Deepseek EU AI Act

Deepseek fordert den EU AI Act heraus, ob internationale Anbieter ihre Modelle offen und robust dokumentieren können oder ob sie durch systemische Pflichten zum Rückzug aus dem EU‑Markt gezwungen werden. Wer DeepSeek im Unternehmen nutzen will, benötigt spätestens 2025 einen klaren Migrations‑ oder Exit‑Plan, der sowohl DSGVO als auch EU AI‑Act adressiert.

Deepseek EU AI Act – Was passiert ab August 2025?

Ab August 2025 muss DeepSeek sich als General‑Purpose-AI (GPAI) registrieren, Transparenz­berichte veröffentlichen und Trainings­daten zusammen­fassen.
Erfüllt das Modell zudem den Schwellenwert von 10²⁵ FLOPS oder zeigt systemisches Risiko, greifen zusätzlich Risiko‑Management‑ und Cybersicherheits­pflichten, ein weiterer Hebel für die Aufsichts­behörden, die bereits DSGVO‑Verfahren führen.
Kurzfristig bleibt die DSGVO der schnellere Sanktions­mechanismus; mittel­fristig schafft der AI‑Act prüfbare Technik‑Auflagen, die DeepSeek offenlegen müsste. Wer heute Daten einspeist, sollte sich bewusst sein, dass alle Eingaben Trainings­material werden – mit offenem Ausgang für EU‑Rechte.

GPAI oder Hochrisiko?

Der EU AI Act unterscheidet grundsätzlich zwischen verbotenen, hochriskanten, begrenzt riskanten und minimal riskanten Systemen. Für generative Basismodelle wie DeepSeek hat der Gesetzgeber jedoch ein eigenes Kapitel geschaffen. Modelle, die breit einsetzbar sind, gelten als GPAI (Art. 52) und müssen sich spätestens zwei Wochen nach Erreichen der Systemrisiko‑Schwelle bei der EU‑Kommission melden.

Ob ein GPAI „systemisches Risiko“ aufweist, entscheidet primär der Rechenaufwand: Wurde das Training mit mehr als 10²⁵ FLOPs durchgeführt, greift automatisch Art. 53 ff. Sollte ein Modell, wie Branchen­analysen zu DeepSeek nahelegen, knapp unterhalb dieser Schwelle bleiben, kann die Kommission es dennoch als riskant einstufen, wenn seine Reichweite groß genug ist.

Alle GPAI‑Anbieter müssen technische Dokumentation, Nutzungsrichtlinien und eine zusammenfassende Liste der Trainingsdaten veröffentlichen. Für systemische Modelle kommen ein internes Risiko‑Management‑System, regelmäßige Evaluierungen, Incident‑Reporting binnen 24 Stunden und „State‑of‑the‑Art‑Cybersecurity“ hinzu. DeepSeek zeigt laut COMPL‑AI‑Audit Schwachstellen bei Bias‑Kontrolle und Netzwerksicherheit, weshalb zusätzliche Nachweispflichten wahrscheinlich sind.

Ein kritischer Punkt ist die Copyright‑Policy: GPAI‑Provider müssen darlegen, wie sie urheberrechtlich geschützte Inhalte im Training respektieren. Für DeepSeek, das nach Angaben von Security‑Insider massenhaft Web‑Daten ungefiltert nutzt, wird diese Nachweisführung zur Achillesferse.

Wechselwirkung mit Deepseek DSGVO

Die Debatte um DeepSeek hat sich in wenigen Monaten von staunender Technik­begeisterung zu einer handfesten Compliance‑Frage entwickelt: Das chinesische Modell sammelt umfangreiche Nutzerdaten und lagert sie auf Servern in der Volks­republik China, während gleich mehrere europäische Aufsichts­behörden seine Rechtmäßigkeit prüfen. Unternehmen müssen jetzt entscheiden, ob sie das Risiko von Bußgeldern und Datenabflüssen akzeptieren oder sich vorläufig von DeepSeek distanzieren.

Die EU AI Act‑Pflichten kommen zusätzlich zu den DSGVO‑Vorgaben. Mangelt es, wie bei DeepSeek, an einem EU‑Vertreter und an Garantien für China‑Transfers, drohen parallel Bußgelder unter Art. 83 DSGVO. Resultat: Ein doppelter Compliance‑Druck, der CFOs und CISOs gleichermaßen trifft.

Welche Datenströme verlaufen wohin?

DeepSeek erfasst Konto‑ und Profildaten, sämtliche Prompts – einschließlich hochgeladener Dateien, sowie automatisch generierte Metadaten wie IP‑Adresse, Geräte‑ID und Standort.

Die Privacy Policy erklärt unmissverständlich, dass alle Informationen „in sicheren Servern in der Volksrepublik China“ gespeichert werden. Damit findet ein permanenter Drittland­transfer in ein Land ohne EU‑Angemessenheits­beschluss statt; Standardvertrags­klauseln oder andere Garantien nennt der Anbieter nicht.

Besonders heikel: Laut Sicherheitsforschern wurden bereits mehr als eine Million Prompt‑Einträge in einer offen erreichbaren Datenbank entdeckt – ein Warnsignal für jede CISO‑Agenda.

Deepseek DSGVO – Fehlende Rechtsgrundlagen und Drittlandtransfers

Die Verarbeitung stützt sich pauschal auf „berechtigte Interessen“, ohne die nach Art. 6 Abs. 1 lit. f DSGVO geforderte Interessen­abwägung offen­zulegen.

Artikel 44 ff. DSGVO fordert „geeignete Garantien“ für Exporte in unsichere Drittländer – etwa Standardvertrags­klauseln mit Zusatz­maßnahmen –, doch DeepSeek liefert weder Dokumente noch Verschlüssel­konzept.

Hinzu kommt der Verstoß gegen Art. 27: Die Firma hat keinen EU‑Vertreter benannt, wie deutsche Aufsichtsbehörden seit 14. Februar 2025 in einem koordinierten Prüf­verfahren feststellen.

Für Verantwortliche bedeutet das: Jede Weitergabe personenbezogener Daten an DeepSeek ist ohne Rechtsgrundlage – und somit bußgeld­bewehrt.

Aktuelle Behördenverfahren zu Deepseek – Wer prüft was?

• Italien verhängte am 28. Januar 2025 ein sofortiges Nutzungs­verbot für DeepSeek, weil Daten­flüsse und Rechtsgrund­lagen unklar blieben.

• Deutschland: Sieben Landes­datenschutz­behörden untersuchen seit 14. Februar 2025 die fehlende EU‑Vertretung und mögliche Daten­verstöße; Ergebnis offen. 

• Belgien & Frankreich: Die CNIL bestätigte, dass der Europäische Datenschutz­ausschuss DeepSeek in seine Task‑Force zu generativen KI‑Modellen aufgenommen hat.

• Irland & Spanien: Diese Hauptsitz‑Behörden globaler Tech‑Konzerne signalisierten „enger werdende Kooperation“ für ein grenz­übergreifendes Vorgehen. [Quelle ergänzen]
  Unternehmen sollten deshalb mit grenz­übergreifenden Anordnungen oder Verbots­verfügungen rechnen, deren Reichweite bisher selten war.