Indiens neue KI-Regeln: Kennzeichnung und Rückverfolgbarkeit synthetischer Inhalte werden Pflicht

Regulatorischer Kontext und Zeitplan

Am 10. Februar 2026 hat die indische Regierung per G.S.R. 120(E) die Information Technology (Intermediary Guidelines and Digital Media Ethics Code) Amendment Rules, 2026 notifiziert. Die Änderungen treten am 20. Februar 2026 in Kraft und ergänzen die seit 2021 bestehenden IT-Regeln.

Kern der Reform sind:

• eine neue Rechtskategorie „synthetically generated information (SGI)“,

• Kennzeichnungs- und Rückverfolgbarkeits‑Pflichten für KI-Inhalte,

• eine drastische Verkürzung der Takedown‑Fristen auf drei Stunden für bestimmte rechtswidrige synthetische Inhalte,

• verschärfte Sorgfaltspflichten für große Plattformen („significant social media intermediaries“).

Damit positioniert sich Indien im globalen Vergleich im oberen Regulierungssegment – deutlich strenger als die bisher eher prinzipienbasierten Transparenzvorgaben vieler anderer Jurisdiktionen.

Was als „synthetisch erzeugte Information“ gilt – und was nicht

Die Änderungen definieren SGI als audio-, visuelle oder audiovisuelle Informationen, die mittels Computerressourcen künstlich oder algorithmisch erstellt, verändert oder ergänzt werden und so real oder authentisch wirken, dass sie kaum von echten Personen oder Ereignissen unterscheidbar sind.

Ausdrücklich ausgenommen sind:

• „Good-faith“-Bearbeitung wie Farbkorrektur, Rauschreduktion, Kompression,

• reine Übersetzungen oder Formatkonvertierungen,

• typische Office-Inhalte (Präsentationen, Trainingsunterlagen, hypothetische Beispiele), sofern der Bedeutungsgehalt nicht verfälscht wird,

• Barrierefreiheitsanpassungen (z. B. Untertitel, Audio-Deskription), solange kein irreführender Eindruck erzeugt wird.

Für Unternehmen ist entscheidend: nicht jedes KI-Tool führt automatisch zu SGI. Risikorelevant sind synthetische Medien, die als real wahrgenommen werden können – insbesondere Deepfakes, synthetische Stimmen, Fake-Reden, manipulierte Live-Bilder oder realistisch wirkende Produkt- bzw. Personendarstellungen.

Neue Pflichten für Plattformen und Intermediäre

1. Pflicht zur Kennzeichnung von KI-Inhalten

Plattformen, die das Erstellen oder Verbreiten synthetischer Inhalte ermöglichen, müssen künftig sicherstellen, dass solche Inhalte:

• klar, prominent und eindeutig als synthetisch / KI-generiert gekennzeichnet sind,

• permanente Metadaten oder Identifikatoren enthalten, wo technisch möglich,

• nachträglich nicht entlabelt oder „gesäubert“ werden können.

Vor einem Upload müssen „significant social media intermediaries“ Nutzer explizit fragen, ob der Inhalt synthetisch generiert oder KI-bearbeitet ist. Die Plattform darf sich jedoch nicht allein auf Selbstdeklarationen verlassen, sondern muss „angemessene und verhältnismäßige“ technische Prüfungen (z. B. Erkennungsmodelle, Musterprüfungen) implementieren.

2. Drei-Stunden-Frist für rechtswidrige KI-Inhalte

Für bestimmte Kategorien rechtswidriger oder schädlicher synthetischer Inhalte (u. a. Deepfakes, sexuelle Ausbeutung, nicht einvernehmliche Nacktheit, gefährliche Falschinformationen, Betrug, Explosivstoffe, Kindesmissbrauch, Identitätsimitation) gilt:

• maximal drei Stunden zur Entfernung oder Sperrung nach behördlicher Anordnung, Gerichtsbeschluss oder qualifizierter Meldung,

• in besonders sensiblen Fällen (z. B. nicht einvernehmliche intime Bilder) gelten teils noch kürzere Reaktionsfenster.

Verpasst ein Intermediär diese Fristen systematisch oder verweigert er Mitwirkung, riskiert er den Verlust der Safe-Harbour‑Privilegierung unter dem IT‑Gesetz – mit der Folge potenziell weitreichender Haftung bis hin zu persönlicher Verantwortlichkeit lokaler Führungskräfte.

3. Proaktive Prävention und automatisierte Tools

Plattformen müssen automatisierte Systeme einsetzen, um:

• illegale oder betrügerische synthetische Medien frühzeitig zu erkennen,

• erneutes Hochladen bereits beanstandeter Inhalte zu verhindern (Hash‑Datenbanken, Fingerprinting),

• wiederholt auffällige Nutzer zu identifizieren und zu sanktionieren.

Zudem sind regelmäßige Nutzerhinweise (mindestens vierteljährlich) vorgeschrieben, in denen über Risiken, Verbote und mögliche Sanktionen beim Missbrauch von KI-Tools informiert wird.

Auswirkungen auf internationale Unternehmen

Marketing, Werbung und Kampagnen

Unternehmen, die KI-generierte Werbemittel oder personalisierte Creatives für den indischen Markt nutzen, müssen:

• sicherstellen, dass alle synthetischen Motive (z. B. generierte Models, Hintergründe, Szenen) auf indischen Plattformen korrekt als KI-Inhalt gekennzeichnet werden,

• technische Integrationen (z. B. über APIs, Ad Server) so gestalten, dass Labels und Metadaten durchgängig erhalten bleiben,

• Prozesse definieren, um bei Takedown-Anordnungen innerhalb von maximal drei Stunden reagieren zu können – inklusive Eskalationswegen und 24/7-Bereitschaft bei großen Volumina.

Beispiel: Ein globaler Consumer-Brand nutzt generative KI, um lokalisierten Video-Content mit synthetischen Testimonials für Indien auszuspielen. Künftig muss jedes derartige Asset:

• als „AI-generated“ sichtbar gekennzeichnet werden,

• im Asset-Management-System mit technischen Provenance-Daten versehen sein,

• so in die Media-Buying- und AdTech-Kette integriert werden, dass Labels nicht verloren gehen.

UGC-Plattformen, Marktplätze und Community-Apps

Plattformen mit User Generated Content (Short-Video-Apps, Gaming-Communities, Livestreaming, Social Commerce) treffen besonders hohe operative Anforderungen:

• Implementierung von Upload-Checks, die bei jedem Video/Bild nach KI-Bearbeitung fragen,

• Einsatz von KI-Erkennungsmodellen für Deepfakes und manipulative Inhalte,

• Aufbau von Incident-Response-Teams, die Takedown-Anordnungen in drei Stunden umsetzen können,

• Logging und Dokumentation zur Nachweisführung gegenüber indischen Behörden.

Für europäische und US-Anbieter bedeutet dies faktisch, dass ohne lokalisierte Compliance-Infrastruktur (Rechts-, Policy- und Trust-&-Safety-Teams in indischer Zeitzone) das Risiko regulatorischer Konflikte deutlich steigt.

KI-Agenten, Chatbots und Workflow-Automatisierung

Unternehmen, die KI-Agenten für Kundenservice, HR oder Sales einsetzen und Ausgaben direkt auf indischen Plattformen veröffentlichen lassen (z. B. Social-Reply-Bots, automatisierte Posts, generierte Produktbilder), müssen prüfen:

• ob diese Inhalte unter die SGI-Definition fallen,

• wie Kennzeichnungen automatisiert in den Output-Pipelines ergänzt werden,

• wie Logdaten und technische Identifikatoren gespeichert werden, um im Streitfall die Herkunft der synthetischen Outputs nachzuweisen.

Strategische Implikationen und Governance

1. Indien als Referenzmarkt für strenge KI-Transparenz

Die indischen Vorgaben verschieben den globalen Referenzrahmen für Transparenz, Herkunftsnachweis und Moderationsgeschwindigkeit bei KI-Inhalten. Unternehmen sollten davon ausgehen, dass:

• ähnliche Kennzeichnungspflichten mittelfristig in weiteren Staaten diskutiert oder übernommen werden,

• Investitionen in Content-Provenance‑Technologien (Wasserzeichen, C2PA, Hashing) künftig mehrfach nutzbar sind,

• Produkt‑ und Architekturentscheidungen (z. B. „label-by-design“) auf globale Skalierbarkeit ausgelegt werden sollten.

2. Notwendigkeit eines KI-spezifischen Compliance-Stacks

Unternehmen mit signifikanter digitaler Präsenz in Indien sollten kurzfristig:

1. Regulatorisches Mapping: Inventarisieren, welche Produkte, Workflows und Kampagnen SGI erzeugen oder verbreiten.

2. Policy-Design: Interne Leitlinien definieren, wann KI-Inhalte zulässig sind und welche Labeling-Standards gelten.

3. Technische Umsetzung:

- Metadaten-Standards für KI-Assets,

- Schnittstellen zu Plattform-APIs, die Kennzeichnungen unterstützen,

- Monitoring- und Alerting-Systeme für Takedown-Anordnungen.

1. Schulung & Kommunikation: Marketing, Produkt, Legal, Data/AI-Teams und lokale Partner zu den neuen Pflichten schulen.

3. Risiko von Overblocking und Reputationsschäden

Die extrem kurzen Fristen erhöhen den Druck, im Zweifel eher zu viel als zu wenig zu entfernen. Plattformen und Marken müssen einen Balanceakt zwischen:

• Compliance-Risiko (Safe-Harbour-Verlust, Sanktionen) und

• Meinungsfreiheit, Nutzervertrauen und Reputation

bewältigen.

Unternehmen sollten daher klare Entscheidungsmatrizen und Eskalationspfade definieren, um bei Grenzfällen (z. B. Satire, politische Kommentare, künstlerische Bearbeitungen) nachvollziehbar entscheiden zu können.

Fazit: Jetzt Weichen für KI-Transparenz stellen

Die indischen IT-Regeländerungen zu synthetisch erzeugten Informationen markieren einen qualitativen Sprung in der Regulierung von KI-Inhalten: von allgemeinen „Best Effort“-Empfehlungen hin zu konkreten Kennzeichnungs‑, Rückverfolgbarkeits- und Takedown-Pflichten mit harten Fristen.

Für internationale Unternehmen ist dies weniger eine Frage, ob man Indien als Markt bedienen will, sondern ob die eigene KI-Content‑Strategie insgesamt regulierungssicher ist. Wer jetzt in saubere Provenance-Architektur, Labeling-by-Design und reaktionsfähige Moderationsprozesse investiert, reduziert nicht nur Rechtsrisiken in Indien, sondern schafft sich zugleich einen Vorsprung für kommende Regime in anderen Ländern.

Häufig gestellte Fragen (FAQ)

Was regeln die neuen indischen Vorgaben zu synthetisch erzeugten Informationen (SGI)?

Die Änderung der IT-Regeln vom 20. Februar 2026 schafft erstmals eine eigene Rechtskategorie für synthetisch erzeugte Informationen (SGI) und macht die Kennzeichnung und Rückverfolgbarkeit solcher Inhalte verpflichtend. Plattformen müssen KI-generierte Medien klar labeln, mit dauerhaften Metadaten versehen und bestimmte rechtswidrige Inhalte innerhalb von drei Stunden entfernen, sonst droht der Verlust des Haftungsprivilegs.

Was gilt nach indischem Recht als synthetisch erzeugte Information – und was ist ausgenommen?

Synthetically generated information (SGI) umfasst audio‑, visuelle oder audiovisuelle Inhalte, die computer- oder algorithmusbasiert so erstellt oder verändert werden, dass sie wie echte Personen oder Ereignisse wirken. Ausgenommen sind etwa reine Qualitätsanpassungen wie Farbkorrekturen, Übersetzungen, Formatkonvertierungen, typische Office-Dokumente ohne Täuschungsabsicht sowie Barrierefreiheitsanpassungen, solange sie den Sinn nicht verfälschen.

Wie funktioniert die Kennzeichnungspflicht für KI-Inhalte in Indien konkret?

Plattformen müssen KI-generierte Inhalte sichtbar und eindeutig als synthetisch bzw. KI-basiert kennzeichnen und, wo technisch möglich, mit permanenten Metadaten oder Identifikatoren versehen. Significant social media intermediaries müssen Nutzer beim Upload ausdrücklich nach KI-Bearbeitung fragen und zusätzlich eigene technische Prüfungen wie Erkennungsmodelle oder Stichprobenkontrollen einsetzen.

Welche Auswirkungen haben die Drei-Stunden-Takedown-Fristen für Unternehmen und Plattformen?

Für bestimmte rechtswidrige synthetische Inhalte wie Deepfakes, intime Bilder ohne Einwilligung oder betrügerische Medien gilt eine maximale Reaktionszeit von drei Stunden nach behördlicher Anordnung, Gerichtsbeschluss oder qualifizierter Meldung. Verpassen Plattformen diese Frist systematisch, riskieren sie den Verlust des Safe-Harbour-Schutzes und damit eine deutlich erweiterte Haftung, einschließlich möglicher Verantwortlichkeit lokaler Führungskräfte.

Was bedeuten die indischen KI-Regeln für internationale Unternehmen im Marketing und auf UGC-Plattformen?

Unternehmen, die KI-generierte Werbemittel oder user generated content im indischen Markt ausspielen, müssen Labeling, Metadaten und Takedown-Prozesse in ihre AdTech- und Content-Workflows integrieren. Dazu gehören kennzeichnungssichere Asset-Pipelines, Upload-Checks, Deepfake-Erkennung, Incident-Response-Teams und Dokumentation, idealerweise mit lokaler Compliance-Infrastruktur in indischer Zeitzone.

Worin unterscheiden sich SGI-bezogene Pflichten von allgemeinen Content-Moderationsregeln?

Die SGI-Regeln gehen deutlich weiter als klassische Content-Moderation, weil sie spezifische Transparenz-, Provenance- und Kennzeichnungspflichten für KI-Inhalte festschreiben und extrem kurze Löschfristen vorgeben. Zudem verlangen sie proaktive technische Maßnahmen wie Hash-Datenbanken, Fingerprinting gegen Re-Uploads und regelmäßige Nutzeraufklärung zu Risiken und Verboten von synthetischen Medien.

Was sollten Unternehmen jetzt tun, um SGI-Compliance in Indien sicherzustellen?

Unternehmen sollten zunächst ein regulatorisches Mapping durchführen und identifizieren, wo in ihren Produkten und Kampagnen SGI entsteht oder verbreitet wird. Darauf aufbauend sind klare KI-Content-Policies, Metadaten-Standards, technische Labeling-by-Design-Lösungen, Monitoring für Takedown-Anordnungen sowie Trainings für Marketing-, Produkt-, Legal- und AI-Teams zu implementieren, um rechtzeitig zum Start der Regeln handlungsfähig zu sein.