Am 23. Februar 2026 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zusammen mit 60 weiteren nationalen Datenschutzbehörden eine gemeinsame Erklärung zu KI-generierten Bildern und zum Schutz der Privatsphäre veröffentlicht. Die Datenschutzbehörden formulieren darin ihre wichtigsten Erwartungen und Grundsätze für alle Organisationen, die KI-Systeme zur Generierung von Inhalten entwickeln und nutzen. Dies beinhalten insbesondere robuste Schutzmassnahmen gegen Missbrauch, Transparenzvorgaben, effektive und zugängliche Löschungsmechanismen und einen spezifischen Kindesschutz.
Ausgangslage
KI-basierte Systeme zur Generierung von Bildern und Videos sind heute allgemein zugänglich, oft kostenlos oder in bestehende Plattformen integriert. Was früher erhebliche technische Kenntnisse voraussetzte, lässt sich heute mit wenigen Eingaben in hoher Qualität erzeugen. Dadurch können realitätsnahe Darstellungen mit geringem Aufwand erstellt werden. Datenschutz- und Urheberrechtlich relevant wird dies insbesondere dann, wenn identifizierbare Personen abgebildet oder nachgebildet werden.
Die möglichen Auswirkungen für Betroffene sind vielfältig. Neben Persönlichkeits- und Reputationsverletzungen stehen Missbrauchsszenarien wie Belästigung, Drohung, Erpressung, Cybermobbing sowie nicht einvernehmliche intime Darstellungen im Raum. Bei Minderjährigen ist die Risikolage besonders ausgeprägt. Praktisch bedeutsam ist zudem, dass der Schaden regelmässig nicht mit der Erstellung endet: Verbreitung, erneutes Hochladen und die schwierige nachhaltige Entfernung können die Beeinträchtigung verstärken und verlängern.
Regulatorisch ist vieles in Bewegung. Für Organisationen in der Schweiz gilt jedoch bereits heute: Wo Personendaten betroffen sind, greift das Schweizer Datenschutzgesetz (SR 235.1), wie der EDÖB bereit im Mai 2025 festhielt. Hersteller, Anbieter und Verwender trifft damit schon bei Entwicklung und Einsatz von KI-Systemen die Pflicht, die Privatsphäre von betroffenen Personen zu schützen.
Die gemeinsame Erklärung der nationalen Datenschutzbehörden schärft diesen Grundsatz für den konkreten Risikobereich der Bildgenerierung mit KI: Sobald Systeme auf reale, identifizierbare Personen zielen oder diese abbilden können, wird Datenschutz-Compliance Pflicht.
Die gemeinsame Erklärung der Datenschutzbehörden
Die Erklärung vom 23. Februar 2026 wurde durch die International Enforcement Cooperation Working Group (IEWG) der Global Privacy Assembly (GPA) koordiniert.
Die Erklärung ist ausdrücklich als Antwort auf ernsthafte Bedenken von nationalen Datenschutzbehörden formuliert: Gemeint sind KI-Systeme, die realistische Bilder und Videos erzeugen können, welche identifizierbare Personen zeigen, obwohl diese davon nichts wissen und nicht zugestimmt haben, sogenannte Deepfakes, Fakenews etc.
Die Unterzeichnenden stellen dabei nicht die generative KI als solche infrage – sie anerkennen sogar die Vorteile von KI-Systemen, knüpfen aber an eine sehr konkrete Entwicklung an: Die Integration von Bild- und Videogenerierung in einfach und breit verfügbaren Plattformen habe die Erstellung bestimmter Missbrauchsformen deutlich erleichtert und erhöht die Risiken für Kinder und Jugendliche.
Bemerkenswert ist der Adressatenkreis: Die Behörden erinnern alle Organisationen, die KI nutzen oder entwickeln an die Pflicht, solche Systeme im Rahmen der anwendbaren Gesetze zu entwickeln und zu nutzen.
Erwartungen an Organisationen
Während spezifische gesetzliche Regelungen von Land zu Land variieren, nennt die gemeinsame Erklärung der Datenschutzbehörden vier allgemeine Grundsätze, die Organisationen in der Entwicklung und Nutzung von KI leiten sollen. In der Schweiz fallen diese Grundsätze keineswegs in einen rechtsfreien Raum: Die Grundsätze lassen sich gut mit den zentralen Pflichten des DSG verknüpfen.
1) Robuste Schutzmassnahmen gegen Missbrauch
Im ersten Punkt wird von Organisationen erwartet, wirksame Schutzvorkehrungen zu implementieren, um den Missbrauch von Personendaten und die Erzeugung von nicht einvernehmlichen und intimen Inhalten zu verhindern, insbesondere wenn Kinder und Jugendliche betroffen sind.
Im Schweizer Datenschutzgesetz ist dieser Grundsatz bereits in Art. 7 DSG normiert: Der für die Datenbearbeitung Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden. Die verantwortliche Stelle muss dies bereits ab der Planung berücksichtigen. Diese technischen und organisatorischen Massnahmen müssen dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.
In der Praxis bedeutet das weniger Symbolmassnahmen, sondern ein klares Schutzkonzept: Missbrauchsszenarien gehören ins Produkt- und Risikomanagement. Ebenso zentral sind klare Verantwortlichkeiten und ein belastbares Incident-Handling. Wo die Risiken hoch sind, beispielsweise bei realistischen Darstellungen identifizierbarer Personen oder bei kinderbezogenen Szenarien, wird zudem schnell die Frage einer Datenschutz-Folgenabschätzung nach Art. 22 DSG relevant.
2) Transparenz
Gefordert wird ausserdem eine aussagekräftige Transparenz über die Fähigkeiten des Systems, vorhandene Schutzmassnahmen, zulässige Nutzungen und die Konsequenzen von Missbrauch. Nutzerinnen und Nutzer sollen realistisch einschätzen können, was das System kann, wo Grenzen gezogen sind und was bei Verstössen passiert.
Im Schweizer Datenschutzgesetz lässt sich dieser Grundsatz vor allem über den Grundsatz der Transparenz subsumieren, sowie über die Informationspflichten nach Art. 19 DSG: Wer Personendaten bearbeitet, muss in verständlicher Form offenlegen, was für die betroffenen Personen relevant ist, damit sie ihre Rechte wahrnehmen können. Im Rahmen der Informationspflichten haben die betroffenen Personen ein Auskunftsrecht nach Art. 25 DSG, nach dem ihr verschiedene Informationen offengelegt werden.
3) Effektive und zugängliche Löschungsmechanismen
Nach dem dritten Grundsatz sollen Betroffene einfach die Entfernung schädlicher Inhalte verlangen können. Organisationen sollten rasch und effizient auf solche Ersuchen reagieren.
Betroffene müssen in der Lage sein, ihre Rechte effektiv geltend zu machen, zum Beispiel über das Auskunftsrecht (Art. 25 DSG), das Transparenz über die Bearbeitung schafft und häufig der erste Schritt ist, um überhaupt gezielt vorgehen zu können.
Eine Löschung kann nach dem Schweizer Datenschutzgesetz nach einer Geltendmachung einer Persönlichkeitsverletzung nach Art. 30 ff. DSG erlangt werden.
4) Spezifischer Kinderschutz
Die Erklärung verlangt zuletzt, spezifische Risiken für Kinder durch erhöhte Schutzmassnahmen zu adressieren und altersgerechte Informationen für Kinder, Erziehungsberechtigte und Lehrpersonen bereitzustellen.
Auch wenn das DSG keine eigene «Kinder-Sondernorm» enthält, folgt aus seinem risikobasierten Ansatz ein praktischer Standard: Wo Minderjährige betroffen sind, wird ein hohes Risiko für die betroffene Person vorliegen. Je kinder- bzw. jugendnäher ein Dienst ist (oder je leichter er von Minderjährigen genutzt werden kann), desto eher sollten Schutzstandards standardmässig höher angesetzt werden.
Fazit
Die gemeinsame Erklärung vom 23. Februar 2026 setzt klare Leitplanken: KI-generierte Bilder und Videos sind aus Sicht der Datenschutzbehörden ein Bereich mit erheblichem Missbrauchspotenzial, besonders zulasten von Kindern und anderen vulnerablen Gruppen. Erwartet werden deshalb nicht vage Absichtserklärungen, sondern konkrete Vorkehrungen: Schutzmassnahmen gegen Missbrauch, nachvollziehbare Transparenz, schnelle und zugängliche Entfernungsprozesse sowie ein ausdrücklich verstärkter Kinderschutz.
Für Schweizer Organisationen ist die Einordnung klar: Sobald KI-Inhalte identifizierbare Personen betreffen, ist das Datenschutzrecht einschlägig – und die in der Erklärung genannten Leitplanken lassen sich direkt mit den Pflichten des DSG verknüpfen. Wer generative Systeme entwickelt oder einsetzt, sollte diese Erwartungen als Mindeststandard verstehen.
Quellen
- Mitteilung des EDÖB vom 23. Februar 2026: Gemeinsame Erklärung zu KI-generierten Inhalten
- Mitteilung des EDÖB vom 08. Mai 2025: Update – Geltendes Datenschutzgesetz ist auf KI direkt anwendbar
- Deepfakes – Neue rechtliche Herausforderungen aufgrund technologischen Fortschritts
- Social Bots, „Fake News“ und „Hate Speech“ – Eine Gefahr für den Meinungsbildungsprozess in den sozialen Netzwerken