Deepfakes und Arbeitsrecht treffen aufeinander, und das oft teuer. Eine M&A-Abteilung erhält morgens eine Videobotschaft ihrer Vorständin – Stimme, Mimik und Büro-Kulisse stimmen perfekt – mit der Anweisung, 2,5 Millionen Euro auf ein Auslandskonto zu überweisen. Aufgenommen hat die Chefin dieses Video nie. Solche „CEO-Fraud-Deepfakes“ sind nur ein Szenario, mit dem KI die Grenze zwischen Realität und Täuschung auch am Arbeitsplatz auflöst. Wer Mitarbeiter beschäftigt, steht deshalb vor Pflichten – und haftet, wenn er sie ignoriert.
Inhaltsverzeichnis
- Deepfake oder Digital Twin – warum der Unterschied über die Haftung entscheidet
- Wenn der Mitarbeiter zum Täter wird – Kündigung ohne Abmahnung
- Wegschauen wird teuer: Die Schutzpflicht trifft den Arbeitgeber selbst
- Biometrie, KI-Verordnung und der Stichtag 2. August 2026
- Ohne Betriebsrat geht es nicht – auch nicht bei der Abwehr
- Einordnung: Das Recht ist da – es fehlt nur am Handeln
Fasse den Artikel im Bullet-Stil zusammen.
Deepfake oder Digital Twin – warum der Unterschied über die Haftung entscheidet
In der Praxis werden beide Begriffe oft vermengt, doch rechtlich liegen sie weit auseinander. Das zeigt ein Gastbeitrag von Dr. Jan Tibor Lelley , Fachanwalt für Arbeitsrecht, auf LTO. Ein Deepfake ist ein täuschend echter, manipulierter Inhalt. Die EU-KI-Verordnung definiert ihn in Art. 3 Nr. 60 als KI-erzeugten Bild-, Ton- oder Videoinhalt, der echten Personen ähnelt und fälschlich als wahr erscheint. Entscheidend ist die Täuschungsabsicht, und sie grenzt den Deepfake von jeder anderen KI-Anwendung ab.
Ein digitaler Zwilling verfolgt dagegen einen offenen Zweck. Er ist ein gewolltes, datenbasiertes Abbild einer Maschine, Anlage oder auch eines Arbeitnehmers und dient etwa der Ergonomie, der Schichtplanung oder der Prozesssimulation. Laut einer Studie des bidt setzen bereits 48 Prozent der Industrieunternehmen solche Zwillinge in der Produktion ein. Beide Technologien teilen aber eine Gemeinsamkeit, und sie wird arbeitsrechtlich zum Hebel: Sie verarbeiten biometrische Daten der Beschäftigten – Gesichtsbilder, Stimmmuster, Bewegungsprofile.
Wenn der Mitarbeiter zum Täter wird – Kündigung ohne Abmahnung
Erstellt oder verbreitet ein Arbeitnehmer Deepfakes mit herabwürdigendem, sexualisiertem oder bewusst täuschendem Inhalt über Kollegen oder Vorgesetzte, liegt nach der Analyse in der Regel eine schwere Verletzung der Rücksichtnahmepflicht aus § 241 Abs. 2 BGB vor. Das gilt unabhängig davon, ob private oder betriebliche IT genutzt wird. Geschieht es während der Arbeitszeit oder mit Firmengeräten, kommt oft ein Verstoß gegen die Arbeitspflicht und gegen interne IT-Richtlinien hinzu. Rein privates Verhalten bleibt zwar dem Zugriff des Arbeitgebers entzogen, doch sobald ein Bezug zum Arbeitsverhältnis entsteht – etwa weil Kollegen betroffen sind oder das Ansehen des Unternehmens leidet – kippt diese Bewertung.
In diesen Fällen kommt eine fristlose Kündigung aus wichtigem Grund nach § 626 BGB in Betracht, und zwar ohne vorherige Abmahnung. Das Landesarbeitsgericht Berlin-Brandenburg entschied in einer Mobbingkonstellation (Urt. v. 30.01.2020, Az. 10 Sa 933/19), dass systematische Herabwürdigung das Persönlichkeitsrecht schwer verletzt und das Arbeitsverhältnis für das Opfer unzumutbar macht. Vieles spricht dafür, diese Grundsätze auf Deepfake-Fälle zu übertragen, weil die digitale Verfälschung des Erscheinungsbildes besonders nachhaltig und öffentlichkeitswirksam wirkt. Eine gefestigte Rechtsprechung speziell zu Deepfakes fehlt allerdings noch, weshalb die Übertragung eine Prognose bleibt.
Wegschauen wird teuer: Die Schutzpflicht trifft den Arbeitgeber selbst
Der Arbeitgeber muss den Betrieb so organisieren, dass Persönlichkeitsrechtsverletzungen seiner Beschäftigten unterbleiben. Sexuell konnotierte Deepfake-Fälle erfüllen regelmäßig den Tatbestand der sexuellen Belästigung nach § 3 Abs. 4 AGG und lösen damit die Schutzpflicht aus § 12 Abs. 1 AGG aus. Unterlässt der Arbeitgeber angemessene Maßnahmen, drohen Schadensersatz- und Schmerzensgeldforderungen des Opfers, und sie können erheblich ausfallen. Die Verantwortung verlagert sich damit vom Täter auf das Unternehmen, sobald dieses untätig bleibt.
Der Maßnahmenkatalog nach § 12 Abs. 3 AGG ist abgestuft. Zunächst ist die weitere Verbreitung zu stoppen, oft durch Sperrung oder Löschung in der Unternehmens-IT. Danach kommen Versetzung oder Freistellung des Täters in Betracht, schließlich arbeitsrechtliche Sanktionen bis zur außerordentlichen Kündigung. Wer als Arbeitgeber die Stufen sauber dokumentiert, begrenzt sein eigenes Haftungsrisiko deutlich.
Biometrie, KI-Verordnung und der Stichtag 2. August 2026
Deepfakes wie Digital Twins arbeiten mit biometrischen Daten im Sinne von Art. 9 Abs. 1 DSGVO, und für diese gilt ein besonders strenger Maßstab. Eine Verarbeitung ist nur mit Rechtsgrundlage zulässig, im Beschäftigungskontext vor allem über eine ausdrückliche Einwilligung oder über § 26 Abs. 3 BDSG. Daneben schützt das Recht am eigenen Bild nach §§ 22, 23 KUG die Beschäftigten auch vor KI-generierten Abbildungen, und das allgemeine Persönlichkeitsrecht ergänzt diesen Schutz.
Hinzu kommt ein konkretes Datum. Ab dem 2. August 2026 gelten die Transparenzpflichten nach Art. 50 Abs. 4 KI-VO: Wer KI-Inhalte in eigener Verantwortung erstellt, muss offenlegen, dass Bild, Ton oder Video künstlich erzeugt oder manipuliert wurden. Das betrifft auch Onlinehändler unmittelbar, denn KI-Avatare in Schulungsvideos, synthetische Sprecher in Werbeclips oder virtuelle Assistenten im Kundenservice fallen darunter. Rein private Nutzung bleibt ausgenommen, doch sobald der Inhalt aus dem Unternehmen heraus eingesetzt wird, greift die Kennzeichnungspflicht.
Ohne Betriebsrat geht es nicht – auch nicht bei der Abwehr
Selbst Systeme zur Erkennung von Deepfakes können die Mitbestimmung auslösen. Sobald eine technische Einrichtung geeignet ist, Verhalten oder Leistung der Beschäftigten zu überwachen, greift § 87 Abs. 1 Nr. 6 BetrVG. Das gilt ebenso für Digital-Twin-Lösungen, die Mitarbeiterdaten verarbeiten. Die Mitbestimmung reicht aber nicht pauschal: Nutzt ein Arbeitnehmer KI nur selbst, ohne Überwachungscharakter, besteht nach einem Beschluss des Arbeitsgerichts Hamburg (Beschl. v. 16.01.2024, Az. 24 BVGa 1/24) kein erzwingbares Mitbestimmungsrecht.
Daneben tritt das Unterrichtungsrecht nach § 90 BetrVG bei neuen Arbeitsmethoden, und seit der Reform von 2021 darf der Betriebsrat bei der Einführung von KI einen Sachverständigen hinzuziehen (§ 80 Abs. 3 Satz 2 BetrVG). Wer frühzeitig eine Betriebsvereinbarung zu KI-Systemen und Digital Twins abschließt, schafft deshalb Rechtssicherheit auf beiden Seiten. Solche Vereinbarungen müssen nach der Rechtsprechung des EuGH allerdings vollständig DSGVO-konform sein, sonst tragen sie nicht.
Einordnung: Das Recht ist da – es fehlt nur am Handeln
Bemerkenswert an der arbeitsrechtlichen Lage ist, dass kein Gesetz fehlt. Rücksichtnahmepflicht, AGG, DSGVO, KUG, BetrVG und ab August 2026 die KI-VO greifen ineinander und decken die typischen Deepfake- und Digital-Twin-Fälle bereits ab. Was erodiert, ist nicht das Schutzniveau, sondern die Verlässlichkeit der Wahrnehmung: Ein Video taugt nicht mehr als Beweis seiner selbst, eine Stimmnachricht nicht mehr als Identitätsnachweis. Diese Verschiebung trifft Beweisführung und Vertrauen, nicht die Rechtsgrundlage.
Beständig bleibt damit das Instrumentarium, prekär wird seine rechtzeitige Anwendung. Wer als Onlinehändler heute klare IT-Richtlinien, eine KI-Betriebsvereinbarung und einen abgestuften Reaktionsplan vorhält, steht im Ernstfall auf festem Boden. Wer abwartet, riskiert nicht primär ein Gesetz, sondern eine eigene Pflichtverletzung – und am Ende den Verlust des Vertrauens, das ein Unternehmen am schwersten zurückgewinnt. Die These lautet deshalb klar: Bei Deepfakes im Arbeitsrecht entscheidet nicht die Regelungslücke, sondern die Reaktionsgeschwindigkeit.
