Deepfakes & KI-Bilder: Risiken, Regulierung und Praxisleitfaden für Unternehmen

Aug 25 / Kai Hermsen



Deepfakes & KI-Bilder: kompakter Praxisleitfaden für Unternehmen

Dieser Artikel trennt KI-Kunst von Deepfakes, erklärt die EU-Kennzeichnungspflicht ab 2. August 2026 und zeigt, wie Teams Risiken minimieren und KI sicher einsetzen – pragmatisch und rechtssicher.

✅ Was gilt als Deepfake (3 Kriterien)
✅ Hauptrisiken: Reputation, CEO-Fraud/Phishing, öffentliche Kommunikation
✅ Ab 2026: Kennzeichnung, Ausnahmen & Grauzonen auf einen Blick
✅ Vorgehen: Erkennungstools, Richtlinien, Schulungen & klare Workflows
Die digitale Welt hat einen Punkt erreicht, an dem die Grenzen zwischen Realität und Fiktion immer stärker verschwimmen. KI-gestützte Tools wie Midjourney, DALL·E oder Stable Diffusion generieren täglich Millionen von Bildern und eröffnen damit neue kreative Möglichkeiten. Gleichzeitig steigt jedoch das Risiko, dass dieselben Technologien missbraucht werden, um täuschend echte Inhalte zu erzeugen, die gar nicht real sind.

Diese sogenannten Deepfakes sind längst keine Spielerei mehr. Sie können das Vertrauen in Marken, Institutionen und Personen innerhalb kürzester Zeit zerstören. Für Unternehmen stellt sich daher nicht nur die Frage, wie sie KI sinnvoll nutzen können, sondern auch, wie sie Risiken durch Deepfakes minimieren und rechtliche Vorgaben einhalten.

Was ein Deepfake ist – und was nicht

Nicht jedes KI-Bild ist automatisch ein Deepfake. Entscheidend sind drei Kriterien:
  • Die Erzeugung oder Manipulation durch KI
  • Eine merkliche Ähnlichkeit zu realen Personen, Orten oder Ereignissen
  • Ein Täuschungspotenzial, das dazu führt, dass der Inhalt fälschlicherweise als echt wahrgenommen werden könnte

Ein künstlerisch erzeugtes Portrait einer fiktiven Person fällt nicht darunter. Ein manipuliertes Video, das einen Politiker in einer Rede zeigt, die er nie gehalten hat, sehr wohl. Damit wird klar: Deepfakes sind nicht einfach ein Synonym für KI-generierte Inhalte, sondern eine eigene Kategorie, die besonders kritisch ist.

Warum Deepfakes so gefährlich sind

Die Gefahren durch Deepfakes betreffen mehrere Ebenen. Auf der Reputationsseite können Unternehmen erheblichen Schaden erleiden, wenn manipulierte Inhalte über ihre Führungskräfte oder Marken viral gehen. Im Bereich Wirtschaftskriminalität kommen Deepfakes zunehmend bei CEO-Fraud oder Phishing-Angriffen zum Einsatz – hier genügen schon gefälschte Videokonferenzen oder Sprachnachrichten, um Millionen zu bewegen.

Auf gesellschaftlicher Ebene bedrohen sie das Vertrauen in öffentliche Kommunikation und Medien, etwa durch gefälschte Zeugenvideos oder Fake News in Wahlkämpfen. Besonders problematisch: Die Einstiegshürden sind heute sehr niedrig. Während früher teure Rechenleistung erforderlich war, reichen heute günstige Tools und ein Laptop aus, um täuschend echte Fälschungen zu erstellen.

Rechtliche Rahmenbedingungen: Was ab 2026 gilt

Die EU hat mit dem AI Act erstmals klare Regeln für den Umgang mit Deepfakes geschaffen. Ab dem 2. August 2026 gilt in der Europäischen Union eine verbindliche Kennzeichnungspflicht. Sie betrifft alle Inhalte, die durch KI erzeugt oder manipuliert wurden und eine täuschende Ähnlichkeit zu realen Personen, Orten oder Ereignissen aufweisen. Konkret heißt das:

  • Kennzeichnungspflichtig sind Deepfakes realer Personen, manipulierter Videos echter Ereignisse, Audio-Deepfakes mit imitierten Stimmen sowie täuschend echte Darstellungen realer Orte.
  • Nicht kennzeichnungspflichtig sind Fantasy-Illustrationen, abstrakte Kunst, Produktvisualisierungen ohne Realitätsbezug und kreative Grafiken, die klar als Kunst erkennbar sind.
  • In einer Grauzone bewegen sich hyperrealistische Architektur-Visualisierungen oder realistisch aussehende, aber erfundene Personen. Hier entscheidet oft der Kontext.

Es gibt zudem Ausnahmen. Private Nutzung fällt nicht unter die Pflicht, und auch wenn Journalistinnen oder Redaktionen Inhalte redaktionell überarbeiten und die Verantwortung übernehmen, entfällt die Kennzeichnung. Für Texte gelten gesonderte Regeln, bei denen nur Inhalte mit öffentlichem Informationsinteresse betroffen sind. Verstöße gegen die neuen Pflichten können empfindliche Bußgelder, Abmahnungen nach Wettbewerbsrecht sowie Schadensersatzforderungen nach sich ziehen.

Wie Deepfakes erkannt werden können

 Trotz der rasanten technischen Entwicklung gibt es noch immer Hinweise, die auf Deepfakes schließen lassen. Typische visuelle Indizien sind unnatürliche Hand- und Fingerhaltungen, inkonsistente Schatten oder Spiegelungen in den Augen, sowie übermäßig symmetrische Gesichter, die fast zu perfekt wirken.

Technisch unterstützen können KI-Detektoren wie „AI or Not“ oder „Hive Moderation“, die Wahrscheinlichkeiten berechnen. Auch Metadatenanalysen können auf Bearbeitungsspuren hinweisen. Dennoch bleibt die menschliche Bewertung unverzichtbar, insbesondere in Grauzonen.

Der Fahrplan für Unternehmen

 Die größte Herausforderung liegt nicht in der Kennzeichnung selbst, sondern in der richtigen Identifikation: Was ist wirklich kennzeichnungspflichtig und was nicht? Wer hier über- oder untertreibt, riskiert entweder Bußgelder und Reputationsschäden oder verschwendet unnötig Ressourcen. Ein strukturierter Fahrplan für Unternehmen bis 2026 umfasst daher vier Stufen:

2024/25: Grundlagen schaffen
  • Übersicht aller KI-Inhalte im Unternehmen erstellen
  • Erste interne Richtlinien entwickeln
  • Externe Beratung zu Governance und Compliance einholen

2025: Umsetzung vorbereiten
  • Tools zur Deepfake-Erkennung testen und implementieren
  • Mitarbeitende schulen und Sensibilisierungskampagnen starten
  • Workflows für Verdachtsfälle aufsetzen, inklusive manueller Prüfung

Erste Jahreshälfte 2026: Generalprobe
  • Pilotprojekte durchführen, in denen Inhalte testweise gekennzeichnet werden
  • Feedbackrunden mit Teams durchführen
  • Reporting- und Monitoringstrukturen etablieren

Ab August 2026: Operative Phase
  • Pflichtkennzeichnung für alle relevanten Inhalte einführen
  • Prozesse regelmäßig überprüfen und anpassen
  • Kontinuierliches Monitoring betreiben, um neue Risiken rechtzeitig zu erkennen

Kosten-Nutzen-Betrachtung

Die Einführung solcher Strukturen kostet Geld, aber die Rechnung ist eindeutig. Einmalige Richtlinienentwicklung schlägt mit 5.000 bis 15.000 Euro zu Buche, Schulungen liegen zwischen 2.000 und 8.000 Euro, Tools kosten jährlich zwischen 1.000 und 5.000 Euro, und Prozessanpassungen liegen im mittleren vierstelligen Bereich.

Dem gegenüber stehen potenzielle Schäden, die bei Rechtsstreitigkeiten schnell sechsstellige Summen erreichen können, ganz zu schweigen von nicht quantifizierbaren Reputationsverlusten. Prävention ist also deutlich günstiger und zugleich ein Wettbewerbsvorteil.

Fazit

Deepfakes sind mehr als eine technische Spielerei. Sie stellen ein reales Risiko für Unternehmen, Institutionen und die Gesellschaft dar. Nicht jedes KI-Bild ist ein Deepfake, aber jedes Deepfake birgt erhebliches Schadenspotenzial. Ab 2026 müssen Unternehmen in der EU in der Lage sein, täuschend echte Inhalte zuverlässig zu erkennen und korrekt zu kennzeichnen.

Wer schon jetzt damit beginnt, Prozesse, Richtlinien und Schulungen aufzubauen, erspart sich später nicht nur hohe Kosten, sondern positioniert sich als vertrauenswürdiger Akteur in einer zunehmend skeptischen digitalen Welt.

Der entscheidende Punkt dabei ist Präzision: Nicht alles kennzeichnen, sondern gezielt und fundiert zwischen harmloser KI-Kunst und gefährlichen Deepfakes unterscheiden. Unternehmen, die diese Fähigkeit beherrschen, kombinieren rechtliche Sicherheit mit einem klaren Vertrauensvorsprung.