Chinesische KI und Datenschutz – DeepSeek kritisch beleuchtet

Datenschutz ist für Unternehmen heute ein entscheidender Erfolgsfaktor. Gerade kleine und mittelständische Unternehmen (KMU) verarbeiten täglich sensible Daten – von Kundeninformationen bis hin zu Firmengeheimnissen. Ein Vertrauensverlust durch Datenmissbrauch oder -lecks kann gravierende Folgen haben, ganz zu schweigen von möglichen gesetzlichen Sanktionen. Die EU-Datenschutz-Grundverordnung (DSGVO) sieht bei Verstößen drakonische Strafen vor: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes können fällig werden​. Für KMU kann eine solche Strafe existenzbedrohend sein. Entsprechend wichtig ist es, bei neuen Technologien genau hinzuschauen – insbesondere wenn Dienste ins Spiel kommen, die außerhalb der EU operieren. Aktuell sorgt der aufstrebende KI-Chatbot DeepSeek aus China für Aufsehen. Viele Unternehmen fragen sich: Kann man ein günstiges, leistungsfähiges KI-Tool aus China nutzen, ohne gegen Datenschutzregeln zu verstoßen? Dieser Blogbeitrag beleuchtet kritisch die Datenschutzprobleme von DeepSeek und ähnlichen Anbietern und gibt Hinweise, was KMU aus der Region Aachen beachten sollten.

DeepSeek und seine Herkunft

DeepSeek verblüfft derzeit die Tech-Welt – der neue Chatbot funktioniert ähnlich wie sein Konkurrent ChatGPT, soll aber deutlich kostengünstiger entwickelt worden sein​. Hinter DeepSeek steht ein vergleichsweise junges chinesisches KI-Start-up, das erst 2023 gegründet wurde. Initiator ist der Unternehmer Liang Wenfeng, der bereits zuvor Erfahrungen mit KI im Finanzsektor gesammelt hatte. Finanziert wurde DeepSeek durch chinesisches Kapital – das KI-Labor wurde mit Unterstützung eines prominenten chinesischen Hedgefonds ins Leben gerufen​. Manche Beobachter vermuten sogar eine direkte Förderung durch staatliche Stellen in China​. Diese Herkunft ist insofern bedeutend, als die Finanzierung und Kontrolle aus China schon erste Fragen hinsichtlich Unabhängigkeit und Datenschutz aufwirft. Ein Produkt, das unter Einfluss chinesischer Geldgeber oder gar Behörden steht, wird naturgemäß mit einem anderen Maß an Datenschutz- und Compliance-Vorgaben entwickelt als ein europäisches.

DeepSeek hat innerhalb weniger Monate enorme Popularität erlangt. Das neueste KI-Modell „R1“ der Plattform gilt als so leistungsfähig, dass es in einigen Bereichen mit den Modellen großer US-Techkonzerne mithalten kann – und das trotz wesentlich geringerem Budgeteinsatz​. Für viele KMU klingt das verlockend: Spitzen-KI-Leistung zum Schnäppchenpreis. Doch genau hier setzt die Kritik an. Wie geht DeepSeek mit den Daten seiner Nutzer um? Die folgenden Abschnitte zeigen, warum gerade die chinesische Herkunft bei Datenschutz und Datensicherheit zum Risiko werden kann.

Datenschutzbedenken bei chinesischen KI-Modellen

Bei der Nutzung von DeepSeek und ähnlichen KI-Diensten aus China ergeben sich mehrere gravierende Datenschutzbedenken. Im Folgenden die wichtigsten Punkte, die Unternehmen kritisch beachten sollten:

• Speicherung der Daten in China: DeepSeek selbst gibt unumwunden an, alle erfassten Informationen auf Servern in der Volksrepublik China zu speichern​. Sämtliche Unterhaltungen, Fragen und hochgeladenen Dateien der Nutzer werden also nach China übertragen und dort abgelegt​. Aus europäischer Sicht bedeutet das: Die Daten verlassen den Geltungsbereich des strengen EU-Datenschutzes und liegen in einem Land, das kein mit der EU vergleichbares Schutzniveau bietet. Welche Personen oder Stellen in China letztlich Zugriff auf diese Informationen haben (oder erhalten könnten), entzieht sich der direkten Kontrolle europäischer Nutzer und Aufsichtsbehörden.

• Umfassende Datensammlung und unklare Weitergabe: Schon die Datenschutzerklärung von DeepSeek listet eine überraschend breite Sammlung persönlicher Informationen. Erfasst werden nicht nur grundlegende Daten wie IP-Adresse oder Gerätedaten, sondern praktisch alles, was der Nutzer eingibt – von kompletten Chat-Verläufen über hochgeladene Dokumente bis hin zu Mustern und dem Rhythmus der Tastaturanschläge​. Diese Fülle an Daten geht weit über das hinaus, was zur Beantwortung von Nutzerfragen nötig erscheint. Unklar bleibt zudem, an wen diese Daten überall fließen. Analysen haben gezeigt, dass DeepSeek Nutzerdaten nicht nur für die eigenen Zwecke sammelt, sondern auch an Dritte in China weiterleitet – zum Beispiel an den Analysedienst Baidu Tongji oder sogar an ByteDance (den TikTok-Konzern) und dessen Partner​. Intransparenz ist hier ein großes Problem: Nutzer wissen nicht genau, wer am Ende alles ihre Daten sieht.

• Chinesische Überwachungsgesetze: Anders als in Europa ist in China der staatliche Zugriff auf Unternehmensdaten gesetzlich verankert. In den letzten Jahren wurden in China mehrere Sicherheits- und Überwachungsgesetze verabschiedet, die Technologiefirmen zur Zusammenarbeit mit den Behörden verpflichten. So schreibt ein Gesetz von 2017 ausdrücklich vor, dass Organisationen und Bürger “mit den nationalen Nachrichtendiensten kooperieren” müssen​. Für ein Unternehmen wie DeepSeek bedeutet das: Sollte eine chinesische Behörde oder der Geheimdienst Zugriff auf die gespeicherten Nutzerdaten verlangen, müsste DeepSeek dem wohl nachkommen. Die Vorstellung, dass Unterhaltungen, die Mitarbeiter eines Aachener KMU mit dem Chatbot führen, theoretisch von chinesischen Behörden ausgewertet werden könnten, ist alarmierend. Selbst wenn dies nicht aktiv geschieht, reicht die Möglichkeit bereits aus, um ein mulmiges Gefühl zu hinterlassen.

• Staatliche Zensur und Einflussnahme: Eng verbunden mit den gesetzlichen Vorgaben ist die Frage, inwieweit der chinesische Staat die Inhalte der KI beeinflusst. Tatsächlich gibt es bereits Hinweise darauf, dass DeepSeek politisch sensiblen Fragen ausweicht oder im Sinne der offiziellen Linie antwortet. Nutzer berichten, dass der Chatbot bestimmte kritische Themen – etwa das Tian’anmen-Massaker von 1989 oder die Lage der Uiguren – gar nicht erst beantwortet. Einige Ausgaben der KI klingen zudem erstaunlich nach staatlicher Propaganda​. Diese Zensurmechanismen mögen auf den ersten Blick “nur” ein Problem der Informationsfreiheit sein, doch sie zeigen, unter wessen Einfluss die KI steht. Für Unternehmen bedeutet das zweierlei: Zum einen fließen möglicherweise gefilterte oder gefärbte Informationen zurück, was die Verlässlichkeit der Ergebnisse mindert. Zum anderen untermauert es die Sorge, dass der Staat – und damit unberechtigte Dritte – generell Einblick in die Funktionsweise und Daten der Plattform haben.

Zusammengefasst stellen chinesische KI-Plattformen wie DeepSeek aus Datenschutzsicht ein besonderes Risiko dar. Die Kombination aus umfangreicher Datenerfassung, Speicherung in einem überwachten Umfeld und fehlender Transparenz bei der Datenweitergabe lässt Alarmglocken schrillen. Insbesondere für europäische Firmen, die strengen Datenschutzgesetzen unterliegen, ist das eine heikle Mischung.

Reaktionen europäischer Datenschutzbehörden

Datenschutzbehörden in Europa haben auf die genannten Risiken bereits reagiert. Während Nutzerzahlen und mediale Aufmerksamkeit für DeepSeek weltweit steigen, schauen europäische Regulierer sehr genau hin – und greifen auch ein, wenn nötig. Ein erster Paukenschlag kam aus Italien: Die italienische Datenschutzbehörde hat DeepSeek im Januar 2025 vorübergehend blockiert, weil das Unternehmen unzureichende Informationen über die Nutzung personenbezogener Daten bereitstellte​. Mit anderen Worten: DeepSeek konnte nicht überzeugend darlegen, was mit den Daten der Nutzer geschieht – ein Verstoß gegen grundlegende Transparenzpflichten unter der DSGVO.

Auch anderenorts in Europa steht DeepSeek unter strenger Beobachtung. Datenschutzbehörden in Frankreich, den Niederlanden, Belgien, Luxemburg und weiteren Ländern haben Untersuchungen zu DeepSeek eingeleitet und das Unternehmen mit Fragen zu seinen Datenpraktiken konfrontiert​. In Deutschland war DeepSeek Thema einer außerordentlichen Konferenz der Datenschutzbeauftragten der Länder in Berlin​. Dieter Kugelmann, Landesdatenschützer von Rheinland-Pfalz, fand gegenüber Tagesschau deutliche Worte: „Es scheint bei DeepSeek datenschutzrechtlich an so ziemlich allem zu fehlen“​. Diese Aussage lässt erahnen, dass DeepSeek aus Sicht der Aufsichtsbehörden grundlegende DSGVO-Anforderungen ignoriert – von klaren Nutzerinformationen über Datenspeicherung bis hin zu Ansprechpersonen in der EU (dazu gleich mehr).

Die europäischen Datenschützer koordinieren sich inzwischen länderübergreifend. Der Europäische Datenschutzausschuss (EDPB) – das Gremium der europäischen Datenschutzbehörden – hat angekündigt, die Zusammenarbeit der Behörden bei KI-Themen zu verstärken und schnell auf dringende Fälle zu reagieren​. Ursprünglich richtete sich eine Taskforce vor allem an ChatGPT, nun nimmt man ausdrücklich auch DeepSeek und vergleichbare KI-Systeme ins Visier. Der Tenor der Behörden ist klar: Datenschutz gilt auch für KI – und nationale Grenzen dürfen kein Schlupfloch sein. Wenn ein Dienst wie DeepSeek die Daten europäischer Nutzer verarbeitet, dann muss er sich an europäische Regeln halten. Tut er das nicht, stehen Instrumente wie Untersuchungen, Bußgelder oder sogar Verbote bereit, um den Schutz der Bürger zu gewährleisten.

Konsequenzen für europäische Unternehmen

Was bedeuten diese Entwicklungen nun konkret für hiesige Unternehmen, insbesondere KMU? Zunächst einmal: Vorsicht ist geboten. Die Nutzung einer KI-Anwendung wie DeepSeek kann für europäische Firmen erhebliche Risiken mit sich bringen. Insbesondere drohen folgende Gefahren:

• Verstoß gegen die DSGVO und rechtliche Folgen: Sobald Mitarbeiter oder Systeme eines europäischen Unternehmens personenbezogene Daten in DeepSeek eingeben, findet faktisch ein Datentransfer in ein unsicheres Drittland (China) statt. Dafür fehlen die rechtlichen Grundlagen, denn zwischen der EU und China gibt es weder ein Angemessenheitsabkommen noch andere gültige Datenschutzabkommen. Ein solcher Transfer verstößt gegen die DSGVO. Zudem ist keine europäische Niederlassung oder ein Vertreter von DeepSeek bekannt, was allein genommen schon einen klaren DSGVO-Verstoß darstellt​. Für ein Unternehmen, das DeepSeek einsetzt, kann dies bedeuten, dass es selbst ins Visier der Aufsichtsbehörden gerät – etwa wegen Mitverantwortung bei der unzulässigen Weitergabe von Kundendaten. Die möglichen Konsequenzen reichen von Abmahnungen und Untersagungen bis zu empfindlichen Bußgeldern. Keine Firma will erklären müssen, warum interne oder Kundendaten plötzlich auf einem Server in China lagen, ohne dass Kunden oder Aufsichtsbehörden davon wussten.
  
  
• Datenabfluss und Kontrollverlust: Sobald Daten nach China gelangen, entzieht sich ihre Weiterverwendung der Kontrolle des Unternehmens. Wichtige Geschäftsgeheimnisse oder vertrauliche Informationen könnten in falsche Hände geraten. Theoretisch könnten chinesische Behörden oder sogar Wettbewerber Zugriff erlangen, sei es durch staatliche Auskunftsersuchen oder Sicherheitslücken. Ein konkretes Beispiel zeigt, wie real das Risiko ist: Ende Januar 2025 entdeckte eine israelische Cybersicherheitsfirma ein Datenleck bei DeepSeek, bei dem über eine Million Datensätze – darunter API-Schlüssel und Chatprotokolle von Nutzern – ungeschützt im Internet abrufbar waren​. Zwar hat DeepSeek die Lücke offenbar schnell geschlossen​, doch allein die Tatsache, dass vertrauliche Chats zeitweise öffentlich zugänglich waren, sollte Unternehmen alarmieren. Wer garantiert, dass nicht doch jemand diese Daten kopiert hat? Für ein KMU könnte ein solches Leck verheerend sein, wenn etwa interne Strategie-Diskussionen oder persönliche Kundendaten betroffen wären.
  
  

• Geschäftliche und strategische Risiken: Abgesehen von direkten Datenschutzverstößen birgt die Abhängigkeit von einem unsicheren KI-Dienst auch strategische Gefahren. Man stelle sich vor, ein Unternehmen integriert DeepSeek tief in seine Abläufe – und dann wird der Dienst in der EU verboten oder technisch blockiert. Plötzlich steht man ohne funktionierende KI-Unterstützung da und muss in aller Eile auf Alternativen umsteigen. Außerdem kann die Nutzung eines Tools, dem Datenschutzprobleme und mögliche Staatsnähe nachgesagt werden, dem guten Ruf schaden. Kunden oder Partner könnten mistrauisch reagieren, wenn bekannt wird, dass ihre Daten über eine chinesische Plattform liefen. In sensiblen Branchen (etwa im Technologiesektor oder bei Regierungsaufträgen) könnte bereits die Nutzung von DeepSeek als Negativkriterium gesehen werden („Compliance-Risiko“). Kurz: Man begibt sich mit einem solchen Tool in eine rechtliche Grauzone mit potenziell handfesten geschäftlichen Nachteilen.

Angesichts dieser Risiken sollten KMU sehr genau abwägen, ob der Nutzen von DeepSeek (etwa Kosteneinsparungen oder schnelle Analysen) die potenziellen Schäden aufwiegt. In vielen Fällen dürfte die Antwort Nein lauten – zumindest solange der Dienst nicht nachweislich den hiesigen Datenschutzstandards entspricht.

Handlungsempfehlungen für Unternehmen

Was können Unternehmen also tun, um von KI-Innovationen zu profitieren, ohne ins Datenschutz-Messer zu laufen? Nachfolgend einige Empfehlungen, wie sich KMU schützen und verantwortungsvoll mit Angeboten wie DeepSeek umgehen können:

• DSGVO-konforme KI-Lösungen bevorzugen: Prüfen Sie genau, wo ein KI-Anbieter sitzt und wie er mit Daten umgeht. Setzen Sie nach Möglichkeit auf Dienste, die Daten innerhalb der EU speichern und verarbeiten oder über klar geregelte Datenschutzmechanismen verfügen. Anbieter, die einen europäischen Gerichtsstand oder zumindest einen benannten EU-Vertreter haben, bieten Ihnen als Unternehmen rechtlich deutlich mehr Sicherheit. Fehlt ein solcher Vertreter – wie derzeit bei DeepSeek der Fall​ – ist das ein rotes Tuch. Greifen Sie im Zweifel lieber zu europäischen Alternativen oder etablierten Anbietern, die vertraglich zusichern, DSGVO-Vorgaben einzuhalten.

• Keine sensiblen Daten in unsichere KI-Systeme eingeben: So verlockend es ist, einem smarten Chatbot jede Frage zu stellen – bei vertraulichen oder personenbezogenen Daten ist Zurückhaltung geboten. Datenschutzexperten betonen, man solle keine sensiblen oder persönlichen Informationen in KI-Tools einspeisen, deren Umgang mit Daten unklar ist​. Dies gilt umso mehr, wenn die Daten das Rechenzentrum der EU verlassen. Schulen Sie Ihre Mitarbeiter, kritisch zu überlegen, was sie einer KI anvertrauen. Kundenlisten, ungeprüfte Texte mit Personenbezug oder interne Dokumente haben dort nichts verloren. Im Fall DeepSeek empfiehlt es sich, allenfalls mit Dummy-Daten oder rein öffentlichen Informationen zu experimentieren, aber keinesfalls echte Kundendaten hochzuladen.

• Sichere Alternativen prüfen: Überlegen Sie, ob der Anwendungsfall nicht auch mit datenschutzfreundlicheren Lösungen abgedeckt werden kann. Es gibt mittlerweile europäische KI-Plattformen und Open-Source-Modelle, die sich auf eigenen Servern oder in der Cloud eines vertrauenswürdigen Anbieters betreiben lassen. Tatsächlich bietet DeepSeek selbst einige Modelle als Download an, die man lokal laufen lassen kann​ – was zumindest die Datenabflüsse verhindert. Wenn technisch machbar, wäre dies eine Option, um die KI-Funktionen zu nutzen, ohne ständig Informationen nach China zu schicken. Ebenso arbeiten westliche Anbieter an Integrationen: So hat z.B. die Suchplattform Perplexity den DeepSeek-Chat in ihr Angebot aufgenommen, behauptet aber, das Modell in US- und EU-Rechenzentren zu hosten​. Ob man dieser Aussage vertraut, muss jeder selbst entscheiden – sie zeigt aber, dass es Bewegungen gibt, chinesische KI-Technologie unter westlichen Datenschutzstandards nutzbar zu machen. Im Zweifel sollten Sie jedoch Lösungen bevorzugen, die von vornherein auf Datenminimierung und Transparenz ausgelegt sind.

• Rechtliche Absicherung und Beratung: Bevor Sie einen KI-Dienst wie DeepSeek produktiv einsetzen, holen Sie juristischen Rat ein. Lassen Sie von Ihrem Datenschutzbeauftragten oder einem externen Experten prüfen, ob und wie der Einsatz datenschutzkonform gestaltet werden kann. Im Falle von DeepSeek dürfte es derzeit schwierig sein, eine zufriedenstellende Antwort zu erhalten – es fehlen offensichtlich nötige Vereinbarungen (etwa Verträge zur Auftragsverarbeitung) und legale Transfermechanismen für Daten nach China. Dennoch sollten Sie zumindest Dokumentation betreiben: Führen Sie Protokoll, welche Daten zu welchem Zweck über die KI laufen, und führen Sie eine Datenschutz-Folgenabschätzung (DPIA) durch, wenn personenbezogene Daten im Spiel sind. So sind Sie im Falle einer Prüfung besser gewappnet. Und nicht zuletzt: Beobachten Sie die Behördenentscheidungen. Wenn Regulatoren wie der EDPB bereits vor weiteren Schritten warnen​, ist es wahrscheinlich nur eine Frage der Zeit, bis strengere Auflagen oder gar Verbote kommen. Richten Sie Ihre Strategie also darauf aus, nicht von heute auf morgen auf einen unsicheren Dienst angewiesen zu sein.

   

Zum Abschluss lässt sich festhalten: KMU sollten bei KI-Lösungen aus China größte Vorsicht walten lassen. So attraktiv DeepSeek fachlich sein mag – die Datenschutzprobleme überwiegen derzeit deutlich. Solange keine klaren Antworten zu Datensicherheit und Rechtskonformität vorliegen, fährt man besser damit, auf sichere Alternativen zu setzen. Denn am Ende gilt: Der Schutz der Daten Ihrer Kunden und Geschäftsgeheimnisse ist entscheidend für den langfristigen Erfolg – und dieser Schutz darf nicht leichtfertig aufs Spiel gesetzt werden.