DeepSeek – datenschutzrechtliche Herausforderungen

Kostenlose Erstberatung

Leistungen

Datenschutz

Informationssicherheit

IT-Recht

Das chinesische KI-Modell DeepSeek R1 sorgt derzeit für großes Aufsehen – nicht nur aufgrund seiner technologischen Leistungsfähigkeit, sondern auch wegen erheblicher datenschutzrechtlicher Risiken und ethischer Bedenken. Während das Modell Unternehmen durch seine Kosteneffizienz und Open-Source-Verfügbarkeit lockt, wirft der DeepSeek Datenschutz sowie mögliche politische und gesellschaftliche Voreingenommenheiten gravierende Fragen auf.

Hintergrund und aktuelle Entwicklungen

DeepSeek ist ein chinesisches Startup, das im Januar 2025 sein neues KI-Modell DeepSeek R1 veröffentlicht hat. Es handelt sich um ein sogenanntes Reasoning-Modell, das mit etablierten KI-Lösungen wie denen von OpenAI konkurriert. Besondere Aufmerksamkeit erregt DeepSeek R1 durch seine kosteneffiziente und ressourcenschonende Architektur, die den Betrieb leistungsstarker KI-Anwendungen erschwinglicher macht. Zudem ist das Modell als Open Sourceverfügbar, was die KI-Landschaft herausfordert und bestehende Marktstrukturen aufbrechen könnte.

Nach der Veröffentlichung am 20. Januar 2025 reagierten die Technologie-Aktienmärkte empfindlich, da die Kombination aus hoher Effizienz und Open-Source-Strategie etablierte Akteure unter Druck setzt. Gleichzeitig geriet DeepSeek umgehend ins Visier von Datenschutzaufsichtsbehörden.

Die italienische Datenschutzbehörde hat die Nutzung von DeepSeek in Italien untersagt, da der Anbieter keine ausreichenden Antworten auf Datenschutzfragen liefern konnte. Besonders problematisch: DeepSeek vertrat die Auffassung, dass europäische Datenschutzvorschriften auf ihr Modell nicht anwendbar seien. Auch in Deutschland haben Aufsichtsbehörden angekündigt, DeepSeek genauer zu prüfen.

Datenschutzprobleme

Speicherung und Nutzung von Nutzerdaten

DeepSeek behält sich in seinen Nutzungsbedingungen das Recht vor, sämtliche Nutzereingaben („Prompts“) für Trainingszwecke zu speichern und zu verwenden. Das betrifft auch sensible Informationen wie personenbezogene Daten oder Geschäftsgeheimnisse, die ungewollt in Prompts eingegeben werden. Umfasst werden neben Chatverläufen und hochgeladene Dateien auch Muster und Rhythmus der Tastaturanschläge.

Verarbeitung in einem datenschutzrechtlich unsicheren Drittstaat

DeepSeek wird in China entwickelt und betrieben – einem Land, das keine mit der DSGVO vergleichbaren Datenschutzstandards bietet. Der Anbieter stellt weder eine Vereinbarung zur Auftragsverarbeitung, noch Standardvertragsklauseln oder andere Mechanismen zur Verfügung, die einen datenschutzkonformen Einsatz ermöglichen könnten.

Sicherheitsrisiken und Datenlecks

Zusätzlich zu den Datenschutzbedenken wurde kürzlich ein massives Datenleck bei DeepSeek entdeckt. Sicherheitsforscher fanden heraus, dass Chatverläufe und geheime Zugangsschlüssel frei im Internet abrufbar waren. Obwohl diese Lücke schnell geschlossen wurde, zeigt der Vorfall, dass DeepSeek erhebliche Sicherheitsmängel aufweist.

Möglicher Zugriff durch die chinesische Regierung

Da DeepSeek aus China stammt, besteht das Risiko, dass chinesische Behörden direkten Zugriff auf gespeicherte Daten erhalten. Dies verstärkt nicht nur die Datenschutzprobleme, sondern wirft auch ethische Fragen hinsichtlich staatlicher Überwachung und der möglichen Nutzung von DeepSeek für politische oder sicherheitsrelevante Zwecke auf.

Empfehlungen für die Praxis

Angesichts der erheblichen datenschutzrechtlichen und sicherheitstechnischen Risiken sollten Unternehmen bei der Nutzung von DeepSeek äußerste Zurückhaltung walten lassen.

Nutzung von DeepSeek als Cloud-Dienst nicht empfehlenswert

Der Einsatz von DeepSeek über das Internet (inklusive API-Zugriff) ist derzeit nicht DSGVO-konform und sollte vermieden werden. Unternehmen setzen sich durch eine Nutzung der Software hohen rechtlichen Risiken aus.

On-Premises-Installation als Alternative

Falls ein Unternehmen DeepSeek dennoch einsetzen möchte, sollte dies ausschließlich auf firmeneigenen Servern (On-Premises) erfolgen, um die Kontrolle über die Datenverarbeitung zu behalten. Dabei müssen jedoch weitere Datenschutzmaßnahmen berücksichtigt werden:

  • Datenschutz-Folgenabschätzung (DSFA): Eine DSFA sollte vor der Implementierung durchgeführt werden, um mögliche Risiken zu bewerten.
  • Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (VVT): Die Nutzung muss detailliert dokumentiert werden.
  • Technische und organisatorische Maßnahmen (TOM): Sicherheitsmaßnahmen zur Absicherung des KI-Systems sind essenziell.
Interne Richtlinien für den KI-Einsatz

Unabhängig von DeepSeek sollten Unternehmen klare interne Richtlinien für die Nutzung von KI-Modellenentwickeln. Dabei ist insbesondere festzulegen:

  • Welche KI-Dienste genutzt werden dürfen,
  • Welche Daten in KI-Modelle eingegeben werden dürfen,
  • Welche Sicherheitsmaßnahmen zu beachten sind.

Fazit

DeepSeek ist eine technologisch beeindruckende, aber datenschutzrechtlich hochproblematische KI-Plattform. Der Dienst speichert Nutzereingaben, verarbeitet Daten in einem datenschutzrechtlich unsicheren Drittstaat und weist gravierende Sicherheitsmängel auf.

Für Unternehmen bedeutet dies:

  • Die Nutzung des Cloud-Dienstes ist nicht DSGVO-konform und sollte unterlassen werden.
  • On-Premises-Lösungen können eine Alternative sein, erfordern aber umfangreiche Schutzmaßnahmen.
  • Klare interne KI-Richtlinien sind unerlässlich, um den verantwortungsvollen Einsatz von KI zu gewährleisten.

Bis DeepSeek umfassende datenschutzrechtliche und sicherheitstechnische Garantien bietet, ist ein Einsatz in Unternehmen mit hohen Datenschutzanforderungen nicht empfehlenswert. Unternehmen sollten sich stattdessen nach DSGVO-konformen Alternativen umsehen.

,
Kostenlose Erstberatung
de_DEDeutsch
en_USEnglish de_DEDeutsch