Deepfakes: Neue Gesetze zwingen Unternehmen zum Handeln

Angesichts einer Welle KI-generierter Betrugsfälle und verschärfter Gesetzespläne müssen deutsche Firmen ihre Compliance sofort überprüfen. Die Politik will bösartige Deepfakes mit bis zu fünf Jahren Haft bestrafen – und macht Geschäftsführer persönlich haftbar.

Deepfake-Angriffe sind in der deutschen Wirtschaft längst Alltag. Eine Studie für 2025 verzeichnete einen Anstieg solcher Vorfälle um dramatische 1100 Prozent. Besonders verbreitet ist der CEO-Fraud: Kriminelle täuschen per gefälschter Audio- oder Videobotschaften eine Anweisung der Geschäftsführung vor und verleiten Mitarbeiter zu hohen Geldüberweisungen. In einem spektakulären Fall erbeuteten Betrüger so 25 Millionen US-Dollar von einem multinationalen Konzern.

Doch die Gefahr geht über direkten Finanzbetrug hinaus. Manipulierte Videos von Führungskräften, die scheinbar Falschaussagen treffen, können sich viral verbreiten. Sie zerstören Kundenvertrauen, schaden der Reputation und können sogar gezielt zur Kursmanipulation eingesetzt werden. Die Frage ist nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann.

Passend zum Thema KI-Regulierung und Deepfake-Risiken: Seit August 2024 gelten neue Regeln, die Betreiber und Anwender von KI-Systemen zu umfangreicher Dokumentation und Risikoklassifizierung verpflichten. Wer Kennzeichnungspflichten und Nachweisdokumente nicht rechtzeitig umsetzt, riskiert Bußgelder und Haftungsfragen. Der kostenlose Umsetzungsleitfaden zur EU-KI-Verordnung erklärt praxisnah, welche Pflichten jetzt auf Unternehmen zukommen – inklusive erster Schritte zur internen Umsetzung. Jetzt kostenlosen KI-Leitfaden herunterladen

Politik schafft neuen Straftatbestand

Als Reaktion auf diese Eskalation treibt die Bundesregierung die Gesetzgebung voran. Kernstück ist ein neuer Paragraf 201b im Strafgesetzbuch (StGB-E), der speziell digitale Persönlichkeitsrechtsverletzungen ahnden soll. Der Gesetzentwurf, eine bayerische Initiative, hat bereits den Bundesrat passiert.

Der neue Tatbestand stellt die Verbreitung täuschend echter, rufschädigender Aufnahmen unter Strafe. In besonders schweren Fällen – etwa bei pornografischen Deepfakes – drohen bis zu fünf Jahre Haft. Für Unternehmen ist die Botschaft klar: Die fahrlässige Verbreitung schädigender Deepfakes kann straf- und zivilrechtliche Folgen haben. Ausnahmen gelten nur für Kunst, Wissenschaft oder Berichterstattung.

Die persönliche Haftung der Geschäftsführung

Aus der neuen Rechtslage und der akuten Bedrohung leiten sich konkrete Pflichten für die Unternehmensleitung ab. Geschäftsführer sind verpflichtet, ein angemessenes Risikomanagement zu etablieren. Wer es versäumt, wirksame Schutzmaßnahmen gegen Deepfake-Betrug einzuführen, handelt fahrlässig. Dies kann als Organisationsverschulden gewertet werden und zu persönlicher Haftung führen.

Was sind die essenziellen Schutzmaßnahmen? Zunächst die Sensibilisierung aller Mitarbeiter für die Gefahren und Erkennungsmerkmale von Deepfakes. Technologisch müssen Unternehmen aufrüsten: KI-basierte Erkennungssoftware kann Manipulationen in Echtzeit identifizieren. Noch wichtiger sind strenge interne Prozesse. Jede ungewöhnliche Zahlungsanweisung muss über einen zweiten, sicheren Kanal verifiziert werden. Mehr-Faktor-Authentifizierung ist dabei kein Nice-to-have, sondern ein Muss.

Der Wettlauf hat gerade erst begonnen

Die geplanten Gesetze sind ein wichtiger Schritt. Juristen kritisieren jedoch, der Entwurf sei zu unbestimmt und könne zu Überkriminalisierung führen. Unabhängig vom finalen Wortlaut ist eines sicher: Die KI-Entwicklung schreitet rasant voran. Fälschungen werden immer perfekter.

Für Compliance-Abteilungen bedeutet das: Die Abwehr von Deepfake-Angriffen muss fester Bestandteil der Risikestrategie werden. Es ist ein Dreiklang aus Technologie, organisatorischen Richtlinien und kontinuierlicher Schulung. Unternehmen, die diesen Trend ignorieren, riskieren mehr als nur Geld. Sie setzen ihre Reputation und die Freiheit ihrer Manager aufs Spiel. Der Wettlauf zwischen krimineller KI und den Abwehrkräften von Wirtschaft und Gesetzgeber hat gerade erst begonnen.

Übrigens: Die Übergangsfristen der EU-KI-Verordnung laufen für viele Unternehmen bald aus. Compliance-Verantwortliche sollten jetzt prüfen, ob ihre KI-Modelle korrekt klassifiziert, dokumentiert und gekennzeichnet sind, um Haftungsrisiken zu vermeiden. Der Gratis-Download „KI-Verordnung kompakt“ fasst Pflichten, Fristen und sofort umsetzbare Maßnahmen zusammen – inklusive Checkliste für Geschäftsführer und Compliance-Teams. Jetzt KI-Umsetzungs-Checkliste gratis sichern