Deepfakes sind längst mehr als ein bloßes Internetphänomen: Für Unternehmen stellen sie eine reale Bedrohung dar. Betrugsfälle, wie etwa CEO-Fraud, bei dem Stimmen per KI täuschend echt nachgeahmt werden, sind bereits Realität. Hinzu kommen Reputationsrisiken durch gefälschte Aussagen oder Videos sowie rechtliche Herausforderungen bei der Nutzung eigener KI-Avatare oder synthetischer Testimonials im Marketing. Im schlimmsten Fall kursieren sogar sexualisierte Inhalte, die Mitarbeitende oder Führungskräfte massiv beeinträchtigen.
Das geltende Recht bietet zwar einige Werkzeuge, doch die rechtliche Landschaft ist nicht vollständig auf synthetische Inhalte eingestellt, und insbesondere die Durchsetzung der Rechte gestaltet sich oft schwierig.
So schnell kann es gehen
Gefälschte Stimme des Chefs
Ihre Mitarbeiter erhalten eine Sprachnachricht, scheinbar vom Geschäftsführer. Die Stimme klingt echt, fordert zu einer dringenden Überweisung auf – doch in Wahrheit ist sie künstlich erstellt.
Rufschädigendes Fake-Video
Es kursiert plötzlich ein Video, das eine Führungskraft Ihres Unternehmens angeblich bei einer illegalen Handlung zeigt. Die Aufnahme sieht völlig real aus, ist aber manipuliert und schädigt massiv Ihren Ruf.
Eigene KI-Kampagne ohne Einwilligung
Sie nutzen selbst künstliche Stimmen oder Avatare in Marketingkampagnen. Später stellt sich die Frage, ob Sie dafür tatsächlich alle erforderlichen Zustimmungen haben.
Genau solche Situationen sind der Grund, warum der Gesetzgeber nachzieht: Neben den EU-Regeln (EU AI Act und Digital Services Act) werden in einzelnen Ländern, darunter Deutschland und Dänemark, zusätzliche Regelungen zum Umgang mit synthetischen Identitätsfälschungen diskutiert oder vorbereitet.
Für Unternehmen ist aber entscheidend: Diese Entwicklungen ersetzen nicht das, was heute schon funktioniert, nämlich schnelles Takedown-Vorgehen, saubere Beweissicherung und zivilrechtlicher Eilrechtsschutz. Sie erhöhen vor allem den Druck, Prozesse, Zuständigkeiten und Compliance sauber aufzusetzen.
Was genau ist eigentlich ein Deepfake?
Umgangssprachlich beschreibt „Deepfake“ eine Technologie, bei der mittels künstlicher Intelligenz täuschend echte, synthetische oder manipulierte Audio-, Bild- oder Videoinhalte erzeugt werden, die reale Personen scheinbar in authentischen Situationen zeigen.
EU AI Act Definition
Die EU-KI-Verordnung („EU AI Act“) definiert Deepfakes präzise als KI-generierte oder manipulierte Bild-, Ton- oder Videoinhalte, die real existierenden Personen oder Situationen ähneln und bei Betrachtern fälschlicherweise den Eindruck erzeugen könnten, authentisch zu sein. Diese Definition ist rechtlich besonders relevant, da an sie neue Transparenzpflichten geknüpft werden, die Unternehmen zukünftig beachten müssen.
Entscheidend: Nicht jeder Deepfake ist automatisch illegal. Die Rechtswidrigkeit entsteht erst, wenn Persönlichkeitsrechte verletzt werden, indem Identität, Stimme oder Gesicht einer Person ohne Erlaubnis genutzt, falsche Tatsachen behauptet oder Inhalte in verletzenden Kontext gesetzt werden.
Rechtslage
Die wichtigsten Rechtsgebiete im Überblick – und wie sie Unternehmen bei Deepfakes schützen.
Zivilrecht: Das allgemeine Persönlichkeitsrecht als zentrales Instrument
Im Zivilrecht erfolgt der Schutz hauptsächlich über das Allgemeine Persönlichkeitsrecht. Dieses Recht schützt Identität, Privatsphäre und die Ehre einer Person und bildet die Grundlage für Unterlassungs-, Beseitigungs- und Schadensersatzansprüche. Konkret bedeutet dies:
- Unternehmen können Unterlassung und Beseitigung rechtswidriger Inhalte verlangen, etwa durch gerichtliche Verfügung.
- Schadensersatz ist möglich, wenn durch einen Deepfake ein materieller oder immaterieller Schaden entstanden ist.
- Bei besonders gravierenden Eingriffen, z. B. intimen oder ehrverletzenden Darstellungen, besteht Anspruch auf Geldentschädigung.
Je klarer die betroffene Person identifizierbar ist und je umfassender die Verbreitung dokumentiert werden kann, desto leichter ist es, zivilrechtlich schnell und effektiv vorzugehen.
Recht am eigenen Bild: Die Rolle des Kunsturhebergesetzes (KUG)
Wenn Deepfakes in Form von Bildern oder Videos verbreitet werden, kommt regelmäßig das Kunsturhebergesetz (KUG) ins Spiel. Demnach ist die Veröffentlichung eines Bildnisses grundsätzlich nur mit Einwilligung der abgebildeten Person zulässig (§ 22 KUG). Allerdings gibt es Ausnahmen (§ 23 KUG), etwa bei Personen der Zeitgeschichte oder bei zufällig aufgenommenen Gruppenaufnahmen.
In der Praxis besonders strittig ist die Frage, ob rein künstlich erstellte, synthetische Bilder überhaupt als „Bildnisse“ gelten. Diese Unklarheit erschwert in manchen Fällen die Anwendung des KUG, weshalb parallel oft auf das Allgemeine Persönlichkeitsrecht zurückgegriffen wird.
Marken- und Wettbewerbsrecht: Schutz vor Deepfake-Werbung und Identitätsmissbrauch
Deepfakes bedrohen Unternehmen nicht nur durch Angriffe auf einzelne Personen. Viele Vorfälle zielen direkt auf die Marke, die Produkte oder die Glaubwürdigkeit der Unternehmenskommunikation ab.
In solchen Fällen bieten sich zwei Rechtsgebiete an:
- Markenrecht (MarkenG): gegen unerlaubte Verwendung von Marken, Logos, Firmennamen sowie täuschend ähnliche Profile oder Domains.
- Wettbewerbsrecht (UWG): gegen irreführende geschäftliche Praktiken, falsche Werbeaussagen, abwertende Behauptungen und gefälschte Bewertungen.
Diese Ansprüche ermöglichen oft eine schnelle Reaktion (Abmahnungen, einstweilige Verfügungen) und lassen sich mit DSA-Plattformmeldungen kombinieren.
Datenschutzrecht: Deepfakes und DSGVO
Aus Datenschutzsicht können Deepfakes problematisch sein, weil hierbei häufig personenbezogene Daten verarbeitet werden (Gesicht, Stimme). Besonders sensibel wird es bei biometrischen Daten (Art. 9 DSGVO).
Unternehmen, die selbst synthetische Inhalte einsetzen, müssen klare Einwilligungen der betroffenen Personen einholen und sorgfältig dokumentieren.
Plattformregulierung durch den DSA
Seit dem Inkrafttreten des Digital Services Act (DSA) am 17. Februar 2024 müssen Plattformen verpflichtende Prozesse für Meldungen und Abhilfen („Notice-and-Action-Verfahren“) etablieren. Dies hilft Unternehmen bei der Entfernung von rechtswidrigen Inhalten, ersetzt aber keine gerichtliche Entscheidung. Dennoch ist es ein wertvolles Instrument, das Unternehmen im Ernstfall nutzen sollten.
Wo stoßen Unternehmen aktuell auf Grenzen und praktische Probleme?
Obwohl die bestehenden Rechtsinstrumente grundsätzlich Schutz bieten, zeigt die Praxis immer wieder Schwachstellen.
Schwierige Beweisführung und schnelle Reaktion erforderlich
In der Realität kommt es häufig vor, dass sich Deepfakes viral verbreiten und binnen kürzester Zeit massiven Schaden verursachen. Obwohl Unterlassungsansprüche bestehen, stehen Unternehmen und Betroffene oft vor der Schwierigkeit, schnell genug rechtssicher beweisen zu können, dass Inhalte gefälscht sind und einen Rechtsverstoß darstellen.
Ein weiteres Problem: Deepfakes sind technisch leicht veränderbar. Selbst wenn ein Inhalt gelöscht wird, tauchen oft minimal veränderte Varianten („kerngleich“, aber nicht identisch) wieder auf.
Plattformhaftung und das Problem der „Reuploads“
Ein entscheidender Punkt in der Praxis ist die Verantwortlichkeit der Plattformen. Zwar sind Anbieter wie YouTube, TikTok oder Instagram durch den DSA verpflichtet, rechtswidrige Inhalte zu entfernen, doch oft beschränkt sich dies zunächst auf die konkrete Meldung.
Das OLG Frankfurt hat betont, dass Plattformbetreiber verpflichtet sein können, auch weitere ähnliche Inhalte proaktiv zu entfernen (OLG Frankfurt, 04.03.2025, Az. 16 W 10/25). Trotzdem bleibt die praktische Umsetzung schwierig.
Durchsetzung: Anonymität, Auslandsbezug und technische Skalierung
Selbst wenn eindeutig ein Rechtsverstoß vorliegt, gestaltet sich die schnelle Entfernung oft schwierig. Häufige Hürden sind die Anonymität der Urheber, Hosting außerhalb der EU und technische Skalierbarkeit (Spiegelungen, Reuploads, geschlossene Gruppen).
Unternehmen sollten strategisch auf mehreren Ebenen gleichzeitig handeln: gründliche Beweissicherung, gezielte Ansprache von Plattformen und Hosting-Diensten sowie Vorbereitung zivilrechtlicher Eilverfahren.
Personenbezogene Daten und Datenschutzfragen (DSGVO)
Zwar gelten für biometrische Daten strenge Anforderungen, doch nicht jeder Deepfake fällt automatisch unter diese besonderen Regeln. So ist beispielsweise unklar, ab welchem Punkt die bloße Abbildung eines Gesichts oder die Imitation einer Stimme tatsächlich zu einer „biometrischen Verarbeitung“ im Sinne der DSGVO wird. Bislang fehlt hier oft Rechtssicherheit.
Praktische Grenzen der Notice-and-Action-Prozesse (DSA)
Die Notice-and-Action-Verfahren des DSA führen in der Praxis nicht immer zum gewünschten Ergebnis. Unternehmen berichten häufig von Verzögerungen, überlasteten Meldeprozessen und formalistischen Rückfragen. Zudem sind kleine Plattformen oft gar nicht hinreichend aufgestellt, um eine effektive Löschung zu gewährleisten.
Aktuelle Reformen und gesetzliche Initiativen: Was kommt auf Unternehmen zu?
Die wichtigsten regulatorischen Entwicklungen und ihre praktische Bedeutung.
Für Unternehmen sind derzeit vor allem zwei regulatorische Entwicklungen von großer praktischer Bedeutung: die EU-KI-Verordnung (EU AI Act) mit ihren Transparenzpflichten für KI-generierte Inhalte und der Digital Services Act (DSA), der standardisierte Melde- und Abhilfeverfahren bei Plattformen vorsieht.
EU AI Act: Transparenzpflichten und Compliance
Die EU-KI-Verordnung bringt klare Transparenz- und Kennzeichnungspflichten für KI-generierte oder -manipulierte Inhalte, zu denen auch Deepfakes gehören. Besonders relevant für Kommunikation, Marketing, HR und Öffentlichkeitsarbeit.
Unternehmen müssen ihre Prozesse so gestalten, dass Kennzeichnung, Dokumentation und Freigabe fest im Arbeitsablauf integriert sind.
DSA: Qualität und Dokumentation von Plattformmeldungen
Der DSA verpflichtet große Plattformen zu klaren Notice-and-Action-Prozessen. Erfolg und Schnelligkeit hängen maßgeblich davon ab, wie gut dokumentiert und rechtlich begründet ein Deepfake gemeldet wird.
Unternehmen sollten interne Vorlagen und Verantwortlichkeiten etablieren und Meldungen umfassend dokumentieren, um nahtlos zivilrechtliche Schritte anschließen zu können.
Grenzen der neuen Regelungen
Trotz DSA und EU AI Act wird sich absehbar nicht jede Herausforderung durch Regulierung lösen lassen. Inhalte verbreiten sich weiterhin rasant, Urheber agieren anonym oder aus dem Ausland.
Unternehmen sollten einen kombinierten Ansatz verfolgen: schnelle Plattformmeldungen, effektiver zivilrechtlicher Eilrechtsschutz sowie marken- und wettbewerbsrechtliche Maßnahmen, ergänzt durch interne Präventions- und Compliance-Strukturen.
Benötigen Sie rechtliche Klarheit zu Deepfakes und KI-generierten Inhalten?
Praxisleitfaden: Was Unternehmen konkret tun sollten
Unabhängig von den laufenden Gesetzesinitiativen sind Unternehmen gut beraten, bereits jetzt klare Strukturen aufzubauen.
Sofortmaßnahmen bei Auftreten eines Deepfakes (24–72 Stunden)
Sollten Sie oder Ihr Unternehmen von einem Deepfake betroffen sein, kommt es auf schnelles und zielgerichtetes Handeln an:
1. Sofortige Beweissicherung
- Erfassen Sie sämtliche relevanten Informationen: URL, Zeitpunkt, betroffene Personen und Kontexte.
- Nutzen Sie nicht nur Screenshots, sondern auch Screen-Recordings.
- Dokumentieren Sie die Verbreitung (Shares, Likes, Kommentare).
2. Plattformmeldung nach DSA
- Melden Sie die Inhalte unverzüglich über die offiziellen Meldeprozesse der Plattformen.
- Begründen Sie Ihre Meldung präzise (Persönlichkeitsrechte, Rufschädigung, Datenschutzverletzung).
- Dokumentieren Sie Meldung und Antwort der Plattform.
3. Juristische Schritte vorbereiten
- Kontaktieren Sie Ihre Rechtsabteilung oder externe Anwälte für Unterlassungserklärungen, Löschungsforderungen oder Eilrechtsschutz.
- Aktivieren Sie interne Sicherheits- und Betrugsabwehrprozesse und stimmen Sie sich mit IT, PR und Management ab.
4. Kommunikation abstimmen
- Informieren Sie intern nur ausgewählte Mitarbeitende, um Panik zu vermeiden.
- Bereiten Sie ein klares Statement für externe Anfragen vor.
Mittelfristige Maßnahmen: Interne Prävention und Vorbereitung
Unternehmen sollten proaktiv handeln, um auf zukünftige Fälle besser vorbereitet zu sein:
Consent-Management und Compliance
- Klare Einwilligungsprozesse für KI-basierte Avatare oder Voice-Clones einführen.
- DSGVO-Anforderungen bei biometrischen Daten sicherstellen.
Schulung und Sensibilisierung
- Mitarbeitende in besonders anfälligen Abteilungen (Finanzen, Personal, GF) regelmäßig schulen.
- Vier-Augen-Prinzip und Rückruf-Verifikation trainieren.
Krisenmanagement und Incident Response
- Interne Incident-Response-Pläne mit klaren Abläufen entwickeln.
- Klare Zuständigkeiten und Kommunikationswege festlegen.
Technische Maßnahmen und Monitoring
- Monitoring-Tools für Marke und gefährdete Führungskräfte einsetzen.
- Prozesse für die Erkennung von Reuploads und Varianten etablieren.
Langfristige Maßnahmen (EU-KI-Verordnung, ab August 2026)
Mit dem EU AI Act treten ab dem 2. August 2026 zusätzliche Anforderungen in Kraft:
Kennzeichnungspflichten
Planen Sie Prozesse zur eindeutigen Kennzeichnung generierter oder bearbeiteter Inhalte („technische Offenlegung“).
Freigabeprozesse
Schaffen Sie transparente und dokumentierte Freigabeprozesse für Marketing, HR und PR. Schulen Sie alle involvierten Abteilungen frühzeitig.
Lieferantenmanagement
Prüfen und aktualisieren Sie Verträge mit KI-Dienstleistern, um Compliance-Pflichten (Kennzeichnungen, Offenlegung) sicherzustellen.
Fazit & Handlungsempfehlungen für Unternehmen
Deepfakes sind für Unternehmen ein ernstzunehmendes Risiko. Aktuelle Gesetze bieten bereits Schutzmöglichkeiten, dennoch bestehen Lücken, die durch Reformen wie den EU AI Act zunehmend geschlossen werden.
Etablieren Sie klare interne Prozesse, schulen Sie Mitarbeitende und bauen Sie rechtzeitig Compliance- und Monitoring-Strukturen auf.
Transparenz-Hinweis: Allgemeine Information, keine individuelle Rechtsberatung; Stand: Februar 2026.
Häufig gestellte Fragen aus der Praxis (FAQ)
Praxisnahe Antworten auf die wichtigsten Fragen rund um Deepfakes und rechtliche Implikationen.
Nein. Entscheidend ist immer der Kontext und die konkrete Auswirkung. Deepfakes sind rechtswidrig, wenn sie Persönlichkeitsrechte verletzen, beispielsweise indem sie falsche Aussagen oder Täuschungen über eine Person verbreiten, deren Reputation schädigen oder intime und private Inhalte zeigen. Kunst, Satire oder ausdrücklich als fiktiv gekennzeichnete Inhalte sind dagegen meist zulässig, sofern keine Täuschungsabsicht vorliegt.
Der effektivste Weg ist, unmittelbar nach der Entdeckung parallel vorzugehen: Melden Sie den Inhalt über die Plattform mithilfe des vorgeschriebenen Notice-and-Action-Verfahrens (DSA), und starten Sie parallel ein juristisches Verfahren auf Unterlassung und Löschung. Die Kombination aus Meldeverfahren und anwaltlicher Begleitung beschleunigt oft die Reaktionszeiten der Plattformbetreiber.
In vielen Fällen steht weniger die Verletzung der Privatsphäre im Vordergrund, sondern der Missbrauch von Identitäten und Marken. Häufig können mehrere Rechtsgrundlagen kombiniert geltend gemacht werden: Unternehmenspersönlichkeitsrecht, Markenrecht (MarkenG) sowie Wettbewerbsrecht (UWG). In der Praxis hat sich ein abgestimmtes Vorgehen bewährt: Plattformmeldung nach DSA, Abmahnungen und – falls erforderlich – gerichtlicher Eilrechtsschutz.
Grundsätzlich ja, aber die praktische Umsetzung ist oft komplex. Plattformen sind gesetzlich verpflichtet, „identische“ oder „kerngleiche“ Inhalte nach Meldung ebenfalls zu prüfen und zu löschen. Je genauer Sie Varianten beschreiben und dokumentieren (Screenshots, URLs, Datum), desto größer die Chancen, dass die Plattform aktiv wird.
Ja, aber nur unter klaren Voraussetzungen: explizite und dokumentierte Einwilligungen, klare Zweckbindungen und transparente Widerrufsregelungen. Ab August 2026 greifen zusätzliche Transparenzpflichten nach der EU-KI-Verordnung.
Nein, nicht zwangsläufig. Gesichtsbilder oder Stimmaufnahmen werden erst dann zu biometrischen Daten, wenn sie mittels spezieller technischer Verfahren verarbeitet werden, um eine Person eindeutig zu identifizieren. Ein einfaches Bild oder ein Tonmitschnitt allein reicht dafür nicht aus.
Ab dem 2. August 2026 müssen Unternehmen, die KI-generierte oder -manipulierte Inhalte nutzen oder veröffentlichen, transparent machen, dass diese Inhalte künstlich erstellt oder bearbeitet wurden. Dies gilt für Werbung, interne Kommunikation, Social Media und andere öffentlich zugängliche Inhalte.
Stoppen Sie unverzüglich alle verdächtigen Zahlungen, führen Sie eine unabhängige Verifizierung durch (Rückruf über bekannte Kanäle, Vier-Augen-Prinzip) und dokumentieren Sie den Vorfall. Sichern Sie alle relevanten Inhalte und verbessern Sie Ihre internen Sicherheitsmaßnahmen.
Intensivieren Sie rechtliche Schritte: gerichtliche einstweilige Verfügungen oder Einschaltung der zuständigen Aufsichtsbehörde (Digital Services Coordinator). Die DSA-Regelungen sehen klare Verantwortlichkeiten und Fristen vor.
Ja, unbedingt. Dazu gehören klare Freigabeprozesse (Vier-Augen-Prinzip), Schulungen sensibler Abteilungen (Finanzen, HR), regelmäßiges Monitoring sozialer Netzwerke und proaktive Krisenpläne.
Quellen
- EU-KI-Verordnung, Verordnung (EU) 2024/1689
eur-lex.europa.eu - Digital Services Act (DSA), Verordnung (EU) 2022/2065
eur-lex.europa.eu - Datenschutz-Grundverordnung (DSGVO), Verordnung (EU) 2016/679
eur-lex.europa.eu - Kunsturhebergesetz (KUG)
gesetze-im-internet.de - Markengesetz (MarkenG)
gesetze-im-internet.de - Gesetz gegen den unlauteren Wettbewerb (UWG)
gesetze-im-internet.de
