Ein Polizeibeamter in Pennsylvania hat seinen behördlichen Datenzugang missbraucht, um aus Führerscheinfotos über 3.000 KI-generierte Nacktbilder zu erstellen – der Fall offenbart gefährliche Lücken im Schutz staatlicher Bilddatenbanken und gibt wichtige Impulse für den Umgang mit personenbezogenen Fotos in Behörden und Unternehmen.
US-Polizist nutzte Führerscheinfotos für KI-generierte Pornografie – über 3.000 Deepfakes erstellt
Der Vorfall im Detail
Laut Berichten von Ars Technica erstellte ein beschuldigter Polizeikorporal der Pennsylvania State Police mehr als 3.000 Deepfake-Bilder, indem er Lichtbilddaten aus dem amtlichen Fahrerlaubnissystem als Ausgangsmaterial für KI-Bildgenerierungswerkzeuge verwendete. Die betroffenen Personen – Bürgerinnen und Bürger, die ihre Fotos im Rahmen einer gesetzlichen Pflicht zur Identitätsprüfung abgegeben hatten – wurden ohne ihr Wissen oder ihre Zustimmung zu Opfern sexualisierter Bildmanipulation. Die Ermittlungen gegen den Beamten laufen; konkrete Anklagepunkte wurden in Pennsylvania eingeleitet.
Behördlicher Datenzugang als Missbrauchsvektor
Der Fall verdeutlicht ein strukturelles Problem: Behörden verwalten umfangreiche biometrische und bildliche Datensätze, die für Verwaltungszwecke erhoben wurden. Der Zugang zu diesen Datenbanken ist zwar reguliert, aber nicht lückenlos gegen internen Missbrauch gesichert.
Mitarbeiterinnen und Mitarbeiter mit legitimen Zugriffsrechten können diese Privilegien für kriminelle Zwecke ausnutzen – ohne dass technische Schranken dies unmittelbar verhindern.
Dies betrifft nicht nur Polizeibehörden. Führerschein- und Ausweisdatenbanken werden in den USA von verschiedenen staatlichen Stellen gepflegt und sind in unterschiedlichem Umfang für Strafverfolgungsbehörden zugänglich. Die Frage, welche Kontrollmechanismen internen Missbrauch erkennen und verhindern können, bleibt bislang unzureichend beantwortet.
Rechtliche Einordnung und technologischer Kontext
In Pennsylvania gelten seit 2024 verschärfte Gesetze gegen nicht einvernehmliche Deepfake-Pornografie. Der vorliegende Fall ist damit einer der ersten Anwendungsfälle unter neueren gesetzlichen Regelungen, die explizit KI-generierte sexualisierte Inhalte unter Strafe stellen. Auf Bundesebene fehlen in den USA vergleichbare einheitliche Regelungen bislang noch.
Für die Erstellung der Bilder dürften handelsübliche oder im Darknet verfügbare KI-Bildgeneratoren zum Einsatz gekommen sein. Die technische Hürde für solche Manipulationen ist in den vergangenen Jahren erheblich gesunken:
Ein einziges Realporträtfoto reicht heute in vielen Fällen aus, um plausible synthetische Nacktbilder zu erzeugen.
Einordnung für deutsche Unternehmen und Organisationen
Für deutsche Unternehmen und öffentliche Institutionen liefert dieser Fall konkrete Handlungsimpulse in zwei Bereichen:
Zugriffsmanagement
Interne Datenbanken mit Personenfotos – etwa aus HR-Systemen, Mitarbeiterausweisen oder Kundendaten – sollten durch folgende Maßnahmen abgesichert sein:
- Logging sämtlicher Zugriffe auf Bilddaten
- Rollenbasierte Zugriffskontrolle (RBAC) mit Minimalprinzip
- Regelmäßige Audits privilegierter Zugriffskonten
- Automatische Anomalie-Erkennung bei ungewöhnlichen Abfragemengen
Rechtliche Absicherung
In Deutschland ist die Erstellung nicht einvernehmlicher Deepfake-Pornografie unter dem Straftatbestand der Verletzung des persönlichen Lebens- und Geheimbereichs sowie unter dem Kunsturhebergesetz strafbar. Unternehmen, die personenbezogene Bilddaten verarbeiten, tragen nach DSGVO eine besondere Verantwortung für deren Schutz vor Zweckentfremdung – auch durch eigene Mitarbeitende.
Die Einführung technischer Schutzmaßnahmen ist damit nicht nur eine ethische, sondern eine rechtliche Pflicht.
Quelle: Ars Technica – State Police Corporal Created Porn Deepfakes From Driver’s License Photos