Datenschutz verstehen – Datenschutz bei DeepSeek
Einleitung
DeepSeek, ein aufstrebender KI-Anbieter, verspricht leistungsstarke Sprachmodelle und intelligente Automatisierungslösungen. Doch wie geht das Unternehmen aus China mit sensiblen Nutzerdaten um? In diesem Beitrag werfen wir einen detaillierten Blick auf den Datenschutz von DeepSeek: Welche Daten werden gespeichert? Wie werden sie geschützt? Und welche Maßnahmen können Unternehmen ergreifen, um ihre Informationen sicher zu halten? Lesen Sie weiter, um herauszufinden, ob DeepSeek wirklich eine datenschutzfreundliche Wahl für Ihre KI-Anwendungen ist.
Was ist DeepSeek?
DeepSeek ist ein KI-Anbieter aus China, der leistungsstarke Sprachmodelle entwickelt. Das Unternehmen wird von Hangzhou DeepSeek Artificial Intelligence Co., Ltd. und Beijing DeepSeek Artificial Intelligence Co., Ltd. betrieben. Möglicherweise arbeiten diese Unternehmen als gemeinsame Verantwortliche gemäß Art. 26 DSGVO zusammen. Allerdings fehlt es an einer expliziten Angabe hierzu.
DeepSeek bietet zwei Hauptlösungen an:
- DeepSeek Chat – Eine klassische Chat-KI für den direkten Austausch mit Nutzern.
- DeepSeek API – Eine Plattform, über die Entwickler die KI in eigene Anwendungen integrieren können.
Die neueste Version, DeepSeek R1, zeichnet sich durch eine höhere Effizienz und Leistung aus. Damit kann die KI noch schneller und präziser auf Anfragen reagieren. DeepSeek setzt auf Open-Source-Technologie, was bedeutet, dass die Software für viele Anwendungen frei verfügbar ist. Die API-Nutzung ist allerdings kostenpflichtig und funktioniert ähnlich wie bei ChatGPT – die Abrechnung erfolgt nach Tokens.
Ist die Nutzung von DeepSeek sicher?
Die Sicherheit von DeepSeek hängt von verschiedenen Faktoren ab, darunter Datenschutz, Informationssicherheit und allgemeine KI-Aspekte. Grundsätzlich gilt, dass chinesische Unternehmen anderen Datenschutzgesetzen als europäische Anbieter unterliegen, was Bedenken hinsichtlich Datenübertragungen und Zugriff durch Behörden aufwerfen könnte.
Was passiert mit Eingaben bei DeepSeek?
Ein wesentliches Problem bei KI-Modellen ist der Umgang mit Nutzereingaben (sog. Prompts). Folgende Fragen sind dabei relevant:
- Werden Eingaben gespeichert und für Trainingszwecke verwendet? Falls ja, in welchem Umfang und für wie lange geschieht dies. DeepSeek speichert alle Prompts, aber auch alle Benutzerinteraktionen, einschließlich granularer Daten, wie z.B. Tastenanschläge und Rhythmus der Anschläge bei Eingabe von Prompts.
- Gibt es eine klare Datenschutzrichtlinie, die erklärt, wie die Daten verarbeitet werden?
Werden personenbezogene Daten außerhalb der EU verarbeitet? DeepSeek macht hierzu keine eindeutigen Angaben, was aus DSGVO-Sicht problematisch ist. Es gibt hier auch keinen Datenschutzbeauftragten, an den man sich wenden kann, sondern lediglich eine Kontaktmöglichkeit, die Anfragen vorbehaltlich einer ordnungsgemäßen Prüfung beantwortet. Wie diese Überprüfung aussieht und was sie beinhaltet, wird nicht erläutert.
Datenschutz-Risiken bei DeepSeek
Folgende Risiken bestehen bei der Nutzung von DeepSeek für Unternehmen:
- Erhebliche Lücken in der Datenschutzerklärung: DeepSeek bietet keine transparente Datenschutzerklärung, die den Anforderungen der DSGVO entspricht. Die vorhandenen Informationen sind unvollständig und lassen viele Fragen offen. Insofern lässt sich nicht nachvollziehen, was mit Daten nach Eingabe passiert.
- Kein Auftragsverarbeitungsvertrag (AVV) vorhanden: Unternehmen, die DeepSeek nutzen möchten, benötigen eine AVV gemäß Art. 28 DSGVO. Eine solche Vereinbarung ist jedoch nicht vorhanden, was eine rechtskonforme Nutzung im Unternehmenskontext unmöglich macht.
- Gerichtsstand China: Da die Betreiberfirmen ihren Sitz in China haben, unterliegt DeepSeek chinesischem Recht. Dies stellt ein erhebliches Risiko dar, da Daten an chinesische Behörden weitergegeben werden könnten (gemäß chinesischem Sicherheitsgesetz).
Wie kann man DeepSeek sicher nutzen?
Zum aktuellen Zeitpunkt ist es für Unternehmen nicht sicher und vollständig konform möglich. Insbesondere die fehlende AVV (Art. 28 DSGVO) führt zu diesem Umstand. Unternehmen dürfen keine personenbezogenen Daten an Datenempfänger (z.B. Auftragsverarbeiter) weitergeben, ohne eine solche vertragliche Vereinbarung. Wie bereits erwähnt, führt auch die unklare Datenverarbeitung (Art. 5 DSGVO) dazu, dass die Grundsätze der Transparenz und Zweckbindung nicht erfüllt werden.
Die Übermittlung in ein unsicheres Drittland (Art. 44 DSGVO) muss zwangsläufig durch geeignete Garantien abgesichert werden. Inwieweit solche Garantien mit DeepSeek abgeschlossen werden können, ist unklar.
Fehlende Rechtsgrundlage für Verarbeitung (Art. 6 DSGVO) – Nutzer haben keine klare Information darüber, auf welcher Rechtsgrundlage DeepSeek Daten verarbeitet. Zudem fehlt es in den meisten Fällen an der Rechtmäßigkeit personenbezogene Daten in ein KI-Modell einzugeben, welche zu Trainingszwecken mit diesen Daten weiterlernt. Das ist allerdings ein grundsätzliches Risiko, welches nicht allein bei DeepSeek herrscht.
Technisch gesehen besteht die Möglichkeit, DeepSeek R1 als On-Premises zu betreiben. Das hilft, datenschutzrechtliche Probleme zu vermeiden, schränkt aber auch die Nutzung stark ein. Insbesondere lassen sich Performance Probleme nur durch zusätzliche Hardware lösen. Hierzu bestehen zum aktuellen Zeitpunkt noch nicht genug Erfahrungswerte, um diese Variante zu empfehlen.
Fazit
Für allgemeine Anfragen & technische Anwendungen ist DeepSeek vermutlich sicher, vor allem da es Open Source ist. Für sensible Daten, personenbezogene Daten & geschäftskritische Anwendungen sollte geprüft werden, ob die Datenverarbeitung den Sicherheits- und Datenschutzanforderungen entspricht. Vor der Nutzung sollte man sich die Datenschutzbestimmungen und AGB von DeepSeek genau ansehen und den Datenschutzbeauftragten konsultieren.

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.