Anfang 2025 machte DeepSeek Schlagzeilen. Ein chinesisches KI-Modell, das mit westlichen Systemen mithalten konnte, zu einem Bruchteil der Kosten. Die Tech-Presse war beeindruckt. Einige Mitarbeiter in deutschen Unternehmen haben es ausprobiert. Genau da fängt das Problem an.
Alle Daten landen in China
DeepSeek speichert sämtliche Nutzerdaten auf Servern in der Volksrepublik China. Das steht in deren Datenschutzrichtlinie, und es gibt keine Alternative. Keine EU-Server, keine Wahlmöglichkeit für Datenresidenz.
Für die DSGVO ist das ein fundamentales Problem. Es gibt keinen Angemessenheitsbeschluss der EU-Kommission für China. Das bedeutet: Es gibt keine offizielle Feststellung, dass Chinas Datenschutzniveau dem europäischen Standard entspricht. Standardvertragsklauseln (SCCs) werden von DeepSeek nicht angeboten. Ein Auftragsverarbeitungsvertrag ist nicht verfügbar.
Die rechtliche Grundlage für einen Datentransfer nach China existiert in der Praxis nicht. Wer DeepSeek geschäftlich nutzt und dabei personenbezogene Daten eingibt, verstößt gegen die DSGVO. Das ist keine Auslegungsfrage.
Was das konkret heißt: Wenn ein Mitarbeiter in Ihrer Kanzlei eine Mandantenanfrage in DeepSeek eintippt, um sich eine Antwort formulieren zu lassen, landen diese Daten in China. Ohne Vertrag, ohne Kontrollmöglichkeit, ohne Löschungsanspruch. Sie können nicht einmal eine Auskunft nach Art. 15 DSGVO an DeepSeek stellen und erwarten, dass sie beantwortet wird.
Das chinesische Geheimdienstgesetz
Es gibt einen Punkt, der die Diskussion eigentlich beenden sollte. Chinas Nationales Geheimdienstgesetz von 2017, Artikel 7, verpflichtet alle chinesischen Organisationen und Bürger zur Zusammenarbeit mit den staatlichen Nachrichtendiensten.
Das ist kein Gerücht. Das ist geltendes chinesisches Recht. Wenn ein chinesischer Geheimdienst Zugang zu den Daten auf DeepSeeks Servern verlangt, muss DeepSeek kooperieren. Es gibt keinen Rechtsbehelf, keine unabhängige Aufsicht, die das verhindern könnte.
Für europäische Unternehmen bedeutet das: Jede Information, die in DeepSeek eingegeben wird, ist potenziell für chinesische Staatsstellen zugänglich. Das gilt für Chat-Eingaben genauso wie für hochgeladene Dokumente.
Ich sage das nicht, um Angst zu machen. Ich sage es, weil es Gesetzestext ist. Man muss hier nicht spekulieren oder interpretieren. Artikel 7 steht da schwarz auf weiß, und es gibt keine bekannte Ausnahme für ausländische Nutzerdaten.
Italien hat bereits gehandelt
Im Januar 2025 hat die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) DeepSeek gesperrt. Die Begründung: unzureichende Transparenz über die Datenverarbeitung und fehlende DSGVO-Konformität. Andere europäische Aufsichtsbehörden führen eigene Prüfungen durch.
Wenn eine nationale Datenschutzbehörde ein Tool sperrt, ist das ein deutliches Signal. Nicht nur für Italien, sondern für den gesamten europäischen Raum. Die DSGVO gilt einheitlich. Was in Italien problematisch ist, ist in Deutschland nicht plötzlich unbedenklich.
Qwen und andere chinesische KI-Modelle
DeepSeek ist nicht das einzige chinesische KI-Tool. Alibabas Qwen, Baidu’s Ernie Bot, und diverse andere Modelle aus China tauchen in den letzten Monaten vermehrt auf. Einige sind kostenlos, einige technisch beeindruckend.
Sie alle haben dasselbe Problem. Gleiche Jurisdiktion, gleiche Gesetze, gleiche Geheimdienstpflichten. Ob die Daten auf DeepSeeks Servern oder auf Alibabas Servern in China liegen, ändert nichts an der rechtlichen Bewertung. Datenresidenz in China bedeutet: Inkompatibel mit der DSGVO für geschäftliche Nutzung.
Es gibt hier keinen Konfigurationstrick, kein Opt-out, keine Enterprise-Version, die das Problem löst. Das Jurisdiktionsproblem ist strukturell. Es lässt sich nicht wegtechnologisieren.
Der Kontrast
Europäische und amerikanische KI-Plattformen lassen sich für den DSGVO-konformen Einsatz konfigurieren. ChatGPT Enterprise bietet EU-Datenresidenz. Microsoft Copilot hat die EU Data Boundary. Claude bietet für Business-Kunden einen AVV. Das bedeutet nicht, dass diese Tools automatisch konform sind. Es bedeutet, dass eine Compliance-Bewertung möglich ist und die vertraglichen Voraussetzungen geschaffen werden können.
Bei chinesischen Anbietern ist das nicht der Fall. Es gibt keine Konfiguration, die den Datentransfer nach China DSGVO-konform macht, solange kein Angemessenheitsbeschluss existiert und das chinesische Geheimdienstgesetz gilt.
Das ist der Punkt, der oft untergeht in der Diskussion. Bei US-Anbietern kann man über SCCs, TIAs und Supplementary Measures reden. Bei chinesischen Anbietern gibt es diese Werkzeuge schlicht nicht. Die Kombination aus fehlendem Angemessenheitsbeschluss und aktiver Geheimdienstpflicht macht jede DSGVO-Compliance-Strategie unmöglich.
Was zu tun ist
Kurz gesagt: DeepSeek, Qwen und andere chinesische KI-Tools gehören auf die Sperrliste. Ohne Ausnahme, ohne „aber es ist doch so günstig”, ohne „nur für interne Tests.”
Wenn Mitarbeiter in Ihrem Unternehmen DeepSeek oder ähnliche Tools nutzen, klären Sie das in Ihrer KI-Nutzungsrichtlinie. Benennen Sie die Tools konkret. Erklären Sie die Gründe. Und stellen Sie sicher, dass es genehmigte Alternativen gibt, die die Produktivitätsvorteile bieten, ohne die Compliance zu gefährden.
Wenn Sie nicht sicher sind, welche KI-Tools in Ihrer Kanzlei genutzt werden und ob darunter problematische Anbieter sind: Schauen Sie sich meine Leistungen im Bereich KI-Compliance an. Oder buchen Sie direkt einen kostenlosen KI-Check. 30 Minuten, klare Einschätzung.