Zum Inhalt springen Zur Navigation springen
KI-Bilder realer Personen in Marketing und Medien

KI-Bilder realer Personen in Marketing und Medien

Artikel von Dr. Datenschutz·20. April 2026

Durch den fortschreitenden Einsatz von KI-Tools erleben wir derzeit eine massive Transformation großer Teile der Medienbranche. Die Nutzung von KI-generierten Stimmen löste bereits einen großen Branchenstreik der Synchronsprecher aus. Auch die Nutzung von KI-generierten Bildern und Videos realer Personen ist möglich. Die datenschutzrechtlichen Aspekte dieser Anwendungen sollen im Folgenden beleuchtet werden.

Neue Instrumente für Marketing-Verantwortliche

Die KI-Technik kann nicht nur die Stimme, sondern auch Körper und Gesicht einer realen Person in ein KI-Modell einfließen lassen, welches die äußerlichen Merkmale der betroffenen Person dann reproduzieren kann. Mit einem solchen Modell kann der Betroffene, der nun persönlich nicht mehr benötigt wird, beliebig in Bildern oder Videos „gesteuert“ werden und Gesichtsausdrücke oder Posen einnehmen, die ein Nutzer dem KI-Modell vorgibt. Ein vermeintlicher Segen für jede Marketingkampagne.

Bei der Verwendung solcher Tools im Kontext von Marketing und Medien sind datenschutzrechtliche Aspekte jedoch nicht zu unterschätzen. Hier drohen aufsichtsbehördliche Verfahren, Bußgelder sowie Schadensersatzansprüche der Betroffenen. Da sowohl beim Training des Modells als auch bei der Generierung von Inhalten und der späteren Nutzung dieser Inhalte (Verkauf, Veröffentlichung) Bilddaten verwendet werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, ist eine datenschutzrechtliche Rechtsgrundlage erforderlich.

Training des KI-Modells: Nutzung biometrischer Daten?

Bevor eine taugliche Rechtsgrundlage bestimmt werden kann, ist zunächst die Frage relevant, ob es sich bei den zum Training des Modells verarbeiteten Daten nicht womöglich um besondere personenbezogene Daten gem. Art. 9 DSGVO handelt. In Betracht kommt vorliegend das Merkmal „biometrisch“. Gem. Art. 4 Nr. 14 DSGVO sind biometrische Daten

„mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“

Es dürfte wohl einigen Argumentationsaufwand erfordern, zu begründen, dass die zum Training des Modells erforderlichen, umfangreichen Daten, nämlich Aufnahmen des Gesichts und Körpers aus möglichst vielen Blickwinkeln sowie Körperproportionen, Mimik und Gestik, nicht darunterfallen. Gleiches dürfte sich auch über den Vorgang der Generierung neuer Inhalte sagen lassen, da zur Generierung gerade diese vorgenannten Daten ebenfalls wieder verarbeitet werden müssten. Zweck des Modells ist es gerade, die zuvor genannten, konkreten Merkmale einer spezifischen Person zu reproduzieren.

Die rechtlich sichere Variante wäre in der Praxis daher das Einholen einer Einwilligung gem. Art. 9 Abs. 1 DSGVO für die Verarbeitung der Daten zum Training des KI-Modells. Eine vertragliche Grundlage scheidet hier aus, da Art. 9 DSGVO diese nicht vorsieht.

Wenn es gerade nicht um die Darstellung einer konkreten, natürlichen Person ginge, z. B. weil diese in einer bestimmten Branche einen gewissen Bekanntheitsgrad hat oder besonders einzigartige physiologische Merkmale aufweist, kann auch gleich auf ein vollständig KI-generiertes Model bzw. Darsteller zurückgegriffen werden. Wobei auch dort Vorsicht geboten ist. Manche KI-Modelle neigen dazu, Personen zu generieren, welche bekannten Persönlichkeiten verdächtig ähnlich sehen, was Grundlage für Ansprüche sein kann.

Hohe Anforderungen an die Einwilligung

Für die Verarbeitung biometrischer Daten gelten strenge Anforderungen an die Einwilligung. Gem. Art. 9 Abs. 2 lit. a DSGVO muss sie ausdrücklich erfolgen und zudem erhöhte Anforderungen an die Bestimmtheit erfüllen. Das heißt der konkrete Umfang der Datennutzung ist klar festzulegen, zum Beispiel welche Verwendungen von Bild- oder Videomaterial zulässig sind und welche nicht. Das Merkmal der Freiwilligkeit der Einwilligung kann einer Zulässigkeit im Wege stehen. Das wäre denkbar in Fällen von Models/Schauspielern, die etwa aufgrund geringer Bekanntheit in einer wirtschaftlichen Abhängigkeit zu einer Agentur stehen.

Eine an den Abschluss eines Vertrages gekoppelte Einwilligung wäre ebenfalls unzulässig (Kopplungsverbot, Art. 7 Abs. 4 DSGVO), sofern die Verarbeitung für den Vertrag nicht erforderlich ist. Eine Einwilligung darf auch nicht in einem Vertrag „versteckt“ werden.

Widerruf der Einwilligung

Zu Recht ist die Einwilligung die unbeliebteste Rechtsgrundlage für Unternehmen. Denn sie kann von dem Betroffenen jederzeit und ohne Angabe von Gründen widerrufen werden. Ab diesem Zeitpunkt darf das KI-Modell nicht mehr trainiert und auch keine neuen Bilder generiert werden. Das trainierte Modell müsste in der Folge gelöscht werden.

Um für diesen Fall vorzusorgen, sollte für jeden Betroffenen ein separates Modell vorhanden sein. Andernfalls liefe man Gefahr, Daten anderer Models/Schauspieler zu verlieren, welche ihre Einwilligung nicht widerrufen haben.

Rechtsgrundlage für die Nutzung der KI-Bilder

Die spätere Nutzung der durch das Modell generierten Inhalte (Bilder/Videos) ließe sich hingegen auf die Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder auf einen Vertrag gem. Art. 6 lit. b DSGVO stützen, da, anders als beim Erstellen des Modells, hierbei regelmäßig keine biometrischen Daten mehr verarbeitet werden dürften (nicht jede Abbildung einer Person ist ein biometrisches Datum).

Um sich nicht den, aus Verantwortlichen-Sicht, Nachteilen der Einwilligung auszusetzen, ist hier eine vertragliche Lösung sicherlich vorzugswürdig. „Klassische“ Verträge der Marketing- und Medienbranche müssten in Hinblick auf die geplante KI-Nutzung angepasst werden.

Informationspflichten und Betroffenenrechte

Wie bei jeder Verarbeitung personenbezogener Daten, unterliegt der Verantwortliche den Informationspflichten gem. Art. 13 DSGVO. Betroffene müssen vor der Datenerhebung genau wissen, wie ihre Daten genutzt werden. Bei der Nutzung von KI-Anwendungen werden Daten häufig auch an externe Anbieter übertragen, die in Drittstaaten ihren Hauptsitz haben (z.B. USA). Dadurch entstehen neben den Transparenzvorgaben zusätzliche Anforderungen an Angemessenheit und geeignete Garantien (Art. 44 ff. DSGVO).

Wie bei vielen KI-Anwendungen kann auch im vorliegendem Fall die sogenannte „Black-Box-Problematik“ bestehen. Teilweise wissen Betreiber und auch Anbieter selbst nicht, wie genau ein KI-Modell Daten verarbeitet und können entsprechend ihren Kunden oder den Betroffenen keine genauen Informationen liefern. Auch die Erfüllung anderer Betroffenenrechte (z.B. Auskunft oder Löschung) kann mitunter problematisch sein. Daher sollte bei der Auswahl eines KI-Anbieters auf Transparenz geachtet werden und darauf, dass Daten bestenfalls lokal verarbeitet werden können oder zumindest nicht für das KI-Training des Anbieters verwendet werden dürfen.

Es gibt zudem nicht wenige Anhaltspunkte dafür, dass eine solche Verarbeitung die Pflicht zur Durchführung einer aufwändigen Datenschutzfolgenabschätzung gem. Art. 35 DSGVO auslösen kann. Dafür spricht etwa der Einsatz von KI als „Verwendung neuer Technologien“ sowie die mögliche Verarbeitung biometrischer Daten.

Und noch mehr Pflichten: KI-Verordnung

Die KI-Verordnung, welche ab dem 2. August 2026 zu beachten ist, stellt zusätzliche Anforderungen an die Transparenz KI-generierter Inhalte. Gem. Art. 50 Abs. 4 KI-VO gilt:

„Betreiber eines KI‑Systems, das Bild-, Ton- oder Videoinhalte erzeugt oder manipuliert, die ein Deepfake sind, müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden. […]“

Ein Deepfake ist ein durch KI erzeugter oder manipulierter Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde (vgl. Art. 3 Nr. 60 KI-VO). Die hier erwähnten KI-Systeme dürften regelmäßig in den Anwendungsbereich dieser Vorschrift fallen und entsprechend dem Betreiber die Pflichten gem. der KI-Verordnung auferlegen.

Reale Person, reales Risiko

Sofern sich Betroffene überhaupt darauf einlassen, ihr Bildnis für ein solches KI-Modell herzugeben, ist der damit einhergehende Compliance-Aufwand nicht zu unterschätzen. Es ist daher dringend zu empfehlen frühestmöglich rechtliche Beratung in Anspruch zu nehmen, wenn der Einsatz einer solchen KI-Anwendung geplant ist, um mögliche Risiken soweit wie möglich zu minimieren. Gerade in der genauen Ausgestaltung der Verträge und Einwilligungsformulare können rechtliche Fallstricke lauern.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.