Was der Fall Fernandes/Ulmen über eine wachsende Rechtslücke verrät, und was Privatpersonen wie Unternehmen jetzt wissen müssen.
I. Ein Prominentenfall mit Signalwirkung
Es war eine der aufsehenerregendsten Enthüllungen im deutschen Medienrecht des Frühjahrs 2026: Die Schauspielerin und Moderatorin Collien Fernandes erhob schwere Vorwürfe gegen ihren Ex-Mann, den Schauspieler Christian Ulmen. Laut einem Bericht des „Spiegel“ soll dieser über Jahre hinweg KI-generierte pornografische Deepfakes von ihr erstellt, Fake-Profile in sozialen Netzwerken unter ihrem Namen angelegt und darüber Männer kontaktiert haben – ohne ihr Wissen und ohne ihre Einwilligung. Fernandes erstattete Anzeige beim Bezirksgericht Palma de Mallorca, wo Vorermittlungen eingeleitet wurden. Für Ulmen gilt die Unschuldsvermutung.
Der Fall hat eine breite gesellschaftliche und politische Debatte ausgelöst. Bundesjustizministerin Stefanie Hubig (SPD) kündigte unmittelbar darauf ein digitales Gewaltschutzgesetz an und erklärte, das Erstellen und Verbreiten sexualisierter Deepfakes müsse unter Strafe stehen. Der Fall ist damit mehr als ein Prominentenskandal: Er offenbart eine strukturelle Schutzlücke im deutschen und europäischen Recht – eine Lücke, die Privatpersonen, Arbeitnehmer und Unternehmen gleichermaßen betrifft.
II. Was sind Deep Fakes?
Der Begriff „Deep Fake“ setzt sich aus „Deep Learning“ und „Fake“ zusammen. Gemeint sind Bild-, Video- oder Audioaufnahmen, die mithilfe künstlicher Intelligenz so manipuliert oder neu generiert werden, dass sie täuschend echt wirken. Die zugrundeliegenden Algorithmen werden auf reales Bild- und Tonmaterial einer Person trainiert und können dann beliebige Situationen simulieren: Aussagen, Handlungen oder visuelle Darstellungen, die niemals stattgefunden haben.
Technisch unterscheidet man verschiedene Formen: Face-Swap-Deepfakes, bei denen das Gesicht einer Person in ein bestehendes Video eingefügt wird; Voice Cloning, bei dem die Stimme einer Person synthetisch nachgeahmt wird; sowie vollständig KI-generierte Inhalte, die keine reale Aufnahme als Vorlage benötigen. Die Technologie ist nicht länger Hollywoodstudios vorbehalten. Frei verfügbare Apps und Cloud-Dienste ermöglichen es heute technisch weitgehend unversierten Nutzern, in kurzer Zeit täuschend echte Fälschungen zu erzeugen.
III. Rechtslage in Deutschland: Schutz mit Lücken
Das deutsche Recht bietet Betroffenen von Deepfakes einen – im Vergleich zum Ausland – recht breiten Schutzrahmen, der sich aus verschiedenen Rechtsgebieten zusammensetzt. Dennoch bestehen erhebliche Lücken, die der Gesetzgeber bislang nicht geschlossen hat.
1. Strafrechtlicher Schutz
Eine spezifische Deepfake-Strafnorm existiert in Deutschland bislang nicht. Der Bundesrat hat im Juli 2025 einen Gesetzentwurf zur Einführung eines § 201b StGB in den Bundestag eingebracht, der die Verbreitung wirklichkeitsgetreuer KI-manipulierter Bild- oder Tonaufnahmen mit Freiheitsstrafe bis zu zwei Jahren, in schweren Fällen bis zu fünf Jahren bedrohen soll. Das Gesetzgebungsverfahren ist allerdings noch nicht abgeschlossen.
Bis zum Inkrafttreten einer solchen Regelung greifen folgende bestehende Tatbestände, jedoch jeweils nur lückenhaft:
- § 33 KUG (Kunsturhebergesetz): Das Verbreiten eines Bildnisses ohne Einwilligung der abgebildeten Person ist strafbar (Freiheitsstrafe bis zu einem Jahr). Das KUG von 1907 ist grundsätzlich auch auf KI-generierte Bilder anwendbar, soweit die Person erkennbar dargestellt wird. Praktisch entfaltet es jedoch kaum abschreckende Wirkung, da es sich um ein mildes Vergehen handelt und Ausnahmen für Abbildungen der Zeitgeschichte (§ 23 KUG) im Einzelfall zu Auslegungsproblemen führen.
- § 201a StGB (Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen): Der Tatbestand ist auf reale Bildaufnahmen ausgerichtet; bei vollständig KI-generierten Inhalten ist seine Anwendbarkeit umstritten. Abs. 2 stellt das unbefugte Zugänglichmachen von Bildaufnahmen unter Strafe, die geeignet sind, dem Ansehen einer Person erheblich zu schaden – was bei Deepfake-Pornografie grundsätzlich in Betracht kommt, aber vom Wortlaut her problematisch bleibt.
- §§ 185 ff. StGB (Beleidigung, üble Nachrede, Verleumdung): Die Darstellung einer Person in einem pornografischen Deepfake kann als ehrverletzende Tatsachenbehauptung qualifiziert werden. § 187 StGB (wissentliche Verbreitung falscher Tatsachen) kommt in Betracht, wenn der Täter positive Kenntnis von der Unwahrheit hat. Beweisrechtliche Hürden und Strafantragserfordernisse (§ 194 StGB) erschweren die Strafverfolgung in der Praxis.
- § 42 BDSG: Die unbefugte Verarbeitung personenbezogener Daten mit Schädigungsabsicht ist mit Freiheitsstrafe bis zu zwei Jahren bedroht. Da Gesichtsbilder als biometrische Daten besonderer Kategorie (Art. 9 DSGVO) einzustufen sind, ist ihre Verwendung für Deepfakes ohne Einwilligung grundsätzlich rechtswidrig und kann diese Strafnorm erfüllen.
- § 263 StGB; § 263a StGB (Betrug; Computerbetrug): Wenn Deepfakes eingesetzt werden, um Personen zu Vermögensverfügungen zu verleiten – etwa durch gefälschte CEO-Stimmen im sog. „CEO Fraud“ –, ist Betrugsstrafbarkeit eröffnet. Dies ist im Unternehmenskontext besonders relevant.
2. Zivilrechtlicher Schutz
Zivilrechtlich bietet das Allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) den umfassendsten Schutz. Betroffene haben in der Regel Ansprüche auf Unterlassung und Beseitigung (§§ 823, 1004 BGB analog) sowie auf Schadensersatz und – bei besonders schwerwiegenden Verletzungen, insbesondere in der Intimsphäre – auf Geldentschädigung nach den vom BGH entwickelten Grundsätzen. Ergänzend kommen Ansprüche aus dem Recht am eigenen Bild (§§ 22, 23 KUG) sowie datenschutzrechtliche Schadensersatzansprüche nach Art. 82 DSGVO in Betracht.
Im Bereich des Lauterkeitsrechts hat das Landgericht Berlin II (Az. 2 O 202/24) im August 2025 entschieden, dass auch bei einer KI-generierten Stimme fiktive Lizenzgebühren zivilrechtlich eingeklagt werden können – ein wegweisendes Signal für die Bewertung kommerziell genutzter Deepfakes.
3. Plattformverantwortlichkeit und Digital Services Act (DSA)
Nach dem Urteil des OLG Frankfurt am Main vom 4. März 2025 (Az. 16 W 10/25) ist ein Plattformbetreiber nicht nur verpflichtet, gemeldete Deepfake-Inhalte zu entfernen, sondern muss nach einem Hinweis auch sinngleiche, technisch leicht abgewandelte Varianten proaktiv aufspüren und löschen. Das Gericht stellte klar, dass von einem weltweit agierenden Konzern mit eigener KI-Infrastruktur erwartet werden kann, gleichartige Inhalte technisch zu erkennen und zu unterbinden. Dieser Paradigmenwechsel stärkt den Rechtsschutz für Betroffene erheblich: Eine einmalige Meldung löst eine systematische Prüfpflicht aus.
Auf europäischer Ebene verpflichtet Art. 35 Abs. 1 lit. k DSA Plattformen bereits zur Kennzeichnung von Deepfakes, sofern Nutzer diese irrtümlich für echt halten könnten. Art. 50 der EU-KI-Verordnung schreibt zudem Transparenz- und Kennzeichnungspflichten für KI-generierte Inhalte vor. Strafrechtliche Konsequenzen für Deepfake-Urheber leitet die KI-Verordnung jedoch nicht unmittelbar ab.
IV. Schutz für Privatpersonen und Verbraucher
Deep Fakes treffen nicht nur Prominente. Wer öffentlich zugängliche Fotos auf Social-Media-Profilen veröffentlicht – was heute nahezu selbstverständlich ist –, stellt potenziell ausreichend Ausgangsmaterial für einen Deepfake bereit. Opfer sind häufig Frauen; der Missbrauch ist überwiegend sexueller Natur. Bundesjustizministerin Hubig hat dies als „digitale Gewalt“ eingestuft und betont, dass sie „ebenso verheerend“ sein könne wie analoge Übergriffe.
Wer Opfer eines Deepfakes wird, sollte unverzüglich folgende Schritte einleiten:
- Beweissicherung: Rechtssichere Screenshots anfertigen, URL und Metadaten sichern, Zeitstempel dokumentieren.
- Plattformmeldung: Den Inhalt mit konkretem Hinweis auf die Rechtsverletzung melden. Nach der OLG-Frankfurt-Rechtsprechung begründet dies Prüf- und Löschpflichten auch für sinngleiche Inhalte.
- Strafanzeige: Anzeige bei Polizei oder Staatsanwaltschaft erstatten; je nach Fallgestaltung Strafantrag stellen (§§ 185 ff. StGB setzen Strafantrag voraus). Ggf. zusätzlich Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde.
- Einstweiliger Rechtsschutz: Unterlassungsansprüche können im Eilverfahren per einstweiliger Verfügung geltend gemacht werden; bei konkreten wirtschaftlichen Schäden ist Schadensersatzklage zu prüfen.
- DSGVO-Ansprüche: Gegenüber Plattformen und – soweit ermittelbar – dem Urheber bestehen Löschansprüche nach Art. 17 DSGVO sowie Schadensersatzansprüche nach Art. 82 DSGVO. Verstöße gegen die DSGVO können Bußgelder bis zu 20 Millionen Euro auslösen (Art. 83 Abs. 5 DSGVO).
V. Risiken und Handlungsbedarf für Unternehmen
1. CEO Fraud und betriebliche Sicherheit
Für Unternehmen sind Deepfakes längst kein abstraktes Zukunftsszenario mehr. Besonders virulent ist der sog. „CEO Fraud“: Täter klonen die Stimme oder das Video-Bild eines Vorstandsmitglieds oder Geschäftsführers und nutzen diese, um Mitarbeiter – etwa in der Buchhaltung – zu Überweisungen auf Fremdkonten zu veranlassen. Solche Angriffe können innerhalb weniger Minuten zu erheblichen Vermögensschäden führen. Strafrechtlich ist hier § 263 StGB (Betrug) einschlägig; zivilrechtlich haftet der Schädiger auf Schadensersatz.
Unternehmen sind gut beraten, ihre internen Freigabeprozesse für Zahlungen klar zu strukturieren: Ein per Telefon oder Video übermittelter Zahlungsauftrag allein sollte niemals ausreichen. Empfohlen werden Zwei-Kanal-Verfahren (Verifizierung über einen separaten, vorab vereinbarten Kommunikationsweg) sowie technische Schutzmechanismen und regelmäßige Mitarbeiterschulungen zu Social Engineering und Deepfake-Risiken.
2. Arbeitsrechtliche Dimension
Deepfakes können das Arbeitsverhältnis aus mehreren Richtungen belasten.
- Erstens als Angriff auf Mitarbeiter: Wird ein Arbeitnehmer in einem Deepfake gezeigt, das diesen bei vermeintlich illoyalem Verhalten, bei der Preisgabe von Betriebsgeheimnissen oder in einem sexualisierten Kontext darstellt, entstehen erhebliche Schäden für Reputation, Betriebsklima und – im Ernstfall – den Bestand des Beschäftigungsverhältnisses. Betroffene Arbeitnehmer können dann zivilrechtliche Ansprüche gegen den Ersteller geltend machen; der Arbeitgeber haftet seinerseits für eine unberechtigte Kündigung oder Abmahnung, wenn er dem Deepfake irrtümlich Glauben schenkt.
- Zweitens taucht die Deepfake-Problematik im Kontext des betrieblichen Datenschutzes auf: Werden im Unternehmen KI-Tools eingesetzt, die Mitarbeiterbilder oder -stimmen verarbeiten – etwa zu Schulungszwecken, für virtuelle Assistenten oder zur Überwachung –, ist dies mitbestimmungspflichtig (§ 87 Abs. 1 Nr. 6 BetrVG) und bedarf einer datenschutzrechtlichen Rechtsgrundlage. Die Erstellung von Deepfakes unter Verwendung von Mitarbeiterdaten ohne Einwilligung und ohne Rechtsgrundlage stellt eine schwerwiegende DSGVO-Verletzung dar.
- Drittens droht Arbeitgebern Haftung, wenn Mitarbeiter im Dienst Deepfakes erstellen oder verbreiten. Unternehmen sollten daher in ihrer IT-Richtlinie und ggf. einer Betriebsvereinbarung klare Verhaltensregeln zum Umgang mit KI-generierten Inhalten verankern und arbeitsrechtliche Konsequenzen bei Verstößen bestimmen.
3. Prominente und Influencer als Werbefiguren: Vertragliche Absicherung
Werbetreibende Unternehmen, die mit Prominenten oder Influencern kooperieren, sehen sich einer doppelten Deepfake-Gefahr ausgesetzt. Zum einen können Dritte unautorisierte Deepfakes des Testimonials erstellen und damit fälschlicherweise eine Werbebotschaft des Unternehmens mit negativen Auswirkungen auf Markenimage und Verbrauchervertrauen suggerieren. Zum anderen eröffnet die Technologie die Möglichkeit, das Image von Werbefiguren kostengünstig zu skalieren, was ohne klar geregelte Rechtegrundlage schwerwiegende Persönlichkeitsrechtsverletzungen begründet.
Das Recht am eigenen Bild (§§ 22, 23 KUG) und das Recht an der eigenen Stimme schützen Prominente und Influencer vor der unautorisierten Verwendung ihres Erscheinungsbildes zu Werbezwecken. Ein Deepfake-Werbevideo, das den Eindruck erweckt, eine Person unterstütze ein Produkt, stellt eine schwere Persönlichkeitsrechtsverletzung dar, unabhängig davon, ob das Material KI-generiert oder realer Herkunft ist. Für Unternehmen, die werbliche Deepfakes Dritter auf ihren eigenen Plattformen dulden, drohen neben Unterlassungsansprüchen erhebliche Reputationsschäden.
Kooperationsverträge mit Influencern und Markenbotschaftern sollten daher ausdrückliche Regelungen zur Deepfake-Nutzung enthalten: Ist der Einsatz KI-generierter Bildnisse oder Stimmen erlaubt? Unter welchen Bedingungen, für welche Verwendungszwecke und Plattformen? Wer darf das KI-Modell nutzen und über welchen Zeitraum hinaus? Besonders wichtig sind Löschungs- und Deaktivierungsklauseln: Ohne vertragliche Regelung verbleibt ein einmal trainiertes KI-Modell dauerhaft verfügbar. Ebenso ist die Haftungsverteilung zwischen Agentur, Werbetreibendem und Influencer vertraglich zu klären.
VI. Ausblick: Strafverschärfungen im Werden
Die Rechtslage zu Deepfakes ist im März 2026 im Fluss. Auf nationaler Ebene wartet, wie bereits oben erwähnt, der Entwurf eines § 201b StGB auf seine abschließende parlamentarische Beratung. Auf EU-Ebene sehen die Abgeordneten des Europäischen Parlaments Nachschärfungsbedarf bei den Deepfake-Regelungen der KI-Verordnung; Abstimmungen stehen unmittelbar bevor. Die Bundesjustizministerin hat zudem ein digitales Gewaltschutzgesetz angekündigt, das Plattformen zur Täteridentifikation und Account-Sperrung verpflichten und Betroffenen verbesserte Auskunfts- und Löschrechte einräumen soll.
Für Unternehmen bedeutet das: Auch wenn § 201b StGB noch nicht gilt, hat sich das regulatorische Umfeld bereits deutlich verschärft. Die Transparenzpflichten der EU-KI-Verordnung sind in Teilbereichen bereits anwendbar. Die Rechtsprechung – insbesondere des OLG Frankfurt zu Plattformpflichten – setzt neue Standards. Und die gesellschaftliche Sensibilität für das Thema ist nach dem Fall Fernandes/Ulmen auf einem neuen Höchststand.
VII. Zusammenfassung
Deep Fakes sind keine technische Randerscheinung, sondern ein ernstes rechtliches Risiko sowohl für Privatpersonen als auch für Unternehmen und öffentliche Persönlichkeiten. Der Fall Fernandes/Ulmen hat dies mit einer Deutlichkeit illustriert, die vorherige Debatten hinter sich lässt. Betroffene sind gut beraten, schnell und konsequent zu handeln: Beweise sichern, Plattformen melden, strafrechtliche und zivilrechtliche Wege parallel beschreiten.
Für Unternehmen gilt: Deepfake-Risiken sind ein Thema für Compliance, IT-Sicherheit und – insbesondere im Influencer-Marketing – die Vertragsgestaltung. Wer Influencer oder Prominente als Markenbotschafter einsetzt, sollte bestehende Verträge auf Deepfake-Klauseln überprüfen. Wer KI-Tools im Unternehmen nutzt, braucht klare interne Richtlinien und – wo ein Betriebsrat besteht – eine sorgfältig verhandelte Betriebsvereinbarung.
Kontakt:
Jens Borchardt