peshkova - stock.adobe.com
Datenschutz: Was bei KI-Diensten wie DeepSeek zu prüfen ist
Deutsche Datenschutzaufsichtsbehörden haben Prüfverfahren gegen den KI-Anbieter DeepSeek eingeleitet. Dies zeigt beispielhaft, worauf Unternehmen bei KI-Diensten achten sollten.
Nach ChatGPT, Copilot und Gemini macht nun insbesondere DeepSeek Schlagzeilen, wenn es um generative KI (Künstliche Intelligenz) geht. Dabei spielen häufig der Datenschutz und die Herkunft der KI eine entscheidende Rolle, nicht nur aus Sicht der Aufsichtsbehörden (siehe auch Generative KI: Datenrisiken bei LLMs erkennen und minimieren).
Deutschlands Unternehmen wünschen sich laut Bitkom mehr generative Künstliche Intelligenz „made in Germany“. Für 84 Prozent der Unternehmen, die generative KI einsetzen oder dies planen, ist das Herkunftsland des Anbieters wichtig, eine klare Mehrheit von 86 Prozent würde dabei Deutschland bevorzugen. Auf den Plätzen zwei und drei liegen die USA mit 64 Prozent sowie die EU mit 48 Prozent. Dahinter folgen Japan (39 Prozent), Großbritannien (34 Prozent), Indien (19 Prozent) sowie China (14 Prozent).
KI „made in China“ breitet sich aus
Nun kommt aber gerade aus China der neue KI-Dienst DeepSeek. „Auch chinesische Unternehmen müssen rechtskonform mit den Daten europäischer Bürgerinnen und Bürger umgehen, wenn sie ihre Apps in Europa anbieten“, sagte Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen. „Wir müssen aber davon ausgehen, dass es bei DeepSeek noch erheblichen Nachholbedarf beim Datenschutz gibt.“
Der Landesbeauftragte für den Datenschutz Niedersachsen möchte auf die Risiken aufmerksam machen, die mit der Verwendung des KI-Tools DeepSeek R1 (DeepSeek) verbunden sind. Obwohl dieses Modell einer generativen KI im Internet frei zugänglich ist, ist nach gegenwärtigem Kenntnisstand der Datenschutzaufsichtsbehörden davon auszugehen, dass insbesondere die Anforderungen der europäischen KI-Verordnung und der Datenschutz-Grundverordnung (DSGVO) nicht eingehalten werden.
Erste Hinweise der Aufsichtsbehörden zu DeepSeek
Aufsichtsbehörden wie der aus Niedersachsen sind bereits mehrere Punkte bei DeepSeek aufgefallen: So lasse sich der Datenschutzerklärung zu DeepSeek entnehmen, dass jegliche Eingaben und gegebenenfalls hochgeladene Dokumente uneingeschränkt aufgezeichnet, übertragen, gespeichert oder analysiert werden. DeepSeek weise außerdem darauf hin, dass das Unternehmen nach chinesischem Recht verpflichtet werden kann, dem chinesischen Geheimdienst und den Sicherheitsbehörden Daten zu übermitteln, so die Aufsichtsbehörden.
Da das Unternehmen und damit die für die Verarbeitung der personenbezogenen Daten verantwortliche Stelle nicht auf dem Gebiet der EU ansässig ist und keinen gesetzlichen Vertreter in der EU ernannt hat, geht der LfD Niedersachsen davon aus, dass die Zusammenarbeit des Unternehmens mit den Datenschutzbehörden in der EU unsicher ist. Datenschutzverletzungen und ein Missbrauch von Daten werden faktisch nur sehr schwer zu unterbinden und zu ahnden sein. Daraus sollten Unternehmen nun ihre Schlüsse ziehen.
Was nun überprüft werden muss bei DeepSeek
Eine Reihe von deutschen Landesdatenschutzaufsichtsbehörden hat abgestimmte Prüfverfahren gegen den KI-Anbieter DeepSeek eingeleitet. Die Verfahren haben zunächst das Ziel, zu klären, ob die zwei hinter DeepSeek stehenden chinesischen Unternehmen einen Vertreter in der Europäischen Union benannt haben. Beteiligt sind die Landesdatenschutzaufsichtsbehörden von Rheinland-Pfalz, Baden-Württemberg, Thüringen, Sachsen-Anhalt, Hessen, Bremen und Berlin. Die beteiligten Behörden stimmen sich zu ihrem Vorgehen auf nationaler und europäischer Ebene ab.
Doch nicht nur Datenschutzaufsichtsbehörden sollten bezüglich DeepSeek Fragen stellen, sondern jedes Unternehmen, das eine entsprechende Nutzung dieser KI plant. Aber auch wenn ein Unternehmen dies nicht plant, könnte DeepSeek Einzug halten: In rund jedem dritten Unternehmen (34 Prozent) in Deutschland nutzen Beschäftigte generative Künstliche Intelligenz wie ChatGPT & Co. mit ihrem privaten Account jenseits der Firmen-IT, so Bitkom. Solche Schatten-KI kann natürlich auch nun DeepSeek sein.
Die Aufsichtsbehörden haben Hinweise gegeben, was Unternehmen prüfen und beachten sollten:
- Achten Sie bei der Auswahl einer KI-Anwendung auf Transparenz des Anbieters und eine entsprechende Dokumentation, aus der nachvollziehbar hervorgeht, dass Garantien für die Einhaltung der DSGVO gegeben werden und diese eingehalten werden.
- Stellen Sie vor der Installation des KI-Modells sicher, dass keine (personenbezogenen) Daten abfließen können. Zum Beispiel durch eine separate, gesicherte IT-Umgebung oder andere geeignete Maßnahmen.
- Wenn Sie eine Online-Schnittstelle verwenden, sollten Sie niemals personenbezogene oder vertrauliche Daten eingeben, es sei denn, es sind wirksame Maßnahmen bekannt, die einen Missbrauch verhindern können. Wenn keine Maßnahmen bekannt sind, ist davon auszugehen, dass keine vorhanden sind.
- Beschäftigte und Nutzende sollten aktiv für die mit der Nutzung dieser KI verbundenen Risiken sensibilisiert werden. Dabei ist auch seit dem 2. Februar 2025 gemäß Artikel 4 KI-VO sicherzustellende KI-Kompetenz zu berücksichtigen.
- Achten Sie darauf, dass der Hersteller der KI-Anwendung, sofern er auch datenschutzrechtlich Verantwortlicher ist und seinen Sitz nicht in der EU hat, möglichst einen Vertreter nach Artikel 27 DSGVO benannt hat. Ansonsten kann die effektive Durchsetzung der Betroffenenrechte sehr schwierig werden.
DeepSeek ist aber nur ein Beispiel
So wichtig es ist, sich über die möglichen, zusätzlichen Risiken bei einem KI-Dienst wie DeepSeek im Klaren zu sein: Grundsätzlich gelten die Hinweise der Aufsichtsbehörden für alle Fälle, in denen der Anbieter einer KI-Anwendung nicht aus der EU oder einem Drittland mit Angemessenheitsbeschluss gemäß Artikel 45 DSGVO stammt.
Nicht zuletzt sollte man daran denken, dass mit jeder KI-Nutzung zahlreiche Datenschutz-Fragen verbunden sind. DeepSeek kann hier als Weckruf verstanden werden.
