blockieren, als auch False Negatives, die Missbrauch durchlassen.

Das stellt Anbieter vor ein schwieriges Abwägungsproblem. Zu restriktive Content-Moderation schränkt Meinungsfreiheit und kreative Nutzung ein, zu permissive Filter öffnen die Tür für genau den Missbrauch, den die KI-Verbotsnormen adressieren wollen. Dieser Spannungsbogen zwischen Missbrauchsschutz und Ausdrucksfreiheit ist auch in der politischen Debatte rund um den AI Act präsent – und bleibt bislang ungelöst.

Transparenzpflichten: Was Artikel 50 AI Act von Chatbots verlangt

Parallel zu den Verbotsnormen gelten ab dem 2. August 2026 die Transparenzpflichten nach Artikel 50 des AI Act. Sie betreffen direkt Chatbots, virtuelle Assistenten und generative KI-Systeme – also auch Anwendungen, die Bilder, Audio oder Video erzeugen. Konkret: Bei direkter Interaktion mit einem KI-System muss beim ersten Kontakt auf die KI-Natur des Systems hingewiesen werden. Für synthetische Inhalte ist eine maschinenlesbare Kennzeichnung vorgesehen. Und für Deepfakes muss offengelegt werden, dass der Inhalt künstlich erzeugt oder manipuliert wurde.

Die Wasserzeichen-Pflicht für KI-generierte Bilder und Videos wurde dabei auf den 2. Dezember 2026 verschoben – parallel zu den Deepfake-Verboten. Das ist kein Zufall. Die technischen Standards für robuste, manipulationssichere Wasserzeichen sind noch nicht abschließend definiert. Wer KI-Wasserzeichen kennt, weiß: Die aktuellen Verfahren lassen sich durch einfaches Komprimieren, Zuschneiden oder Sättigungsänderungen oft entfernen. Eine Kennzeichnungspflicht ohne durchsetzbare technische Standards ist ein Papiertiger.

Die Transparenzregeln des Artikel 50 AI Act sind dennoch ein wichtiger Schritt, weil sie erstmals einen rechtlichen Rahmen für die Kennzeichnung generativer Inhalte schaffen. Für Nutzer bedeutet das perspektivisch: KI-generierte Bilder sollen erkennbar werden – nicht nur durch manuelle Hinweise, sondern durch eingebettete Metadaten. Ob das in der Praxis funktioniert, hängt von der Kooperation der Plattformen ab, über die solche Inhalte distribuiert werden.

Chatbots mit Bildfunktion: Wer konkret betroffen ist

Die neue Regulierung trifft nicht alle KI-Bildtools gleich. Es lassen sich grob drei Kategorien unterscheiden. Erstens reine Nudifier-Apps und explizit für nicht-einvernehmliche Darstellungen konzipierte Dienste: Diese fallen klar unter das Verbot und müssen bis Dezember 2026 eingestellt oder vollständig umgebaut werden. Zweitens Mehrzweck-Bildgeneratoren wie Chatbots mit Bildfunktion auf Basis von Modellen wie DALL-E, Stable Diffusion oder Midjourney: Diese dürfen weiter betrieben werden, müssen aber nachweislich angemessene Schutzmaßnahmen implementieren. Drittens spezialisierte Bildbearbeitungstools für professionelle Kontexte: Sie sind regulatorisch am wenigsten betroffen, sofern sie nicht für die genannten Missbrauchsszenarien ausgelegt sind.

Für Anbieter in der zweiten Kategorie – und das ist der Großteil des Markts – bedeutet das konkret: Sie müssen ihre Moderationssysteme dokumentieren, technische Schutzmaßnahmen gegen Deepfake-Missbrauch implementieren und bei der Nutzung Transparenzhinweise einblenden. Das ist für große Anbieter mit entsprechenden Compliance-Abteilungen managebar. Für kleinere Startups, die Bildgenerierungsfunktionen über APIs von Drittanbietern einbinden, ist die Situation komplizierter: Wo liegt die Verantwortung – beim API-Anbieter oder beim Integrator?

Der AI Act adressiert das über das Konzept des Betreibers (Deployer). Wer ein KI-System in eigene Produkte integriert und damit Nutzern zugänglich macht, trägt Mitverantwortung für die Einhaltung der Vorschriften. Das ist eine erhebliche Ausweitung der Haftungslogik gegenüber dem bisherigen Stand.

Internationale Dimension: Was passiert außerhalb der EU?

Ein oft vernachlässigter Aspekt der KI-Verbotsnormen ist ihre geografische Reichweite und ihre Grenzen. Der AI Act gilt für Anbieter, die ihre Systeme im EU-Markt anbieten – unabhängig davon, wo sie ihren Unternehmenssitz haben. Ein Startup aus den USA oder Singapur, das einen Chatbot mit Bildfunktion für europäische Nutzer bereitstellt, ist grundsätzlich genauso zur Compliance verpflichtet wie ein deutsches Unternehmen. In der Praxis ist die Durchsetzung gegenüber Anbietern außerhalb der EU jedoch erheblich schwieriger.

Genau hier liegt eine strukturelle Schwäche des aktuellen Regulierungsansatzes. Missbrauchsanfällige Tools, die in der EU verboten werden, können problemlos über Anbieter aus Drittstaaten weiter zugänglich bleiben – solange diese keine relevante Marktpräsenz in Europa haben und damit dem Zugriff der nationalen Aufsichtsbehörden faktisch entzogen sind. Das ist kein theoretisches Szenario: Bereits heute existieren zahlreiche Nudifier-Dienste auf Servern außerhalb europäischer Jurisdiktionen, die europäische Nutzer ungehindert erreichen.

Dieses Durchsetzungsproblem kennt man aus anderen Regulierungsbereichen – etwa bei der DSGVO, wo die Konsequenzen für kleine, international agierende Anbieter ebenfalls begrenzt blieben. Die EU setzt hier auf eine Kombination aus App-Store-Regulierung über den Digital Markets Act und Meldepflichten für sehr große Plattformen nach dem Digital Services Act. Ob das ausreicht, bleibt abzuwarten. Für europäische Anbieter bedeutet es jedenfalls eine Wettbewerbssituation, in der sie strengere Standards einhalten müssen als Konkurrenten aus regulatorisch weniger strikten Märkten.

Wahlkampf, Mediensicherheit und die politische Dimension

Die Verschärfung der KI-Verbotsnormen kommt nicht zufällig zu einem Zeitpunkt, an dem Europa mehrere Wahlzyklen vor sich hat und Desinformationskampagnen mit synthetischen Medien als reale Bedrohung für demokratische Prozesse diskutiert werden. Deepfakes von politischen Figuren in kompromittierenden oder gefälschten Situationen lassen sich mit aktuellen Bildgeneratoren in Minuten erstellen. Die Verbreitung über soziale Netzwerke multipliziert die Reichweite exponentiell, bevor Faktenchecks greifen können.

Die neuen Regeln adressieren das nur teilweise. Das Verbot sexualisierter Deepfakes identifizierbarer Personen trifft einen Teil dieser Szenarien direkt. Politische Deepfakes ohne explizit sexuellen Inhalt – also gefälschte Aussagen, manipulierte Reden oder inszenierte Situationen – fallen unter andere Regelungsbereiche, insbesondere unter die Transparenz- und Kennzeichnungspflichten sowie unter den Digital Services Act. Die Lücken sind real. Und die Frist bis Dezember 2026 bedeutet, dass ein erheblicher Teil der politisch relevanten Deepfake-Aktivitäten bis dahin regulatorisch in einer Grauzone operiert.

Ich halte die gestaffelte Umsetzungsstrategie der EU grundsätzlich für pragmatisch, aber riskant. Der Zeitraum zwischen August und Dezember 2026 ist kurz genug, um keine dauerhaften Schäden entstehen zu lassen, lang genug, um Missbrauch im politischen Umfeld erheblichen Spielraum zu lassen. Ob die nationalen Aufsichtsbehörden in diesem Zeitfenster überhaupt handlungsfähig sein werden, ist eine offene Frage.

Was Anbieter jetzt konkret tun müssen

Unternehmen, die Chatbots mit Bildfunktion betreiben oder entwickeln, sollten folgende Handlungsschritte nicht verschieben. Erstens: Eine Klassifikation des eigenen Systems nach AI-Act-Risikoklassen durchführen. Systeme, die potenziell für nicht-einvernehmliche Deepfakes genutzt werden können, fallen nicht automatisch unter das Verbot, müssen aber technische Schutzmaßnahmen nachweisen. Zweitens: Moderationssysteme dokumentieren und gegen die Anforderungen der KI-Verbotsnormen testen. Das schließt adversariales Testing ein – also das systematische Versuchen, eigene Filter zu umgehen. Drittens: Transparenzhinweise für die erste Nutzerinteraktion implementieren, da diese ab August 2026 verpflichtend sind.

Viertens, und das wird oft unterschätzt: Die Lieferkette prüfen. Wer KI-Bildgenerierung über Drittanbieter-APIs bezieht, muss sicherstellen, dass diese Anbieter ihrerseits compliant sind oder die eigene Integration ausreichend abgesichert ist. Eine Klausel im Lizenzvertrag reicht nicht als Nachweis angemessener Schutzmaßnahmen. Fünftens: Die technischen Vorgaben für Wasserzeichen und maschinenlesbare Kennzeichnungen beobachten. Sie sind noch nicht finalisiert, werden aber bis Dezember 2026 entscheidend sein. Wer früh implementiert, riskiert Nachbesserungsaufwand; wer zu lange wartet, riskiert Compliance-Lücken zum Stichtag.

Für alle diese Schritte gilt: Die IHK München und der VDE haben konkrete Orientierungshilfen zum AI-Act-Verbotskatalog veröffentlicht, die deutlich praxisnäher sind als der Gesetzestext selbst. Sie sind ein sinnvoller Ausgangspunkt für die eigene Compliance-Analyse.

Sanktionen und Durchsetzung: Was droht bei Verstößen?

Die KI-Verbotsnormen sind kein zahnloser Tiger – zumindest auf dem Papier nicht. Der AI Act sieht für Verstöße gegen die Verbotsbestimmungen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Das ist die schärfste Sanktionsstufe des gesamten Regelwerks und unterstreicht, wie ernst die EU die Kategorie der verbotenen KI-Praktiken nimmt. Zum Vergleich: Verstöße gegen Transparenzpflichten nach Artikel 50 werden mit bis zu 15 Millionen Euro oder drei Prozent des Jahresumsatzes geahndet.

Entscheidend für die tatsächliche Wirksamkeit ist jedoch die Durchsetzungskapazität der nationalen Marktüberwachungsbehörden. In Deutschland ist die Bundesnetzagentur als koordinierende Behörde vorgesehen, während sektorspezifische Aufsicht durch weitere Stellen erfolgt. Die personellen und technischen Ressourcen für eine flächendeckende Überwachung generativer KI-Systeme sind jedoch bislang nicht vollständig aufgebaut. Das bedeutet in der Praxis: Behörden werden zunächst auf Beschwerden reagieren und schwerere, öffentlich sichtbare Verstöße priorisieren. Kleinere Anbieter, die unter dem öffentlichen Radar operieren, werden möglicherweise weniger intensiv kontrolliert – zumindest in der Anfangsphase.

Für Anbieter ist das kein Argument, Compliance zu vernachlässigen. Die zivilrechtliche Haftung gegenüber Betroffenen, also Personen, die durch nicht-einvernehmliche Deepfakes geschädigt wurden, ist von der behördlichen Durchsetzung unabhängig. Mit dem wachsenden öffentlichen Bewusstsein für KI-Missbrauch ist zu rechnen, dass Klagen gegen Anbieter, die unzureichende Schutzmaßnahmen implementiert haben, zunehmen werden.

Was bleibt – und was noch fehlt

Die neuen KI-Verbotsnormen für sexualisierte Deepfakes sind ein echter Fortschritt. Erstmals wird nicht nur das Teilen verbotener Inhalte, sondern das Bereitstellen missbrauchsfähiger Werkzeuge reguliert. Das ist die richtige Stoßrichtung. Aber die offenen Punkte sind erheblich: Technische Standards für Wasserzeichen sind nicht finalisiert. Die Definition „angemessener Schutzmaßnahmen“ bleibt interpretationsoffen. Und die Lücke zwischen politisch motivierten Deepfakes und dem sexuell-expliziten Verbotsbereich bleibt regulatorisch unbefriedigend geschlossen.

Wie sicher sind Chatbots mit Bildfunktion tatsächlich vor Missbrauch? Ehrliche Antwort: Sicherer als vor einem Jahr, aber nicht sicher genug. Die Regulierung setzt die richtigen Anreize, löst aber das grundlegende technische Problem der Content-Moderation bei generativen Systemen nicht. Das bleibt eine offene Baustelle – für Anbieter, für Aufsichtsbehörden und für alle, die sich mit dem gesellschaftlichen Schaden durch nicht-einvernehmliche synthetische Inhalte auseinandersetzen müssen.

Haben Sie als Anbieter oder Nutzer eines Chatbots mit Bildfunktion bereits konkrete Schritte zur AI-Act-Compliance unternommen – oder warten Sie auf finale technische Vorgaben?