SOHN.AI
← Alle Insights
EU AI ActDSGVOKI-Governance

Der Fall DeepSeek: Wie DSGVO und EU AI Act den Druck auf KI-Anbieter erhöhen

Ein Lehrstück über Datensouveränität – und was der Mittelstand daraus mitnehmen sollte

Von Marcel Sohn··8 Min. Lesezeit

Wer KI im Unternehmen einsetzt, trägt Verantwortung für die Daten, die er hineingibt. Der Fall DeepSeek macht greifbar, warum diese Verantwortung kein theoretisches Risiko mehr ist.

Im Januar 2025 sorgte ein Name für Aufsehen, den vorher kaum jemand kannte: DeepSeek. Das chinesische Sprachmodell erreichte eine Leistung auf dem Niveau der großen US-Anbieter, angeblich mit einem Bruchteil der Ressourcen. Innerhalb weniger Tage stand die App an der Spitze der Download-Charts. Wenige Monate später war sie in mehreren EU-Staaten faktisch vom Markt gedrängt. Dazwischen liegt eine Geschichte, die jeder Geschäftsführer kennen sollte, der KI-Werkzeuge in seinem Betrieb nutzt.

Was DeepSeek mit den Daten macht

Der Kern des Problems ist technisch einfach und juristisch folgenschwer. Die DeepSeek-App ist im Wesentlichen eine Oberfläche für Sprachmodelle, die auf Servern in China laufen. Alle Eingaben der Nutzer – Chatverläufe, hochgeladene Dateien, Standortdaten sowie Informationen zu Geräten und Netzwerken – werden an diese chinesischen Server übertragen.

Genau hier setzt die DSGVO an. Die Berliner Datenschutzbeauftragte Meike Kamp kam zu einem klaren Ergebnis: Das Unternehmen hinter DeepSeek konnte keine überzeugenden Belege vorlegen, dass die Daten deutscher Nutzer in China auf einem Niveau geschützt werden, das dem der Europäischen Union entspricht.

Chinesische Behörden haben weitreichende Zugriffsrechte auf personenbezogene Daten im Einflussbereich chinesischer Unternehmen. Zugleich fehlen den Nutzern dort die durchsetzbaren Rechte und wirksamen Rechtsbehelfe, die in der EU garantiert sind.

Sinngemäß nach der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Juni 2025

Damit liegt aus Sicht der Aufsicht ein Verstoß gegen Artikel 46 Absatz 1 DSGVO vor, der für die Übermittlung personenbezogener Daten in ein Drittland geeignete Garantien verlangt. Hinzu kommt ein zweiter Punkt: Das Unternehmen hat keinen Vertreter in der Europäischen Union benannt, wie ihn Artikel 27 DSGVO fordert.

Vom Hype zur Marktsperre in unter sechs Monaten

  • Januar 2025 — DeepSeek erreicht mit dem Modell R1 weltweite Aufmerksamkeit. Italien verhängt bereits am 28. Januar ein sofortiges Nutzungsverbot, weil Datenflüsse und Rechtsgrundlagen unklar bleiben.
  • 14. Februar 2025 — Sieben deutsche Landesdatenschutzbehörden leiten ein abgestimmtes Prüfverfahren ein, zunächst zur Frage des fehlenden EU-Vertreters.
  • 6. Mai 2025 — Die Aufsicht fordert DeepSeek auf, die Apps freiwillig aus den deutschen Stores zu nehmen, die Datenübermittlung einzustellen oder die rechtlichen Voraussetzungen zu schaffen.
  • 27. Juni 2025 — Da das Unternehmen nicht reagiert, meldet die Berliner Datenschutzbeauftragte die App nach Artikel 16 Digital Services Act bei Apple und Google als rechtswidrigen Inhalt.
  • 2. August 2025 — Zentrale Transparenzpflichten des EU AI Act für Anbieter großer KI-Modelle treten in Kraft. Die EU-Kommission veröffentlicht begleitende Leitlinien.

Zwei Regelwerke, zwei Geschwindigkeiten

Der eigentliche Lerneffekt des Falls liegt nicht in der DSGVO allein, sondern im Zusammenspiel mit dem EU AI Act. Beide Regelwerke greifen ineinander, wirken aber unterschiedlich schnell.

Die DSGVO ist der schnelle Hebel

Die Datenschutz-Grundverordnung gilt seit Jahren, ist erprobt und erlaubt der Aufsicht ein zügiges Eingreifen. Im Fall DeepSeek war sie der Mechanismus, der binnen Wochen zur Meldung bei den Plattformbetreibern führte. Wer heute personenbezogene Daten ohne Rechtsgrundlage an einen solchen Dienst weitergibt, handelt bußgeldbewehrt.

Der AI Act schafft die prüfbaren Technikauflagen

Der EU AI Act wirkt mittelfristig und struktureller. Seit dem 2. August 2025 müssen Anbieter sogenannter General-Purpose-KI-Modelle Transparenzpflichten erfüllen, ihre Modelle dokumentieren und Zusammenfassungen der Trainingsdaten offenlegen. Erreicht ein Modell zusätzlich einen bestimmten Rechenschwellenwert oder zeigt es ein systemisches Risiko, greifen weitere Pflichten zu Risikomanagement und Cybersicherheit.

Für einen Anbieter wie DeepSeek bedeutet das einen zweiten, dauerhaften Prüfmaßstab zusätzlich zur DSGVO. Der AI Act unterscheidet grundsätzlich zwischen verbotenen, hochriskanten, begrenzt riskanten und minimal riskanten Anwendungen. Dieser risikobasierte Ansatz bestimmt, welche Pflichten überhaupt gelten.

Was das für Ihren Betrieb bedeutet

Der Fall betrifft nicht nur den Anbieter, sondern jeden, der das Werkzeug einsetzt. Wenn Mitarbeitende Kundendaten, Vertragsentwürfe oder interne Unterlagen in einen Dienst eingeben, dessen Datenflüsse und Rechtsgrundlagen unklar sind, trägt das Unternehmen das Risiko mit. Eine zentrale Erkenntnis aus dem Verfahren bringt es auf den Punkt: Wer Daten einspeist, sollte sich bewusst sein, dass diese Eingaben zu Trainingsmaterial werden können – mit offenem Ausgang für die eigenen Rechte.

Fünf Fragen, die Sie vor dem KI-Einsatz klären sollten

  1. 1.Wohin fließen die Daten? Werden Eingaben auf Servern innerhalb der EU verarbeitet oder in ein Drittland übermittelt?
  2. 2.Gibt es eine Rechtsgrundlage? Liegen für eine Drittlandsübermittlung geeignete Garantien nach DSGVO vor, etwa Standardvertragsklauseln?
  3. 3.Hat der Anbieter einen EU-Vertreter? Ohne benannten Vertreter fehlt eine zentrale formale Voraussetzung.
  4. 4.Werden Eingaben zum Training genutzt? Klären Sie vertraglich, ob Ihre Daten in das Modelltraining einfließen.
  5. 5.Welche Risikoklasse gilt? Prüfen Sie, ob Ihr konkreter Anwendungsfall unter dem AI Act als hochriskant einzustufen ist.

Das ist keine Aufforderung, auf KI zu verzichten. Im Gegenteil: Unternehmen, die diese Fragen sauber beantworten, gewinnen einen Vorsprung. Sie können leistungsfähige Werkzeuge nutzen und gleichzeitig belegen, dass sie verantwortungsvoll mit Daten umgehen. Genau diese Nachweisfähigkeit wird zum Wettbewerbsvorteil – gegenüber Kunden, Aufsicht und Geschäftspartnern.

Souveränität ist kein Verzicht, sondern eine Entscheidung

Der Fall DeepSeek wird oft als Geschichte über China und Geopolitik erzählt. Aus unternehmerischer Sicht ist er etwas anderes: ein Lehrstück über Datensouveränität. Die Frage ist nicht, ob KI eingesetzt wird, sondern unter welchen Bedingungen. Wer die Infrastruktur kennt, in der seine Daten verarbeitet werden, wer die Rechtsgrundlage benennen kann und wer die Risikoklasse seiner Anwendung verstanden hat, ist auf der sicheren Seite.

Die regulatorische Lage wird sich weiterentwickeln, und nicht jede heutige Einschätzung bleibt morgen gültig. Umso wichtiger ist eine KI-Governance, die mitwächst, statt auf einzelne Werkzeuge zu setzen, die über Nacht aus dem Markt verschwinden können.

Wenn Sie die Grundlagen im Team verankern möchten: Die kostenlose EU-AI-Act-Schulung in der SOHN.AI Akademie vermittelt die KI-Kompetenz nach Artikel 4 – mit persönlicher Teilnahmebestätigung. Und mit dem KI-Use-Case-Konfigurator prüfen Sie eine konkrete Idee inklusive Datenschutz-Hinweisen.

Hinweis: Dieser Beitrag gibt den Stand der öffentlich zugänglichen Informationen wieder und dient der allgemeinen Orientierung. Er ersetzt keine Rechtsberatung im Einzelfall. Regulatorische Anforderungen und behördliche Einschätzungen können sich ändern. Für verbindliche Bewertungen ziehen Sie bitte fachkundige rechtliche Beratung hinzu.

Quellen

[1] Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 27.06.2025. https://www.datenschutz-berlin.de/pressemitteilung/berliner-datenschutzbeauftragte-meldet-ki-app-deepseek-in-deutschland-bei-apple-und-google-als-rechtswidrigen-inhalt/

[2] Bitdefender: Deutschland blockiert KI-App DeepSeek wegen unrechtmäßiger Datenübermittlung nach China (Juli 2025). https://www.bitdefender.com/de-de/blog/hotforsecurity/deutschland-blockiert-ki-app-deepseek-wegen-unrechtmassiger-datenubermittlung-nach-china

[3] Landesbeauftragter für den Datenschutz Baden-Württemberg: Prüfverfahren gegen DeepSeek eingeleitet (Februar 2025). https://www.baden-wuerttemberg.datenschutz.de/pruefverfahren-gegen-deepseek-eingeleitet/

[4] Forschung und Lehre: KI-Anbieter müssen auf Transparenz achten (Juli 2025). https://www.forschung-und-lehre.de/recht/ki-anbieter-muessen-auf-transparenz-achten-7204

[5] SECURAM Consulting: DeepSeek und EU AI Act. https://securam-consulting.com/deepseek-eu-ai-act-2/

[6] netzpolitik.org: Datenschutzbehörde greift ein – DeepSeek fliegt aus den App Stores (Juni 2025). https://netzpolitik.org/2025/datenschutzbehoerde-greift-ein-deepseek-fliegt-aus-den-app-stores/

[7] IHK für München und Oberbayern: Ratgeber AI Act. https://www.ihk-muenchen.de/ratgeber/digitalisierung/kuenstliche-intelligenz/ai-act/

Nächster Schritt

KI rechtssicher einsetzen, statt Risiken zu importieren

SOHN.AI begleitet den Mittelstand bei der praktischen Umsetzung von EU AI Act und DSGVO – vom Quickcheck bis zur belastbaren KI-Governance. Verstehen, was erlaubt ist, und das Potenzial voll nutzen.

Kostenlosen KI-Quickcheck anfragen

Hat Ihnen das geholfen?

Teilen Sie den Artikel – und folgen Sie für mehr.

Marcel Sohn teilt auf LinkedIn regelmäßig solche Analysen zu KI, Markt und Praxis. Folgen Sie für neue Beiträge – oder teilen Sie diesen Artikel mit Ihrem Netzwerk.

Marcel Sohn auf LinkedIn folgenAuf LinkedIn teilen

Wir nutzen Cookies für externe Dienste: funktionale für die Terminbuchung (HubSpot) und Marketing für Reichweitenmessung (Meta-Pixel). Ohne Ihre Zustimmung werden diese Dienste nicht geladen. Datenschutzerklärung