Die fortschreitenden Entwicklung Künstlicher Intelligenz (KI) führt dazu, dass die Grenzen zwischen Realität und Illusion im digitalen Raum immer mehr verschwimmen. Chancen und Risiken liegen dabei eng beieinander. In diesem Blogbeitrag soll es um sog. Deepfakes gehen.
Was sind Deepfakes?
Unter diesem relativ jungen Phänomen verbergen sich mittels KI-Technologie generierte Medieninhalte (Foto-, Video- oder Audioaufnahmen), deren Inhalt und Aussagegehalt entweder vollständig neu erstellt oder bewusst verfremdet wird. Personen können Handlungen zugeschrieben oder Aussagen in den Mund gelegt werden, die diese nie getan oder nicht geäußert haben. Dies kann nicht nur für die Persönlichkeitsrechte der Betroffenen, sondern auch für die Meinungsbildung im digitalen Raum mit einem erheblichen Missbrauchspotential einhergehen. Insbesondere dann, wenn sie genutzt werden, um die öffentliche Meinung zu manipulieren um bspw. politische Prozesse gezielt zu beeinflussen. Durch die schnelle Verbreitung über die Sozialen Medien ist das Gefahrenpotenzial umso höher. Auch wenn Medienmanipulation an sich kein neues Phänomen ist, nutzen Deepfakes maschinelles Lernen. Fälschungen können dadurch nahezu autonom und in bislang ungeahnten und zuvor nicht möglichen Dimensionen erstellt werden und die Unterscheidung zwischen authentischen und künstlich erzeugtem bzw. verändertem Material wird zunehmend schwieriger. Dieser Beitrag beleuchtet die datenschutzrechtlichen Aspekte von Deepfakes und geht der Frage nach, ob durch Datenschutzrecht ein geeigneter Schutz vor Deepfakes erreicht werden kann.
Deepfakes als Verarbeitung personenbezogener Daten
Gemäß Art. 4 Nr. 1 DSGVO umfassen personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Umfasst sind auch Bild- und Tonaufnahmen, sofern diese eine Identifikation der betroffenen Person ermöglichen. Deepfakes, die regelmäßig auf Aufnahmen von Gesichtszügen, Körpersprache und Stimme basieren, fallen mithin in diese Kategorie. Der weit gefasste Verarbeitungsbegriff gemäß Art. 4 Nr. 2 DSGVO umfasst unter anderem die Erhebung, Speicherung, Anpassung, Veränderung, Offenlegung und Bereitstellung von Daten. Bei Deepfakes findet regelmäßig eine Veränderung der zugrundeliegenden Daten statt, sodass von einer Verarbeitung i.S.d. DSGVO ausgegangen werden kann.
Haushaltsausnahme: Grenzen der Datenschutzregelungen
Die DSGVO sieht in Art. 2 lit. c eine sogenannte „Haushaltsausnahme“ vor, die greift, wenn die Verarbeitung personenbezogener Daten ausschließlich zu persönlichen oder familiären Zwecken erfolgt. Dies könnte theoretisch auch auf Deepfakes zutreffen, sofern diese in einem privaten Rahmen erstellt und genutzt werden. Sobald die Inhalte jedoch im Internet veröffentlicht und somit einem unbegrenzten Personenkreis zugänglich gemacht werden, fallen die Deepfakes nicht (mehr) unter die Privilegierung in Art. 2 lit. c DSGVO.
Zulässigkeit der Verarbeitung und rechtliche Grenzen
Die Verarbeitung personenbezogener Daten ist immer nur dann zulässig, wenn eine Einwilligung der betroffenen Person vorliegt (Art. 6 Abs. 1 Satz 1 lit. a DSGVO) oder ein anderer gesetzlicher Erlaubnistatbestand gem. Art. 6 Abs. 1 Satz 1 lit. b-f DSGVO greift. Für satirische oder parodistische Deepfakes könnte eine Privilegierung nach Art. 85 DSGVO in Betracht kommen. Insb. im Bereich von Rundfunk und Presse wurden vom nationalen Gesetzgeber entsprechende (medienrechtliche) Privilegierungen geschaffen. Für Verarbeitungen zu journalistischen Zwecken könnte zudem auf die §§ 22, 23 Kunsturhebergesetz (KUG) zurückgegriffen werden. Mit Blick auf den Wortlaut „verbreitet oder öffentlich zur Schau gestellt“ gilt dies jedoch nur für die Veröffentlichung von Deepfakes. Daraus folgt, dass die vorgelagerten Prozesse der Bearbeitung, Veränderung und Speicherung jeweils eine eigne Verarbeitung gem. Art. 4 Nr. 2 DSGVO darstellen und somit auch einer eigenen datenschutzrechtlichen Rechtfertigung bedürfen.
Rechtsgrundlage für die Herstellung und Verbreitung von Deepfakes
Als Rechtfertigungsgrund für die Verarbeitung von Deepfakes kommt primär die Einwilligung des Betroffenen in Betracht. Die normierten Voraussetzungen in Art. 4 Nr. 11 und Art. 7 DSGVO schließen es allerdings aus, dass eine Sprach- oder Videoaufnahme, der die betroffene Person ursprünglich zugestimmt hat, nachträglich und ohne ihr Wissen zur Erstellung eines Deepfakes verwendet wird. Grund hierfür ist, dass eine Einwilligung stets nur „für den bestimmten Fall“ bzw. konkret festgelegte Verarbeitungszwecke abgegeben werden kann. In bestimmten Konstellationen, etwa wenn ein Schauspieler entgeltlich zur Herstellung von Aufnahmen verpflichtet ist, die anschließend zur Verwendung von Deepfakes bestimmt sind, könnte Art. 6 Abs. 1 lit. b DSGVO („Erfüllung eines Vertrags“) einschlägig sein. Überdies könnte Art. 6 Abs. 1 lit f DSGVO für parodistische oder satirische Deepfakes anwendbar sein, sofern nicht die Privilegierung nach Art. 85 DSGVO greift und die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen des Betroffenen nicht überwiegen. Im Rahmen der Interessenabwägung können die bereits bekannten Kriterien des §§ 22, 23 KUG und des allgemeinen Persönlichkeitsrechts herangezogen werden, wobei an dieser Stelle zu berücksichtigen ist, dass es sich um eine verfälschende Darstellung handelt.
Verantwortlicher und Rechtsfolgen für die Herstellung und Verbreitung von Deepfakes
Fraglich ist, wer Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO ist, insbesondere wenn die Deepfakes z. B. über soziale Netzwerke verbreitet werden. Bis zum Zeitpunkt des Hochladens ist regelmäßig von einer alleinigen Verantwortlichkeit des Nutzers bzw. der Person, welche die Deepfakes herstellt, auszugehen. Sofern die Inhalte anschließend hochgeladen werden kann dies – je nach Ausgestaltung – sowohl eine Auftragsverarbeitung als auch eine Verarbeitung zu eigenen Zwecken darstellen. In Bezug auf werbefinanzierte soziale Netzwerke und Plattformen ist jedoch vorwiegend von letzterem auszugehen. Liegt eine Verarbeitung zu eigenen Zwecken vor, so ist im Hinblick auf die weitere Veröffentlichung des Beitrags von einer gemeinsamen Verantwortlichkeit des Plattformbetreibers und des Nutzers auszugehen. Die Regelungen der RL 2000/31/EG (E-Commerce-Richtlinie) bleiben jedoch unberührt, sodass auch, wenn die Voraussetzungen des Art. 26 DSGVO erfüllt sind, eine unmittelbare Inanspruchnahme der Plattform bzw. des Netzwerkbetreibers für rechtsverletzende Deepfakes nur in Ausnahmefällen, konkret der Kenntnis des Betreibers oder wenn dieser nicht unverzüglich tätig geworden ist (vgl. Art. 14 Abs. 1 E-Commerce-RL, §10 TMG), in Betracht kommt.
Betroffenenrechte und Sanktionen
Bei einer unrechtmäßigen Verarbeitung hat der Betroffene gem. Art. 17 DSGVO Anspruch auf Löschung der Daten. Der Löschanspruch gilt jedoch gem. Art. 17 Abs. 3 lit a DSGVO nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Informationen erforderlich ist. Mithin kann eine Löschung satirischer oder parodistischer Deepfakes ausgeschlossen sein, sofern nicht ohnehin bereits die Privilegierung nach Art. 85 DSGVO greift. Daneben stehen dem Betroffenen mögliche Schadensersatzansprüche (Art. 82 DSGVO) zur Verfügung. Unter Berücksichtigung der persönlichkeitsbeeinträchtigenden Einsatzmöglichkeiten von Deepfakes wird hier insbesondere die angeordnete Ersatzmöglichkeit für immaterielle Schäden von Bedeutung sein. Darüber hinaus sieht die DSGVO gem. Art. 83 DSGVO i.V.m. §41 BDSG Bußgelder für Verstöße vor, die von den zuständigen Datenschutzbehörden gegen die (gemeinsam) Verantwortlichen verhängt werden können.
Fazit
Auch wenn das Datenschutzrecht theoretisch Schutz gegen die unbefugte Erstellung und Verbreitung von Deepfakes bietet, zeigt die Praxis deutliche Schwächen. Denn oftmals ist es schwierig, den in einem ersten Schritt Verantwortlichen zu identifizieren, insbesondere wenn diese anonym oder unter falschen Identitäten agieren. Hinzu kommt, dass individuell vorgetragene datenschutzrechtliche Löschbegehren angesichts der hohen Verbreitungsgeschwindigkeit im Internet häufig erst dann zum Erfolg führen, wenn die schädigende Wirkung für Persönlichkeit und öffentliche Meinungsbildung bereits unwiderruflich in Gang gesetzt wurde. Insgesamt zeigt sich, dass das Datenschutzrecht zwar wichtige Schutzmechanismen bietet, diese aber in der Praxis häufig an ihre Grenzen stoßen. Ein effektiver Schutz gegen die Missbrauchsmöglichkeiten von Deepfakes erfordert daher nicht nur eine konsequente Anwendung der bestehenden Regelungen, sondern auch die Weiterentwicklung rechtlicher und technischer Instrumente, um den Herausforderungen der digitalen Welt wirksam zu begegnen, Missbrauch von Deepfakes zu verhindern und die Rechte der betroffenen Personen zu schützen und die Integrität der digitalen Welt zu bewahren.