Greift Datenschutz auch bei Deepfakes?
Juristen der Universität Graz antworten auf strittige Rechtsfragen.
Deepfakes sind künstlich generierte Medieninhalte, die authentisch wirken – oft in böswilliger Absicht. Hilft hier das EU-Datenschutzrecht?
ANTWORT: Für die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) ist entscheidend, ob Deepfakes „personenbezogene Daten“sind. Solche Daten liegen vor, wenn diese aufgrund ihres Inhalts, Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft werden können. Aufgrund dieses breiten Verständnisses fallen nicht nur Lügen oder Gerüchte, sondern auch manipulierte Inhalte – wie eben Deepfakes – in den Anwendungsbereich der DSGVO. Nicht nur die Veröffentlichung oder Weiterverbreitung ohne legitimen Grund (ein solcher wäre die Einwilligung der betroffenen Person) stellen eine rechtswidrige Verarbeitung dar, sondern bereits die Anfertigung von Deepfakes. Bei solchen DSGVO-Verstößen drohen nicht nur empfindliche Geldbußen, betroffene Personen können auch Schadenersatz fordern. Besonders teuer kann es insofern im Falle gefälschter Inhalte werden, die Rückschlüsse auf strafrechtsrelevante oder besonders geschützte sensible Informationen wie Gesundheit, Religion, politische Meinung oder Sexualität zulassen. Nur bei der ausschließlichen Erstellung von Deepfakes für den persönlichen oder familiären Gebrauch gilt eine sogenannte „Haushaltsausnahme“. Diese schließt jedoch die Verwendung von KI-Systemen, die Daten Dritten zugänglich machen (das werden Onlinedienste in der Regel tun!), sowie jegliche Veröffentlichung manipulierter Inhalte über andere Personen aus.
Nicole Gosch, Institut für Europarecht