KI und Deepfakes: Schutz vor digitaler Manipulation und Reputationsrisiken | Rechtliche Beratung

Deepfakes sind durch Künstliche Intelligenz manipulierte Inhalte, die täuschend echt wirken, obwohl sie tatsächlich nie in der gezeigten Form stattgefunden haben. Der Begriff setzt sich aus “Deep Learning“, einer speziellen Form des maschinellen Lernens, und “Fake” zusammen. Was diese Technologie von herkömmlichen Bildbearbeitungsverfahren unterscheidet, ist die Qualität der Ergebnisse. Moderne Deepfakes sind oft selbst für Experten schwer als Fälschung zu identifizieren. Die Deepfake-Software nutzt tiefe neuronale Netzwerke, um aus vorhandenen Aufnahmen einer Person neue, manipulierte Inhalte zu erstellen. Das System analysiert dabei intensiv Gesichtszüge, Mimik, Stimmmuster und Sprechgewohnheiten der Zielperson. Durch diesen Lernprozess wird das Programm in die Lage versetzt, das Aussehen und Verhalten der Person zu imitieren und sie in völlig neue Kontexte zu setzen. Technische Erkennungstools wie SynthID von Google DeepMind können jedoch durch die Identifikation unsichtbarer Wasserzeichen in KI-generierten Inhalten Abhilfe schaffen. Für Unternehmen werden solche Detektionssysteme zunehmend zu einem wichtigen Baustein der digitalen Sicherheitsstrategie.

Die verschiedenen Deepfake-Technologien lassen sich in unterschiedliche Kategorien einteilen, je nachdem welche Art der Manipulation zum Einsatz kommt. Grundsätzlich differenziert man dabei zwischen video- und audiobasierten Deepfakes. Aus unternehmensrechtlicher Sicht sind dabei insbesondere drei Hauptformen von besonderer Relevanz, da sie die häufigsten Angriffsvektoren für Wirtschaftskriminalität darstellen:

• Face Swapping (Gesichtstausch): Bei diesem Verfahren wird das Gesicht einer Person in ein bereits vorhandenes Video einer anderen Person eingesetzt. So kann beispielsweise ein Geschäftsführer in einem Video zu sehen sein, welches er in der Realität aber nie aufgenommen hat. Für qualitativ hochwertige Ergebnisse genügen bereits wenige Minuten Videomaterial der Zielperson.
• Face Reenactment (Gesichtssteuerung): Hierbei werden Mimik, Lippenbewegungen oder Kopfhaltung einer Person so manipuliert, dass sie Aussagen zu treffen scheint, die sie nie gemacht hat. So können kompromittierende oder geschäftsschädigende Äußerungen gefälscht werden.
• Voice Cloning (Stimmklonung): Hier werden Mithilfe von Text-to-Speech oder Voice-Conversion-Verfahren synthetische Stimmen erstellt, die von echten Aufnahmen kaum zu unterscheiden sind. Kriminelle nutzen diese Technologie für den sogenannten CEO-Fraud, bei dem Mitarbeiter durch gefälschte Anrufe zu unautorisierten Überweisungen verleitet werden.

Während klassische Fälle von Identitätsmissbrauch bereits zivilrechtlich verfolgt werden können, stellen Deepfake-Technologien und andere KI-generierte Geschäftsinhalte Unternehmen vor neue Herausforderungen. Eine der größten Schwierigkeiten besteht darin, dass betroffene Unternehmen oft nicht nachweisen können, dass das gezeigte Material manipuliert wurde. In vielen Fällen ist es nicht einmal erforderlich, dass reale Aufnahmen von Geschäftsführern existiert haben – allein öffentlich verfügbare Bilder oder Videos von Unternehmensveranstaltungen reichen aus, um täuschend echte Deepfakes zu erzeugen.

Dies führt dazu, dass juristische Schutzmechanismen wie das Recht am eigenen Bild oder bestehende Zivilgesetze unter Umständen nur eingeschränkt greifen. Gleichzeitig spielen die verschiedenen Plattformbetreiber eine zentrale Rolle bei der Verbreitung solcher Inhalte. Während einige Netzwerke auf Meldungen reagieren und entsprechendes Material zügig löschen, bleibt es auf anderen Websites oder in Geschäftskommunikationskanälen oft lange zugänglich. Die internationale Dimension des Problems erschwert die Rechtsverfolgung erheblich, da Täter oft anonym agieren und ihre Server in Rechtsräumen außerhalb der nationalen Zuständigkeit betreiben. Dennoch existieren bereits rechtliche Ansätze gegen die Verbreitung von Deepfake-Inhalten im Geschäftskontext. Neben zivilrechtlichen Ansprüchen eröffnen auch gesellschafts- und vertragsrechtliche Instrumente Wege zur Durchsetzung von Löschung, Unterlassung und Schadensersatz. Für Unternehmen ergeben sich dabei spezifische Haftungs- und Compliance-Risiken, die über die klassischen Persönlichkeitsrechtsverletzungen hinausgehen. Diese betreffen sowohl die interne Verantwortlichkeitsstruktur als auch die Außenbeziehungen zu Geschäftspartnern und Aufsichtsbehörden.

• Haftung und Sorgfaltspflichten: Geschäftsführer sind verpflichtet, die Sorgfalt eines ordentlichen gewissenhaften Geschäftsführers anzuwenden. Unterlassene Vorkehrungen gegen Cyberbedrohungen können unter Umständen als Pflichtverletzung angesehen werden.
• Arbeitnehmerhaftung bei Deepfake-Vorfällen: Kommt es infolge eines Deepfake-basierten Betrugs – etwa durch eine täuschend echt wirkende Zahlungsanweisung im Namen der Geschäftsleitung – zu einem Vermögensschaden, richtet sich die Verantwortlichkeit nach den Grundsätzen der innerbetrieblichen Arbeitnehmerhaftung. Diese sieht eine abgestufte Haftung vor: Bei leichter Fahrlässigkeit haftet der Arbeitnehmer nicht, da das Risiko dem allgemeinen Betriebsrisiko zuzurechnen ist. Bei mittlerer Fahrlässigkeit erfolgt eine anteilige Haftungsverteilung zwischen Arbeitnehmer und Arbeitgeber nach Billigkeit und unter Berücksichtigung der Umstände des Einzelfalls. Bei grober Fahrlässigkeit oder vorsätzlichem Handeln haftet der Arbeitnehmer grundsätzlich voll. Für die Einordnung der Fahrlässigkeit sind insbesondere die organisatorischen Rahmenbedingungen im Unternehmen von Bedeutung. Wurden Beschäftigte geschult und bestehen etablierte Kontrollmechanismen wie etwa ein Vier-Augen-Prinzip oder verbindliche Verifizierungsketten, steigen die Anforderungen an die individuelle Sorgfaltspflicht. Fehlen solche Vorkehrungen, trägt der Arbeitgeber ein erhöhtes Risiko, was die Haftungslast des Arbeitnehmers entsprechend mindern kann. Die konkreten Umstände sind stets nach dem Einzelfall zu bewerten.
• Compliance-Anforderungen in regulierten Branchen: Banken, Versicherungen und andere regulierte Unternehmen unterliegen besonderen Meldepflichten bei Deepfake-Vorfällen. Aufsichtsbehörden erwarten zunehmend proaktive Risikoidentifikation, angemessene Schutzmaßnahmen und ordnungsgemäße Incident Response-Prozesse.
• Vertragsrechtliche Absicherungsstrategien: Präventive Vertragsgestaltung gewinnt an Bedeutung – von angepassten AGB-Klauseln über spezielle Haftungsregelungen bis hin zu Authentifizierungsvereinbarungen mit Geschäftspartnern. Bestehende Verträge müssen auf Deepfake-Risiken überprüft und entsprechend angepasst werden etwa durch verschärfte Identitätsprüfungen in Finanzverträgen oder Multi-Faktor-Authentifizierung bei kritischen Geschäftstransaktionen.
• Kapitalmarktrechtliche Implikationen: Börsennotierte Unternehmen müssen bei Deepfake-Vorfällen Ad-hoc-Mitteilungspflichten und Investor Relations-Aspekte berücksichtigen. Falsche Kursbewegungen durch manipulierte Inhalte können zu weiteren rechtlichen Konsequenzen führen.

Deepfake-Technologien eröffnen Angreifern neue Möglichkeiten für zielgerichtete Angriffe auf Unternehmen. Die folgenden Szenarien stellen dabei die größten Risiken für die Geschäftstätigkeit dar:

• CEO-Fraud und Business-E-Mail Compromise: Gefälschte Videos oder Audioaufnahmen von Geschäftsführern werden für betrügerische Anweisungen an Mitarbeiter, Lieferanten oder Kunden verwendet. Diese neue Form des CEO-Frauds ist besonders gefährlich, da die audiovisuelle „Bestätigung“ durch den vermeintlichen Chef Sicherheitsmechanismen umgeht.
• Reputationsschäden und Markenmissbrauch: Manipulierte Inhalte können gezielt zur Rufschädigung eingesetzt werden – etwa durch gefälschte Statements zu kontroversen Themen, manipulierte Produktpräsentationen oder kompromittierende Darstellungen von Führungskräften.
• Investor Relations und Kapitalmarktmanipulation: Deepfake-basierte Falschinformationen über Unternehmensentscheidungen, Quartalszahlen oder strategische Ausrichtungen können Aktienkurse beeinflussen und rechtliche Konsequenzen nach sich ziehen.
• Supply Chain und Geschäftspartner: Gefälschte Kommunikation mit Lieferanten, Kunden oder Joint-Venture-Partnern kann zu Vertragsbrüchen, Lieferengpässen oder strategischen Fehlentscheidungen führen.

Um sich effektiv gegen die Verbreitung von KI-generierten Geschäftsinhalten oder manipulierten Videos zu wehren, ist es oft entscheidend, frühzeitig Maßnahmen zur Beweissicherung zu ergreifen. Da solche Inhalte oft schnell verbreitet werden und Täter anonym agieren, ist eine sorgfältige Dokumentation aller relevanten Informationen unerlässlich.

Falls möglich sollten betroffene Unternehmen daher nicht nur Screenshots und URLs sichern, sondern auch alle weiteren relevanten Umstände der Veröffentlichung festhalten. Insbesondere kann es hilfreich sein, Zeitpunkte der Entdeckung, Reaktionen von Plattformen sowie mögliche Geschäfts- oder Reputationsschäden zu dokumentieren. Eine umfassende Beweissicherung erleichtert es später, rechtliche Schritte einzuleiten.

Die Maßnahmen können wie folgt aussehen:

• Beweise sichern: Screenshots, URLs und Metadaten der veröffentlichten Inhalte mit Verbreitungsabsichten dokumentieren.
• Strafanzeige erstatten: Eine Anzeige bei der Polizei oder Staatsanwaltschaft stellt den ersten Schritt zur strafrechtlichen Verfolgung dar. Es ist ratsam, sich dabei anwaltlich beraten zu lassen.
• Rechtsbeistand einholen: Ein spezialisierter Anwalt kann Unterlassungs- und Schadensersatzansprüche durchsetzen sowie Löschungsverfahren beschleunigen.
• Plattformen kontaktieren: Viele soziale Netzwerke und Webseiten bieten Meldefunktionen zur Löschung unerlaubter Inhalte. Zusätzlich sollten in jedem Fall juristische Schritte eingeleitet werden.
• Stakeholder informieren: Proaktive Kommunikation mit Geschäftspartnern, Investoren und Kunden kann Reputationsschäden minimieren.