Erstellung von Deepfakes: Risikoklasse und Pflichten im EU-KI-Recht
KI zur Erstellung von Deepfakes (KI-generierte Bilder/Audios/Videos, die reale Personen authentisch abbilden) ist nach Art. 50 Abs. 4 AI Act KI mit BEGRENZTEM RISIKO — kennzeichnungspflichtig, nicht konformitätsprüfungspflichtig. Anbieter müssen sicherstellen, dass veröffentlicht verbreitete Deepfakes für Menschen erkennbar sind, und die maschinenlesbare Kennzeichnung nach Abs. 2 bereitstellen. Ausnahme: Kunst, Satire, Fiktion und Analoges, sofern entsprechend gekennzeichnet. Verstoß: bis 7,5 Mio. EUR / 1 % Umsatz (Art. 99 Abs. 5). Im politischen/Wahlkontext greifen zusätzlich DSA (Art. 24a, 34/35) und der EU Code of Practice on Disinformation. Schädliche Deepfakes können zivil- und strafrechtlich verfolgt werden (Persönlichkeitsrecht).
Steve Baka
Begrenztes Risiko (Art. 50 Abs. 4) und Ausnahmen
Art. 50 Abs. 4 verpflichtet Anbieter, dafür zu sorgen, dass veröffentlicht verbreitete KI-Inhalte, die die Realität abbilden (insbesondere Deepfakes), für Menschen erkennbar sind; plus maschinenlesbare Kennzeichnung (Abs. 2). Ausnahme: Kunstwerke, kreative, fiktive, satirische oder analoge Werke — sofern entsprechend gekennzeichnet. Die Pflicht ist informationell, kein Konformitätsverfahren, spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026). Sanktion bei Verstoß bis 7,5 Mio. EUR / 1 % Umsatz (Art. 99 Abs. 5). Reine private Deepfake-Erstellung ohne Veröffentlichung löst die Pflicht nicht aus — erst die Verbreitung.
Plattform-Pflichten und Wahlkontext
Deepfakes berühren mehrere Regime. DSA: große Plattformen müssen Risiken bewerten und mindern (Art. 34/35), Transparenz politischer Werbung (Art. 24a). EU Code of Practice on Disinformation: freiwillige Selbstverpflichtung großer Plattformen. AI Act: Anbieter stellen die technischen Kennzeichnungsmittel bereit; Plattformen müssen KI-generierte Inhalte erkennen/kennzeichnen. Im Wahlkontext sind täuschende Deepfakes von Kandidierenden besonders sensibel — Kennzeichnung ist durchsetzbar, ein Verbot politischer KI-Kommunikation wäre unionsrechtlich problematisch (Meinungsfreiheit Art. 11 GRCh).
Haftung und Persönlichkeitsrecht
Schädliche Deepfakes haben über die Kennzeichnung hinausgehende Rechtsfolgen: Persönlichkeitsrecht (allgemeines Persönlichkeitsrecht, Recht am eigenen Bild), Unterlassungs- und Schadensersatzansprüche nach nationalem Zivilrecht. Strafrecht (Verleumdung, Betrug, Erpressung bei „Deepfake-Pornografie"). Urheberrecht bei Nachahmung geschützter Werke. Mit der revidierten Produkthaftungsrichtlinie (2024/2853) und der vorgeschlagenen AI Liability Directive erweitert sich die zivilrechtliche Haftung für KI-Schäden. Wer Deepfakes kommerziell anbietet, sollte Nutzungsbedingungen, Inhaltsrichtlinien und Mechanismen gegen missbräuchliche Nutzung implementieren.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Müssen alle Deepfakes gekennzeichnet werden?
Veröffentlicht verbreitete Deepfakes, die die Realität abbilden, ja (Art. 50 Abs. 4). Ausnahme: Kunst/Satire/Fiktion, sofern entsprechend gekennzeichnet. Private Erstellung ohne Verbreitung nicht.
Was gilt im Wahlkampf?
Zusätzlich DSA (Risikobewertung großer Plattformen, Transparenz politischer Werbung Art. 24a) und EU Code of Practice on Disinformation. Täuschende Polit-Deepfakes sind kennzeichnungspflichtig.
Welche Haftungsrisiken bestehen?
Persönlichkeitsrecht (Unterlassung/Schadensersatz), Strafrecht (Verleumdung, Deepfake-Pornografie), Urheberrecht. Produkthaftungs-/AI Liability Directive erweitern die zivilrechtliche Haftung.
Rechtskonforme Umsetzung für Erstellung von Deepfakes?
Wenn du Erstellung von Deepfakes rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.