Die chinesische KI-App DeepSeek hat in den vergangenen Monaten sowohl Begeisterung als auch Besorgnis in der Tech-Welt ausgelöst. Während die App durch ihre Leistungsfähigkeit und Kosteneffizienz im Vergleich zu etablierten KI-Modellen wie ChatGPT beeindruckt, stehen erhebliche Datenschutzbedenken im Vordergrund, die von Behörden, Experten und Nutzern gleichermaßen kritisch beäugt werden. Die Berliner Datenschutzaufsicht hat nun insgesamt die Notbremse gezogen und bewertet die App generell als rechtswidrig. Vor allem die Datenweitergaben nach China verstößt gegen die Datenschutzregeln der EU (DSGVO) und daher sollen Apple und Google die App nun aus den Stores nehmen.

Datenübertragung nach China und fehlender Angemessenheitsbeschluss

Ein zentraler Kritikpunkt ist die Speicherung und Verarbeitung von Nutzerdaten auf Servern in China. DeepSeek gibt an, dass sämtliche Daten, einschließlich personenbezogener Informationen wie E-Mail-Adressen, Telefonnummern, Geburtsdaten, IP-Adressen, Tastatureingabemuster und Chatverläufe, auf chinesischen Servern gespeichert werden. Da China nicht zu den Ländern gehört, für die die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO erlassen hat, besteht das Risiko, dass diese Daten nicht auf einem der EU gleichwertigen Schutzniveau verarbeitet werden. Die Berliner Datenschutzbeauftragte Meike Kamp hat darauf hingewiesen, dass DeepSeek nicht überzeugend nachweisen konnte, dass die Daten deutscher Nutzer in China ausreichend geschützt sind.

Zusätzlich verpflichten chinesische Gesetze Technologieunternehmen zur Zusammenarbeit mit staatlichen Behörden, was die Möglichkeit von Behördenzugriffen auf Nutzerdaten erhöht. Dies wirft erhebliche Bedenken hinsichtlich der Privatsphäre und Sicherheit der Nutzer auf, insbesondere für europäische Nutzer, die strengen Datenschutzvorgaben unterliegen.

DeepSeek steht in der Kritik, gegen Art. 27 Abs. 1 DSGVO zu verstoßen, der vorschreibt, dass Unternehmen, die nicht in der EU ansässig sind, aber dort Dienstleistungen anbieten, einen Vertreter in der EU benennen müssen. Dieser Vertreter dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen. Aktuell hat DeepSeek keinen solchen Vertreter ernannt, was ein klarer Verstoß gegen die DSGVO ist und mit Bußgeldern geahndet werden kann. Sieben deutsche Landesdatenschutzbehörden haben aufgrund dieses Verstoßes bereits Prüfverfahren gegen DeepSeek eingeleitet.

Mangelnde Transparenz und fehlende Opt-out-Optionen

Die Datenschutzrichtlinien von DeepSeek werden als unzureichend und intransparent bezeichnet. Nutzer haben keine Möglichkeit, der Datenspeicherung in China oder der Erfassung bestimmter Daten zu widersprechen (keine Opt-out-Option). Zudem gibt es keine detaillierten Angaben dazu, wie Daten während der Übertragung geschützt werden. Diese Intransparenz erschwert es Nutzern und Unternehmen, die Sicherheit ihrer Daten zu bewerten und das Risiko potenzieller Datenlecks oder Missbrauchs einzuschätzen.

4. Erfassung sensibler Daten und Nutzerprofile

DeepSeek sammelt eine Vielzahl sensibler Daten, darunter nicht nur grundlegende Informationen wie E-Mail-Adressen und Telefonnummern, sondern auch technische Daten wie Tastatureingabemuster und -rhythmen. Diese Daten könnten genutzt werden, um individuelle Nutzerprofile zu erstellen, was laut Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhebliche Sicherheitsrisiken birgt. Solche Profile könnten potenziell für Überwachungszwecke oder gezielte Cyberangriffe missbraucht werden.

Sicherheitslücken und Cyberangriffe

Neben Datenschutzbedenken gibt es auch Sicherheitsrisiken. Experten warnen vor potenziellen Schwachstellen in DeepSeeks Open-Source-Architektur, die Cyberkriminellen die Möglichkeit bieten könnte, Malware oder Backdoors in das System einzuschleusen. Kaspersky-Sicherheitsforscher Leonid Bezvershenko betonte, dass der Open-Source-Charakter von DeepSeek ein „zweischneidiges Schwert“ sei, da er zwar Innovation fördere, aber auch Sicherheitsrisiken erhöhe. Tatsächlich wurde bereits ein Datenleck bei DeepSeek gemeldet, das die Schwachstellen in KI-Systemen verdeutlicht. Zudem wurden Betrugsfälle im Zusammenhang mit dem DeepSeek-Hype identifiziert, bei denen Cyberkriminelle versuchten, Anmeldedaten zu stehlen.

Ein weiterer Kritikpunkt ist die mutmaßliche Zensur durch DeepSeek. Nutzer berichten, dass die App bei China-kritischen Fragen oder Inhalten Inhalte blockiert oder löscht. Dies nährt die Sorge, dass DeepSeek durch die chinesische Regierung beeinflusst wird, was die Vertrauenswürdigkeit der App weiter untergräbt.

Reaktionen und Maßnahmen weltweit

Die Datenschutzbedenken haben bereits zu konkreten Maßnahmen geführt. In Deutschland hat die Berliner Datenschutzbeauftragte Meike Kamp die Entfernung von DeepSeek aus den App-Stores von Apple und Google gefordert, da die App gegen die DSGVO verstoße. Dies ist der erste Einsatz des Digital Services Acts (DSA) in Deutschland für eine solche Maßnahme. In Italien wurde die Verarbeitung italienischer Nutzerdaten gestoppt, und die App wurde aus den App-Stores entfernt. Südkorea hat DeepSeek ebenfalls aus den App-Stores verbannt, während Taiwan und Australien die Nutzung für Regierungsbehörden untersagt haben.

Empfehlungen für Unternehmen und Nutzer

Experten raten Unternehmen und Privatnutzern, DeepSeek mit Vorsicht zu nutzen. Für Unternehmen in der EU wird der Einsatz von DeepSeek derzeit als unzulässig angesehen, da die unklare Datenschutzlage und das Risiko von Bußgeldern nach der DSGVO und der EU-KI-Verordnung zu hoch sind. Stattdessen sollten DSGVO-konforme Alternativen wie europäische oder US-amerikanische KI-Lösungen in Betracht gezogen werden, die klarere Datenschutzrichtlinien und lokale Datenverarbeitung bieten. Nutzer sollten sich der Risiken bewusst sein und DeepSeek nur mit minimalen personenbezogenen Daten nutzen, um potenzielle Schäden zu minimieren.

DeepSeek mag technologisch beeindruckend sein, doch die Datenschutzbedenken sind gravierend. Die Speicherung von Daten in China, die fehlende DSGVO-Konformität, Sicherheitslücken und Zensurvorwürfe machen die App zu einem Risiko für Nutzer und Unternehmen in der EU. Die laufenden Prüfverfahren und die Forderung nach einem App-Store-Verbot in Deutschland zeigen, dass die Behörden die Angelegenheit ernst nehmen. Bis DeepSeek seine Datenschutzrichtlinien an europäische Standards anpasst, bleibt Vorsicht geboten.