Die KI-Anwendung DeepSeek steht seit Monaten in der Kritik, da sie Daten an China übermitteln soll. Nun hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) zu einem neuen Mittel des Digital Services Act (DSA) gegriffen, indem sie die KI-Anwendung als rechtswidrigen Inhalt bei Apple und Google gemeldet hat. Laut der Pressemitteilung der BlnBDI vom 27.06.2025 will die Aufsichtsbehörde so DeepSeek aus den App Stores entfernen.
DeepSeek – schnell, leistungsstark, sicher?
DeepSeek ist ein KI-gestützter, multifunktionaler Chatbot des chinesischen Unternehmens Hangzhou DeepSeek Artificial Intelligence Co., Ltd., der über den Apple App Store und den Google Play Store auch in Deutschland frei zugänglich ist. Es handelt sich um eine hochleistungsfähige KI-Anwendung, die bezüglich ihrer Fähigkeit regelmäßig mit dem bekannten Chatbot ChatGPT verglichen wird.
Obwohl das Unternehmen keine Niederlassung in der Europäischen Union betreibt, richtet es sich laut der BlnBDI an EU-Nutzer. Das ergebe sich insbesondere aus der Möglichkeit, ihn auf deutsch zu betreiben. Der Dienst verarbeitet eine Vielzahl personenbezogener Daten, darunter Texteingaben, Standort- und Geräteinformationen sowie Uploads. Im Anschluss übertrage der Dienst diese Informationen an Server chinesischer Auftragsverarbeiter, was Datenschützer häufig kritisch bewerten.
Drittstaatentransfer ohne Rechtsgrundlage
Schon kurz nach der Vorstellung der Anwendung äußerten sich erste öffentliche Stellen und Datenschützer kritisch über DeepSeek. Kurz darauf leiteten sieben deutsche Datenschutzbehörden ein Prüfverfahren gegen das chinesische Unternehmen ein. Andere Staaten, wie Italien und Australien, haben mittlerweile bereits eine Untersagung oder Entfernung aus dem App Store bewirken können. Die Kritik ergibt sich insbesondere aufgrund der Nichteinhaltung der Datenschutzvorgaben.
Eine entsprechende Nutzungs- und Datenschutzvereinbarung liegt zwar vor, genügt aber nach Ansicht der Aufsichtsbehörde nicht den Anforderungen der DSGVO. Im Kern geht es um die Zulässigkeit der Datenübermittlung nach China. Solche Übermittlungen sind nach Art. 44 ff. DSGVO nur zulässig, wenn das Datenschutzniveau im Empfängerstaat angemessen ist oder geeignete Garantien nach Art. 46 DSGVO bestehen. Für China existiert kein Angemessenheitsbeschluss der EU-Kommission.
DeepSeek habe der Berliner Aufsichtsbehörde auch keine belastbaren Maßnahmen vorlegen können, die ein gleichwertiges Schutzniveau sicherstellen. Insbesondere bestünden in China weitreichende Zugriffsbefugnisse staatlicher Stellen auf Unternehmensdaten. Zudem sei europäischen Nutzern im chinesischen Datenschutzsystem keine effektiven Rechtsbehelfe gewährt. Deshalb bewertet die BlnBDI, Meike Kamp, in ihrer Pressemitteilung das Vorgehen insgesamt als rechtswidrig.
Vorgehen der BlnBDI
Die BlnBDI gibt an, DeepSeek Anfang Mai kontaktiert und aufgefordert zu haben, das datenschutzwidrige Verhalten abzustellen und insbesondere die Anwendung aus den App Stores zu entfernen. Da das Unternehmen daraufhin seine Verpflichtungen nicht befolgt habe, habe die BlnBDI Google und Apple gemäß Art. 16 DSA über den rechtswidrigen Inhalt informiert. Die Plattformbetreiber müssen den Fall nun „zeitnah prüfen“ und über Maßnahmen wie eine Sperrung oder Entfernung der App entscheiden.
Dieser Schritt erfolge in enger Zusammenarbeit mit Landesdatenschutzbehörden von Baden-Württemberg, Rheinland-Pfalz und der Freien Hansestadt Bremen sowie der Koordinierungsstelle für digitale Dienste bei der Bundesnetzagentur. Letztere ist für die Durchsetzung des DSA in Deutschland zuständig ist.
Fazit
Das Vorgehen der BlnBDI verdeutlicht, dass sie DeepSeek nicht nur aus den App Stores entfernen will, sondern insgesamt eine Verwendung der Anwendung verhindern will. Mit ihrer DSA-Meldung nutzt sie einen neuen Hebel zur datenschutzrechtlichen Durchsetzung gegenüber nicht kooperativen Anbietern außerhalb der EU. Maßnahmen aus dem Datenschutzrecht wie das Verhängen eines Bußgelds sind bei Anbietern ohne Sitz in einem EU-Staat schwer bis gar nicht durchsetzbar. Auch erweist sich ein Vorgehen gegen die Webseite des Unternehmens schwierig, wenn keine Kenntnis über den Host-Anbieter besteht. Der Fall verdeutlicht, die neuen Mittel, die der DSA gegenüber dem allgemeine Datenschutzrecht bietet, um den Schutz personenbezogener Daten sicherzustellen.
Der Fall zeigt auch, dass die schnelle Entwicklung von KI-Technologien von Unternehmen mehr verlangt als bloße digitale Anpassung. Vielmehr ist eine Auseinandersetzung mit der Materie auch aus rechtlicher und insbesondere datenschutzrechtlicher Sicht erforderlich. Als Externe Datenschutzbeauftragte helfen wir Ihnen dabei, auf Ihr Unternehmen zugeschnittene und praxistaugliche Lösungen zu entwickeln.
