KI-Bildgenerierung DSGVO 2026: Compliance-Leitfaden fuer Deutschland

Kurzantwort

Unternehmen in Deutschland koennen KI-Bildgenerierung fuer Marketing, Design und interne Prozesse oft rechtmaessig nutzen, sollten aber vor der Veroeffentlichung DSGVO-Risiken, Offenlegungspflichten nach Art. 50 der Verordnung (EU) 2024/1689, Vendor-Vertraege sowie Urheber- und Persoenlichkeitsrechte pruefen.

• KI-Bildgenerierung ist selten nur ein AI-Act-Thema; haeufig sind DSGVO und IP die akuteren Risiken.
• Bereiten Sie Transparenz- und Provenance-Kontrollen rechtzeitig vor dem 2. August 2026 vor.
• Prompt-Regeln, Freigabeprozesse und Vendor-Due-Diligence reduzieren das Haftungsrisiko spuerbar.

KI-Bildgenerierung ist fuer Unternehmen in Deutschland regelmaessig zulaessig, sollte aber als kombinierte DSGVO-, IP- und AI-Act-Frage behandelt werden und nicht nur als Kreativ-Tool-Thema. Wenn Ihre Teams Midjourney, DALL-E oder Stable Diffusion einsetzen, sollten Sie vor der Veroeffentlichung personenbezogene Daten, Offenlegung und Provenance, Vendor-Vertraege sowie Freigabeprozesse pruefen.

Wenn Sie zuerst den groesseren Rechtsrahmen einordnen moechten, lesen Sie unsere EU AI Act Compliance-Checkliste fuer deutsche Unternehmen.

Was Unternehmen zuerst pruefen sollten

Am schnellsten laesst sich KI-Bildgenerierung-Compliance in Deutschland beurteilen, wenn Sie die Risiken nach Themen trennen:

Thema	Typischer Ausloeser	Was Unternehmen tun sollten
DSGVO	Prompts, Uploads oder Outputs enthalten identifizierbare Personen oder Unternehmensdaten	Rechtsgrundlage, Vendor-Bedingungen, Transfers, Loeschung und Sicherheit pruefen
AI-Act-Transparenz	Synthetische Bilder koennen Nutzer taeuschen oder als Deepfake einzuordnen sein	Offenlegung, Provenance und Freigabeprozess vorbereiten
Urheberrecht und verwandte Rechte	Prompts orientieren sich an geschuetzten Werken, Logos, Stilen oder Referenzmaterial	Source-Material, Claims-Handling und markensichere Nutzung pruefen
Arbeitsrecht und Governance	Mitarbeiter nutzen Bildtools in regulierten oder ueberwachten Prozessen	Richtlinie, Schulung, Freigaben und gegebenenfalls Betriebsratsprozess aufsetzen

Fuer tool-spezifische Themen finden Sie vertiefende Seiten zu Midjourney, DALL-E, Adobe Firefly und Stable Diffusion.

DSGVO-AVV-Status der wichtigsten Bildgenerierungstools (Stand April 2026)

Tool	Anbieter	AVV verfuegbar?	Drittlandtransfer	Besonderheiten
Midjourney	Midjourney Inc. (USA)	Nein / nicht standardmaessig	USA, SCCs fehlen haeufig	Kein klassischer Art.-28-AVV; fuer personenbezogene Daten problematisch
DALL-E	OpenAI (USA)	Ja, ueber OpenAI API	USA, SCCs vorhanden	AVV gilt fuer API-Nutzung; nicht fuer ChatGPT-Nutzer automatisch
Adobe Firefly	Adobe Inc. (USA/EU)	Ja, fuer Enterprise	EU-Hosting-Option vorhanden	Daten werden nicht fuer Modelltraining genutzt (Enterprise)
Stable Diffusion	Stability AI / Open Source	Abhaengig vom Hostingmodell	Kein Transfer bei Self-Hosting	Bei Cloud-Hosting Anbieter-AVV pruefen

EU AI Act: Was bei KI-Bildgenerierung wirklich zaehlt

Viele Unternehmen ueberschaetzen das AI-Act-Risiko und unterschaetzen die operative Umsetzung. Die meisten Anwendungsfaelle der Bildgenerierung sind keine Hochrisiko-KI-Systeme nach der Verordnung (EU) 2024/1689, koennen aber Transparenzpflichten nach Art. 50 ausloesen.

Stand April 2026 sind folgende AI-Act-Pflichten bereits wirksam:

1. Der AI Act ist am 1. August 2024 in Kraft getreten.
2. Die ersten Pflichten, darunter Verbote bestimmter Praktiken und KI-Kompetenzpflichten, gelten seit dem 2. Februar 2025.
3. Pflichten fuer GPAI-Modell-Anbieter — also die Hersteller von Midjourney, DALL-E, Adobe Firefly und vergleichbaren Modellen — gelten seit dem 2. August 2025. Das verpflichtet diese Anbieter unter anderem zur Veroeffentlichung urheberrechtsbezogener Zusammenfassungen ueber Trainingsdaten.
4. Die Transparenzpflichten nach Art. 50 — insbesondere die Kennzeichnungspflicht fuer synthetische Bild-, Audio- und Videoinhalte — sollen ab dem 2. August 2026 gelten. Unternehmen sollten ihre Offenlegungs- und Provenance-Prozesse jetzt vorbereiten.

Bei KI-Bildgenerierung sind deshalb meist diese Fragen entscheidend:

• Wirkt der Output wie ein echtes Foto oder dokumentarischer Inhalt?
• Koennte das Bild in einem sensiblen Geschaeftskontext manipulativ wirken?
• Werden reale Personen synthetisch dargestellt?
• Kann Ihr Anbieter maschinenlesbare Provenance oder andere erkennbare Marker erhalten?

Deshalb sollten Unternehmen die Governance bereits jetzt aufbauen und nicht erst kurz vor August 2026 reagieren.

DSGVO-Risiken entstehen oft frueher als AI-Act-Risiken

Fuer deutsche Unternehmen ist die DSGVO haeufig das erste scharfe Rechtsregime. Wenn Mitarbeiter Portraits, Kundenfotos, Screenshots, Ausweisdokumente oder interne Unterlagen in ein Bildtool hochladen, verarbeiten sie moeglicherweise bereits personenbezogene Daten.

Dann stellen sich sofort diese Fragen:

• Welche Rechtsgrundlage stuetzt die Verarbeitung?
• Ist der Anbieter Auftragsverarbeiter, eigener Verantwortlicher oder beides je nach Schritt?
• Werden Prompts, Referenzdateien oder Outputs ausserhalb des EWR gespeichert?
• Nutzt der Anbieter Kundendaten fuer Modellverbesserung?
• Brauchen Sie wegen des Risikos fuer Betroffene eine Datenschutz-Folgenabschaetzung?

Die EDPB-Stellungnahme vom 18. Dezember 2024 zu KI-Modellen hat noch einmal betont, dass Entwicklung und Einsatz von KI-Modellen die DSGVO-Grundsaetze weiter einhalten muessen, einschliesslich Rechtsgrundlage und einer belastbaren Bewertung, ob Daten tatsaechlich anonym sind.

Praktische Faustregel: Ohne freigegebenen Prozess sollten keine personenbezogenen Daten in Bild-Prompts oder Referenz-Uploads gelangen.

Urheberrecht, Marke und Persoenlichkeitsrecht bilden die eigentliche Haftungsebene

Unternehmen fragen oft zuerst, ob der generierte Output “gehoert”. Praktisch wichtiger ist jedoch, ob der Workflow Verletzungs- oder Anspruchsrisiken schafft.

Typische Warnsignale sind:

• Prompts im Stil eines bekannten Kuenstlers
• Nutzung urheberrechtlich geschuetzter Referenzbilder ohne Erlaubnis
• synthetische Darstellungen realer Personen ohne Einwilligungs- und Persoenlichkeitsrechtspruefung
• Outputs mit Logos, Verpackungen oder geschuetzten Designs
• Kampagnenbilder, die ein reales Ereignis, eine reale Person oder eine Unterstuetzung vortaeuschen, die nie existiert hat

Seit dem 2. August 2025 enthaelt der AI Act zudem urheberrechtsbezogene Pflichten fuer Anbieter von GPAI-Modellen. Das beseitigt aber nicht das Risiko auf Nutzerseite. Unternehmen brauchen weiterhin Vertragspruefung, Vendor-Due-Diligence und Freigabekontrollen.

Offenlegung, Watermarking und Provenance

Wenn Unternehmen ueber Offenlegung bei KI-Bildern sprechen, denken sie oft zuerst an einen sichtbaren Hinweis. Das kann sinnvoll sein, reicht allein aber nicht.

Ein praxistaugliches Setup umfasst meist:

1. Eine Regel, wann ein sichtbarer Hinweis verpflichtend ist.
2. Erhalt von Metadaten oder Provenance, soweit technisch machbar.
3. Eine Freigabe fuer realistische Gesichter, politische Inhalte, regulierte Claims und Krisenkommunikation.
4. Eine Dokumentation dazu, welches Tool, welches Modell, welche Prompt-Klasse und welche Ausgangsmaterialien genutzt wurden.

Das ist besonders wichtig, wenn synthetische Inhalte Vertrauen verzerren koennen. Eine stilisierte Marketing-Illustration ist oft risikoarm. Ein realistisches CEO-Portrait, ein Produktfoto oder ein Eventbild, das nie stattgefunden hat, ist anders zu bewerten.

Wenn Ihr Unternehmen auch synthetische Bewegtbilder einsetzt, vergleichen Sie dazu unseren Beitrag zur KI-Videogenerierung. Branchenspezifische Anforderungen für KI-Bildgenerierung finden Sie in unseren Leitfäden zu den KI-Act-Pflichten in der Medien- und Unterhaltungsbranche und den Compliance-Anforderungen im Einzelhandel und E-Commerce. Einen vollständigen Überblick über alle EU-AI-Act-Compliance-Anforderungen bietet unser Compliance-Hub.

Praktische Schutzmassnahmen fuer Unternehmen in Deutschland

Wenn Sie KI-Bildgenerierung im Unternehmen skalieren, sollte Ihr Basisset an Kontrollen meist mindestens Folgendes enthalten:

1. Uploads begrenzen

Untersagen Sie personenbezogene Daten, Kundendateien, vertrauliche Unterlagen und fremde Referenzbilder, sofern es keinen dokumentierten Freigabepfad gibt.

2. Tools zentral freigeben

Nicht jedes Team sollte sein eigenes Modell auswaehlen. Legal, Privacy und Security sollten einen begrenzten Satz freigegebener Anbieter und Vertragsbedingungen definieren.

3. Veroeffentlichungsregeln festlegen

Bestimmen Sie, wann KI-generierte Bilder in Marketing, Investor Relations, Recruiting oder Produktdokumentation verwendet werden duerfen und wann eine menschliche Freigabe zwingend ist.

4. Nachweise sichern

Bewahren Sie Prompt-Vorlagen, Quelldateien und Freigabeunterlagen so auf, dass Sie Beschwerden nachvollziehen oder den Ablauf spaeter belegen koennen.

5. Mitarbeiter schulen

Der AI Act erwartet bereits ausreichende KI-Kompetenz. Bei Bildtools sollte die Schulung irrefuehrende Inhalte, personenbezogene Daten, IP-Risiken und Eskalationswege abdecken.

6. HR und Betriebsrat einbinden, wenn es relevant wird

Wenn Bildgenerierungs-Workflows Mitarbeiter betreffen, interne Profile abbilden oder in ueberwachte Prozesse eingebettet sind, koennen neben Datenschutz auch arbeitsrechtliche Fragen entstehen.

Wo aktuelle Suchergebnisse die Nutzererwartung setzen

Die Suchintention zu diesem Thema ist heute klar entscheidungsorientiert. Unternehmen wollen vor allem wissen:

• ob KI-generierte Bilder in Werbung genutzt werden duerfen
• ob realistische synthetische Inhalte gekennzeichnet werden muessen
• ob Prompts oder Uploads DSGVO-Risiken ausloesen
• wie sich Urheberrechts- und Trainingsdatenrisiken reduzieren lassen
• welche Freigaben vor der Veroeffentlichung bestehen sollten

Eine hilfreiche Seite muss deshalb konkrete Fragen direkt beantworten, exakte Daten nennen und erklaeren, welche Massnahmen Legal- und Compliance-Teams als Naechstes umsetzen sollten.

Wann individuelle Rechtsberatung sinnvoll wird

Allgemeine Hinweise reichen nicht mehr aus, wenn reale Personen, regulierte Branchen, sensible Daten, Investor-Kommunikation, Gesundheitsbezug, Arbeitsverhaeltnisse oder grosse oeffentliche Kampagnen betroffen sind. Dann geht es nicht mehr um die abstrakte Frage, ob KI-Bildgenerierung erlaubt ist, sondern ob Ihr konkreter Prozess rechtlich belastbar ist.

Compound Law beraet Unternehmen in Deutschland zu AI Act, DSGVO, Commercial Contracts, Arbeitsrecht und IP rund um generative KI. Wenn Sie einen konkreten Workflow, Vendor-Stack oder Offenlegungsprozess pruefen moechten, kontaktieren Sie uns.

FAQ

Was bedeutet KI-Bildgenerierung-Compliance in Deutschland?

Gemeint ist die rechtliche und operative Pruefung, wie ein Unternehmen KI-generierte Bilder erstellt, freigibt und veroeffentlicht. Praktisch muessen dabei AI Act, DSGVO, IP, Vertragsrecht und interne Governance zusammengedacht werden.

Wie wirkt sich der AI Act auf KI-generierte Bilder aus?

Besonders relevant sind die Transparenzpflichten aus Art. 50 sowie die Anbieterpflichten fuer GPAI-Modelle. Fuer die meisten Unternehmen liegt die Herausforderung darin, Offenlegung und Provenance vor dem 2. August 2026 sauber umzusetzen.

Brauchen wir fuer Bildtools eine DSGVO-Pruefung?

Ja, sobald der Workflow personenbezogene Daten beruehrt. Das kann bei Prompts mit Namensbezug, hochgeladenen Fotos, Referenzmaterial oder Outputs mit identifizierbaren Personen der Fall sein. Geprueft werden sollten Rechtsgrundlage, Rollenverteilung, Transfers, Speicherfristen und Sicherheit.

Duerfen wir KI-generierte Bilder in der Werbung verwenden?

Oft ja, aber nicht ohne Leitplanken. Pruefen Sie, ob das Bild Verbraucher taeuschen, ein reales Ereignis oder eine reale Person vortaeuschen, geschuetzte Materialien wiedergeben oder lauterkeitsrechtliche Risiken ausloesen kann. Realistische Kampagneninhalte gehoeren in einen Freigabeprozess.

Bieten Midjourney, DALL-E und Adobe Firefly einen DSGVO-AVV?

Adobe Firefly stellt fuer Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit und bietet eine EU-Hosting-Option. DALL-E (OpenAI) stellt ueber die API einen AVV bereit. Midjourney bietet keinen standardmaessigen Art.-28-DSGVO-AVV an — der Einsatz mit personenbezogenen Daten ist dort datenschutzrechtlich problematisch. Stable Diffusion kann lokal gehostet werden und vermeidet damit Drittlandtransfers. Einen detaillierten Vergleich finden Sie in der DSGVO-AVV-Tabelle oben.

Gelten die KI-Bildgenerierungs-Compliancepflichten auch fuer Stable Diffusion?

Ja. DSGVO-Pflichten, IP-Risiken und AI-Act-Transparenzpflichten gelten unabhaengig vom eingesetzten Tool. Bei selbst gehostetem Stable Diffusion entfaellt das Drittlandtransfer-Problem, weil keine Daten an externe Dienste gehen. Aber IP-Risiken bei Prompts und Outputs, interne Governance-Regeln und die Freigabepflichten fuer veroeffentlichte Inhalte bleiben vollumfaenglich relevant. Mehr dazu auf unserer Seite zu Stable Diffusion.