KI aus China – Behörden untersuchen DeepSeek

Italien überprüft erneut eine KI-Anwendung und zieht Konsequenzen: Wie auch bei ChatGPT schränkt die italienische Datenschutzaufsichtsbehörde den Zugang zu der KI-Anwendung DeepSeek ein. Grund hierfür ist die Einstufung der Datenschutzmaßnahmen als „völlig unzureichend“. Um was es sich bei DeepSeek handelt und was aus datenschutzrechtlicher Sicht zu der Anwendung zu sagen ist, erfahren Sie im folgenden Beitrag.

Was versteckt sich hinter DeepSeek?

DeepSeek überrascht und verunsichert die Tech-Welt zugleich. Es handelt sich dabei um ein aufstrebendes chinesisches Unternehmen im Bereich der künstlichen Intelligenz, das 2023 gegründet wurde und sich auf die Entwicklung leistungsstarker Open-Source-Sprachmodelle spezialisiert hat. Ihr Flaggschiffmodell, DeepSeek R1, konkurriert mit führenden kommerziellen KI-Modellen wie OpenAIs GPT-4, soll jedoch günstiger entwickelt worden sein. DeepSeek nutzt innovative Techniken wie Multi-Head Latent Attention (MLA) und Mixture-of-Experts (MoE), um die Effizienz und Leistung seiner Modelle zu verbessern.

Die Tatsache, dass ein KI-Unternehmen aus China in wenigen Monaten Entwicklungszeit einen KI-Chatbot entwickeln kann, der den eines Milliarden-Dollar-Konzerns wie OpenAI schlägt, beunruhigt die KI-Branche in den USA.

Datenschutzrecht ade?

Die Nutzung von DeepSeek wirft erhebliche datenschutzrechtliche Bedenken auf, insbesondere im Hinblick auf die DSGVO-Konformität. Das chinesische Unternehmen sammelt umfangreiche Nutzerdaten, darunter persönliche Informationen, Chat-Verläufe, Suchanfragen, Geräte- und Browser-Daten sowie Tastenanschlagmuster.

Diese Daten werden auf Servern in China gespeichert, was problematisch ist, da China nicht als sicheres Drittland nach DSGVO-Standards gilt. DeepSeek bietet zudem weder eine transparente Datenschutzerklärung noch einen Auftragsverarbeitungsvertrag (AVV) an, was die rechtskonforme Nutzung im Unternehmenskontext gar unmöglich macht. Ferner fehlt eine europäische Niederlassung und ein gesetzlicher Vertreter in der EU, was einen klaren Verstoß gegen die DSGVO darstellt.

Datenlecks entdeckt

Zu den ganzen bestehenden Bedenken hinsichtlich der Nutzung von DeepSeek kam nun noch ergänzend hinzu, dass unter anderem die Cybersicherheitsfirma Wiz ein Datenleck beim chinesischen KI-Unternehmen aufgedeckt hat. Mehr als eine Million Datensätze, darunter digitale Software-Schlüssel und Chatprotokolle, sind ungesichert im Internet zugänglich gewesen. Zu den sensiblen Daten gehörten demnach auch Nutzeranfragen an den kostenlosen KI-Assistenten.

Obwohl DeepSeek das Leck innerhalb einer Stunde nach der Meldung schloss, warnen Experten, dass aufgrund der leichten Auffindbarkeit möglicherweise auch andere darauf gestoßen sein könnten. Dieser Vorfall wirft ernsthafte Fragen zur Datensicherheit bei KI-Unternehmen auf und unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen im Umgang mit sensiblen Nutzerdaten.

Andere Behörden ziehen mit

Auch die irische Datenschutzaufsichtsbehörde setzt sich mit dem neuen KI-Chatbot im Detail auseinander. Die Data Protection Commission teilte den Irish Legal News mit, dass sie DeepSeek angeschrieben und um Informationen über die Verarbeitung von Daten betroffener Personen in Irland gebeten habe. Innerhalb einer Frist von 20 Tagen soll DeepSeek nun antworten. Die Frist ist noch nicht abgelaufen. Es bleibt daher spannend, ob und wie sich DeepSeek positionieren wird.

Und noch eine weitere Meldung wurde unlängst bekannt: In Australien wird die KI-Anwendung auf allen Regierungsgeräten verboten. Die Nutzung stelle ein „inakzeptables Sicherheitsrisiko“ dar, erklärte das Innenministerium.

Wie positionieren sich die deutschen Aufsichtsbehörden?

Auch die deutschen Aufsichtsbehörden wollen DeepSeek einer gründlichen Untersuchung unterwerfen. Das wird sich auch nicht vermeiden lassen. Geplant wird eine gemeinsame Untersuchung der deutschen Datenschutzbehörden. Wie bei ChatGPT soll zunächst ein Fragebogen erstellt und an das Unternehmen übersandt werden.

Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann hat bereits öffentlich Kritik geäußert, dass bei DeepSeek grundlegende Datenschutzanforderungen nicht erfüllt werden. „Es scheint bei DeepSeek datenschutzrechtlich an so ziemlich allem zu fehlen“, sagte er gegenüber dem Fachdienst Tagesspiegel Background.