Ein neuer Akteur hat kürzlich die internationale KI-Landschaft betreten: Das 2023 von dem chinesischen Unternehmer Liang Wenfeng gegründete Unternehmen „DeepSeek“ stellte Anfang 2025 seinen KI-Chatbot „DeepSeek R1“ der Öffentlichkeit vor. Die App fand weltweit rasch Millionen von Nutzern und stellt mittlerweile eine ernsthafte Konkurrenz für etablierte Systeme wie ChatGPT dar. Doch mit diesem rasanten Wachstum treten auch zahlreiche rechtliche Fragestellungen und Herausforderungen auf, die sowohl die Nutzer als auch die Entwickler des Chatbots betreffen und die rechtlichen Rahmenbedingungen für den Einsatz solcher Technologien neu definieren.
So sehr der KI-Chatbot für Begeisterung sorgt, wirft er in der Anwendung auch zahlreiche rechtliche Bedenken, insbesondere im Hinblick auf das Datenschutzrecht/ die Vereinbarkeit mit der DSGVO sowie das Geschäftsgeheimnisgesetz (GeschGehG) auf.
Kein europäischer Datenschutzstandard
Das Unternehmen speichert verschiedene Daten von Nutzern, wie zum Beispiel Chat-Verläufe mit der KI, persönliche Daten, Tastenschlagmuster und auch Geräte- und Browserdaten. Die Daten werden auf den Servern des Unternehmens in China verarbeitet.
Dies ist insofern problematisch, weil China nach der DSGVO nicht als sicheres Drittland eingestuft ist. Zudem stellt das Unternehmen keinen gesetzlichen Vertreter für die EU, was allein schon einen Verstoß gegen die DSGVO darstellt.
DeepSeek bietet daneben auch keine transparente Datenschutzerklärung oder einen Auftragsverarbeitungsvertrag an, was für Zweifel bezüglich der Möglichkeit einer rechtskonformen Nutzung sorgt.
Hinzu kommt, dass bereits kurz nach Einführung der KI ein Datenleck entdeckt wurde, in dem mehrere Millionen Datensätze der von DeepSeek gespeicherten Daten ungesichert im Internet zugänglich gewesen sind.
Die Nationale Kommission für den Datenschutz (CNPD) Luxembourgs hat daher eine offizielle Warnung bezüglich der Risiken von DeepSeek R1 verkündet, da die KI nicht den europäischen Datenschutzstandards entspricht. Auch Italien ist der KI gegenüber skeptisch und hat die App bereits im Januar gesperrt.
Aktuell bereitet der Datenschutzbeauftragte von Rheinland-Pfalz ein Prüfverfahren gegen DeepSeek vor. Verschiedene deutsche Datenschutzbehörden wollen eine gemeinsame Untersuchung starten und ein Fragebogen erstellen, welcher an das Unternehmen geschickt werden soll.
Gefahr des Verlustes des Schutzes von Geschäftsgeheimnissen
Ein weiterer entscheidender Punkt ist, dass die Nutzung von „DeepSeek R1“ in Unternehmensprozessen dazu führen kann, dass der rechtliche Schutz von Geschäftsgeheimnissen gemäß dem Geschäftsgeheimnisgesetz (GeschGehG) nicht mehr anwendbar ist. Wenn die Anwendung im Unternehmen nicht explizit verboten ist, können Geschäftsgeheimnisse durch die Verarbeitung in der KI-Anwendung ungewollt offengelegt werden, was die Vertraulichkeit dieser Informationen gefährdet. Selbst wenn die Daten nicht in die KI gelangen, reicht die Möglichkeit der Verarbeitung aus, um die Schutzvoraussetzungen des GeschGehG zu untergraben.
Das Gesetz setzt voraus, dass Unternehmen angemessene Maßnahmen zum Schutz ihrer vertraulichen Informationen ergreifen. Wenn jedoch Geschäftsgeheimnisse durch den Einsatz einer nicht ausreichend gesicherten KI-Anwendung wie „DeepSeek R1“ verarbeitet werden können, kann dies als Verstoß gegen diese Schutzpflichten gewertet werden, wodurch der rechtliche Schutz dieser Informationen entfällt. Unternehmen sollten daher besonders vorsichtig sein und sicherstellen, dass der Einsatz solcher Technologien entweder klar geregelt oder vollständig vermieden wird, um das Risiko eines Verlusts des Schutzes ihrer Geschäftsgeheimnisse zu minimieren.
Fehlende Urheberrechtsfähigkeit
Ein weiterer wichtiger rechtlicher Aspekt betrifft den Urheberrechtsschutz der durch „DeepSeek R1“ generierten Ergebnisse. Da der KI-Chatbot autonom Inhalte erstellt, stellt sich die Frage, ob diese Ergebnisse unter den Schutz des Urheberrechts fallen. Nach deutschem Urheberrecht sind nur persönliche geistige Schöpfungen geschützt, die das Ergebnis menschlicher Kreativität und intellektueller Leistung sind. Da eine KI jedoch keine eigene schöpferische Intention hat und ihre Ergebnisse auf Algorithmen und Datenverarbeitung basieren, sind die von der KI generierten Inhalte grundsätzlich nicht urheberrechtlich geschützt. Ausnahmen bestehen, soweit der Input eine solche Schöpfungshöhe erreicht und dem Nutzer ein Urheberrecht zugesprochen werden kann.
Das bedeutet, dass Unternehmen, die auf solche KI-generierten Ergebnisse zurückgreifen, nicht immer Urheberrechtsschutz für diese Inhalte beanspruchen können. Im Falle einer kommerziellen Nutzung könnte dies zu Unsicherheiten bezüglich der Rechte an diesen Inhalten führen, insbesondere wenn Nutzungsrechte an den Ergebnissen an Dritte übertragen werden sollen.
Praktische Handlungsempfehlung
Unternehmen und Kommunen sollten derzeit davon absehen, die KI-Technologie von „DeepSeek R1“ in ihre Geschäftsprozesse zu integrieren. Ein wesentlicher Grund hierfür ist das bestehende Risiko in Bezug auf den Datenschutz. Aufgrund der bislang unklaren oder unzureichend transparenten Datenverarbeitungspraktiken des Unternehmens, insbesondere in Hinblick auf die Einhaltung der Datenschutz-Grundverordnung (DSGVO), ist der Einsatz der Technologie nicht DSGVO-konform. Das bedeutet, dass es derzeit keine ausreichende Gewährleistung für den Schutz personenbezogener Daten gibt, was erhebliche rechtliche und finanzielle Risiken für Unternehmen und Kommunen darstellt.
Solange nicht nachgewiesen werden kann, dass der „DeepSeek R1“-Chatbot alle datenschutzrechtlichen Anforderungen erfüllt, sollten Organisationen vorsichtig sein und die Nutzung dieser Technologie aufschieben. Zudem könnten unsichere Datenflüsse zu einem Vertrauensverlust bei Kunden und Bürgern führen, was die Reputation und die rechtliche Stellung eines Unternehmens oder einer Kommune nachhaltig gefährdet.
Es empfiehlt sich daher, alternative, datenschutzkonforme Lösungen in Betracht zu ziehen und regelmäßige Prüfungen durch Datenschutzbeauftragte vorzunehmen, um den aktuellen Stand der Compliance zu überprüfen.
Ansprechpartner zu dem Thema: Dr. Stefan Bischoff und Markus Heinrich
