Globale Erklärung zu KI-Bildern: Was 61 Datenschutzbehörden jetzt konkret von Unternehmen erwarten

Ausgangslage: 61 Behörden, eine gemeinsame Linie

Am 23. Februar 2026 haben 61 Datenschutz- und Privatsphärenaufsichtsbehörden weltweit eine „Joint Statement on AI-Generated Imagery and the Protection of Privacy“ veröffentlicht. Koordiniert wurde die Erklärung durch die International Enforcement Cooperation Working Group der Global Privacy Assembly. Unterzeichner sind u. a. europäische Behörden (EDPB-Mitglieder, EDPS, nationale DPAs), Aufsichten in Kanada, Asien-Pazifik sowie mehrere Insel- und Drittstaaten.

Im Zentrum steht eine gemeinsame Sorge: KI-Systeme, die realistische Bilder und Videos von identifizierbaren Personen erzeugen, häufig ohne deren Wissen oder Einwilligung. Genannt werden insbesondere:

• nicht-einvernehmliche intime Deepfakes,

• diffamierende oder erniedrigende Darstellungen,

• sexualisierte oder gewaltvolle Inhalte mit realen Personen,

• Inhalte mit Kindern und anderen vulnerablen Gruppen.

Für Unternehmen ist diese Erklärung ein Signal: Aufsichtsbehörden justieren weltweit ihre Erwartungshaltung an KI-Bildsysteme und stellen klar, dass bestehende Datenschutz- und Privatsphärenregeln unmittelbar gelten.

Zentrale Erwartungen der Behörden

H2: Vier Kernprinzipien als globaler Mindeststandard

Die Erklärung formuliert keine neuen Rechtsnormen, aber sie konkretisiert globale Mindestanforderungen. Wesentliche Erwartungsbereiche:

1. Robuste Safeguards

- Technische und organisatorische Schutzmaßnahmen, um

- Missbrauch von personenbezogenen Daten zu verhindern,

- nicht-einvernehmliche intime Bilder und andere schädliche Inhalte zu erschweren oder zu blockieren,

- insbesondere Kinder in besonderem Maße zu schützen.

- Beispiele:

- Filtersysteme für Trainingsdaten, die bekannte Missbrauchsinhalte ausschließen,

- Blocklisten für Prompts (z. B. sexuelle Inhalte mit Minderjährigen, Revenge Porn, Deepfake-Pornografie),

- Safety-Layer im Inferenzprozess (Bildklassifizierer, Nudity- und Violence-Filter),

- Ratenbegrenzung und Missbrauchserkennung (z. B. wiederholte Versuche, verbotene Inhalte zu erzeugen).

1. Bedeutungsvolle Transparenz

- Klare Informationen darüber,

- dass KI-Bildgenerierung eingesetzt wird,

- welche Arten von Inhalten erzeugt werden können,

- welche Schutzmechanismen existieren und wo ihre Grenzen liegen,

- welche Nutzungsarten als unzulässig gelten.

- Für B2C-Produkte und Plattformen: leicht auffindbare Policy-Seiten, UI-Hinweise, erklärende FAQs.

- Für B2B-Anbieter: detaillierte technische und rechtliche Dokumentation für Unternehmenskunden.

1. Wirksame und zugängliche Beschwerdemechanismen

- Personen müssen einfach

- die Entfernung von schädlichen KI-Bildern verlangen,

- die Sperrung von Accounts/Prompts anstoßen,

- Auskunft darüber erhalten können, wie ihre Daten in Trainings- oder Referenzsets genutzt wurden (soweit relevant).

- Erwartet werden u. a.:

- klar definierte Löschprozesse mit SLAs,

- priorisierte Bearbeitung bei Kindern und bei sexueller/gewaltvoller Darstellung,

- dokumentierte Workflows für Beweissicherung und Kooperation mit Strafverfolgung.

1. Kinderschutz und Schutz vulnerabler Gruppen

- Besondere Schutzschichten für Minderjährige: Altersgerechte Informationen, verstärkte Filter, ggf. eingeschränkte Nutzung.

- Spezifische Risikoanalysen zu:

- Cyberbullying und Mobbing durch manipulierte Bilder,

- sexualisierte oder entwürdigende Deepfakes von Schüler:innen, Studierenden oder Mitarbeitenden,

- Reputationsschäden und psychische Auswirkungen.

Konkrete Implikationen für verschiedene Unternehmensbereiche

H2: Marketing, Kommunikation und Creator-Tools

Typische Szenarien

• Generative Bild-Kampagnen mit fotorealistischen Models.

• KI-basierte Selfie-Filter und Avatare in Apps.

• Employer Branding mit synthetischen „Mitarbeiterfotos“.

Was jetzt wichtig ist

• Einwilligung & Zweckbindung: Wenn echte Personen als Ausgangsmaterial dienen (z. B. Mitarbeitende, Kund:innen), müssen Einwilligungen für Training, Transformation und Veröffentlichung ausreichend spezifisch, freiwillig und widerrufbar sein.

• Vermeidung von Verwechslungsgefahr: Klare Kennzeichnung synthetischer Bilder, wenn sie reale Personen imitieren oder mit diesen verwechselt werden könnten.

• Policy-Update: Social-Media- und Kampagnenrichtlinien sollten explizit die Nutzung von KI-Bildern, Deepfakes und Manipulationen adressieren.

H2: Plattformbetreiber, Marktplätze, Social Apps

Typische Szenarien

• Nutzer können Bilder oder Kurzvideos mit integrierten KI-Funktionen erstellen.

• UGC-Plattformen mit rasantem Content-Volumen.

Regulatorische Erwartungen übersetzt

• Content-Moderation an KI anpassen:

- zusätzliche Klassifizierer für KI-Bilder,

- Hashing und Matching von gemeldeten Inhalten,

- schnelle Workflows zur De-Publikation über alle Kopien und Re-Uploads hinweg.

• Trust & Safety Teams stärken:

- Spezialisierte Teams für KI-generierte Missbrauchsinhalte,

- standardisierte Eskalationspfade zu Strafverfolgung und Meldestellen (insb. bei Kinderschutzfällen).

• Transparente Community-Richtlinien: Verbot von Deepfake-Pornografie, Identitätsmissbrauch und nicht-einvernehmlicher Nacktdarstellung explizit ausformulieren.

H2: HR, Überwachung, biometrische Verfahren

Spezifische Risiken

• Einsatz von KI, um "synthetische" Bewerbungsfotos, Ausweisdokumente oder Überwachungsvideos zu erzeugen oder zu analysieren.

• Kombination mit biometrischer Erkennung (Gesicht, Gang, andere Merkmale).

Handlungsfelder

• DPIA (Datenschutz-Folgenabschätzung) für alle Verfahren, bei denen:

- Identifizierbare Personen in KI-generierten oder -bearbeiteten Bildern erscheinen,

- biometrische Profile erzeugt oder genutzt werden,

- Entscheidungen über Beschäftigung, Zugangskontrolle oder Überwachung betroffen sind.

• Strikte Zweckbindung: Trainings- oder Referenzbilder aus HR-Prozessen dürfen nicht beliebig für KI-Bildmodelle genutzt werden.

• Transparenz gegenüber Mitarbeitenden: Klare Erläuterung, wie Bilder verarbeitet werden, welche Tools eingesetzt werden und welche Rechte (Widerruf, Widerspruch, Auskunft) bestehen.

Governance- und Compliance-Konsequenzen

H2: Kurzfristige Maßnahmen (0–3 Monate)

1. Systeminventur KI-Bilder

- Welche Produkte, Prozesse und Lieferanten nutzen KI-generierte Bilder oder Videoverarbeitung?

- Wo werden identifizierbare Personen dargestellt oder imitiert?

1. Risikobewertung & Priorisierung

- Hohe Priorität: Anwendungsfälle mit Kindern, sexualisierten oder intimen Inhalten, öffentlicher Sichtbarkeit oder Massenreichweite.

1. Policy- und Vertragsscreening

- Anpassung von:

- Datenschutzrichtlinien,

- AGB und Nutzungsbedingungen,

- AV-Verträgen mit KI-Anbietern (insb. zu Zwecke, Subprozessoren, Löschung, Missbrauchsvermeidung).

H2: Mittelfristige Maßnahmen (3–12 Monate)

1. Aufbau eines KI-Governance-Rahmens

- Rollen klären: Wer verantwortet Risikobewertung, Werkgenehmigung, Monitoring?

- Integration in bestehende Datenschutz- und Informationssicherheitsmanagementsysteme.

1. Technische Safeguards ausbauen

- Implementierung oder Beschaffung von:

- Moderations-APIs für Bild- und Videoinhalte,

- Tools zur Deepfake-Erkennung,

- Logging und Audit-Funktionen für KI-Nutzung.

1. Prozesse für Betroffenenrechte optimieren

- Spezifische Workflows für Meldungen zu KI-generierten Bildern (Formulare, Hotlines, Priorisierung).

- Standardtexte und juristische Leitfäden für Reaktionen gegenüber Betroffenen und Behörden.

Einordnung im Kontext AI Act & künftiger Regulierung

Die gemeinsame Erklärung steht zeitlich in einem Umfeld, in dem:

• der EU AI Act in die Umsetzungs- und Konkretisierungsphase eintritt,

• nationale Gesetzgeber an Medien-, Jugend- und Strafrechtsanpassungen für Deepfakes arbeiten,

• Aufsichtsbehörden verstärkt koordiniert gegen schädliche KI-Anwendungen vorgehen.

Die globale Linie der 61 Behörden wird voraussichtlich in Hard-Law-Regelungen einfließen – etwa in Durchführungsakte zum AI Act, sektorale Leitlinien, Bußgeldpraxis und künftige Jugendschutz- oder ePrivacy-Regeln. Unternehmen, die heute schon freiwillig die genannten Safeguards umsetzen und ihre DPIAs anpassen, reduzieren damit künftige Compliance-Kosten und Enforcement-Risiken.

Fazit: Von „Experiment“ zu reguliertem Betriebsmodus

Die Botschaft der Erklärung ist klar: KI-generierte Bilder sind kein rechtsfreier Innovationsraum. Organisationsverantwortliche müssen sie wie jeden anderen datenschutzrelevanten Hochrisiko-Prozess behandeln.

Für Unternehmen bedeutet das konkret:

• KI-Bildnutzung kartieren und priorisierte DPIAs durchführen,

• technische und organisatorische Safeguards etablieren,

• Transparenz und Beschwerdemechanismen verbessern,

• Kinder und andere vulnerable Gruppen besonders schützen,

• Governance-Strukturen für KI nachhaltig verankern.

Wer diese Punkte frühzeitig adressiert, kann KI-basierte Bildinnovationen nutzen, ohne in die nächste Welle koordinierter Prüfungen und Verfahren von 61 Aufsichtsbehörden zu geraten.

Häufig gestellte Fragen (FAQ)

Was ist die „Joint Statement on AI-Generated Imagery and the Protection of Privacy“?

Die „Joint Statement on AI-Generated Imagery and the Protection of Privacy“ ist eine am 23. Februar 2026 veröffentlichte gemeinsame Erklärung von 61 Datenschutz- und Privatsphärenaufsichtsbehörden weltweit. Sie konkretisiert, wie bestehende Datenschutzregeln auf KI-generierte Bilder angewendet werden sollen, insbesondere bei Deepfakes und realistisch wirkenden Bildern identifizierbarer Personen.

Welche zentralen Anforderungen stellen die 61 Datenschutzbehörden an Unternehmen bei KI-Bildern?

Die Behörden erwarten robuste Safeguards gegen Missbrauch, bedeutungsvolle Transparenz über den Einsatz von KI-Bildern, wirksame Beschwerdemechanismen sowie besonderen Schutz für Kinder und andere vulnerable Gruppen. Unternehmen müssen technische Filter, klare Policies und nachvollziehbare Prozesse etablieren, um rechtskonforme KI-Bildnutzung sicherzustellen.

Welche Auswirkungen hat die Erklärung auf Marketing und Kommunikation mit KI-generierten Bildern?

Für Marketing, Kommunikation und Creator-Tools bedeutet die Erklärung, dass Einwilligungen klar und spezifisch sein müssen, wenn reale Personen als Ausgangsmaterial genutzt werden. Zudem sind eine deutliche Kennzeichnung synthetischer Bilder, angepasste Social-Media- und Kampagnenrichtlinien sowie die Vermeidung von Verwechslungsgefahren mit realen Personen erforderlich.

Was müssen Plattformbetreiber und Social Apps im Umgang mit KI-generierten Bildern beachten?

Plattformen müssen ihre Content-Moderation an KI-Bilder anpassen, etwa durch zusätzliche Klassifizierer, Hashing und schnelle De-Publikationsprozesse. Gleichzeitig sind spezialisierte Trust-&-Safety-Teams, klare Community-Richtlinien zu Deepfake-Pornografie und Identitätsmissbrauch sowie effektive Beschwerde- und Meldesysteme gefordert.

Wie sollten Unternehmen KI-Bilder in HR, Überwachung und biometrischen Verfahren datenschutzkonform einsetzen?

Unternehmen sollten für alle KI-basierten Bildverfahren mit identifizierbaren Personen oder biometrischen Merkmalen eine Datenschutz-Folgenabschätzung (DPIA) durchführen. Außerdem sind strikte Zweckbindung von HR-Bilddaten, Transparenz gegenüber Mitarbeitenden und klare Regeln zur Nutzung und Auswertung biometrischer Informationen notwendig.

Was ist der Zusammenhang zwischen der Erklärung zu KI-Bildern und dem EU AI Act?

Die gemeinsame Erklärung ergänzt den EU AI Act, indem sie konkrete Erwartungen an Safeguards, Transparenz und Beschwerdewege für KI-Bilder formuliert. Viele der jetzt beschriebenen Mindeststandards werden voraussichtlich in künftige Hard-Law-Regelungen, Leitlinien und die Bußgeldpraxis einfließen, sodass frühzeitige Umsetzung Compliance-Risiken reduziert.

Welche kurzfristigen Schritte sollten Unternehmen jetzt unternehmen, um KI-Bildsysteme compliant zu machen?

Kurzfristig sollten Unternehmen eine Systeminventur zu allen KI-Bildanwendungen durchführen, risikoreiche Use Cases priorisieren und relevante Policies, AGB und Verträge mit KI-Anbietern überprüfen. Parallel dazu sollten erste technische Safeguards, spezialisierte Beschwerdeprozesse und angepasste DPIAs für kritische Szenarien gestartet werden.