Deepfakes, Identitätsdiebstahl und Stalking: Der Fall „Grok“

Januar 2026 | Cybercrime, Künstliche Intelligenz

Der aktuelle Grok-Skandal rund um X/xAI ist ein Negativbeispiel dafür, wie schnell generative KI in digitale sexualisierte Gewalt, Identitätsmissbrauch und Stalking kippen kann: Medienberichte und Behördenreaktionen beziehen sich auf KI-Funktionen, mit denen nicht-einvernehmliche, sexualisierte Bilder – teils auch mit kindlichem Bezug – erzeugt und über Plattformen verbreitet wurden. Für die EU ist das kein „Spicy-Content“, sondern ein Durchsetzungsfall: Die Kommission prüft das Thema im Kontext ihrer DSA-Aufsicht und hat X angewiesen, Grok-bezogene Unterlagen/Daten bis Ende 2026 zu sichern, um regulatorisch „in die Bücher schauen“ zu können. Parallel wird auch in UK Druck aufgebaut (Ofcom/Online-Safety-Regime) – ein Signal, dass Deepfake-Missbrauch nicht mehr als „Plattformproblem“, sondern als Rechtsverstoß mit Aufsichtskonsequenzen verstanden wird.

Was Betroffene und Unternehmen jetzt tun können: Notice-and-Takedown, Beweise, schnelle Sperren

Wenn Deepfakes oder Identitätsmissbrauch auftauchen, zählt Geschwindigkeit. Nach dem Digital Services Act müssen Plattformen Meldewege („Notice and Action“) für illegale Inhalte bereitstellen; eine sauber formulierte Meldung mit Links, Screenshots und Kontext erhöht die Chance auf schnelle Entfernung deutlich. In der Praxis geht es meist um ein Bündel von Maßnahmen: Beweissicherung (Screenshots/URLs/Zeitstempel), konsequentes Takedown auf der Plattform und bei Re-Uploads, ggf. anwaltliche Abmahnung/Unterlassung, sowie – je nach Sachlage – Strafanzeige und einstweiliger Rechtsschutz. Zusätzlich greifen europäische Transparenzpflichten: Der AI Act enthält Vorgaben, die u. a. auf Kennzeichnung/Transparenz bei synthetischen Inhalten (Deepfakes) zielen – das hilft Betroffenen zwar nicht „sofort“, erhöht aber den regulatorischen Druck auf Anbieter und Betreiber.

Was tun bei Deepfake?

In der Beratungspraxis von Rechtsanwalt Dr. Marc Maisch steht bei Deepfakes regelmäßig nicht die akademische Einordnung im Vordergrund, sondern die Frage: Wie stoppen wir das jetzt – und wie verhindern wir die nächste Welle? Dazu gehören juristische Takedown-Strategien, die Auswahl der richtigen Anspruchsgrundlagen (Persönlichkeitsrecht/Datenschutz/IP je nach Fall), saubere Kommunikation mit Plattformen und Hostern, sowie Schutzkonzepte für Unternehmen (z. B. interne Prozesse, Eskalationspläne, Monitoring, Schulungen). Und: Wo KI systematisch zur massenhaften Rechtsverletzung missbraucht wird, ist ein konsequentes Vorgehen gegenüber Anbietern/Plattformen rechtlich und politisch gewollt – der „Grok“-Fall zeigt, dass Aufsichten bereit sind, den Druck zu erhöhen.

In Deutschland ist der rechtliche Umgang mit Deepfakes derzeit noch ein Flickenteppich: Zivilrechtlich kann man häufig über allgemeines Persönlichkeitsrecht / Recht am eigenen Bild und Unterlassungs-/Beseitigungsansprüche vorgehen, strafrechtlich greifen je nach Fall bereits Delikte wie Beleidigung/Üble Nachrede, Stalking oder – bei echten „Aufnahmen“ – § 201a StGB. Gleichzeitig zeigen aktuelle Fälle (z. B. KI-manipulierte „Bikini“-Bilder), dass § 201a StGB bei reinen KI-Manipulationen ohne echte Bildaufnahme oft nicht sauber passt – genau diese Lücke wird öffentlich kritisiert.

Wichtig: Bei kinder- und jugendpornografischen Inhalten ist die Lage strenger – hier erfassen §§ 184b/184c StGB auch wirklichkeitsnahe Darstellungen, was nach der Bundesratsbegründung ausdrücklich auch Deepfake-Varianten einschließen kann.

Was plant der Gesetzgeber? Der Bundesrat hat (erneut) einen Gesetzentwurf in den Bundestag eingebracht, der einen eigenen Straftatbestand § 201b StGB-E schaffen soll: Strafbar wäre dann insbesondere das Verbreiten/Zugänglichmachen wirklichkeitsgetreuer KI-manipulierter Bild- oder Toninhalte, wenn dadurch das Persönlichkeitsrecht der dargestellten Person verletzt wird – mit bis zu 2 Jahren Freiheitsstrafe, in schweren Fällen bis zu 5 Jahren; begleitend soll u. a. § 205 StGB (Strafantrag) angepasst werden. As of Anfang Januar 2026 wird in der Presse allerdings beschrieben, dass ein entsprechendes Vorhaben politisch zwar als dringend gilt, aber im Bundestag bislang nicht durchgezogen wurde („stagnierend“).

Deepfakes mit IT-Forensik erkennen

Deepfakes lassen sich häufig mit IT-Forensik erkennbar machen, aber selten durch einen einzigen „Beweis-Knopf“. Forensiker gehen wie bei einem Gutachten vor: Sie sammeln Indizien aus Herkunft, Datei und Bild-/Videospuren und bewerten diese Gesamtlage. Zunächst wird geprüft, ob ein Inhalt digitale Herkunftsnachweise wie C2PA/„Content Credentials“ trägt, die Bearbeitungsschritte und Provenienz dokumentieren können; fehlen solche Angaben, ist das allerdings kein Beweis für einen Deepfake, weil viele echte Inhalte keine Credentials haben. Danach folgt die technische Untersuchung der möglichst originalen Datei, weil Plattformen Uploads oft neu komprimieren und Spuren verwischen: Metadaten, Erstellungs- und Softwarehinweise, Video-/Audio-Parameter, Re-Encodes oder Schnittspuren werden ausgewertet, typischerweise mit Werkzeugen wie ExifTool und ffprobe/FFmpeg.

Bei Videos wird außerdem framebasiert gearbeitet, etwa indem man Keyframes extrahiert und prüft, ob Bildteile schon früher in anderem Kontext im Netz auftauchten; das lässt sich mit dem InVID/WeVerify-Plugin gut unterstützen. Schließlich werden visuelle Unstimmigkeiten bewertet, die Deepfakes oft verraten – etwa flackernde Details, unplausible Licht- und Schattenverläufe oder „unsaubere“ Übergänge an Haaren, Augen und Mund. Automatische Deepfake-Detektoren können dabei als zusätzliche Einschätzung helfen, entscheidend ist aber die saubere Dokumentation: Welche Datei wurde geprüft, welche Befunde wurden gefunden und wie reproduzierbar ist das Ergebnis.

Youtube-Videos mit einem Deepfake-Checker untersuchen: https://deepware.ai/ oder https://deepfake-detect.com/

Deepfake-Erkennung für Bilder: https://deepfakedetection.io/

C2PA / Content Credentials als Provenienz-Standard und „Verifier“-Tools gibt es: z. B. Content Authenticity Verify (verify.contentauthenticity.org).

InVID/WeVerify kann Videos in Keyframes zerlegen und Reverse-Image-Search erleichtern; es wird selbst als Verifikations-“Toolbox/Swiss Army Knife” beschrieben.

ExifTool (Metadaten lesen/schreiben) und ffprobe (Stream-/Codec-/Container-Analyse) sind Standardwerkzeuge.

Amped Authenticate ist ein etabliertes Forensik-Tool für Bild/Video-Authentizität und nennt ausdrücklich Deepfake Detection als Bestandteil.

Kommerzielle Deepfake-Detection-Dienste wie Reality Defender, Hive Detect/Hive APIs, Sensity und Deepware existieren und bieten Scans bzw. APIs an.

Erste Hilfe bei Deepfakes

  1. Beweise sichern: Screenshots (mit URL, Datum/Uhrzeit, Profil), Links kopieren, ggf. Bildschirmaufnahme.
  2. Nicht weiterverbreiten: Deepfake nicht öffentlich teilen, auch nicht „zur Warnung“.
  3. Sofort melden: Plattform-Report als „Deepfake/Impersonation/Harassment/NCII“ mit klarer Bitte um Löschung.
  4. Kopien mitmelden: Re-Uploads aktiv suchen und jede Fundstelle melden.
  5. Direkt an Hoster/Webseite: Abuse-/Impressum-Kontakt anschreiben und Entfernung verlangen.
  6. Accounts absichern: Passwörter ändern, 2FA aktivieren, Recovery-E-Mail/Telefon prüfen.
  7. Bei Erpressung/Stalking: nicht zahlen, Beweise sichern, sofort Polizei/Anzeige (bei Gefahr 110).
  8. Dokumentieren: Chronologie führen (wo/waswo/ wann/ wer), damit Eskalation leichter wird.
  9. Anwalt einschalten bei Blockade: wenn Plattform nicht reagiert oder hoher Schaden droht. Nehmen Sie gerne Kontakt zu uns auf.
  10. Umfeld kurz informieren: Arbeitgeber/Schule/Vertrauenspersonen sachlich einbinden („Fälschung, gemeldet, Schritte laufen“).

Haben Sie Fragen zum Thema Deepfakes, Identitätsmissbrauch oder Reputationsschutz für Ihr Unternehmen? Rufen Sie uns an oder schreiben Sie uns. Wir freuen uns immer, wenn wir helfen können.