Privacy Policies generativer KI-Plattformen – ein Überblick

Inhaltsverzeichnis

Als das chinesische Start-up Hangzhou DeepSeek Artificial Intelligence Co., Ltd. im Januar 2025 das Reasoning-Modell DeepSeek-R1 vorstellte, sprach man weltweit von einem "chinesischen Sputnik-Moment". Doch schon kurz darauf schränkten erste Aufsichtsbehörden in der EU den Zugang ein. DeepSeek hat zwar seinen Sitz in China, dennoch ist die EU-Datenschutz-Grundverordnung (DSGVO) anwendbar. Sie gilt nämlich unabhängig vom Unternehmenssitz, wenn personenbezogene Daten Betroffener verarbeitet werden, die sich in der EU aufhalten. Entscheidend ist, dass sich ein Angebot an den EU-Markt richtet, was im Hinblick auf den englischsprachigen Webauftritt von DeepSeek, der die Bezahlung in Euro erlaubt, eindeutig der Fall ist. Werden personenbezogene Daten von Nutzern aus der EU verarbeitet, muss DeepSeek also die Vorgaben der DSGVO einhalten.

Mehr zu generativer KI und Language Models

• Strukturierte Daten für LLMs mit Wissensgraphen
• Privacy Policies generativer KI-Plattformen
• Verschiedene Formate von Sprachmodellen im Überblick
• Wie riesige Sprachmodelle auf praxistaugliche Maße schrumpfen
• Small Language Models: Große Sprachmodelle werden klein
• Kleine Sprachmodelle auf dem Vormarsch
• Fünf Sprachmodelle im Vergleich mit ChatGPT
• Vektorsuche mit den Datenbanken Qdrant und PostgreSQL im Vergleich
• Fünf Vektordatenbanken für generative KI-Modelle im Test

iX-tract

• Das KI-Modell DeepSeek-R1 geriet wegen des angeblich mangelhaften Datenschutzes schnell ins mediale Kreuzfeuer. Im Vergleich mit den Datenschutzbestimmungen von ChatGPT und Mistrals Le Chat zeigt sich aber: Es gibt kaum Unterschiede.
• DeepSeek hat sich den Auflagen der DSGVO angenähert, stellt aber im Unterschied zu OpenAI und Mistral keinen Vertreter als Ansprechpartner in der EU.
• Privatnutzer gelten nach DSGVO nicht als "Verantwortliche", die ihre Daten in ein Drittland wie China übermitteln.
• In konkreten Einzelfällen und mit vertraglichen Vereinbarungen ist ein DSGVO-konformer Einsatz von DeepSeek möglich.

Acht Tage nach der Vorstellung von DeepSeek verbot Italien den Zugang zu diesem Modell, die Datenschutzaufsichtsbehörden aus Polen, Griechenland und Luxemburg rieten zur Vorsicht bei der Nutzung. In Deutschland und Irland prüfen die Datenschutzaufsichtsbehörden noch. Beteiligt sind die Landesdatenschutzaufsichtsbehörden von Rheinland-Pfalz, Baden-Württemberg, Thüringen, Sachsen-Anhalt, Hessen, Bremen und Berlin. "Die beteiligten Behörden stimmen sich zu ihrem Vorgehen auf nationaler und europäischer Ebene ab", heißt es in der Stellungnahme des hessischen Datenschutzbeauftragten.

Doch DeepSeek ist bekanntlich nicht das erste große KI-Sprachmodell. Andere Beispiele sind ChatGPT von OpenAI, Claude von Anthropic oder die Modelle von Mistral. Der Einsatz solcher KI-Werkzeuge birgt – unabhängig von der konkreten Anwendung – datenschutzrechtliche Herausforderungen.

Das war die Leseprobe unseres heise-Plus-Artikels "Privacy Policies generativer KI-Plattformen – ein Überblick". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.