Empfehlung des LfD Niedersachsen zum Einsatz von DeepSeek

Der LfD Niedersachsen möchte auf die Risiken aufmerksam machen, die mit der Verwendung des KI-Tools DeepSeek R1 (DeepSeek) verbunden sind. Obwohl dieses Modell der generativen KI im Internet frei zugänglich ist, hat es der Hersteller nicht für den europäischen Markt konzipiert. Nach gegenwärtigem Kenntnisstand ist davon auszugehen, dass insbesondere die Anforderungen der europäischen KI-Verordnung und der Datenschutz-Grundverordnung nicht eingehalten werden.

Der KI-basierte Chatbot DeepSeek wurde von einer gleichnamigen Firma in China entwickelt. DeepSeek wird weltweit und auch innerhalb der EU zur kostenlosen Nutzung über die Webseite www.deepseek.com und als App in den deutschen App Stores von Google und Apple zur Verfügung gestellt. Mit dem Chatbot kann auf Deutsch interagiert werden. Die Nutzung von DeepSeek wirft erhebliche rechtliche Bedenken auf, sowohl im Hinblick auf die Verarbeitung von personenbezogenen Daten als auch auf Daten, die durch Berufs- und Geschäftsgeheimnisse einem besonderen Vertraulichkeitsschutz unterliegen. Das Unternehmen bietet insbesondere keine ausreichenden Garantien für die Gewährleistung der Daten- und IT-Sicherheit.

Der Datenschutzerklärung von DeepSeek (DeepSeek Privacy Policy) lässt sich entnehmen, dass jegliche Eingaben der Nutzer, sogenannte Prompts, und gegebenenfalls hochgeladene Dokumente ohne Einschränkungen aufgezeichnet, übertragen, gespeichert oder analysiert werden. DeepSeek gibt pauschal an, alle erlangten Daten für vielfältige Zwecke zu verarbeiten. Es wird auch darauf hingewiesen, dass DeepSeek nach chinesischen Recht verpflichtet sein kann, dem chinesischen Geheimdienst und den Sicherheitsbehörden Daten zu übermitteln. Die Zugriffsmöglichkeiten der chinesischen Sicherheitsbehörden werden allgemein als sehr weitreichend bewertet.

Pflichten und Rechte nach DSGVO

Die Tatsache, dass DeepSeek von einem chinesischen Unternehmen angeboten wird, bedeutet zudem, dass es schwierig oder sogar unmöglich ist, die in der der Datenschutz-Grundverordnung (DSGVO) festgelegten Pflichten und Rechte durchzusetzen. Sofern Unternehmen oder Behörden den Dienst nutzen und bei einer Eingabe personenbezogener Daten selbst datenschutzrechtlich verantwortlich sind, werden sie ihre datenschutzrechtlichen Pflichten nicht erfüllen können. Von der Verarbeitung personenbezogener Daten mittels DeepSeek Betroffene werden ihre Rechte kaum ausüben können. Das Fehlen eines Vertreters des Unternehmens DeepSeek in der Europäischen Union führt zu Rechtsunsicherheit und es wird zu einem faktischen Durchsetzungsdefizit für Nutzer in Niedersachsen und in der gesamten EU führen. Es gibt keine klaren Garantien für die Einhaltung der DSGVO, es mangelt an Transparenz bezüglich der Governance dieser KI sowie insgesamt der Einhaltung des europäischen und deutschen Rechts. Dadurch steigt Risiko von Verstößen gegen das Datenschutzrecht erheblich, sodass das Grundrecht der informationellen Selbstbestimmung nicht gewährleistet wird.

Da der Anbieter von DeepSeek und damit die für die Verarbeitung der personenbezogenen Daten verantwortliche Stelle nicht auf dem Gebiet der EU ansässig ist und keinen gesetzlichen Vertreter in der EU ernannt hat, geht der LfD Niedersachsen davon aus, dass die Zusammenarbeit des Unternehmens mit den Datenschutzbehörden in der EU unsicher ist. Datenschutzverletzungen und ein Missbrauch von Daten werden faktisch nur sehr schwer zu unterbinden und zu ahnden sein. Im Gegensatz zu Unternehmen, die auf dem Gebiet der EU ansässig sind oder zumindest dort einen Vertreter haben, macht das Fehlen eines Vertreters von DeepSeek in Europa die Ausübung der Rechte (Zugang, Berichtigung, Löschung von Daten) der Bürger schwierig oder sogar unmöglich.

Empfehlungen zum Einsatz von KI-Anwendungen von Anbietern außerhalb der Europäischen Union, die keinen gesetzlichen Vertreter in der EU benannt haben

Um die mit der Nutzung von DeepSeek und anderen KI-Anwendungen, deren Anbieter nicht aus der EU oder einem Drittland mit Angemessenheitsbeschluss gemäß Artikel 45 DSGVO stammen, verbundenen Risiken zu begrenzen, spricht der LfD Niedersachsen folgende Empfehlungen aus:

• Vermeiden Sie die Installation von DeepSeek und anderen aus unsicheren Drittstaaten stammenden KI-Systemen sowie ihrer Konfigurationsdateien in jeder mit dem Internet verbundenen IT-Umgebung, um die Gefährdung durch Datenlecks oder Datenmissbrauch zu begrenzen.
• Geben Sie bei der Nutzung der Online-Schnittstelle niemals persönliche oder vertrauliche Daten ein, sofern nicht bekannt ist, dass angemessene Sicherheitsvorkehrungen gegen eine Auswertung und einen Missbrauch der Daten vorhanden sind.
• Sensibilisieren Sie Mitarbeiter (beruflicher Bereich) und ihr Umfeld (persönlicher Bereich) aktiv für die Risiken, die insbesondere mit der Nutzung von DeepSeek, aber auch mit der Nutzung anderer KI-Anwendungen verbunden sind. Dabei ist auch die ab dem 2. Februar 2025 gemäß Artikel 4 KI-VO sicherzustellende KI-Kompetenz zu berücksichtigen.
• Bevorzugen Sie KI-Tools, die insbesondere der europäischen KI-Verordnung und der Datenschutz-Grundverordnung entsprechen, die Datenschutzgrundsätze einhalten und klare Garantien für die Daten- und IT-Sicherheit bieten.
• Achten Sie bei der Auswahl einer KI-Anwendung auf Transparenz des Anbieters und eine entsprechende Dokumentation, aus der nachvollziehbar hervorgeht, dass Garantien für die Einhaltung der Datenschutz-Grundverordnung gegeben werden und diese eingehalten werden.
• Achten Sie darauf, dass der Hersteller der KI-Anwendung, sofern er auch datenschutzrechtlich Verantwortlicher ist und seinen Sitz nicht in der EU hat, möglichst einen Vertreter nach Artikel 27 DSGVO benannt hat. Ansonsten kann die effektive Durchsetzung der Betroffenenrechte unter Umständen sehr schwierig werden.

Beim Einsatz von KI-Anwendungen sollten unter anderem folgende Dokumente berücksichtigt werden:

• Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models des EDSA vom 17. Dezember 2024,

• Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ der DSK vom 6. Mai 2024,
• KI-Checkliste des Bayerischen Landesamts für Datenschutzaufsicht,
• Checkliste zum Einsatz LLM-basierter Chatbots des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit,
• Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ des LfDI BW.

Ferner verweisen wir auf die Pressemitteilungen folgender europäischer Datenschutzbehörden:

• Italien (Garante)
  
• Polen (UODO)
  
• Griechenland (HDPA)
  
• Luxemburg (CNPD)