Deepfakes untergraben das Fundament digitaler Kommunikation: Vertrauen. Was echt aussieht und klingt, ist es längst nicht mehr. Für Unternehmen entsteht daraus ein komplexes Geflecht aus Haftungsrisiken, Datenschutzfragen und neuen Betrugsszenarien. Wer die rechtlichen Implikationen nicht versteht, unterschätzt die Tragweite. Deepfakes sind dabei längst kein Randphänomen des Internets mehr, sondern verändern grundlegend, wie Authentizität im digitalen Raum wahrgenommen wird, mit Folgen für Reputation, Datenschutz, Plattformregulierung und Strafverfolgung.
Deepfakes als strukturelle Herausforderung für das Recht
Die Entwicklung generativer künstlicher Intelligenz hat eine neue bislang ungeahnte Qualität von Manipulationsmöglichkeiten hervorgebracht. Deepfakes – verstanden als synthetisch erzeugte oder manipulierte Bild-, Audio- oder Videoinhalte, die reale Personen oder Ereignisse täuschend echt imitieren – stellen nicht lediglich ein weiteres technisches Risiko dar, sondern greifen tief in die Grundannahmen rechtlicher Ordnungssysteme ein.
Beispiele für die praktische Relevanz von Deepfakes finden sich sowohl im politischen als auch im wirtschaftlichen Kontext: Zu nennen sind etwa manipulierte Videos von Wolodymyr Selenskyj, in denen er scheinbar die Kapitulation erklärt, Inhalte, die etwa das Weisse Haus in Flammen zeigen, sowie Audio-Deepfakes im Rahmen von CEO-Fraud, bei denen die Stimme von Führungspersonen imitiert wird, um Zahlungsfreigaben oder vertrauliche Informationen zu erlangen.
Rechtssysteme gehen in zentralen Bereichen davon aus, dass Wahrnehmung und Darstellung grundsätzlich miteinander korrespondieren. Diese implizite Prämisse bildet die Grundlage für Beweisführung, Kommunikation und Vertrauen im Rechtsverkehr. Deepfakes unterlaufen genau diese Annahme, indem sie die Grenze zwischen authentischer und manipulierter Darstellung systematisch verwischen. Rechtlich besonders heikel ist dabei nicht nur ihre technische Qualität, sondern ihr Effekt: Sie entkoppeln Person und Darstellung. Ein Gesicht, eine Stimme oder eine Szene kann echt wirken, ohne echt zu sein. Der eigentliche Schaden liegt deshalb häufig nicht nur im Inhalt selbst, sondern im zerstörten Vertrauen in Wahrnehmung, Kommunikation und den Beweiswert digitaler Medien.
Im Unternehmenskontext entfalten sich daraus besonders gravierende Risiken. Geschäftsprozesse – etwa Zahlungsfreigaben, Vertragsabschlüsse oder interne Weisungen – beruhen regelmässig auf der Authentizität von Kommunikation. Wird diese Authentizität technisch angreifbar, entstehen nicht nur neue Betrugsszenarien, sondern auch erhebliche rechtliche Unsicherheiten. Deepfakes wirken damit als multiplikativer Risikofaktor, der bestehende Schwachstellen in Organisation, Technik und Recht sichtbar macht und verstärkt.
Für Führungspersonen bedeutet dies eine fundamentale Verschiebung der Risikolandschaft: Nicht mehr nur Systeme, sondern Entscheidungsgrundlagen selbst werden angreifbar. Damit verlagert sich das Risiko von der technischen Ebene auf die Ebene unternehmerischer Entscheidungen – mit unmittelbaren Konsequenzen für Governance, Haftung und Organisationspflichten.
Zielsetzung und methodischer Ansatz
Ziel dieses Beitrags ist es, die rechtlichen Implikationen von Deepfakes systematisch zu analysieren und ihre praktische Tragweite für Unternehmen einzuordnen. Im Zentrum steht die Frage, ob und inwieweit die bestehenden rechtlichen Instrumente geeignet sind, die durch Deepfakes entstehenden Risiken zu erfassen und zu bewältigen. Im Unterschied zu rein dogmatischen Betrachtungen erfolgt die Analyse bewusst aus der Perspektive von Entscheidungsträgern: Welche rechtlichen Risiken sind tatsächlich handlungsleitend, und welche Konsequenzen ergeben sich daraus für die Organisation und Steuerung von Unternehmen?
Die Analyse erfolgt entlang der klassischen juristischen Kategorien – Zivilrecht, Datenschutzrecht und Strafrecht – und wird durch einen Blick auf regulatorische Entwicklungen in der Europäischen Union ergänzt. Entscheidend ist dabei nicht nur die abstrakte Darstellung der Normen, sondern deren Anwendung im Wege einer konkreten Subsumtion anhand typischer Deepfake-Szenarien, insbesondere im Unternehmenskontext.
Persönlichkeitsschutz als zentrale Abwehrnorm
Der zivilrechtliche Persönlichkeitsschutz bildet die primäre Abwehrlinie gegen Deepfakes. Gemäss Art. 27 ff. ZGB ist die Persönlichkeit in ihren verschiedenen Ausprägungen geschützt, wozu insbesondere das Recht am eigenen Bild, die Stimme als Ausdruck individueller Identität sowie die soziale und berufliche Reputation zählen.
Deepfakes greifen typischerweise in all diese Schutzgüter gleichzeitig ein. Wird etwa eine Person mittels synthetisch generierter Audio- oder Videoinhalte in einer bestimmten Situation dargestellt oder mit bestimmten Aussagen verknüpft, liegt ein Eingriff in ihre Persönlichkeit vor. Entscheidend ist dabei im Rahmen der Subsumtion nicht die technische Herstellung des Inhalts, sondern dessen Wirkung: Massgeblich ist, ob ein durchschnittlicher Dritter die Darstellung der betroffenen Person zurechnet. Ist dies der Fall, ist der Tatbestand der Persönlichkeitsverletzung regelmässig erfüllt.
Im Rahmen der Subsumtion ist zunächst zu prüfen, ob eine Persönlichkeitsverletzung vorliegt. Dies ist zu bejahen, wenn die betroffene Person erkennbar ist und die Darstellung geeignet ist, ihre soziale Wahrnehmung zu beeinflussen. Gerade dies ist bei Deepfakes regelmässig der Fall, da sie gezielt auf Wiedererkennbarkeit und Authentizität ausgelegt sind.
Die Widerrechtlichkeit wird vermutet, sofern kein Rechtfertigungsgrund vorliegt. In Betracht kommen insbesondere die Einwilligung der betroffenen Person, ein überwiegendes öffentliches Interesse oder eine gesetzliche Grundlage.
Im Unternehmenskontext scheiden diese Rechtfertigungsgründe regelmässig aus. Eine Einwilligung liegt typischerweise nicht vor, da Deepfakes gerade ohne Wissen der betroffenen Person erstellt werden. Ein überwiegendes öffentliches Interesse kann allenfalls bei satirischen oder journalistischen Beiträgen bestehen, setzt jedoch voraus, dass die Fiktionalität für den Durchschnittsadressaten erkennbar bleibt. Genau diese Erkennbarkeit wird durch Deepfakes gezielt unterlaufen.
Die Folge ist, dass Deepfakes in der Regel als widerrechtliche Persönlichkeitsverletzungen zu qualifizieren sind. Daraus ergeben sich Ansprüche auf Unterlassung, Beseitigung, Schadenersatz und gegebenenfalls Genugtuung. Für Unternehmen bedeutet dies, dass sowohl die Erstellung als auch die Verbreitung entsprechender Inhalte erhebliche zivilrechtliche Risiken begründet.
Datenschutzrechtliche Bewertung
Neben dem Persönlichkeitsschutz ist das Datenschutzrecht zentral. Deepfakes setzen regelmässig die Bearbeitung von Personendaten voraus, insbesondere biometrischer Daten wie Gesichtsbilder oder Sprachmuster.
Nach Art. 6 DSG ist eine Datenbearbeitung nur zulässig, wenn sie rechtmässig erfolgt und den Grundsätzen von Treu und Glauben, Verhältnismässigkeit, Zweckbindung und Datenrichtigkeit entspricht. Im Rahmen der Subsumtion zeigt sich, dass Deepfakes diese Grundsätze typischerweise verletzen. Der Grundsatz der Zweckbindung wird missachtet, da Daten für einen völlig anderen Zweck verwendet werden als ursprünglich erhoben. Der Grundsatz der Richtigkeit wird unterlaufen, da objektiv falsche Inhalte erzeugt werden, die als authentisch erscheinen. Auch die Transparenz fehlt regelmässig vollständig.
Nach Art. 30 DSG liegt eine Persönlichkeitsverletzung insbesondere dann vor, wenn Daten ohne Rechtfertigung bearbeitet oder unrichtige Daten verbreitet werden. Selbst wenn Ausgangsdaten ursprünglich rechtmässig erhoben wurden, legitimiert dies nicht deren spätere Verwendung zur Erstellung und Verbreitung manipulativer Inhalte.
Dogmatisch besonders relevant ist der Verstoss gegen den Grundsatz der Datenrichtigkeit: Deepfakes erzeugen bewusst falsche personenbezogene Daten, die als authentisch erscheinen. Damit liegt nicht nur eine unzulässige Bearbeitung, sondern eine qualifizierte Form der Persönlichkeitsverletzung vor.
Für Unternehmen verschärft sich dadurch die Compliance-Anforderung: Es genügt nicht, Daten korrekt zu erheben – vielmehr muss sichergestellt werden, dass diese nicht in manipulative Kontexte überführt werden. Gleichzeitig müssen sie organisatorische und technische Massnahmen implementieren, um entsprechende Risiken zu minimieren.
Strafrechtliche Einordnung
Auch strafrechtlich sind Deepfakes in mehrfacher Hinsicht relevant. Im Vordergrund steht dabei der Tatbestand des Identitätsmissbrauchs nach Art. 179decies StGB.
Im Rahmen der Subsumtion ist zu prüfen, ob eine fremde Identität verwendet wird, um eine Schädigung herbeizuführen oder einen unrechtmässigen Vorteil zu erlangen. Bei Deepfake-basierten Betrugsszenarien – etwa im Rahmen von CEO-Fraud – sind diese Voraussetzungen regelmässig erfüllt. Die synthetische Nachbildung von Stimme oder Erscheinungsbild dient gezielt dazu, Vertrauen zu erzeugen und Vermögensverfügungen auszulösen.
Daneben kommen Ehrverletzungsdelikte in Betracht, wenn durch Deepfakes falsche Tatsachen verbreitet werden, die geeignet sind, den Ruf einer Person zu schädigen. Besonders gravierend sind zudem Fälle von sexualisierten Deepfakes, die unter Art. 197 StGB fallen können.
Die strafrechtliche Relevanz unterstreicht, dass Deepfakes nicht nur ein zivil- oder datenschutzrechtliches Problem darstellen, sondern auch eine klare Dimension strafbarer Handlungen aufweisen.
Regulatorische Divergenz: Schweiz und Europäische Union
Ein Blick auf die regulatorische Entwicklung zeigt deutliche Unterschiede zwischen der Schweiz und der Europäischen Union. Während die Schweiz weiterhin auf technologieneutrale Normen setzt, verfolgt die EU mit dem AI Act einen spezifischen Regulierungsansatz. Dieser sieht unter anderem Kennzeichnungs- und Transparenzpflichten für KI-generierte Inhalte vor. Ziel ist es, die Erkennbarkeit von Deepfakes zu gewährleisten und damit ihre Täuschungswirkung zu reduzieren.
Hinzu kommt eine zweite Regulierungsachse: der Digital Services Act. Dieser ist zwar kein allgemeines «Deepfake-Gesetz», verschiebt aber Verantwortung auf die Plattforminfrastruktur. Wo synthetische oder manipulierte Inhalte massenhaft verbreitet werden und systemische Risiken für Öffentlichkeit, Sicherheit oder demokratische Prozesse entstehen, werden Kennzeichnung, Moderation und Risikomanagement regulatorisch relevant. Für Schweizer Unternehmen sind beide Rechtsakte nur dann relevant, wenn sie in den Anwendungsbereich fallen.
Für die Schweiz gewinnt in diesem Zusammenhang der Vorentwurf zum Bundesgesetz über Kommunikationsplattformen und Suchmaschinen (KomPG) an Bedeutung. Anders als der AI Act schafft er keine allgemeine Deepfake-Kennzeichnungspflicht, reguliert Deepfakes jedoch mittelbar dort, wo sie auf grossen Plattformen als mutmasslich rechtswidrige Inhalte oder als systemisches Risiko auftreten. Praktisch relevant sind insbesondere Meldeverfahren- und Beschwerdeverfahren für mutmasslich rechtswidrige Inhalte, Transparenzpflichten sowie die Pflicht zur jährlichen Risikobewertung systemischer Risiken. Gerade für verleumderische, herabsetzende, bedrohende oder anderweitig rechtsverletzende Deepfakes kann dies erhebliche Bedeutung gewinnen. Es bleibt abzuwarten, ob der Gesetzgeber angesichts der rasanten Verbreitung von Deepfakes die regulatorischen Schrauben hier nochmals anzieht.
Unternehmensrisiken und Organisationspflichten
Deepfakes sind nicht nur ein externes Risiko, sondern legen interne Schwächen offen. Unternehmen sind verpflichtet, angemessene organisatorische und technische Massnahmen zu treffen, um Missbrauch zu verhindern. Das betrifft zwar vornehmlich die IT-Infrastruktur; der Faktor «Mensch» ist jedoch ein Knackpunkt. Jede noch so gut funktionierende Sicherheitsschranke in den IT-Anwendungen versagt, wenn ein Mitarbeiter nicht erkennt, dass ein Deepfake vorliegt. Deepfakes sind daher kein isoliertes IT-Risiko. Rechtlich entscheidend ist vielmehr, dass sie Organisationspflichten auslösen. Unternehmen müssen sich fragen lassen, ob sie angemessene Massnahmen zur Verhinderung solcher Risiken getroffen haben. Hier greift Art. 716a OR: Die Geschäftsleitung ist verpflichtet, ein angemessenes Risikomanagement sicherzustellen. Deepfakes sind mittlerweile ein solches Risiko. Unterlassen sie dies, kann ein Organisationsverschulden vorliegen. Dies betrifft insbesondere die Sorgfaltspflichten der Geschäftsleitung, die für eine angemessene Risikosteuerung verantwortlich ist.
Einordnung im Kontext von KI-Content
Wie bereits in unserem HÄRTING Beitrag: Künstlich, aber nicht straflos: Das unterschätzte Risiko von KI-Content gezeigt, ist KI-Content rechtlich keineswegs neutral. Deepfakes stellen insoweit eine besonders risikobehaftete Ausprägung dieses Phänomens dar. Die zentrale Erkenntnis muss daher sein: KI-Risiken sind nicht isoliert zu betrachten, sondern Teil eines systemischen Risikofeldes. Deepfakes sind lediglich dessen sichtbarste Ausprägung.
Handlungsempfehlungen
Vor diesem Hintergrund ist Prävention von zentraler Bedeutung. Unternehmen sollten ihre Authentifizierungsprozesse überdenken und insbesondere auf mehrstufige Verifikationsmechanismen setzen. Darüber hinaus ist die Sensibilisierung von Mitarbeitenden entscheidend, um typische Angriffsmuster zu erkennen. Ebenso wichtig ist die Etablierung klarer Incident-Response-Strukturen, die im Ernstfall eine schnelle und koordinierte Reaktion ermöglichen.
Fazit
Deepfakes stellen eine fundamentale Herausforderung für das Recht und die Unternehmenspraxis dar. Sie untergraben die Grundlage digitaler Kommunikation und schaffen neue Risiken, die mit bestehenden Instrumenten nur teilweise erfasst werden. Die zentrale Herausforderung liegt nicht in der Technologie selbst, sondern in der Fähigkeit von Unternehmen, deren Auswirkungen rechtlich und organisatorisch zu beherrschen. Für die Geschäftsleitung bedeutet dies: Wer Deepfake-Risiken nicht aktiv steuert, verletzt unter Umständen bereits heute seine Organisationspflichten.
Quellen
- HÄRTING Beitrag: Künstlich, aber nicht straflos: Das unterschätzte Risiko von KI-Content
- Bundesgesetz betreffend die Ergänzung des Schweizerischen Zivilgesetzbuches (Fünfter Teil: Obligationenrecht)
- Bundesgesetz über den Datenschutz (DSG)
- Vorentwurf Bundesgesetz über Kommunikationsplattformen und Suchmaschinen (KomPG)