Juristische Expertise aus Passau für datenschutzkonformes Update gegen Deepfakes

Im KI-Zeitalter können Digitale Bilder, Videos oder Audiodateien täuschen – und sie tun es immer häufiger. Die wachsende Zahl von Fälschungen und gezielten Desinformationen gefährdet nicht nur individuelle Urteile, sondern auch das Vertrauen in Medien, Wissenschaft und Politik. Ein Team unter der Leitung von Fraunhofer AISEC, an dem auch Forschende der Universität Passau beteiligt waren, hat im Projekt VeNIM systematisch untersucht, wie sich digitale Inhalte künftig auf Echtheit und Herkunft prüfen lassen. Das Akronym steht für „Vertrauenskonzept für eine nachhaltige Informations- und Medienarchitektur“.

Ziel war die Entwicklung einer technischen und rechtlichen Vertrauensarchitektur, die Authentizität und Integrität von Daten überprüfbar macht und zugleich den Schutz der Privatsphäre wahrt – etwa für Journalistinnen, Aktivisten oder Whistleblower. Grundlage war der internationale Standard C2PA (Coalition for Content Provenance and Authenticity), der in VeNIM durch das Konzept C2PAExt weiterentwickelt wurde.

Echtheitsprüfung unter Wahrung der Privatsphäre

Prof. Dr. Daniel Loebenberger, Leiter des Departments Secure Infrastructure am Fraunhofer AISEC, stellte am 11. November 2025 in Halle an der Saale die Ergebnisse vor: „Mit C2PAExt schaffen wir ein System, das über Standards zur Echtheitsprüfung medialer Inhalte hinausgeht. Es verbindet kryptographische Nachweise, resilientes Watermarking und Deepfake-Erkennung mit einem privacy-preserving Provenance Store. Damit lassen sich digitale Inhalte künftig nicht nur technisch verifizieren, sondern auch nachträglich prüfen, ob sie verändert oder manipuliert wurden – und das bei voller Wahrung der Privatsphäre der Nutzenden.“

Die Universität Passau steuerte juristische Expertise unter der Leitung von Prof. Dr. Meinhard Schröder bei. Der Inhaber des Lehrstuhls für Öffentliches Recht, Europarecht und Informationstechnologierecht verweist auf „Data Protection by Design“, eine Neuerung in der Datenschutzgrundverordnung, wonach Datenschutz von Anfang mitgedacht werden müsse. „In diesem Projekt konnten wir das in die Praxis umsetzen – es ging nicht darum, einfach zu beurteilen, ob ein schon bestehendes System datenschutzkonform ist oder nicht, sondern darum, für ein gerade entstehendes System die aus der Sicht des Datenschutzrechts relevanten Punkte aufzuzeigen und das System dann so zu designen, dass möglichst wenig personenbezogene Daten verarbeitet werden.“

Über C2PAExt

C2PAExt ist eine Erweiterung des internationalen Standards C2PA, kurz für „Coalition for Content Provenance and Authenticity“. Dieser beschäftigt sich mit der Herkunft und Echtheit digitaler Inhalte wie Bilder, Videos und Audiodateien. Mithilfe von kryptografischen Signaturen und Metadaten ermöglicht C2PA, Manipulationen zu erkennen und die Vertrauenswürdigkeit von Medieninhalten zu erhöhen. C2PAExt geht noch einen Schritt weiter: Er sichert nicht nur die Integrität von Medieninhalten, sondern wahrt auch die Privatsphäre der Nutzenden.

Datenschutzkonforme Lösungen

Die technischen Lösungen zur Echtheitsprüfung von Medieninhalten erfordern oft die Speicherung von Metadaten, etwa Informationen zu den Urheberinnen und Urhebern der Inhalte oder den zur Erstellung verwendeten Geräten. Diese Daten können jedoch personenbezogen sein und Rückschlüsse auf Identitäten oder Standorte zulassen. Ein Beispiel: Eine Whistleblowerin lädt ein manipuliertes Dokument hoch, das mit C2PAExt verifiziert werden soll. Wenn dabei Metadaten, wie der Bearbeitungszeitpunkt oder die ID des Geräts unverschlüsselt gespeichert werden, könnte ihre Identität gefährdet sein, selbst wenn der eigentliche Inhalt anonym bleibt.

Das juristische Team aus Passau erarbeitete für solche und weitere Szenarien rechtskonforme Lösungsansätze bereits während der technischen Entwicklung. So wurde zum Beispiel die Datenbank, die Inhalte zur Herkunft digitaler Dokumente speichert, in C2PAExt so gestaltet, dass keine unnötigen personenbezogenen Informationen verarbeitet werden.