Die Vorstellung der chinesischen KI-Anwendung DeepSeek Ende Januar 2025 hat in den USA und Deutschland für erhebliche Aufregung gesorgt. Cyber-Sicherheitsexperten und Datenschützer äußern fundierte Bedenken über die Sicherheit und den Datenschutz dieser Technologie. Die kritischen Punkte in Bezug auf DeepSeek umfassen eine umfangreiche Speicherung von Nutzerdaten und die Möglichkeit einer Manipulation für kriminelle Zwecke. Diese Bedenken werden noch verstärkt durch die Unklarheit über den Zugriff des chinesischen Überwachungsapparates auf die gesammelten Daten, wie Schwarzwälder Bote berichtet.
DeepSeek hat sich schnell als eine der beliebtesten KI-Anwendungen in den App Stores von Apple und Google etabliert. Diese Anwendung speichert unter anderem Tastatureingaben, die zur Identifizierung von Nutzern verwendet werden können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits vor den potenziellen Gefahren gewarnt, insbesondere im Hinblick auf sicherheitskritische Bereiche. Der Cloud Act, der US-amerikanische Firmen dazu verpflichtet, Behörden Zugriff auf im Ausland gespeicherte Daten zu gewähren, verstärkt die Bedenken um Datenschutz und Privatsphäre.
Schlechte Datenschutzpraktiken unter der Lupe
Die Datenschutzbehörden in Deutschland, speziell unter der Leitung von Dieter Kugelmann, dem Datenschutzbeauftragten von Rheinland-Pfalz, planen eine umfassende Prüfung von DeepSeek. Die Datenschutzrichtlinien dieser Anwendung erfassen eine Vielzahl sensibler Daten, darunter IP-Adressen, Chatverläufe, hochgeladene Dateien und Tastaturanschläge. Diese umfangreiche Datenerfassung steht im Widerspruch zur europäischen Datenschutzgrundverordnung (DSGVO), die den Austausch von Daten mit Drittstaaten, die kein entsprechendes Schutzniveau bieten, untersagt. Bedenken wurden bereits auf der Zwischenkonferenz der Datenschutzbehörden in Berlin laut, wo DeepSeek ein zentrales Diskussionsthema war.
Ein weiteres Problem ergibt sich aus der Tatsache, dass DeepSeek keine europäische Niederlassung oder gesetzlichen Vertreter hat, was einen direkten Verstoß gegen die DSGVO darstellt. Verschiedene Datenschutzaufsichtsbehörden in Deutschland und auch die italienische Datenschutzbehörde haben bereits Fragen zur Nutzung und Verarbeitung der Nutzerdaten an DeepSeek gerichtet. Nach dem Auffinden eines Datenlecks, bei dem über eine Million Datensätze ungesichert im Internet zugänglich waren, reagierte DeepSeek schnell und entfernte die Daten innerhalb einer Stunde, wie von Tagesschau angegeben. Das Leck umfasste hochsensible Informationen, darunter digitale Software-Schlüssel und Nutzeranfragen.
Sicherheitsmaßnahmen und Reaktionen der Behörden
Um die potenziellen Risiken von DeepSeek zu minimieren, haben deutsche Ministerien und Unternehmen bereits Maßnahmen ergriffen. Das Bundesinnenministerium hat die Nutzung externer Cloud-Dienste untersagt, während das Finanzministerium die Nutzung textgenerativer KI zu dienstlichen Zwecken untersagt hat. Auch Dax-Konzerne haben ihre Sicherheitsvorkehrungen erhöht und gewähren Zugang zu KI-Anwendungen nur über ihre eigenen Sicherheitssysteme. Das ist eine direkte Reaktion auf die wachsenden Cyberbedrohungen, die auch von der KI-Anwendung DeepSeek ausgehen können.
Zusätzlich zu den konkreten Maßnahmen der deutschen Datenschutzbehörden gibt es auch eine steigende Anzahl an Diskussionen über die Verantwortung der KI-Anbieter. Diese müssen klare Antworten auf Fragen zur Verarbeitung personenbezogener Daten geben und sicherstellen, dass die Datenschutzgrundsätze gemäß Art. 5 DSGVO eingehalten werden. Die Website von Dr. Datenschutz betont zudem, dass sowohl die Erstellung der Trainingsdatensätze als auch die Nutzung von KI-Modellen in der Öffentlichkeit genau hinterfragt werden muss.
