Ohio verschärft Haftung für AI-Deepfake-Pornografie: Was das neue Gesetzespaket für Plattformen und Unternehmen bedeutet

In Ohio haben Abgeordnete ein neues, parteiübergreifendes Gesetzesvorhaben vorgestellt, das explizit auf AI-generierte Deepfakes abzielt – insbesondere auf nicht-einvernehmliche, sexuelle Inhalte. Der Entwurf macht die Erstellung und Verbreitung solcher Inhalte zur eigenen Straftat, stärkt die zivilrechtlichen Ansprüche von Betroffenen und weitet die Verantwortung von Plattformbetreibern und anderen intermediären Diensten aus.

Für Unternehmen ist dies kein lokales Randthema. Der Vorstoß ist ein weiterer Baustein in einer sich rapide verdichtenden US-Regulierung rund um AI-Bildgenerierung, Deepfakes und Plattformhaftung. Wer heute User-Uploads, Generative-AI-Funktionen oder Medienverarbeitung anbietet, muss davon ausgehen, dass ähnliche Regeln in weiteren Bundesstaaten folgen und mit Bundesrecht interagieren.

1. Kontext: Was in Ohio konkret passiert ist

1.1 Kernpunkte des neuen Ohio-Gesetzes

Aktuelle Berichte aus Ohio zeichnen ein relativ klares Bild des neuen, parteiübergreifenden Gesetzesentwurfs zu AI-Deepfakes:

• Eigentum am eigenen Bild: Das Gesetz baut auf bestehenden „Name, Image and Likeness“-Strukturen auf und stärkt das Recht der Personen an ihrem eigenen Abbild. Die unerlaubte Herstellung böswilliger Deepfakes soll als eine Art markenähnliche Rechtsverletzung behandelt werden, mit zivilrechtlichen Strafzahlungen im fünfstelligen Dollarbereich pro Verstoß.

• Spezifische Kriminalisierung von AI-Deepfake-Pornografie: Jede Form pornografischer Deepfakes oder Deepfakes von Kindern soll vollständig verboten werden – unabhängig davon, ob ein Disclaimer oder Wasserzeichen vorhanden ist.

• Drittgradiges Verbrechen bei Erpressung: Wer böswillige AI-Inhalte erzeugt oder verbreitet, um die Deepfake-Betroffenen zu erpressen, soll sich eines Verbrechens dritten Grades („third-degree felony“) schuldig machen.

• Pflicht zu klarer Kennzeichnung: Böswillige Deepfakes, die nicht pornografisch sind, wären nur dann zulässig, wenn sie ein gut sichtbares Wasserzeichen oder einen klaren Hinweis auf ihre künstliche Manipulation tragen.

Diese Elemente ergänzen bereits laufende Gesetzesinitiativen und Gesetze in Ohio, die sich allgemein mit AI-Bildern, simulierter Kinderpornografie und Identitätsbetrug befassen und beispielsweise Wasserzeichenpflichten für AI-generierte Produkte vorsehen.

1.2 Einordnung in die US-weite Gesetzeslandschaft

Die Initiative aus Ohio ist nicht isoliert zu betrachten, sondern steht im Kontext mehrerer Entwicklungen auf Bundesebene:

• TAKE IT DOWN Act (Bundesrecht, seit 2025 in Kraft): Dieses Gesetz verlangt von Plattformen, nicht-einvernehmliche intime Bilder und Deepfakes nach einem gültigen Hinweis der Betroffenen innerhalb von 48 Stunden zu entfernen und Kopien angemessen nachzuverfolgen. Zudem wird die Veröffentlichung solcher Inhalte strafbar gemacht; die Durchsetzung obliegt u. a. der Federal Trade Commission.

• DEFIANCE Act (Senatspassung 2026, Bundesebene): Der DEFIANCE Act schafft einen bundesweiten zivilrechtlichen Anspruch für Opfer sogenannter „intimate digital forgeries“. Betroffene können Wahlrechte auf pauschale Schadensersatzsummen in Größenordnungen von 150.000 bis 250.000 US-Dollar pro Fall geltend machen; das Gesetz zielt primär auf die Ersteller und Verbreiter.

• Deepfake Liability Act (H.R. 6334): Dieses Vorhaben soll insbesondere Section 230 des Communications Decency Act und den TAKE IT DOWN Act so anpassen, dass Plattformen bei bestimmten Deepfake-Konstellationen nicht länger umfassend haftungsfrei sind, insbesondere im Kontext von Cyberstalking und Intimatsphärenverletzungen.

• Weitere Initiativen wie der No Fakes Act: Parallel werden Rechte an digitalen Repliken und Persönlichkeitsrechten auf Bundesebene neu definiert, was die Handlungsfreiheit von AI-Content-Anbietern und Plattformen weiter einschränken kann.

Für Unternehmen entsteht damit ein mehrschichtiges Haftungsrisiko aus Bundes- und Bundesstaatsrecht, das sich künftig weiter verdichten und teilweise widersprechen kann.

2. Detaillierte Analyse: Auswirkungen auf Haftung, Prozesse und Technik

2.1 Verschärfte Strafbarkeit für Ersteller und Verbreiter

Der Ohio-Entwurf adressiert direkt die strafrechtliche Seite:

• Neuer Straftatbestand: Die bewusste Erstellung und Verbreitung böswilliger AI-Deepfakes – insbesondere mit pornografischem oder erpresserischem Charakter – wird als eigene Straftat normiert.

• Höhere Strafrahmen: Deepfake-basierte Erpressung wird zum Verbrechen dritten Grades, was in den USA mit mehrjährigen Haftstrafen verbunden sein kann.

Für Unternehmen bedeutet das: Mitarbeitende, Nutzer oder Dritte können in einem verschärften Umfeld strafrechtlich verfolgt werden. Firmen, die entsprechende Inhalte nicht oder zu spät entfernen, geraten zudem ins Visier von Ermittlern und Zivilklägern.

2.2 Zivilrechtliche Haftung und Plattformverantwortung

Parallel verschiebt sich die zivilrechtliche Haftung deutlich:

• Eigentum am eigenen Bild als Basis: Indem jedes Individuum sein Bild rechtlich „besitzt“, können Betroffene zivilrechtliche Ansprüche gegen die Produzenten und Verbreiter von Deepfakes geltend machen – inklusive Schadensersatz in beträchtlicher Höhe.

• Erweiterte Haftung von Plattformen: In Kombination mit TAKE IT DOWN und potenziellen Anpassungen durch den Deepfake Liability Act wächst der Druck auf Plattformen, Inhalte schnell und effektiv zu moderieren. Wird ein Hinweis ignoriert oder verspätet bearbeitet, drohen Bußgelder, Schadensersatzforderungen und Reputationsschäden.

• Interaktion von Bundes- und Landesrecht: Während Bundesrecht Mindeststandards und zentrale Pflichten (z. B. 48-Stunden-Takedown) definiert, können Bundesstaaten wie Ohio strengere Maßstäbe setzen, eigene Straftatbestände schaffen und zusätzliche zivilrechtliche Haftungsregime einführen.

Für international tätige Unternehmen mit US-Nutzern heißt das: Der strengste anwendbare Standard wird faktisch zum De-facto-Standard für alle, um Fragmentierung und Rechtskonflikte zu vermeiden.

2.3 Moderation, Logging und Incident Response werden zur Compliance-Pflicht

Ohio’s Vorstoß – im Zusammenspiel mit Bundesrecht – verschiebt AI-Deepfakes aus dem Bereich „Trust & Safety“ hinein in harte Compliance- und Risiko-Management-Themen:

• Moderationssysteme müssen in der Lage sein, mutmaßliche Deepfake-Pornografie, Kinderbilder und erpresserische Inhalte automatisiert zu erkennen, Prioritäten zu setzen und zügig zu entfernen.

• Notice-and-Takedown-Prozesse müssen formalisiert, dokumentiert und rechtssicher sein – inklusive eindeutiger Fristen, Eskalationsstufen, interner Kommunikation und externer Antwortschreiben an Betroffene.

• Logging & Beweissicherung: Gleichzeitig benötigen Unternehmen belastbare Protokolle, um sowohl Compliance gegenüber Aufsichtsbehörden als auch die Möglichkeit der Strafverfolgung zu unterstützen. Das umfasst Logdaten zu Uploads, generierten Inhalten, Flags, internen Entscheidungen und Takedown-Aktionen.

Die Anforderungen nähern sich damit den bereits aus anderen Bereichen bekannten Standards (z. B. Geldwäscheprävention oder Datenschutz), nur bezogen auf generative Medieninhalte und Nutzerverhalten.

2.4 Technische Anforderungen: Wasserzeichen, Erkennung, Modellkontrollen

Der Ohio-Entwurf und verwandte Gesetzesinitiativen enthalten direkte oder indirekte technische Vorgaben:

• Wasserzeichenpflicht für AI-generierte Inhalte: AI-Produkte sollen verpflichtend mit Wasserzeichen versehen werden, sodass sich künstlich erzeugte oder manipulierte Inhalte nachträglich leichter identifizieren lassen.

• Erkennungssysteme für Deepfakes und Nudification: Plattformen und AI-Anbieter müssen vermutlich in technische Systeme investieren, die AI-generierte Nacktdarstellungen, insbesondere von Minderjährigen, erkennen und blockieren können.

• Modell- und Prompt-Kontrollen: Die Konfiguration generativer Modelle (z. B. Bildgeneratoren) muss so gestaltet sein, dass sie riskante Inhalte – etwa sexualisierte Darstellungen von Minderjährigen oder nicht-einvernehmliche Pornografie – systematisch unterbinden.

Damit rückt die Frage in den Vordergrund: Wie lassen sich Produktinnovation und rechtliche Sicherheiten in Einklang bringen, ohne die User Experience massiv zu verschlechtern?

2.5 Konfliktfeld Meinungsfreiheit und legitime Nutzung

Schon frühe Diskussionen in Ohio haben verdeutlicht, dass Medien- und Filmwirtschaft, Bürgerrechtsorganisationen und Tech-Verbände wegen möglicher Überregulierung alarmiert sind:

• Es besteht die Gefahr, dass kritische, satirische oder dokumentarische Deepfakes (z. B. in Journalismus oder Kunst) unter weit gefasste Verbote fallen.

• Branchenverbände drängen daher darauf, klare Ausnahmen für öffentlichen Diskurs, Satire, Kommentierung und wissenschaftliche Nutzung festzuschreiben.

Für Unternehmen ist relevant: Auch bei strengen Verboten pornografischer Deepfakes bleibt ein Graubereich für andere, nicht-sexuelle Deepfakes. Hier braucht es klare interne Richtlinien, was erlaubt ist, wie Kennzeichnung erfolgt und wie Abgrenzungen zu geschützten Nutzungsformen vorgenommen werden.

3. Praxisnahe Szenarien und Implikationen

3.1 Social-Media-Plattform mit User-Uploads

Eine Social-Media-Plattform mit Nutzerkonten in den USA, u. a. in Ohio, ermöglicht Foto- und Video-Uploads sowie die Integration externer AI-Bildgeneratoren.

Risikoszenario:

• Nutzer erstellen oder laden Deepfake-Pornografie hoch – etwa von Klassenkameradinnen, Kolleginnen oder bekannten Persönlichkeiten.

• Das Material wird viral geteilt, bevor Moderationsteams eingreifen.

• Betroffene senden Takedown-Notices, unter Verweis auf TAKE IT DOWN, den Ohio-Entwurf und weitere Rechtsgrundlagen.

Konsequenzen:

• Die Plattform muss die Inhalte innerhalb enger Fristen entfernen, Kopien aufspüren und dokumentieren, sonst drohen regulatorische Maßnahmen und Schadensersatzklagen.

• In Ohio können Betroffene zusätzlich zivilrechtliche Ansprüche aus der Verletzung ihres Bildrechts geltend machen; in schweren Fällen ermittelt zudem die Staatsanwaltschaft.

Was die Plattform braucht:

• Ein hoch priorisiertes Abuse-Team mit spezialisierten Workflows für intime Deepfakes und Minderjährige.

• Automatisierte Detection-Pipelines, die Material mit hoher Wahrscheinlichkeit als Deepfake-Pornografie markieren und in eine „Fast Lane“-Moderation geben.

• Einen rechtssicheren Takedown-Kanal mit Identity-Verification für Betroffene, standardisierten Antworten und Nachweisführung gegenüber Behörden.

3.2 Cloud-Anbieter und Storage-Dienste

Ein Cloud-Anbieter hostet für Unternehmenskunden Speicherdienste sowie AI-Inferenz-APIs. Kunden nutzen diese, um Inhalte zu verarbeiten, u. a. Videos von Nutzern.

Risikoszenario:

• Ein Kunde betreibt eine Plattform, auf der Nutzer Deepfake-Pornografie hochladen. Die Daten liegen in Buckets des Cloud-Anbieters.

• Ermittlungsbehörden stellen fest, dass die Infrastruktur für die Verbreitung illegaler Inhalte in Ohio genutzt wird.

Konsequenzen:

• Primär haftet der Plattformbetreiber, aber Behörden können den Cloud-Anbieter in die Pflicht nehmen (z. B. Auskunftspflichten, Preservation Orders).

• Je nach Ausgestaltung künftiger Bundes- und Landesgesetze könnten Kenntnis- und Sorgfaltspflichten für Provider steigen, insbesondere wenn offensichtlicher Missbrauch ignoriert wird.

Was der Cloud-Anbieter braucht:

• Klar definierte Acceptable-Use-Policies, die Deepfake-Pornografie und sexuelle Ausbeutung ausdrücklich verbieten.

• Prozesse, wie bei glaubhaften Hinweisen auf Missbrauch verfahren wird (Warnung, Suspendierung von Accounts, Zusammenarbeit mit Behörden).

• Technische Standardoptionen für Kunden, z. B. integrierte Content-Safety-Tools, Logging- und Audit-Funktionen.

3.3 Anbieter generativer Bild- oder Video-AI

Ein Unternehmen stellt ein generatives Bildmodell als API bereit, das von App-Entwicklern für kreative Anwendungen integriert wird.

Risikoszenario:

• Endnutzer verwenden die API, um „Nudification“-Deepfakes von Personen zu erzeugen – ggf. sogar mit Minderjährigen.

• Screenshots und Medienberichte zeigen, dass das Modell seit Monaten regelmäßig für solche Inhalte genutzt wird.

Konsequenzen:

• Strafrechtlich haftet vorrangig der Nutzer; jedoch kann der Anbieter bei grober Vernachlässigung von Sicherheitsstandards ins Fadenkreuz geraten.

• Zivilrechtlich steigt in einzelnen Staaten die Wahrscheinlichkeit, dass Gerichte bei anhaltender Untätigkeit eine Mithaftung annehmen – insbesondere, wenn Warnsignale, Abuse-Reports oder interne Kenntnis ignoriert wurden.

Was der AI-Anbieter braucht:

• Strenge Safety-Filter in den Modellen (Prompt- und Output-Filtering) mit besonderem Fokus auf sexualisierte Inhalte und Minderjährige.

• Monitoring-Mechanismen, die auffällige Nutzungsmuster (z. B. massenhafte Generierung sexualisierter Kinderbilder) erkennen und Accounts automatisch sperren.

• Transparente Policies, die den Zweck und die verbotenen Nutzungen des Modells klar beschreiben, inklusive Sanktionen bei Verstößen.

4. Geschäftliche Relevanz: Was Unternehmen jetzt tun sollten

4.1 Risikoklassifizierung von Produkten und Diensten

Unternehmen sollten ihre Angebote systematisch nach Deepfake-Risiko klassifizieren:

• Hohes Risiko: Social-Plattformen, Messenger mit Medien-Sharing, offene Medien-Hoster, generative Bild-/Video-Tools, Foren mit anonymen Uploads.

• Mittleres Risiko: SaaS-Plattformen mit begrenzten Medienfunktionen, interne Kollaborationswerkzeuge mit externer Sharing-Option.

• Niedriges Risiko: Reine Textdienste ohne Dateiupload, interne Tools ohne externe Nutzer.

Für jede Kategorie sollten unterschiedliche Sicherheits- und Compliance-Level definiert werden, u. a. in Bezug auf Erkennung, Moderation, Logging, Governance und Training.

4.2 Aufbau oder Erweiterung eines AI-Safety- und Content-Governance-Frameworks

Ein strukturiertes Governance-Framework sollte mindestens umfassen:

1. Policy-Layer: Klare interne Richtlinien zu erlaubten und verbotenen Inhalten, inkl. Definition nicht-einvernehmlicher Intiminhalte, Minderjährigen-Schutz, Erpressungsszenarien und Umgang mit satirischen oder künstlerischen Deepfakes.

2. Prozess-Layer: Standardabläufe für Meldungen (User Reports, Behördenanfragen), Takedown, Eskalationen, interne Untersuchung und Kommunikation nach innen und außen.

3. Technologie-Layer: Auswahl und Integration geeigneter Erkennungs- und Filtertechnologien, Wasserzeichenlösungen und Audit-Funktionen.

4. People-Layer: Schulung von Moderations- und Produktteams zu rechtlichen Rahmenbedingungen in Schlüsseljurisdiktionen wie Ohio, Kalifornien oder New York sowie auf Bundesebene.

4.3 Verzahnung mit Datenschutz, Informationssicherheit und Rechtsabteilung

Deepfake-Pornografie berührt personenbezogene Daten, intime Sphären und ggf. Strafverfahren. Daher müssen Unternehmen:

• Datenschutzbeauftragte frühzeitig einbinden, um internationale Anforderungen (z. B. DSGVO in Europa, US-Bundesstaatsrecht) in Einklang zu bringen.

• Informationssicherheit nutzen, um Beweise und Logs manipulationssicher aufzubewahren und gleichzeitig Datenminimierungsprinzipien zu berücksichtigen.

• Rechtsabteilungen oder externe Kanzleien einbinden, um Entwicklungen in Ohio und anderen Staaten laufend zu monitoren und Richtlinien dynamisch anzupassen.

4.4 Strategische Produktentscheidungen

Nicht jede geplante Funktion ist vor dem Hintergrund der neuen Risiken noch sinnvoll:

• Unternehmen sollten abwägen, ob sie öffentliche oder pseudonyme Bild-Uploads überhaupt ermöglichen, ohne robuste Safety-Systeme implementiert zu haben.

• Für hochriskante Features (z. B. voll offener Bildgenerator) kann eine Geofencing- oder Whitelisting-Strategie in Betracht kommen, um bestimmte Jurisdiktionen vorerst auszuschließen.

• Strategisch kann es sinnvoll sein, Standard-Sicherheitsmodule (z. B. „Safety as a Service“) zentral zu entwickeln und konzernweit auszurollen, statt jede Produktlinie eigene Insellösungen bauen zu lassen.

5. Fazit und Handlungsempfehlungen

Die Initiative der Gesetzgeber in Ohio, AI-Deepfake-Pornografie ausdrücklich zu kriminalisieren und zivilrechtliche Haftung auszuweiten, ist Teil eines klaren Trends: Deepfakes werden nicht mehr nur als moralisches oder technisches Problem betrachtet, sondern als regulatorischer Schwerpunkt mit erheblichen straf- und zivilrechtlichen Konsequenzen.

Unternehmen, die digitale Inhalte verarbeiten oder generieren, sollten dieses Thema in ihre strategische Planung aufnehmen – nicht als kurzfristige Compliance-Aufgabe, sondern als dauerhaften Bestandteil verantwortungsvoller Produktentwicklung.

Zentrale Takeaways für Entscheidungsträger

• State-Level-Regeln ziehen an: Der Ohio-Entwurf ergänzt Bundesgesetze wie TAKE IT DOWN und DEFIANCE; Unternehmen müssen mit einem Flickenteppich aus strengeren Einzelstaatenregeln rechnen.

• Haftungsrisiken steigen deutlich: Neben strafbaren Handlungen der Nutzer rücken Plattformen, AI-Anbieter und Infrastrukturbetreiber stärker in den Fokus zivilrechtlicher Ansprüche und behördlicher Maßnahmen.

• Moderation wird Compliance-Kernaufgabe: Schnelle, dokumentierte Notice-and-Takedown-Prozesse, Deepfake-Erkennung und Logging sind künftig unverzichtbar – nicht nur „nice to have“.

• Technische Maßnahmen sind Pflicht, nicht Option: Wasserzeichen, Safety-Filter, Abuse-Monitoring und Modellkontrollen werden zum Standard in regulierten Märkten.

• Governance-Frameworks schaffen Resilienz: Klare Policies, Prozesse und Zuständigkeiten helfen, in einem dynamischen Rechtsumfeld wie Ohio und den USA insgesamt handlungsfähig zu bleiben.

• Frühe Vorbereitung verschafft Wettbewerbsvorteile: Unternehmen, die jetzt ihre Compliance- und Safety-Architektur anpassen, können regulatorische Risiken reduzieren und neue Anforderungen schneller produktiv umsetzen.

Häufig gestellte Fragen (FAQ)

Was regelt das neue Gesetzespaket in Ohio zu AI-Deepfake-Pornografie konkret?

Der Ohio-Entwurf kriminalisiert ausdrücklich die Erstellung und Verbreitung nicht-einvernehmlicher, pornografischer AI-Deepfakes und stellt Deepfakes von Kindern vollständig unter Verbot. Gleichzeitig stärkt er zivilrechtliche Ansprüche der Betroffenen und erweitert die Haftungsrisiken für Plattformen und andere Intermediäre deutlich.

Wie wirkt sich das Ohio-Gesetz auf die Haftung von Plattformen und Unternehmen aus?

Plattformen und Dienste mit User-Uploads müssen mit verschärfter zivilrechtlicher Haftung und strengeren Notice-and-Takedown-Pflichten rechnen. Wer Hinweise Betroffener zu Deepfake-Pornografie ignoriert oder verspätet bearbeitet, riskiert Bußgelder, Schadensersatzklagen und erheblichen Reputationsschaden.

Wie fügt sich die Initiative aus Ohio in die US-weite Regulierung zu Deepfakes ein?

Der Ohio-Entwurf ergänzt bundesweite Regelungen wie den TAKE IT DOWN Act, den DEFIANCE Act und geplante Gesetze wie den Deepfake Liability Act. Zusammen entsteht ein mehrschichtiges Geflecht aus Bundes- und einzelstaatlichem Recht, das Moderation, Logging und schnelle Löschprozesse für intime Deepfakes zur Compliance-Pflicht macht.

Welche technischen Maßnahmen werden für AI- und Plattformbetreiber zunehmend Pflicht?

Unternehmen müssen mit Anforderungen an verpflichtende Wasserzeichen für AI-generierte Inhalte, Deepfake- und Nudification-Erkennungssysteme sowie strenge Prompt- und Output-Filter rechnen. Diese technischen Kontrollen sollen insbesondere nicht-einvernehmliche und minderjährigenbezogene Sexualdarstellungen verhindern und spätere Nachverfolgung unterstützen.

Welche Spannungsfelder bestehen zwischen Deepfake-Regulierung und Meinungsfreiheit?

Strenge Verbote pornografischer Deepfakes können unbeabsichtigt auch satirische, journalistische oder künstlerische Deepfakes treffen. Deshalb fordern Medien, Bürgerrechtsorganisationen und Branchenverbände klare Ausnahmen und Leitplanken, damit legitime Nutzung zu Kommentar, Kunst und Forschung nicht pauschal unterbunden wird.

Was sollten Unternehmen mit User-Uploads oder generativer AI jetzt konkret tun?

Unternehmen sollten ihre Produkte nach Deepfake-Risiko einstufen, ein AI-Safety- und Content-Governance-Framework aufbauen und formalisierte Notice-and-Takedown-Prozesse etablieren. Dazu gehören klare Policies, geschulte Moderationsteams, technische Erkennungs- und Filterlösungen sowie enge Verzahnung mit Rechtsabteilung, Datenschutz und Informationssicherheit.

Welche Branchen sind von den neuen Deepfake-Regeln besonders betroffen?

Besonders exponiert sind Social-Media-Plattformen, Messenger mit Medien-Sharing, offene Hosting- und Cloud-Dienste sowie Anbieter generativer Bild- und Video-AI. Aber auch SaaS- und Kollaborationstools mit Upload-Funktion müssen prüfen, ob ihre Moderation, Logging- und Sicherheitsarchitektur dem sich verschärfenden Rechtsrahmen in Ohio und anderen US-Bundesstaaten standhält.