Was ist DeepSeek?
DeepSeek ist ein Sprachmodell, welches auf künstlicher Intelligenz basiert und ähnlich funktioniert wie Chat-GTP. Der Unterschied ist, dass die Betreiberkosten bei DeepSeek um einiges geringer sind als bei anderen Anbietern künstlicher Intelligenz. China hat es geschafft Innerhalb nur weniger Monate ein KI-Tool zu entwickeln, welches mit den herkömmlichen Anbietern wie Google, Meta, Chat-GTP und Microsoft mithalten kann.
Ist eine datenschutzkonforme Nutzung möglich?
Problematisch ist aber, dass DeepSeek ein chinesischer Anbieter ist und daher viel geringeren datenschutzrechtlichen Anforderungen unterliegt als europäische Unternehmen. Die Europäische Datenschutz-Grundverordnung (DSGVO) erlaubt die Übermittlung personenbezogener Daten nur in Länder, die ein mit der EU vergleichbares Datenschutzniveau gewährleisten. Für China fehlt bislang ein entsprechendes Abkommen, das einen datenschutzkonformen Austausch ermöglichen würde. Zudem ist derzeit weder eine europäische Niederlassung des Anbieters bekannt noch ein gesetzlich benannter Vertreter innerhalb der EU. Schon das stellt einen Verstoß gegen zentrale Anforderungen der DSGVO dar und wirft grundlegende datenschutzrechtliche Bedenken im Hinblick auf die Nutzung solcher Dienste in Europa auf.
Die Nutzung von DeepSeek bringt Risiken für Nutzer*innen mit sich. Das Unternehmen stand bereits wegen Datenlecks und Zensurvorwürfen in der Kritik. Außerdem ermöglicht DeepSeek nicht die Schließung eines Auftragsverarbeitungsvertrags (AVV), sodass die Einhaltung von Art. 28 und Art. 32 DSGVO nicht gewährleistet werden kann. Besonders gravierend ist, dass DeepSeek nicht nur persönliche Nutzerdaten erhebt, sondern technische Daten wie die IP-Adresse sowie Verhaltensdaten (Tastatureingaben). Ob auch noch darüber hinaus andere Daten erhoben werden und wofür die Daten genutzt werden, ist unklar. Das macht DeepSeek so unberechenbar und risikoreich für Private Nutzer*innen und Unternehmen.
Die erfassten Nutzerdaten werden auf Servern in China gespeichert. Das stellt aus datenschutzrechtlicher Sicht eine erhebliche Herausforderung dar. Nach den Artikeln 44 bis 49 der DSGVO sind Unternehmen verpflichtet, genau anzugeben, wo personenbezogene Daten verarbeitet werden. Zusätzlich müssen sie offenlegen, auf welcher rechtlichen Grundlage die Datenverarbeitung erfolgt. Fehlen diese Informationen, ist eine rechtmäßige Übermittlung und Nutzung der Daten nicht möglich.
In den Nutzungsbedingungen wird lediglich pauschal darauf hingewiesen, dass die erhobenen Daten für verschiedene Zwecke verwendet werden können. Zudem wird eingeräumt, dass DeepSeek nach chinesischem Recht verpflichtet sein kann, Daten an staatliche Sicherheitsbehörden oder Geheimdienste weiterzugeben. Damit stellt sich ein weiteres zentrales Problem: die Übermittlung sensibler Informationen an einen Staat mit autoritären Strukturen und ohne unabhängige Datenschutzaufsicht.
Nutzung von DeepSeek durch Unternehmen
Ein DSGVO-konformer Einsatz von DeepSeek ist zum jetzigen Zeitpunkt nicht gewährleistet. Unternehmen sollten daher dringend von der Nutzung absehen, um die sensiblen Daten ihrer Mitarbeitenden, Kunden sowie unternehmensinterne Informationen vor möglichen Datenschutzverstößen zu schützen. Ohne klare rechtliche Rahmenbedingungen und nachweisbare Schutzmaßnahmen birgt der Einsatz erhebliche Risiken für die Datensicherheit und die rechtliche Compliance.