PromptQuorumPromptQuorum

Ist DeepSeek DSGVO-sicher?

Read in:
🇺🇸en🇩🇪de🇫🇷fr🇯🇵ja🇨🇳zh

Schnelle Antwort

Die DeepSeek-API stellt das höchste DSGVO-Risiko unter den großen LLMs dar: Server unterliegen dem chinesischen Datenzugriffsrecht (PIPL), es gibt keine EU-Angemessenheitsentscheidung für China, und die Nutzungsbedingungen behalten ausdrücklich das Recht vor, Daten mit chinesischen Behörden zu teilen. Lokale DeepSeek-Open-Weight-Modelle haben ein deutlich niedrigeres Risikoprofil.

  • DeepSeek-API: Server in China, PIPL-Datenweitergabepflicht — höchstes Risiko
  • Keine EU-Angemessenheitsentscheidung: SCC + TFA erforderlich, Ergebnis für sensible Daten wahrscheinlich ungünstig
  • Lokale DeepSeek R1/V3 Gewichte (Apache 2.0): wesentlich geringeres Risiko ohne API-Aufrufe

Aktualisiert: 2026-05

Privacy & Security

Wichtigste Punkte

  • DeepSeek-API hat das höchste DSGVO-Risiko: chinesische Jurisdiktion, PIPL-Datenzugriffsgesetz, keine EU-Angemessenheitsentscheidung
  • SCC sind technisch möglich, aber eine Transferfolgenabschätzung für China wird für sensible Daten wahrscheinlich ein ungünstiges Ergebnis liefern
  • DeepSeek-Open-Weight-Modelle (R1, V3, Coder V2) sind Apache 2.0 — lokal betrieben haben sie dasselbe geringe Risiko wie lokales Qwen oder Llama
  • Für EU-regulierte Daten: DeepSeek-API vermeiden; lokale Gewichte nutzen oder auf ein Modell mit EU-gehosteten API-Optionen umsteigen

Warum die DeepSeek-API unter der DSGVO hohes Risiko birgt

Drei kumulative Faktoren machen die DeepSeek-API zur riskantesten Option für DSGVO-regulierte Daten unter den großen LLMs. Erstens: Server befinden sich in China, was jeden API-Aufruf zu einem DSGVO-Artikel-44-Drittlandtransfer macht. Zweitens: China hat keine EU-Angemessenheitsentscheidung. Drittens: Chinas Datenschutzgesetz für personenbezogene Informationen (PIPL) verpflichtet in China tätige Organisationen, Daten auf staatliche Anfrage bereitzustellen.

Standardvertragsklauseln sind ein gültiger rechtlicher Mechanismus für Transfers nach China. Nach Schrems II müssen Organisationen jedoch auch eine Transferfolgenabschätzung durchführen, die bewertet, ob SCC in der Praxis wirksamen Schutz bieten. Für China ist die TFA für sensible Daten schwer zu bestehen: PIPL überschreibt vertragliche Schutzmaßnahmen.

Dies gilt für alle personenbezogenen Daten: HR-Unterlagen, Kundendaten, medizinische Notizen, rechtliche Korrespondenz. Falls Ihre Prompts derartige Daten enthalten, schafft die DeepSeek-API regulatorisches Risiko, das SCC allein möglicherweise nicht heilen kann.

Lokale DeepSeek-Gewichte — ein völlig anderes Risikoprofil

Die Open-Weight-DeepSeek-Modelle (R1, V3, Coder V2) sind ein separates Produkt von der API. Sie sind unter Apache 2.0 verfügbar und können ohne Verbindung zu DeepSeek-Servern lokal ausgeführt werden. Die Ausführung lokaler Gewichte beseitigt das DSGVO-Artikel-44-Transferproblem vollständig.

Lokales DeepSeek R1 7B oder 8B läuft komfortabel über Ollama auf einer 6–8 GB VRAM GPU. R1 ist eines der stärksten Reasoning-Modelle auf dem 7B-Tier. Für Coding-Aufgaben ist DeepSeek Coder V2 in kleineren Varianten verfügbar.

Die verbleibende Frage für lokales DeepSeek: Model-Training. DeepSeek hat keine vollständigen Details zu den Trainingsdaten veröffentlicht. Für hochsichere Umgebungen (Gesundheitswesen, Recht, Behörden) kann diese Unklarheit relevant sein. Qwen 2.5 und Llama 4 bieten mehr Transparenz bei der Herkunft der Trainingsdaten.

BereitstellungDSGVO-RisikoBegründungEmpfohlene Maßnahme
DeepSeek-APIHöchstesChinesische Server, PIPL, keine AngemessenheitsentscheidungFür personenbezogene oder sensible Daten vermeiden
DeepSeek lokal (R1/V3)NiedrigKein Transfer, Apache-2.0-GewichteAkzeptabel; Intransparenz bei Trainingsdaten beachten
Qwen lokal (2.5/3)NiedrigKein Transfer, Apache 2.0, veröffentlichte Trainingsdaten-InfoFür datensensible Nutzung empfohlen
Claude / OpenAI APIMittelUS-Jurisdiktion; EU-Region reduziert aber eliminiert nicht das RisikoSCC + AVV erforderlich; EU-Region bevorzugen

Schnelle Antworten: DeepSeek und DSGVO

Kann ich die DeepSeek-API mit Standardvertragsklauseln für die DSGVO nutzen?
Technisch ja — Sie können SCC mit DeepSeeks Datenverantwortlichem abschließen. Sie müssen jedoch auch eine Transferfolgenabschätzung durchführen, die bewertet, ob chinesisches Recht diese SCC in der Praxis untergräbt. Angesichts der PIPL-Offenlegungspflichten wird eine TFA für sensible personenbezogene Daten wahrscheinlich zu dem Schluss kommen, dass SCC nicht ausreichen.
Was ist PIPL und warum ist es für die DSGVO relevant?
Chinas Datenschutzgesetz für personenbezogene Informationen (PIPL, in Kraft seit November 2021) verpflichtet in China tätige Organisationen, personenbezogene Daten auf Anfrage von Sicherheits- oder nationalen Sicherheitsbehörden bereitzustellen, unabhängig vom Firmensitz. SCC können keine obligatorische Offenlegungspflicht im Recht des Bestimmungslandes außer Kraft setzen.
Welches LLM ist für DSGVO-regulierte Daten am sichersten?
Für maximale DSGVO-Sicherheit: jedes lokale Open-Weight-Modell (Qwen 2.5, Llama 4, DeepSeek R1 lokal), das offline ohne externe API-Aufrufe läuft. Qwen 2.5 und Llama 4 haben transparentere Trainingsdatenherkunft. Den vollständigen Vergleich finden Sie im vollständigen DSGVO-LLM-Risikoausblick.
← Zurück zu Prompt Bites