DeepSeek DSGVO konform? Datenschutzbedenken rund um den chinesischen KI-Anbieter
DeepSeek hat die KI-Welt mit einem Paukenschlag ins Wanken gebracht. Was für ein Auftritt! Sofort alle Abos kündigen und zu DeepSeek wechseln ist aber trotzdem keine gute Idee. Die wesentlichen Datenschutzfragen zu DeepSeek (Online) haben wir in diesem Beitrag zusammengefasst.
Während viele Unternehmen auf große westliche Anbieter setzen, gewinnen auch chinesische KI-Modelle an Bedeutung. Einer dieser Anbieter ist DeepSeek, ein in China ansässiges Unternehmen, das leistungsfähige KI-Modelle anbietet. Doch genau hier liegt das Problem: DeepSeek steht unter verstärkter Beobachtung europäischer Datenschutzbehörden, da erhebliche Zweifel an der DSGVO-Konformität bestehen.
Von unklaren Datenschutzrichtlinien bis hin zu möglichen Zugriffen durch chinesische Behörden gibt es zahlreiche Bedenken hinsichtlich der Nutzung von DeepSeek innerhalb der EU. Unternehmen, die sich mit KI-Technologien befassen, sollten daher genau prüfen, ob der Einsatz dieses Tools mit den europäischen Datenschutzstandards vereinbar ist.
Welche Daten sammelt DeepSeek?
DeepSeek erhebt eine Vielzahl an Nutzerdaten, darunter:
- Persönliche Informationen (z. B. Name, E-Mail-Adresse)
- Chat-Verläufe und eingegebene Texte
- Suchanfragen und Interaktionen mit der KI
- Geräte-Informationen, einschließlich Betriebssystem, Browser und Hardware-Daten
- Tastenanschlagmuster, die Rückschlüsse auf das Schreibverhalten der Nutzer zulassen
- IP-Adressen und Internetaktivitäten, um das Nutzerverhalten nachzuverfolgen
Diese gesammelten Daten werden nicht auf Servern innerhalb der EU, sondern in China gespeichert. Und genau das ist einer der größten Kritikpunkte: China wird von der EU nicht als sicheres Drittland eingestuft. Ohne entsprechende Garantien für den Schutz personenbezogener Daten kann ein solcher Datentransfer gegen die DSGVO verstoßen.
Keine Transparenz und unklare Rechtsgrundlagen bei DeepSeek
Ein weiteres großes Problem ist die mangelnde Transparenz in der Datenschutzpolitik von DeepSeek.
- Kein direkter Hinweis auf die DSGVO in der Datenschutzerklärung: Unternehmen, die in der EU tätig sind, müssen sicherstellen, dass ihre genutzten Tools die Datenschutzanforderungen der DSGVO erfüllen. DeepSeek lässt jedoch offen, inwiefern es sich an diese Vorgaben hält.
- Unklare Rechtsgrundlage für die Datenverarbeitung: Nutzer erhalten keine konkreten Informationen darüber, auf welcher rechtlichen Grundlage ihre Daten verarbeitet werden.
- Fehlende Angaben zu Sicherheitsmaßnahmen: Während viele europäische KI-Anbieter detailliert beschreiben, welche technischen Schutzmaßnahmen sie ergreifen, fehlen solche Informationen bei DeepSeek weitgehend.
- Keine klare Herkunft der Trainingsdaten: Eine der wichtigsten Fragen im KI-Bereich ist, welche Daten für das Training der Modelle verwendet wurden. DeepSeek gibt hierzu jedoch kaum Auskunft, was mögliche Risiken im Hinblick auf Urheberrechte und Datenschutz bedeutet.
Rechtliche Probleme rund um DeepSeek im Unternehmen
Die Nutzung von DeepSeek kann für Unternehmen in der EU zu erheblichen rechtlichen Problemen führen.
- Kein Auftragsverarbeitungsvertrag (AVV)
Europäische Unternehmen, die DeepSeek geschäftlich nutzen, benötigen einen rechtsgültigen Auftragsverarbeitungsvertrag (AVV), um den Anforderungen der DSGVO zu entsprechen. DeepSeek bietet einen solchen Vertrag nicht an, was eine Nutzung für Unternehmen in der EU rechtlich problematisch macht. Die Datenschutzschutzerklärung von DeepSeek ist mit rund 8 gedruckten Seiten ausgesprochen kurz. Auftragsverarbeitungsverträge und Regelungen zum internationalen Datentransfer (Standard Contract Clauses) fehlen vollständig. - Unklare Zuständigkeit für Datenschutzanfragen
In der EU müssen Unternehmen sicherstellen, dass Nutzer Anfragen zur Verarbeitung ihrer Daten stellen und ihre Rechte gemäß DSGVO (z. B. Auskunft, Löschung) wahrnehmen können. Da DeepSeek keine klare Zuständigkeit für solche Anfragen benennt, ist es fraglich, ob europäische Nutzer ihre Datenschutzrechte durchsetzen können. - Risiko der Datenweitergabe an chinesische Behörden
In China gibt es Gesetze, die Unternehmen dazu verpflichten können, Nutzerdaten an staatliche Stellen weiterzugeben. Dies bedeutet, dass Daten, die auf DeepSeek-Servern gespeichert werden, potenziell von chinesischen Behörden eingesehen werden könnten – ein erhebliches Risiko für europäische Nutzer und Unternehmen. - Haftung für rechtswidrige Datenverarbeitung durch DeepSeek
Wer DeepSeek in der Online-Version für die Verarbeitung von personenbezogenen Daten im Unternehmen einsetzt, riskiert nicht nur ein Bußgeld, sondern haftet auch auf materiellen oder immateriellen Schaden (Schmerzensgeld). Der Einsatz von DeepSeek in der derzeitigen Fassung der Datenschutzerklärung verstößt offenkundig gegen die Datenschutzgrundverordnung. Wir empfehlen, DeepSeek allenfalls zu Trainingszwecken ohne personenbezogene Daten und ohne Inhalte, die schutzbedürftige Betriebs- oder Geschäftsgeheimnisse enthalten, zu testen.
Reaktionen der Datenschutzbehörden auf DeepSeek
Angesichts dieser Bedenken haben verschiedene europäische Länder bereits Maßnahmen gegen DeepSeek ergriffen:
- Italien hat die Nutzung von DeepSeek vorübergehend blockiert, da die Datenschutzbehörde erhebliche Verstöße gegen europäische Datenschutzvorgaben festgestellt hat.
- Irland und Belgien haben Untersuchungen eingeleitet, um zu prüfen, ob DeepSeek gegen die DSGVO verstößt.
- Weitere EU-Länder könnten folgen, insbesondere wenn sich die aktuellen Bedenken bestätigen und keine klaren Datenschutzverbesserungen erfolgen.
Diese Entwicklungen zeigen, dass europäische Behörden das Thema ernst nehmen und Unternehmen dringend prüfen sollten, ob die Nutzung von DeepSeek mit den eigenen Compliance-Richtlinien vereinbar ist.
Wie kann man eine KI aus China in der EU datenschutzkonform einsetzen?
Um personenbezogene Daten aus der EU in China durch eine KI verarbeiten zu lassen, sind mehrere rechtliche Maßnahmen erforderlich, um die Einhaltung der DSGVO und des chinesischen Datenschutzrechts zu gewährleisten.
Datentransfer-Mechanismus
Der wichtigste Schritt ist die Implementierung eines geeigneten Mechanismus für den internationalen Datentransfer. Die EU-Standardvertragsklauseln (EU-SCCs) sind dabei das Hauptinstrument und müssen zwischen dem EU-Datenexporteur und dem chinesischen Datenimporteur abgeschlossen werden. Da China nicht als sicheres Drittland gilt, sind zusätzliche Schutzmaßnahmen erforderlich, etwa Verschlüsselung oder Pseudonymisierung der Daten.
Verträge und rechtliche Vereinbarungen
Für eine rechtssichere Verarbeitung sind verschiedene Verträge notwendig:
- Auftragsverarbeitungsvertrag zwischen dem EU-Unternehmen und dem KI-Anbieter in China gemäß DSGVO.
- Datenübermittlungsvertrag auf Grundlage der EU-SCCs, um den Datentransfer rechtlich abzusichern.
Weitere rechtliche Schritte
Um Risiken zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:
- Datenschutz-Folgenabschätzung (DSFA), da die Verarbeitung in einem Drittland als risikobehaftet gilt.
- Prüfung der Rechtsgrundlage, beispielsweise durch Einwilligung oder berechtigtes Interesse.
- Transparenz durch eine aktualisierte Datenschutzerklärung, die Nutzer über die Datenübermittlung informiert.
- Technische und organisatorische Maßnahmen, um Datensicherheit während der Übertragung und Verarbeitung zu gewährleisten.
- Detaillierte Dokumentation aller Schritte, um die Einhaltung der DSGVO nachweisen zu können.
Datenverarbeitung in China als Drittland: Besondere Herausforderungen
Die Datenübermittlung nach China ist besonders heikel, da das Land nicht als sicheres Drittland eingestuft ist. Es bestehen Bedenken hinsichtlich des möglichen Zugriffs chinesischer Behörden auf die Daten sowie der unklaren Vereinbarkeit der chinesischen Datenschutzgesetze mit der DSGVO.
Angesichts dieser komplexen Rechtslage wird Unternehmen dringend empfohlen, sich rechtlich beraten zu lassen, um alle erforderlichen Maßnahmen korrekt umzusetzen und Datenschutzrisiken zu minimieren.
Einsatz von DeepSeek im Unternehmen: Empfehlungen und Alternativen
Empfehlungen für Unternehmen
Angesichts der aktuellen Datenschutzrisiken und des großen Medienrummels sollten Unternehmen in der EU besonders vorsichtig sein, wenn sie DeepSeek oder ähnliche KI-Dienste nutzen. Die deutschen Aufsichtsbehörden für den Datenschutz werden DeepSeek nach Presseberichten nun genauer unter die Lupe nehmen, ebenso wie jedes Unternehmen, das DeepSeek in der aktuellen Online-Version einsetzt. Das könnte ein „gefundenes Fressen“ sein. Um rechtliche Probleme zu vermeiden, sind folgende Maßnahmen ratsam:
1. Derzeit auf die Nutzung von DeepSeek verzichten
Unternehmen sollten keine geschäftlichen oder sensiblen Daten über DeepSeek verarbeiten lassen. Dies gilt besonders für personenbezogene Informationen, Kundendaten oder interne Unternehmensstrategien. DeepSeek ist ein Achtungserfolg geglückt, um die Einhaltung von ausländischen Datenschutznormen hat sich (wie wir das schon von Facebook in 2008 kannten) niemand gekümmert. Wir gehen aber davon aus, dass der Betreiber bald nachziehen wird, um die Sperrung seiner Dienste zu vermeiden.
2. Datenschutzkonforme Alternativen nutzen
Statt auf DeepSeek zurückzugreifen, sollten Unternehmen datenschutzfreundliche Alternativen in Betracht ziehen:
- Lokale KI-Modelle, die innerhalb der eigenen Infrastruktur betrieben werden können. DeepSeek kann auch über Github heruntergeladen und lokal betrieben werden.
- DSGVO-konforme Cloud-Lösungen, die Server in der EU nutzen und einen rechtskonformen Datenschutz gewährleisten
3. Datenschutz-Folgenabschätzung durchführen
Jedes Unternehmen, das KI-Technologien einsetzt, sollte vorab eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchführen. Dabei werden die Risiken für personenbezogene Daten analysiert und Maßnahmen erarbeitet, um diese Risiken zu minimieren.
4. Auf Transparenz und klare Rechtsgrundlagen achten
Die Nutzung von KI-Systemen sollte immer auf einer nachvollziehbaren und dokumentierten Rechtsgrundlage basieren. Unternehmen sollten sicherstellen, dass die Anbieter ihrer Wahl klare Informationen über Datenschutzmaßnahmen bereitstellen und DSGVO-konform arbeiten.
Fazit
Die Nutzung von DeepSeek ist für Unternehmen in der EU derzeit nicht empfehlenswert. Die bestehenden Datenschutzrisiken, die mangelnde Transparenz und die fehlende rechtliche Absicherung machen den Einsatz problematisch.
Während KI-Technologien immer wichtiger werden, müssen Unternehmen sicherstellen, dass sie rechtssichere und transparente Lösungen nutzen. Solange DeepSeek keine klaren Verbesserungen in Bezug auf Datenschutz und DSGVO-Compliance vornimmt, sollten europäische Unternehmen nach besseren Alternativen suchen.
Ob und inwieweit DeepSeek sich künftig an die strengen europäischen Datenschutzanforderungen anpassen wird, bleibt abzuwarten. Bis dahin sollten Unternehmen mit besonderer Vorsicht agieren, wenn es um den Einsatz dieser KI geht.