Verbot von DeepSeek-App in deutschen App Stores?

„Aus meiner Sicht ist es plausibel, dass DeepSeek gegen die Vorgaben der DSGVO verstößt. Auch verschiedene europäische Datenschutzbehörden vertreten diese Auffassung. Dabei dürfte es sich um mehrere Rechtsverstöße handeln: Unter anderem gegen das Verbot, personenbezogene Daten an Drittstaaten zu übermitteln, sofern nicht ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt oder geeignete Garantien im Sinne des Art. 46 DSGVO nachgewiesen werden können. Beides ist im Fall Chinas nicht gegeben. DeepSeek ist der Aufforderung, die Datenübermittlung nach China einzustellen, nicht nachgekommen und hat auch keine Nachweise für die Voraussetzungen einer zulässigen Übermittlung erbracht.“

„Es geht in der aktuellen Diskussion weniger um ein klassisches ‚Verbot‘ im Sinne einer datenschutzrechtlichen Untersagungsverfügung, sondern um die Entfernung von DeepSeek aus den App Stores. Diese Aufforderung der Berliner Datenschutzbeauftragten, der sich die BfDI angeschlossen hat, stützt sich auf Art. 16 Digital Services Act (DSA) und richtet sich nicht an DeepSeek direkt, sondern an die Betreiber:innen der App Stores, also Apple und Google. Auf Basis des DSA können rechtswidrige Inhalte in den App Stores gemeldet werden, wozu auch Angebote gehören, die nicht DSGVO-konform sind. Apple und Google müssen diese Meldungen prüfen und ihre Entscheidung begründen.“

„Weder die Bundes- noch Landesdatenschutzbeauftrage können diese Firmen aber direkt anweisen, die Apps zu löschen. Das ist ein sehr interessanter Ansatz, den DSA für die Durchsetzung von DSGVO-Verstößen zu operationalisieren, aber auch ungewöhnlich, da Art. 16 DSA grundsätzlich als Meldeverfahren für Nutzer:innen konzipiert ist. Behörden, die keine Zuständigkeiten nach dem DSA haben – wie hier die Landesdatenschutzbehörden –, können das Meldeverfahren aber ebenfalls nutzen.“

„Eine Nutzung von DeepSeek ist nicht zu empfehlen. Bereits ein kurzer Blick in die Datenschutzerklärung von DeepSeek macht deutlich, wie weitreichend die Befugnisse sind.“

„Ich halte auch viele der US-amerikanischen großen Sprachmodelle nicht für DSGVO-konform. Dies beginnt schon bei den Trainingsdaten: Nahezu das gesamte Internet zu scrapen (systematisch, automatisiert durchsuchen und extrahieren; Anm. d. Red.) kann meiner Auffassung nach nicht überzeugend auf die Rechtsgrundlage des legitimen Interesses oder Art. 9 Abs. 2 e) DSGVO gestützt werden [1].“

„In der konkreten Diskussion um DeepSeek geht es aber primär um die Datenübermittlung nach China, für die es keine gesetzliche Grundlage gibt. Für die Datenübermittlung in die USA besteht zurzeit noch ein sogenannter Angemessenheitsbeschluss: Nach Ansicht der EU-Kommission besteht in den USA ein dem Unionsrecht angemessenes Datenschutzniveau. Diese Einschätzung kann aus meiner Sicht jedoch aufgrund der fehlenden Rechtsschutzmöglichkeiten und dem Zugriff von US-Behörden keinen Bestand haben.“

„Ich sehe kein Problem in Bezug auf die Verhältnismäßigkeit im Fall von DeepSeek, das Unternehmen hat verschiedentlich zum Ausdruck gebracht, kein Interesse an der Einhaltung europäischer Rechtsvorgaben zu haben. Datenschutz ist kein Super-Grundrecht und steht immer in Abwägung mit anderen Belangen, muss aber bewusst rechtswidrigem Verhalten auch nicht unter dem Deckmantel vermeintlicher Innovation weichen. Wir sollten im Rahmen eines offenen Diskurses ermitteln, von welchen technischen Entwicklungen demokratische Gesellschaften wirklich profitieren, anstatt rechtsstaatliche Werte und Grundrechtsschutz von privaten Geschäftsmodellen unterlaufen zu lassen, im Glauben, ein vermeintliches ‚Wettrennen‘ zu gewinnen [2] [3].“

„DeepSeek unterfällt den europäischen Rechtsvorschriften, also auch der DSGVO, weil die Angebote auch in der EU nutzbar sind. Problematisch ist unter anderem, dass die Daten der Nutzer/innen von der KI weiterverwendet werden, ohne dass dafür eine gültige Einwilligung vorliegt. Vor allem aber werden die Daten unkontrolliert nach China ausgeleitet und dort weiterverarbeitet, ohne dass dafür eine Rechtsgrundlage existiert.“

„Mit den USA gilt – noch – ein besonderes Abkommen, nach dem die Übermittlung von Daten in die USA rechtmäßig erfolgt [4]. Dieses Abkommen ist gerichtlich derzeit in der Prüfung durch den Europäischen Gerichtshof (EUGH). Aber solange es besteht, privilegiert es die Datennutzung in den USA gegenüber derjenigen in China.“

„Was die Verwendung der Nutzerdaten im Übrigen angeht, hat die italienische Datenschutzbehörde OpenAI schon sehr früh dazu gebracht, die Daten der europäischen Nutzer/innen in anderer Weise – wenn überhaupt – zu verwenden.“

„Der Datenschutz – das darf man nicht vergessen – ist das Rückgrat von Demokratie und Freiheitlichkeit: Nur wenn ich mich unüberwacht bewegen, einkaufen, äußern, informieren kann, tue ich das gemäß meinen eigenen Vorstellungen, ohne dass ich gezielt beeinflusst werden kann.“

„Wenn aber Daten einzelner User in die konkrete Ausgestaltung von Diensten einfließen und unter anderem ermöglichen, dass die Dienste daraufhin so angepasst werden, dass die User beeinflussbar werden, und das alles unkontrolliert ist – wie wollen Sie Ihre Rechte vor chinesischen Gerichten durchsetzen? –, dann haben wir ein echtes Problem.“

„Und was man nicht vergessen darf: In die DSGVO sind schon ganz viele Abwägungen eingeflossen, das ist kein absolutes Recht. So darf ich im Prinzip Daten verarbeiten, wenn nicht – ausnahmsweise – Interessen der Betroffenen überwiegen. Dieses Privileg dürfen andere Interessen nicht ausnutzen, auch nicht wirtschaftliche Interessen.“

„DeepSeek wird eine rechtswidrige Datenübermittlung nach China im Sinne von Artikel 46 DSGVO vorgeworfen. Zwar gestattet unser Datenschutzrecht die Übermittlung von personenbezogenen Daten auch an Länder außerhalb der EU. Dafür müssen aber geeignete Garantien zur Einhaltung des Datenschutzes vorliegen oder wirksame Rechtsbehelfe der betroffenen Personen. Diese Voraussetzungen werden im Fall von DeepSeek als nicht erfüllt angesehen, in dessen Folge die Berliner Datenschutzbeauftragte einen Verstoß gemeldet hat.“

„Nach dem Digital Services Act können Datenschutzbeauftragte rechtswidrige Inhalte auf Plattformen an die Betreiber melden. Davon hat die Berliner Datenschutzbeauftragte Gebrauch gemacht. Nun sind Google und Apple am Zug, diese Meldung ‚zeitnah‘ zu prüfen und über eine Löschung zu entscheiden. Nach der Löschung würden Apps, die bereits heruntergeladen wurden, zwar weiter zur Verfügung stehen. Jedoch erhielten sie keine Updates mehr und könnten auch nicht mehr neu heruntergeladen werden.“

„Für KI-Dienste, die innerhalb der EU von Anbietern außerhalb der EU angeboten werden, gelten dieselben Vorschriften. Im Falle der USA gibt es – anders als mit China – jedoch einen Beschluss der EU-Kommission, dass in den USA ein angemessenes Datenschutzniveau vorliegt, das die Übertragung grundsätzlich genehmigt. Aber es stehen unter der Trump-Administration derzeit erhebliche Fragezeichen hinter dem Fortbestand des Beschlusses. Sollte der Beschluss kippen, würde dieses rechtliche Privileg für USA-Unternehmen wegfallen.“

„Für die Verbreitung rechtswidriger Inhalte, auf die sich die Datenschutzbehörden bei DeepSeek berufen, stellt das Löschen der Dienste durch Plattformanbieter ein scharfes Schwert dar. Das muss im begründeten Einzelfall auch zur Anwendung kommen können, wenn Regulierung wirken soll. Andererseits sieht unser Datenschutzrecht eine Reihe weiterer, weniger drastischer Mechanismen vor, die zur Durchsetzung verhelfen können, beispielsweise Strafzahlungen. Dabei ist klar, dass der Datenschutz eine grundlegende Errungenschaft europäischer Werte verkörpert, die nicht leichtfertig gegen Wirtschaftsinteressen auf das Spiel gesetzt werden darf.“

„Die Darstellung, die Bundesdatenschutzbeauftragte wolle ‚die KI-App von DeepSeek für die deutschen App Stores von Google und Apple verbieten‘ ist ein wenig verkürzt. Ausgangspunkt ist meines Wissens, dass die Berliner Datenschutzbeauftragte DeepSeek aufgefordert hat, rechtswidrige Datenübermittlungen zu unterlassen oder rechtskonform auszugestalten – oder eben die App aus den App Stores für Deutschland zu entfernen. So steht es jedenfalls in ihrer Pressemitteilung [II].“

„Als das nicht erfolgte, hat sie die DeepSeek-App als rechtswidrigen Inhalt an die App-Store-Betreiber Apple und Google gemeldet – was gemäß Artikel 16 des Digital Services Act jede ‚Person oder Einrichtung‘ tun kann. Die Bundesdatenschutzbeauftragte hat gesagt, dass sie dieses Vorgehen unterstützt.“

„Datenschutzrechtlich dürfte jedenfalls klar sein, dass DeepSeek in großem Umfang personenbezogene Daten seiner Nutzer verarbeitet. Für die Übermittlung solcher Daten in Drittländer außerhalb von EU und europäischem Wirtschaftsraum gibt es in der DSGVO strenge Vorgaben. Wenn sie nicht eingehalten werden, ist die Übermittlung rechtswidrig. Für mich ist nicht ersichtlich, ob und wie DeepSeek die Vorgaben einhält. Die Auffassung der Berliner Datenschutzbeauftragten, wonach die Übermittlungen rechtswidrig sind, ist nachvollziehbar.“

„Technisch gesehen dürften die Apps weiter nutzbar sein, aber keine Updates mehr erhalten. Natürlich kann DeepSeek jederzeit die betroffenen App-Versionen von der Nutzung seiner Server ausschließen. Rechtlich dürfte sich für die Nutzer nichts ändern. So dürfte es im Anwendungsbereich der DSGVO auch jetzt schon oft rechtswidrig sein, personenbezogene Daten von anderen Personen an DeepSeek zu übermitteln.“

„Natürlich gibt es auch bei US-amerikanischen Anbietern fragwürdige Datenübermittlungen. Aber immerhin gibt es verschiedene rechtliche Möglichkeiten, die von diesen Anbietern in Anspruch genommen werden, wenn sie Daten aus der EU heraus übermitteln. So soll das EU-US Data Privacy Framework [4] bei den teilnehmenden Unternehmen ein vergleichbares Datenschutzniveau wie in der EU herstellen. Wie gut dieser und andere Ansätze in der Praxis funktionieren, ist durchaus umstritten. Ein Bemühen um rechtskonforme Datenverarbeitungen ist hier aber immerhin erkennbar.“

„Ganz allgemein gibt es durchaus Fragen, wie gut die DSGVO zu den Besonderheiten von KI-Modellen passt und ob eine vollständige Durchsetzung im KI-Kontext verhältnismäßig wäre. Meiner Wahrnehmung nach agieren die Aufsichtsbehörden aber durchaus zurückhaltend. Vorliegend kommen wir aber gar nicht zu den speziellen Rechtsproblemen der KI, sondern sind bei einer der Grundlagen des europäischen Datenschutzrechts: freier Datenfluss in der EU, weil dort ein weitgehend einheitliches Schutzniveau herrscht – und strikte Beschränkungen für die Übertragung aus der EU hinaus, wo dieses Niveau nicht gewährleistet ist.“

„Wenn nach Aufforderung die Grundlagen für eine rechtskonforme Datenübermittlung nicht hergestellt werden, sehe ich ein Unterbinden weiterer Übermittlungen nicht als unverhältnismäßig – auch wenn sich noch zeigen wird, ob der gewählte Ansatz rechtlich und faktisch funktioniert. Zur allgemeinen Frage, wie Datenschutz gegen andere Interessen abgewogen wird: Das ist in der DSGVO bereits angelegt, denn ein ‚berechtigtes Interesse‘ ist eine der möglichen Rechtsgrundlagen für eine Verarbeitung personenbezogener Daten – und an vielen Stellen zeigt sich der risikobasierte Ansatz, der auch eine gewisse Skalierung des Schutzniveaus ermöglicht.“