Die EU macht Ernst mit dem Deepfake-Verbot sexueller Inhalte. Der AI Act bekommt ein hartes Verbotsregime für nicht-einvernehmliche synthetische Intimdarstellungen, der Digital Services Act zwingt Plattformen zur Löschung – und wer als Anbieter oder Provider nicht mitzieht, riskiert Bußgelder bis zu sechs Prozent seines weltweiten Jahresumsatzes. Was konkret gilt, was noch kommt und wo die Regulierung noch kneift.
Nicht-einvernehmliche sexuelle Deepfakes sind kein Nischenphänomen mehr. Technische Hürden, die vor fünf Jahren noch Spezialisten vorbehalten waren, sind längst weggefallen. Jede Person mit einem Smartphone-Foto als Ausgangsmaterial kann heute mit handelsüblichen KI-Anwendungen täuschend echte sexuelle Inhalte von realen Menschen erzeugen – ohne deren Wissen, ohne deren Einwilligung. Das Ergebnis: Rufschädigung, psychische Gewalt, mitunter handfeste berufliche Konsequenzen für die Betroffenen.
Die EU hat das Problem lange regulatorisch umkreist. DSGVO, Recht am eigenen Bild, allgemeines Persönlichkeitsrecht – das waren die verfügbaren Hebel, und sie greifen zu kurz. Jetzt zieht Brüssel mit zwei Instrumenten nach: dem AI Act, der bestimmte KI-Anwendungen direkt verbietet, und dem Digital Services Act, der Plattformen als Durchsetzer in die Pflicht nimmt. Beide Instrumente zusammen ergeben erstmals ein kohärentes Enforcement-Regime. Erstmals – nicht vollständig, aber erkennbar kohärenter als bisher.
Meine Einschätzung: Die Richtung stimmt. Was fehlt, ist Tempo. Denn während Brüssel noch über Inkrafttretensdaten debattiert, wächst das Angebot an Deepfake-Porno-Generatoren täglich.
Vertreter von EU-Parlament und Rat haben sich politisch darauf verständigt, den AI Act um ein explizites Verbot bestimmter KI-Anwendungen zu erweitern. Ziel sind vor allem KI-Systeme zur Erstellung nicht-einvernehmlicher sexueller oder intimer Deepfakes – also Anwendungen, die täuschend echte pornografische oder sexualisierte Darstellungen realer Personen ohne deren Zustimmung erzeugen.
Diese Anwendungen werden den geplanten Verbotskategorien des AI Act zugeordnet – der schärfsten Kategorie des Regelwerks. Anbieter, die solche Systeme in der EU in Verkehr bringen oder betreiben, riskieren Sanktionen, die sich an anderen AI-Act-Verstößen orientieren. Diskutiert wurden Bußgelder bis zu sechs Prozent des weltweiten Jahresumsatzes. Die formale Bestätigung durch das EU-Parlament und den Rat steht noch aus, gilt in der politischen Berichterstattung aber als gesichert.
Ebenfalls erfasst: KI-generierte Darstellungen sexuellen Kindesmissbrauchs. Hier ist der Schutzbedarf unbestritten und der regulatorische Konsens entsprechend breit. Relevant ist auch die geplante Ausdehnung auf alle nicht-einvernehmlichen intimen Inhalte, nicht nur auf explizit pornografische Darstellungen. Diskutiert wird in Brüssel ausdrücklich, ob auch erotisch oder sexualisierend inszenierte „Bikini-Bilder“ einbezogen werden sollen, wenn sie auf Herabwürdigung abzielen.
Der Zeitplan ist nüchtern: Anvisiertes Inkrafttreten der neuen Verbotsregeln ist Dezember 2026, mit Übergangsfristen bis 2027. Wer heute glaubt, erste Bußgelder nach diesem neuen AI-Act-Deepfake-Verbot seien bereits verhängt worden, irrt. Das Verbot ist noch nicht in Kraft. Entsprechende Sanktionen liegen derzeit nicht vor.
Auf nationaler Ebene läuft parallel eine Strafrechtsreform. Die Bundeszentrale für politische Bildung hat die Rechtslage 2024 analysiert: Wer eine computertechnisch hergestellte oder veränderte, wirklichkeitsgetreu wirkende Aufnahme verbreitet und dadurch das Persönlichkeitsrecht einer anderen Person verletzt, soll mit Freiheitsstrafe bis zu zwei Jahren bestraft werden. Bei öffentlicher Verbreitung oder besonders schwerwiegenden Eingriffen in den höchstpersönlichen Lebensbereich drohen bis zu fünf Jahre.
Das klingt nach einer klaren Ansage – und ist es auch. Dennoch bleibt ein Grundproblem: Die bisherige Rechtslage ließ viele Fälle nicht-einvernehmlicher Deepfake-Pornografie ins Leere laufen. Insbesondere wenn keine eindeutige Nacktheit oder kein expliziter Sexualakt dargestellt wurde, war strafrechtliche Verfolgung über allgemeine Persönlichkeits- oder Bildrechte schwierig. Die Reform schließt diese Lücken – sie kriminalisiert das Phänomen nicht erst, sie verschärft und präzisiert die Instrumente.
Das unterscheidet sich wesentlich von der öffentlichen Wahrnehmung. Deepfake-Pornografie war in Deutschland nie vollständig legal. Auch ohne Spezialregelungen boten Persönlichkeitsrecht, Recht am eigenen Bild und in extremen Fällen Strafnormen zu Stalking oder Beleidigung Angriffspunkte. Die Neuregelungen machen den Weg zur Strafanzeige direkter und rechtssicherer.
Das eigentliche Enforcement-Rückgrat ist nicht der AI Act, sondern der Digital Services Act. Er greift schon heute – und er betrifft alle relevanten Plattformen, auf denen nicht-einvernehmliche sexuelle Deepfakes verbreitet werden.
Der DSA verpflichtet Online-Plattformen, illegale Inhalte nach Kenntnisnahme unverzüglich zu entfernen oder zu sperren. Das betrifft ausdrücklich auch Deepfake-Pornografie, sobald diese als rechtswidrig eingestuft wurde. Konkret bedeutet das: Plattformen müssen ein funktionierendes Notice-and-Takedown-Verfahren bereitstellen, über das Betroffene rechtswidrige Inhalte EU-weit einheitlich melden können. Die Analyse der Bundeszentrale für politische Bildung zu Deepfake-Pornografie macht deutlich, wie komplex das Zusammenspiel dieser Instrumente ist.
Hinzu kommen Transparenzpflichten: Plattformen müssen offenlegen, welche Moderationsregeln gelten, wie sie durchgesetzt werden und wie viele Inhalte gelöscht oder gesperrt wurden. Der Aufbau einer öffentlichen Datenbank über Sperrungen und Löschungen ist vorgeschrieben – inklusive der Begründungen. Das klingt bürokratisch, ist aber regulatorisch sinnvoll: Systematisches Overblocking und willkürliche Löschentscheidungen werden so sichtbarer und angreifbarer.
Upload-Filter sind im DSA ausdrücklich nicht als generelle Pflicht verankert. Plattformen dürfen sie freiwillig einsetzen, sofern sie Nutzer darüber informieren. Eine verpflichtende Vorabprüfung aller Inhalte auf Rechtmäßigkeit schreibt der DSA nicht vor. Das ist eine bewusste Designentscheidung – Upload-Filter der ersten Generation erzeugen Overblocking, treffen politische Satire oder Medizinvideos und schaffen keine Rechtssicherheit, weil ihre Trefferquote bei neuartigen synthetischen Inhalten gegen null tendiert.
Die Haftungsfrage ist komplex, aber nicht unauflösbar. Strafrechtlich steht zuerst der Ersteller und Verbreiter des Deepfakes im Fokus. Plattformen haften im Rahmen des DSA, wenn sie gemeldete offensichtlich illegale Inhalte nicht zügig entfernen. KI-Anbieter riskieren nach Inkrafttreten des AI-Act-Verbots Bußgelder, wenn sie verbotene Systeme in der EU anbieten oder betreiben.
Für systematische Verstöße großer Plattformen gegen DSA-Pflichten sind Bußgelder bis zu sechs Prozent des weltweiten Jahresumsatzes vorgesehen. Das ist für Konzerne wie Meta oder Google keine Kleinigkeit. Für Plattformen, die ihren Betrieb bewusst auf sexuelle Inhalte ausrichten und Meldewege absichtlich intransparent gestalten, wird dieser Hebel zum echten Risikofaktor. Der Digital Services Act und seine Auswirkungen auf Online-Plattformen – auch auf solche, die explizite Inhalte anbieten – werden auf EU-Ebene bereits konkret verhandelt, wie frühere Verfahren gegen Anbieter im Kontext des Jugendschutzes zeigen.
Konkrete, öffentlich dokumentierte erste Bußgelder speziell wegen nicht-einvernehmlicher sexueller Deepfakes nach dem neuen AI-Act-Regime gibt es derzeit nicht. Das neue Verbot ist schlicht noch nicht in Kraft. Wer das Gegenteil behauptet, bedient Schlagzeilen, keine Fakten. DSA- oder DSGVO-Verfahren laufen – aber keines ist bisher explizit auf das Deepfake-Tool-Verbot des AI Act gestützt worden.
Wer bereits heute Opfer eines nicht-einvernehmlichen sexuellen Deepfakes ist, muss nicht auf 2026 warten. Die Handlungswege existieren – sie sind nur fragmentiert und verlangen Eigeninitiative.
Schritt eins: Meldung und Löschantrag direkt bei der Plattform über das Notice-and-Takedown-Verfahren. Unter dem DSA sind Plattformen verpflichtet, solche Meldungen ernst zu nehmen und zügig zu reagieren. Eine klare, dokumentierte Meldung mit Nachweis der eigenen Identität und des rechtswidrigen Inhalts erhöht die Erfolgschancen erheblich.
Schritt zwei: Strafanzeige bei der zuständigen Staatsanwaltschaft. In Deutschland greifen je nach Sachverhalt Persönlichkeitsrechtsparagrafen, die spezialisierten Deepfake-Bestimmungen in Vorbereitung sowie allgemeine Straftatbestände. Screenshots und Metadaten sollten vor der Meldung gesichert werden – Plattformen löschen schnell, Beweismittel verschwinden mit dem Inhalt.
Schritt drei: Zivilrechtliche Ansprüche prüfen. Löschung, Unterlassung und Schadensersatz sind grundsätzlich möglich. Anwaltliche Beratung ist in diesen Fällen keine Option, sondern Notwendigkeit – die rechtlichen Grundlagen variieren je nach dargestelltem Inhalt, Verbreitungskanal und Täteridentität erheblich.
Und für Unternehmen, die KI-Dienste anbieten? Die Analyse des Fraunhofer-Instituts zur EU-Deepfake-Regulierung macht deutlich: Die Regulierung wird nicht warten, bis die Technologie einfacher zu erkennen ist. Anbieter, die heute noch Tools mit einem offensichtlichen Missbrauchspotenzial für sexuelle Deepfakes betreiben, spielen auf Zeit – und das Zeitfenster schließt sich.
Ein ehrlicher Blick zeigt: Das EU-Regime ist besser als sein Ruf, aber löchriger als sein Anspruch. Die Fragmentierung ist das Kernproblem. DSGVO, Digital Services Act, AI Act, nationale Strafgesetze – diese Instrumente überlappen sich, widersprechen sich gelegentlich und lassen je nach Sachverhalt Lücken.
Das Fraunhofer-Institut hat diese Fragmentierung präzise beschrieben: Die EU reguliert traditionell weniger die Form „Deepfake“ als solche, sondern die jeweiligen Inhalte – Kindesmissbrauch, Terrorpropaganda, Datenschutzverstöße. Deepfakes werden in diese bestehenden Kategorien eingehängt. Das schafft Rechtssicherheit in klaren Fällen, versagt aber bei Graubereichen: nicht-explizite Sexualisierung, KI-generierte Hybrididentitäten, oder Deepfakes, die zwar keine reale Person exakt abbilden, aber erkennbar auf eine bestimmte Person abzielen.
Hinzu kommt das Erkennungsproblem. Erkennungstechnologien für synthetische Inhalte verbessern sich, aber der technologische Wettkampf bleibt unentschieden. Bessere Generatoren erzeugen Inhalte, die heutige Detektoren nicht zuverlässig identifizieren können. Regulierung, die auf technische Erkennung angewiesen ist, hat hier ein strukturelles Problem. Ohne Kooperation der Anbieter – und das ist meine zweite klare Meinung in diesem Text – bleibt Enforcement Stückwerk. Freiwillige Compliance ist kein Geschäftsmodell für Anbieter, die von nicht-einvernehmlichen Inhalten profitieren.
Das Deepfake-Verbot sexueller Inhalte ist ein europäisches Projekt – aber das Problem ist global. Anbieter, die ihren Sitz außerhalb der EU haben, können ihre Dienste trotzdem auf europäische Nutzerinnen und Nutzer ausrichten. Der AI Act und der DSA beanspruchen zwar extraterritoriale Wirkung, sofern ein Dienst auf den EU-Markt abzielt. Die praktische Durchsetzung gegenüber Anbietern ohne EU-Niederlassung bleibt jedoch eine der größten Schwachstellen des gesamten Regimes.
Zum Vergleich: Im Vereinigten Königreich hat der Online Safety Act 2023 nicht-einvernehmliche Deepfake-Pornografie explizit unter Strafe gestellt. Auch Australien und einzelne US-Bundesstaaten haben eigenständige Regelungen eingeführt. Diese Parallelentwicklungen sind kein Nachteil – im Gegenteil. Je mehr Jurisdiktionen eigene Verbote verankern, desto enger wird der regulatorische Spielraum für Anbieter, die auf Schlupflöcher setzen. Die EU täte gut daran, die internationale Koordination aktiv zu suchen, statt das Deepfake-Verbot als rein europäische Angelegenheit zu behandeln.
Ein praktisches Szenario verdeutlicht das Problem: Ein Anbieter betreibt seinen Server in einem Land ohne entsprechende Regulierung, richtet seinen Dienst aber erkennbar an europäische Nutzer. Der DSA verpflichtet ihn grundsätzlich zur Compliance. Wenn er sich dieser Pflicht entzieht und keine EU-Niederlassung hat, wird die Durchsetzung zur Frage diplomatischer Abkommen und internationaler Rechtshilfe – beides sind langsame Instrumente gegen ein schnell wachsendes Problem.
Die Regulierung ist nicht unumstritten. Aus dem Bereich der Bürgerrechtsorganisationen und der digitalen Zivilgesellschaft kommen Einwände, die ernst genommen werden sollten – auch wenn sie das Verbot selbst nicht grundsätzlich infrage stellen.
Erstens: Definitionsprobleme bei Satire und Kunst. Wer bestimmt, ob eine KI-generierte Darstellung einer öffentlichen Person als sexualisierte Herabwürdigung oder als politische Satire einzustufen ist? Die Grenze ist fließend, und breite Verbote können im Einzelfall künstlerische oder satirische Ausdrucksformen treffen. Besonders wenn nationale Behörden über diese Frage entscheiden, drohen unterschiedliche Maßstäbe innerhalb der EU.
Zweitens: Overblocking durch übervorsichtige Plattformen. Wenn Plattformen fürchten, wegen nicht ausreichend schneller Löschung zu haften, tendieren sie zur Überreaktion. Inhalte, die zwar synthetisch wirken, aber legal sind – etwa einvernehmlich erstellte, künstlerisch motivierte Bildbearbeitungen – könnten unter einem pauschal angewandten Deepfake-Filter verschwinden. Der DSA sieht zwar Beschwerdemechanismen vor, aber diese setzen Eigeninitiative und technisches Verständnis der Betroffenen voraus.
Drittens: Täterermittlung bleibt schwierig. Das Verbot eines KI-Tools schützt nicht automatisch vor dem nächsten. Wer ein verbotenes Werkzeug durch ein neues, außerhalb der EU entwickeltes ersetzt, überwindet das Verbot mit wenig Aufwand. Die eigentliche Schutzwirkung hängt davon ab, ob Behörden in der Lage sind, nicht nur Anbieter, sondern auch Ersteller und Verbreiter konsequent zu verfolgen. Hier sind Kapazitätsfragen entscheidend, keine Regelungsfragen.
Diese Gegenargumente bedeuten nicht, dass das Deepfake-Verbot falsch ist. Sie zeigen, dass ein funktionierendes Regime mehr braucht als Verbotstatbestände: nämlich klare Definitionen, faire Beschwerdeverfahren und ausreichend ausgestattete Vollzugsbehörden.
Das EU-Deepfake-Verbot für sexuelle Inhalte ist ein notwendiger Schritt und ein überfälliger. Die Kombination aus AI-Act-Verboten, DSA-Providerpflichten und nationalen Strafrechtsreformen ergibt erstmals ein Durchsetzungsregime mit echten Zähnen – auch wenn der entscheidende Biss erst 2026 kommt. Bis dahin gelten bestehende Pflichten, und die Ignoranz gegenüber Meldepflichten oder Löschvorgaben ist unter dem DSA bereits heute sanktionierbar.
Die offene Frage ist nicht, ob das Verbot kommt – sondern ob es schnell genug kommt und ob die nationalen Behörden die Kapazitäten haben, Bußgeldverfahren tatsächlich durchzuziehen. Datenschutzbehörden in der EU sind notorisch unterfinanziert, die Fallzahlen bei DSGVO-Verfahren sprechen für sich. Ein starkes Regelwerk ohne konsequenten Vollzug ist kein Schutz, sondern eine Kulisse.
Was denken Sie: Reicht das europäische Enforcement-Regime aus – oder brauchen wir eine eigenständige EU-Behörde ausschließlich für KI-Missbrauchsfälle?
