Der Einsatz von KI kann gegebenenfalls auch die Arbeit der Praxis von Heilpraktiker*innen erleichtern. Möglichkeiten und Angebote gibt es für viele Bereiche, zum Beispiel bei der telefonischen Terminvereinbarung, zur Dokumentation, auf der Website oder bei der Anamnese. Mittlerweile werden auch KI-Anwendungen zu Diagnose und Therapie im Bereich der Naturheilkunde angeboten.

Soll eine KI in irgendeiner Form für die eigene Praxis eingesetzt werden, kommt es bei der Auswahl und Implementierung nicht nur auf die Bewältigung der technischen Herausforderungen und eine ethische Bewertung an. Es müssen auch die damit einhergehenden Risiken für unsere Patient*innen und uns selbst durch die Einhaltung diverser rechtlicher Vorgaben aus verschiedenen Regelungsbereichen berücksichtigt werden. Dazu sollten Sie ein paar rechtliche Vorgaben kennen. Das gilt zum Beispiel auch für den Einsatz von DoctoLip, Jameda oder Medflex.

Bei dem beruflichen Einsatz von KI sind grundsätzlich vor allem zwei Verordnungen relevant: Erstens die bereits bekannte Datenschutzgrundverordnung (DSGVO) und zweitens auch bestimmte Anforderung der neuen, stufenweise in Kraft tretenden europäischen Verordnung zur künstlichen Intelligenz (KI-VO / EU AI Act von 2024). Diese Verordnung ist bereits ohne weitere Anpassungen für alle EU-Mitgliedsstaaten verbindlich. Im Rahmen einer technologieneutralen Risikoeinteilung wird darin geregelt, unter welchen Bedingungen welche Art von KI verwendet werden darf. Wie bei der DSGVO gibt es für Verstöße gegen die Vorgaben Sanktionsmöglichkeiten. Die in Deutschland zuständige zentrale Aufsichtsbehörden ist die Bundesnetzagentur: https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/7_Kompetenz/start.html.

Speziell hinsichtlich KI-Modellen mit sogenanntem allgemeinem Verwendungszweck ist die Durchsetzung der EU-KI-VO bei der Europäischen Kommission in dem dafür neu gegründeten europäischen KI-Büro angesiedelt: https://digital-strategy.ec.europa.eu/de/policies/ai-office..

Grundsätzlich sind mehrere rechtliche Varianten möglich. Es kann für die Anwendung einer KI sowohl nur die DSGVO zu beachten sein (bei Verarbeitung persönlicher Daten und geringem Risiko) oder nur die KI-VO (bei höherem Risiko ohne Verarbeitung persönlicher Daten). Werden persönliche Daten bei höherem Risiko verarbeitet, sind immer die Regelungen beider Verordnungen zu beachten.

Bereits jetzt gilt auch für Heilpraktiker*innen, die KI beruflich einsetzen:

1. Wenn dabei personenbezogene Daten verarbeitet werden (also eingegeben, ausgewertet oder in sonstiger Weise verarbeitet), müssen zusätzlich zu den bisherigen Datenschutzmaßnahmen, speziell auch für den Einsatz einer KI die Vorgaben aus der DSGVO eingehalten werden.
2. Sie brauchen unabhängig von der Art der genutzten KI als Voraussetzung für deren Einsatz eine sogenannte „KI-Kompetenz“ (Art 4 KI-VO), die sich alle Nutzer*innen in der Praxis aneignen müssen.

Ab August 2026 gilt zusätzlich die Pflicht zur eindeutigen und verständlichen Erläuterung/Kennzeichnung des Einsatzes eines KI-Systems, das Bild-, Ton- oder Videoinhalte erzeugt oder manipuliert, die ein Deepfake sind (Transparenzpflicht Art. 50 Abs. 3-5 KI-VO). Deepfakes sind realistisch wirkende Medieninhalte, die mithilfe von KI erzeugt oder verändert worden sind (genauer Art. 3 Nr. 60 KI-VO).

1. Anforderungen nach der DSGVO

Diese Verordnung betrifft vorrangig den Schutz und die Verarbeitung personenbezogener Daten. Wenn Sie KI im Praxisbereich einsetzen und dabei personenbezogene Daten verarbeitet werden, gelten auch hierfür zusammengefasst folgende Ihnen bereits bekannte Grundsätze:

1. Einwilligung und Betroffenenrechte
Zunächst müssen Sie einen konkreten Zweck für den KI-Einsatz festlegen und auf Datenminimierung achten (Art. 5 DSGVO). Weiterhin ist für den Einsatz einer solchen KI eine rechtliche Grundlage Voraussetzung, in der Regel eine ausdrückliche und freiwillige Einwilligung der betreffenden Patient*innen (ohne Nachteile für diese bei deren Ablehnung).

Zuvor muss eine eindeutige Aufklärung über den Einsatz und die KI-Funktion erfolgen (Art 6, 9 DSGVO). Ebenso sind weitere bekannte Erfordernisse aus der DSGVO, wie die Berücksichtigung der Betroffenenrechte auf Auskunft, Berichtigung und Löschung (Art. 12-21 DSGVO) zu beachten. Die Daten dürfen nur für einen erforderlichen Zeitraum gespeichert werden und müssen abgesichert sein (Art. 5 Abs. 1 DSGVO).

Siehe auch Informationen zum Datenschutz im VKHD-Handbuch.

Hinweise:

• Auch beim Einscannen von Schriftstücken mit Angaben zu Personen, Hochladen von Bildern fremder Personen als Vorlage und Verbinden einer KI mit einem E-Mail-Programm werden persönliche Daten verarbeitet. Pseudonymisierte Daten gelten jedoch nicht als personenbezogene Daten im Sinne der DSGVO, wenn Empfänger die Daten nach allgemeinen Erkenntnissen nicht für eine Re-Identifizierung nutzen können (EuGH C-413/23 P).
• Die Einwilligung der Patient*innen sollten Sie in die Patientenakte, beziehungsweise in das Praxisverwaltungssystem eintragen. Auch wenn nach überwiegender Meinung hierbei eine mündliche Einwilligung ausreichend sein soll, kann aus Beweisgründen die schriftliche Form hilfreich sein. Lediglich bei KI-Systemen mit hohem Risiko, zum Beispiel im Rahmen der Diagnostik und Therapieentscheidung, ist eine schriftliche Einwilligung zwingend erforderlich.
• Der Aufklärungspflicht nach dem Patientenrechtegesetz (§ 630e Abs. 2 Nr. 1 BGB) darf nicht durch eine KI nachgekommen werden.
• Alle Gesprächsaufzeichnungen sind ausschließlich nur mit der ausdrücklichen Einwilligung der betroffenen Patient*innen zulässig.
• Für KI-Systeme, die als Telefonassistenten dienen, müssen diese „Assistent*innen“ zu Beginn des Gesprächs darauf hinweisen, dass die Patient*innen mit einer KI kommunizieren.
• Beispiel zur Auskunftspflicht: Möglicherweise wird von Patientenseite konkret angefragt, welche personenbezogenen Daten im Rahmen von KI-Verfahren verarbeitet, übermittelt, etc. werden, mit der Bitte um Erhalt einer Kopie dieser Daten und anschließender Löschung. Diese Anfrage müssen Sie kurzfristig beantworten und erledigen. Schwierig kann es werden, wenn keine klare Verantwortlichkeit mit dem KI-Dienstleister vereinbart wurde (siehe unter I.3. „TOM“).

2. Auftragsverarbeitungsvertrag (AV-Vertrag)
Wenn Sie einen KI-Dienstleister beauftragen persönliche Daten Ihrer Patient*innen nach Ihren Weisungen zu erheben, zu verarbeiten oder zu übermitteln (oder auch nur die Möglichkeit auf den Zugriff solcher Daten besteht), sind Sie diesbezüglich im Sinne der DSGVO „Auftraggeber*in“ und das betreffende Unternehmen ist „Auftragnehmer‘in“. Als Auftraggeber*in bleiben Sie verantwortlich für die Sicherheit dieser Daten (Art. 5 Abs. 2 DSGVO). Daher ist es wichtig, dass Sie mit dem Auftragnehmer einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. In diesem Vertrag wird geregelt, welche Daten dort nur nach Ihren Anweisungen datenschutzkonform (also unter anderem nicht zu eigenen Zwecken des Auftragnehmers) verarbeitet werden dürfen. Damit wird der Dienstleister als Auftragnehmer insoweit ebenfalls „Verantwortlicher“.

Für den Abschluss eines AV-Vertrages sollte der Anbieter automatisch einen entsprechenden Vordruck, zum Beispiel in den Allgemeinen Geschäftsbedingungen, bereithalten. Am günstigsten ist es, wenn der KI-Anbieter allein für die Verarbeitung im KI-System verantwortlich ist und Sie nur für die Eingabe. Bei einer im Vertrag vorgegebenen gemeinsamen Verantwortlichkeit wird davon ausgegangen, dass Sie die Daten zuführen und wie der Anbieter ein Interesse an dem Verbessern der KI haben. Die Folge ist, dass auch zu verarbeitende persönliche Daten weiterhin zu Trainingszwecken genutzt werden, was wiederum nicht datenschutzkonform ist. Für wen welcher Verantwortungsbereich und der sich daraus ergebende Haftungsumfang gilt, scheint aktuell noch nicht in allen Fällen ganz klar geregelt zu sein. Zum Beispiel sieht sich OpenAI (ChatGPT) im Wesentlichen als Auftragsverarbeiter im Hinblick auf die Nutzung via Schnittstelle (API) und stellt einen entsprechenden Auftragsverarbeitungsvertrag zur Verfügung. Das bedeutet, dass Auftraggeber*innen sozusagen für den Rest verantwortlich sind. Ob das rechtlich in dieser Form anerkannt wird, muss sich noch zeigen.

3. Technische und organisatorische Maßnahmen (TOM)
Ein wichtiger Anteil dessen, was im AV-Vertrag geregelt werden muss (zur Übersicht siehe Art 28 DSGVO), ist die jeweilige Dokumentation der TOM (Art. 32 DSGVO), wie Sie es bereits aus dem Datenschutz für den Praxisbetrieb kennen. Das Dienstleistungsunternehmen sollte diese Maßnahmen für den eigenen Verantwortungsbereich in einem AV-Vertrag aufführen. Oftmals bieten kostenpflichtige Tools eine Sicherstellung, dass die KI-Anwendung ausschließlich mit zulässigen Daten trainiert wurde, beziehungsweise neu eingegebene Daten nicht zum weiteren Training verwendet werden (siehe oben unter Hinweisen: Beispiel zur Auskunftspflicht).

Für Ihren Anteil der Datenverantwortung müssen Sie eigene Maßnahmen aufstellen und dokumentieren. Sofern keine personalisierten Therapieansätze und Behandlungspläne über eine KI erstellt werden, kann dieser Katalog für Sie in der Regel einfach und kurz sein.

Der Sinn der TOM liegt unter anderem darin, die unbeabsichtigte Veröffentlichung personengebundener Daten (Datenlecks), den Zugriff Unbefugter sowie eine zweckwidrige Nutzung der Daten im Rahmen der KI-Verwendung zu vermeiden. Es dürfen auch keine automatisierten, ungeprüften KI-Entscheidungen zugelassen werden.

Weitere Hinweise zu den TOM siehe auch VKHD-Handbuch zum Datenschutz.

2. Anforderungen nach der KI-VO

Diese Verordnung bezieht sich auf die Entwicklung, Bereitstellung und Nutzung von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck.

Die Anwendung von KI-Systemen und KI-Modellen bringt nicht nur theoretisch diverse Risiken mit sich, zum Beispiel hinsichtlich Diskriminierung und/oder deren Verstärkung beim Training der Systeme, Cyberangriffe, der nicht zweckgebundenen Analyse und Verwendung großer Mengen persönlicher Daten, Intransparenz von KI-Entscheidungen, unklare Verantwortlichkeiten, Einschränkung menschlicher Entscheidungsfreiheit, Fehlfunktionen mit bedrohlichen Folgen, ethisch und moralisch bedenklichen Auswirkungen vor allem in den Bereichen von Medizin und Justiz.

Das vorrangige Ziel der Einführung einer EU-KI-VO war es, vertrauenswürdige KI-Systeme zu fördern und gleichzeitig ein sicheres und innovationsfreundliches Umfeld zu schaffen.

Risikokategorien
In der KI-VO wird zwischen vier Risikokategorien von KI-Systemen und KI-Systemen mit allgemeinem Verwendungszweck unterschieden.

• Verbote gelten bereits für KI-Anwendungen mit „unannehmbarem Risiko“ für Grundrechte und Sicherheit (Art. 3 Nr. 4 KI-VO/Beispiele sind Manipulations- und Täuschungstechniken, Social Scoring, etc.).
• Für KI-Systeme mit „hohem Risiko“ für Gesundheit, Sicherheit oder Grundrechte gelten strenge Anforderungen und umfangreiche Auflagen (Beispiel: Chirurgie, Personalmanagement). Hier muss die Einhaltung der Vorgaben spätestens ab August 2026 verordnungskonform sein.
• Hinsichtlich KI-Systemen mit minimalem Risiko (Beispiel: Spamfilter) oder geringem Risiko (Beispiel: einfache Chatbots) müssen spätestens ab August 2026 vor allem Transparenzpflichten eingehalten werden, wenn Nutzer*innen mit einer KI statt einem Menschen kommunizieren.
• Die meisten KI-Systeme werden solche mit allgemeinem Verwendungszweck (GPAI) sein. Diesen Systemen kann kein bestimmter Anwendungszweck (im Sinne von Art 51 ff KI-VO) und damit kein konkretes Risiko zugeordnet werden, da sie vielseitig einsetzbar sind. Das gilt insbesondere für generative KI-Systeme, wie z. B. ChatGPT von OpenAI, CoPilot sowie auch KI basierte Websuchen über „Google Suche“ oder „Perplexity“. Anbieter solcher Systeme müssen bereits seit August dieses Jahres die Sicherheit und Transparenz dieser Systeme nachweisen. Ab August 2026 wird es auch für „Betreiber“ solcher KI-Systeme (also gegebenenfalls auch Heilpraktiker*innen) in bestimmten Fällen erhöhte Transparenzpflichten geben.

1. Adressaten der KI-Verordnung
Die KI-VO unterscheidet hinsichtlich KI Systemen oder KI Modellen mit allgemeinem Verwendungszweck unter anderem zwischen „Anbieter“ (Entwicklung, Vertrieb, etc.) und „Betreiber“. Mit Letzterem sind Personen gemeint, die KI-Systeme eigenverantwortlich nutzen (Art. 3 Nr. 4 KI-VO). Hierzu können auch Heilpraktiker*innen hinsichtlich des beruflichen Gebrauchs einer KI gehören.

Wer allerdings beispielsweise bei einen Open Source System ein bestimmtes „Feintuning“ durchführt, kann auch unter die verschärften Reglungen für Anbieter fallen (vermutlich eher die Ausnahme).

2. KI-Kompetenz
Wenn Sie KI bei der Arbeit in Ihrer Praxis benutzen, sind Sie verpflichtet über eine „angemessene“ KI-Kompetenz zu verfügen (Art. 4 KI-VO). Diese Kompetenzverpflichtung gilt unabhängig vom möglichen Risiko und der Intensität der KI-Nutzung für alle Anbieter und Betreiber inklusive rechtlicher und ethischer Auseinandersetzung mit dem Thema. Das bedeutet, dass die Nutzer*innen sich zum einen bewusst sein sollen, welche technischen Möglichkeiten die genutzte KI bietet und dass für Inhalte (zum Beispiel Texte, Bilder, etc.) keine Garantie für inhaltliche Richtigkeit anzunehmen ist. Zum einen können KI generierte Arbeitsergebnisse, zumindest aktuell, oftmals Fehler enthalten. Auch eine sogenannte „Datenhalluzination“ (Tatsachen, Referenzen und Quellen sind erfunden) kommen nicht selten vor. Die Ergebnisse der Nutzung der KI sollten Sie somit unbedingt auf Vollständigkeit und Richtigkeit (Text, Quellen, etc.) vor der Verwendung überprüfen. Denn die Nutzer*innen, also in diesem Fall die Praxisinhaber*innen haben die Verantwortung für die Richtigkeit der verwendeten KI und sind damit in der Haftung. Zum Beispiel könnten Mängel in der Patientendokumentation als Behandlungsfehler eingestuft werden. Ziel der vorgegebenen KI-Kompetenz ist auch das Vermeiden von Fehlern bei Arbeitsergebnissen und Interpretationen.

Das erforderliche Maß dieser Kompetenz bestimmt sich immer für den Einzelfall nach den persönlichen technischen Kenntnissen, Erfahrungen und dem Zusammenhang, in dem die KI eingesetzt wird. Es bleibt Ihnen überlassen, wie Sie diese Kenntnisse erlangen. Vorgaben für bestimmte Schulungen und Zertifizierungen gibt es nicht. Falls es ein Problem bei der KI-Nutzung zum Nachteil von Patient*innen geben sollte, sind Sie jedoch möglicherweise in der Pflicht die entsprechenden Kenntnisse nachzuweisen.

Falls Sie noch keine entsprechenden Kenntnisse haben, empfiehlt sich eine Schulung, die es auch online und kostenlos gibt (Beispiel: https://ki-campus.org).

3. KI-Transparenzpflicht ab August 2026
Neben der Hinweispflicht nach der DSGVO müssen auch Betreiber, also Nutzer einer KI, ab diesem Zeitpunkt in bestimmten Fällen vor allem für Transparenz der Nutzung sorgen. „Wer ein KI-System einsetzt, das Bild-, Audio- oder Videoinhalte erzeugt oder manipuliert, die einen Deep Fake darstellen, muss [spätestens ab dann] offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden“. Das gilt auch wenn der Eindruck entstehen kann, dass es sich um eine Kommunikation mit einem Menschen handelt. Diese Klarstellung muss vor der Nutzung erfolgen (Art 50 Abs. 4,5 KI-VO). Es ist geplant, für die Kenntlichmachung von künstlich erzeugten Inhalten entsprechende Leitlinien zu erstellen. Das könnte auch für eine Website relevant sein, zum Beispiel im Rahmen einer Videoaufnahme. Mögliche Kennzeichnung kann zum Beispiel durch ein sichtbares Overlay wie „KI“ oder „KI-generiert“ direkt auf dem Bild oder eine entsprechende Texteingabe als deutliche Bildunterschrift erfolgen.

Bei Facebook, Instagram, YouTube und TikTok gibt es Funktionen für eine entsprechende Kennzeichnung. Manche Plattformen verpflichten sogar bereits dazu, KI-generierte Inhalte zu kennzeichnen.

3. Empfehlenswerte Maßnahmen für den Einsatz von KI im Praxisbetrieb

Wenn Sie sich mit den folgenden Hinweisen beschäftigen und Ihre Ergebnisse dokumentieren, haben Sie auch schon die meisten Anforderungen zum Datenschutz erfüllt.

1. Erste Überlegungen:

• Warum möchten Sie eine KI-Software einsetzen?
  Zu welchem Zweck soll die KI eingesetzt werden? Wenn es für diesen Zweck erforderlich ist, der KI personenbezogene Daten zu übermitteln, sollten Sie begründen, warum der geplante Zweck nicht auf anderen sinnvollen datenschutzfreundlicheren Wegen für Sie möglich ist.
• Möglichkeit die persönlichen Daten der Patient*innen zu anonymisierenErläutern und dokumentieren Sie kurz, warum Sie bei der Nutzung der KI personenbezogene Daten an diese KI übermitteln müssen und eine Entfernung dieser Daten vor der Übermittlung nicht möglich ist.
• Welche KI-Software eignet sich?
  Prüfen Sie, ob es geeignete Alternativen gibt. Wenn Sie sich nicht für ein datenschutzfreundliches System (Vergleich unterschiedlicher Anbieter oder Einsatz auf dem eigenen Server, etc.) entscheiden können, begründen und dokumentieren Sie dies kurz. (Kleiner Überblick zur Definition von Cloud und Server (erklärend allerdings im Rahmen einer Werbung/ https://www-sentinelone-com.translate.goog/cybersecurity-101/cloud-security/cloud-vs-server-security/?_x_tr_sl=en&_x_tr_tl=de&_x_tr_hl=de&_x_tr_pto=rq&_x_tr_hist=true)
• Besondere Aufmerksamkeit hinsichtlich sogenannter „KI-Agenten“
  Während die bekannten KI-Assistenten nur programmierte Funktionen haben und auf Fragen (Prompts) Antworten geben, können KI-Assistenten darüber hinaus auch eigenständige Entscheidungen treffen und ausführen. Mit den erweiterten eigenständigen Möglichkeiten sind auch höhere Risiken verbunden. Neben dem Datenschutz spielt hier auch die oft schwierige Verteilung der Haftung eine Rolle. Solche autonomen Systeme, können Sie in der Regel nur sehr begrenzt (wenn überhaupt) selbst steuern.
  Für den medizinischen Arbeitsablauf werden KI-Agenten zum Beispiel von Medflex als digitale Partner für eine effiziente und patientenorientierte Praxis hinsichtlich administrativer Prozesse beworben. Ob solche Varianten tatsächlich in jedem Fall patientenorientiert arbeiten, muss jede*r selbst für sich entscheiden. Zumindest aktuell scheinen solche Modelle oftmals noch nicht ausgereift zu sein. Beschwerden vieler Patient*innen von Ärzten, die solche Systeme einsetzen sprechen Bände. Auch hinsichtlich des Datenschutzes können solche Systeme kompliziert sein. Zum Beispiel bietet auch DoctoLip Entsprechendes an. Dort werden die Daten gespeichert und zum Training des neuen KI-Agenten genutzt, weswegen die Patient*innen eine Einwilligung dazu geben müssen. Verbraucherschützer empfahlen im Februar wegen der „erweiterten“ Datennutzung die Einwilligung zu verweigern. Das erschwert dann natürlich den Zugang zu den Ärzt*innen und Heilpraktiker*innen, die dieses System nutzen. Jameda gab zu entsprechenden Angeboten bisher an, keine Daten zu speichern. 

2. Möglichkeiten der datenschutzrechtlichen Vereinbarungen bei der Auswahl des Anbieters von KI-Modellen beachten
Entscheiden Sie sich möglichst nur für ein System von Anbietern, die den Abschluss eines passenden Vertrages zu den datenschutzrechtlichen Vereinbarungen (AV-Vertrag) anbieten.
Sinnvoll könnte es – je nach Ihrer technischer Ausstattung und Ihren Kenntnissen - auch sein, ein Large Language Modell zu wählen, das zwar auf bekannten Anbietern wie GPT basiert, jedoch bei Ihnen auf einem eigenen Server läuft.

3. Besser kostenpflichtige KI-Accounts nutzen
Insbesondere leistungsstarke KI-Sprachmodelle (LLMs), bieten oft „kostenlose“ Accounts an. Meistens werden bei diesen Varianten die eingegebenen Daten fast komplett ohne weitere Einschränkungen zum Training der KI verwendet. In der Regel werden sowohl die Eingaben (meistens in Form von Prompts) als auch die erhaltenen „Antworten“ zum Lernen für die KI genutzt. Die aus Sicht der Auftraggeber*innen zweckfremde Verwendung der eingegebenen Daten ist aktuell in der Regel nicht datenschutzkonform. So gibt es bei der kostenlosen Variante auch keine Möglichkeit, einen AV-Vertrag abzuschließen.

Bei den kostenpflichtigen Accounts gibt es dagegen oftmals neben einem AV-Vertrag auch erweiterte Konfigurationsmöglichkeiten bezüglich der Verwendung der eingegebenen Daten sowie mehr Sicherheitsfunktionen.

4. Datenschutzeinstellungen innerhalb des KI-Accounts nutzen
Vor allem in den Einstellungen der kostenpflichtigen KI-Anwendung gibt es einige Optionen zur Verbesserung des Datenschutzes bei den Einstellungen. Diese sollten Sie auf jeden Fall nutzen, zum Beispiel die Deaktivierung der Nutzung zu Trainingszwecken und zur Weitergabe der Daten an „Dritte“.

Nebenbei:

• Verwenden Sie bei Ihrer Arbeit in der Praxis besser keine privaten Geräte für KI-Anwendungen.
• Die Aufklärungspflicht nach dem Patientenrechtegesetz (§ 630e Abs. 2 Nr. 1 BGB) darf nicht durch eine KI erfolgen.

4. KI auf der Website

Auf der Website ist vor allem die DSGVO zu beachten. Wenn Sie dort KI verwenden, müssen Sie in der Datenschutzerklärung darüber informieren.
Hinsichtlich der Websitegestaltung sollte darauf geachtet werden, dass vorsichtshalber von KI generierte oder bearbeitete Bild-, Ton-, Video- und Textinhalte, mit einem entsprechenden Hinweis versehen werden. Zwar bezieht sich diese künftige Verpflichtung nicht auf alle Inhalte und Darstellungen. Zum Beispiel dürften Fotos, die zunächst durch „echte“ Fotografie entstanden sind, jedoch etwas nachbearbeitet wurden und dadurch nicht zu „falschen“ Annahmen führen können, nicht von der Auflage betroffen sein. Die Grenzen zum Deepfake sind in solchen Fällen aber mitunter schwer zu ziehen und teilweise fließend. Eine generelle Verpflichtung hier auf KI-Nutzung hinzuweisen, gibt es nicht. Dies gilt vor allem für KI-Texte die redaktionell überarbeitet und durch Menschen überprüft werden.

Wenn Sie unsicher sind, ob Ihre KI-Bearbeitungen in der Öffentlichkeit eine rechtlich gesehen „falsche Realität“ darstellt, sind Sie mit einem Hinweis auf der sicheren Seite. Denn bei Nichtbeachten der Vorgaben kann eine Abmahnung erfolgen, beziehungsweise ein Bußgeld verhängt werden. Unabhängig von einer Kennzeichnungspflicht dürfte eine freiwillige, transparente Information über den Einsatz von KI das Vertrauen der Websitenutzer stärken. Es gibt auch KI-Tools, die eine Kennzeichnung zur Nutzungsvoraussetzung machen (AGB´s lesen).

Übrigens: KI-generierte Texte sind in der Regel nicht urheberrechtlich geschützt.

Weitere Hinweise zu KI auf der Website finden Sie zum Beispiel unter: https://www.e-recht24.de/dsg/13449-einsatz-von-kuenstlicher-intelligenz-auf-der-website.html

Bettina Henkel, VKHD Beirätin, 05.12.2025