Am 11. März 2026 einigten sich EU-Parlamentarier:innen auf ein explizites Verbot von KI-generierten nicht-konsensuellen Intimbildern – ein Schritt, der lange überfällig war und direkte Konsequenzen für den Schutz von Kindern und Jugendlichen in Österreich hat.
Ein Skandal als Auslöser
Es begann mit einem Update. Ende Dezember 2025 erweiterte das KI-Unternehmen xAI – die KI-Tochter von Elon Musks Plattform X – seinen Chatbot Grok um eine neue Bildbearbeitungsfunktion. Was als technische Erweiterung angekündigt wurde, entpuppte sich innerhalb weniger Tage als massives Sicherheitsproblem: Nutzer:innen begannen, die Funktion zu missbrauchen, um realistische sexualisierte Bilder realer Personen zu generieren – ohne deren Wissen und Zustimmung. Darunter waren auch Darstellungen von Minderjährigen.
Die Pariser Nichtregierungsorganisation AI Forensics dokumentierte, dass allein zwischen dem 5. und 6. Januar 2026 mindestens 6.700 solcher sexuellen Bilder über Grok erstellt wurden. Die EU-Kommission reagierte umgehend und bezeichnete die Inhalte öffentlich als „abscheulich” und „eindeutig illegal”. Sie ordnete an, dass X alle internen Dokumente und Daten zu Grok bis Ende 2026 aufbewahren muss, und eröffnete eine formelle Untersuchung wegen möglicher Verstöße gegen den Digital Services Act (DSA).
Dabei kam eine unbequeme Wahrheit ans Licht: Das bestehende EU-Recht – einschließlich des 2024 verabschiedeten KI-Gesetzes – enthielt kein explizites Verbot von KI-Systemen, die nicht-konsensuelle intime Bilder oder kinderpornografisches Material generieren können. Diese Lücke sollte nun geschlossen werden.
Die Einigung vom 11. März
Am 11. März 2026 erzielten EU-Parlamentarier:innen eine vorläufige politische Einigung über ein Paket von Änderungen am EU-KI-Gesetz. Das Paket ist Teil des sogenannten AI Act Omnibus – einer Reihe von Anpassungen, die das 2024 verabschiedete Gesetz in einigen Punkten nachschärfen und in anderen vereinfachen sollen.
Das Herzstück der Einigung ist ein neues Verbot: KI-Systeme, die realistische Bilder oder Videos generieren, die Personen in sexuell expliziten Aktivitäten oder in intimen Körperbereichen zeigen, ohne deren Zustimmung, sollen künftig verboten sein. Ausdrücklich eingeschlossen ist auch KI-generiertes kinderpornografisches Material (CSAM – Child Sexual Abuse Material). Frankreich, Spanien, Deutschland und die Slowakei hatten die Aufnahme dieses Verbots zur Bedingung für ihre Zustimmung zum Gesamtpaket gemacht.
Eine Ausnahme ist vorgesehen für Unternehmen, die „wirksame Sicherheitsmaßnahmen” implementiert haben, um die Generierung solcher Inhalte zu verhindern. Kritiker:innen sehen darin eine potenzielle Schlupfloch-Klausel, die die praktische Wirksamkeit des Verbots schwächen könnte.
Die Einigung muss noch durch zwei Ausschüsse des Europäischen Parlaments – den Ausschuss für bürgerliche Freiheiten (LIBE) und den Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) – bestätigt werden. Die Abstimmung ist für den 18. März 2026 angesetzt.
Was das Omnibus-Paket sonst noch enthält
Neben dem Deepfake-Verbot enthält das Omnibus-Paket weitere relevante Änderungen. Die Fristen für die Einhaltung der Hochrisiko-Anforderungen des KI-Gesetzes werden verlängert: Systeme, die in Anhang III des Gesetzes aufgelistet sind – darunter KI-Systeme in Bildung, Beschäftigung und kritischer Infrastruktur – müssen die neuen Anforderungen erst ab 2. Dezember 2027 erfüllen, jene in Anhang I erst ab 2. August 2028.
Außerdem enthält die Einigung klarere Bedingungen für die Nutzung sensibler personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen in Hochrisiko-Systemen. Industrieverbände hatten sich für weitreichendere Erleichterungen eingesetzt; 48 EU-Branchenverbände hatten in einem offenen Brief an das Parlament und den Rat appelliert, unnötige Regulierungslasten zu reduzieren.
Der DSA als zweite Regulierungsfront
Parallel zum AI Act Omnibus läuft die Untersuchung gegen X wegen Verstößen gegen den Digital Services Act. Im Dezember 2025 hatte die EU-Kommission bereits eine Geldstrafe von 120 Millionen Euro gegen X verhängt – unter anderem wegen irreführender Verifizierungshaken (das blaue Häkchen, das man einfach kaufen kann) und mangelnder Transparenz im Werbeverzeichnis. X ist damit die erste und bisher einzige Plattform, die unter dem DSA eine Geldstrafe erhalten hat.
Die Frist zur Zahlung und zur Vorlage von Korrekturvorschlägen läuft Mitte März 2026 ab. Gleichzeitig ermittelt die Kommission wegen der Grok-Affäre, ob X seine Pflichten zur Risikobewertung und zum Schutz vor der Verbreitung illegaler Inhalte verletzt hat. X bestreitet die Vorwürfe und geht rechtlich gegen die Entscheidungen vor.
Für österreichische Nutzer:innen und Institutionen ist relevant: Der DSA gilt als EU-Verordnung unmittelbar in allen Mitgliedstaaten, also auch in Österreich. Plattformen wie X, TikTok, Meta und andere müssen die DSA-Anforderungen einhalten – unabhängig davon, wo ihre Server stehen oder wo ihre Muttergesellschaft ihren Sitz hat.
Kein isoliertes Problem
Die Grok-Affäre ist kein isoliertes Ereignis. Sie steht exemplarisch für ein strukturelles Problem: Leistungsfähige KI-Bildgenerierungstools sind öffentlich zugänglich, und die rechtlichen Rahmenbedingungen hinken der technischen Entwicklung hinterher. Für Schulen und Familien in Österreich ergeben sich daraus konkrete Risiken.
Erstens sind Jugendliche selbst potenzielle Opfer. Sogenannte „Nudification”-Tools – KI-Anwendungen, die Fotos von bekleideten Personen in sexualisierte Bilder umwandeln – sind nicht nur über große Plattformen wie Grok zugänglich, sondern auch über zahlreiche kleinere, weniger regulierte Dienste. Schüler:innen können gezielt Opfer werden, wenn Mitschüler:innen oder andere Personen solche Tools einsetzen, um kompromittierende Bilder von ihnen zu erstellen und zu verbreiten.
Zweitens fehlt es bislang an klaren rechtlichen Grundlagen für Betroffene. Das neue EU-Verbot schließt eine wichtige Lücke, aber es gilt erst nach Abschluss des Gesetzgebungsverfahrens. In Österreich ist digitale Gewalt, einschließlich der nicht-konsensuellen Verbreitung intimer Bilder, bereits nach dem Strafgesetzbuch (§ 120a StGB) strafbar. Ob KI-generierte Bilder – also Bilder, die nie real existiert haben – unter diesen Paragrafen fallen, ist rechtlich noch nicht abschließend geklärt.
Drittens zeigt der Fall, wie schnell technische Entwicklungen bestehende Schutzkonzepte überholen. Medienpädagogische Konzepte, die sich auf den verantwortungsvollen Umgang mit echten Fotos konzentrieren, müssen um den Umgang mit KI-generierten Inhalten erweitert werden.
Internationale Perspektive: Regulierungsdruck wächst
Die EU ist nicht allein. Großbritannien hat Änderungen am Crime and Policing Bill vorgeschlagen, die KI-Tools an der Erstellung schädlicher oder illegaler Inhalte hindern sollen. Frankreich und Deutschland haben nationale Ermittlungen eingeleitet. Malaysia und Indonesien haben Grok vorübergehend gesperrt. In den USA ist die Regulierungslage fragmentierter: Auf Bundesebene fehlt ein vergleichbares Gesetz, einzelne Bundesstaaten wie Maryland haben erste Schritte unternommen.
Die EU nimmt mit dem AI Act Omnibus und dem DSA eine globale Vorreiterrolle ein – auch wenn Industrieverbände und die US-Regierung die Regulierungsintensität kritisieren. Dass Washington den DSA als „wettbewerbsfeindlich” bezeichnet, zeigt, wie stark die Interessen auseinandergehen.
