Die Ver­brau­cher­or­ga­ni­sa­tio­nen Alt­ro­con­su­mo (Italien) und Eu­ro­con­su­mers (eine Gruppe in­ter­na­tio­na­ler Ver­brau­cher­or­ga­ni­sa­tio­nen) haben bei der ita­lie­ni­schen Da­ten­schutz­auf­sichts­be­hör­de, der Garante per la pro­te­zio­ne dei dati per­so­na­li (GPDP), eine Be­schwer­de gegen das chi­ne­si­sche Un­ter­neh­men Deep­Seek ein­ge­reicht. Sie be­schwe­ren sich über Da­ten­schutz­ver­stö­ße der Hang­zhou Deep­Seek Ar­ti­fi­ci­al In­tel­li­gence Co., Ltd. und Beijing Deep­Seek Ar­ti­fi­ci­al In­tel­li­gence Co., Ltd. (zu­sam­men „Deep­Seek“), die KI-Dienste in der EU bereitstellen.

Die An­bie­ter der Deep­­Seek-App und des Deep­­Seek-Chats ver­sto­ßen nach Ansicht der beiden Or­ga­ni­sa­tio­nen in meh­re­ren Punkten gegen die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO).

Welche Ver­stö­ße wurden festgestellt?

  1. Feh­len­de EU-Ver­­­tre­­tung: Obwohl Deep­Seek Dienste für eu­ro­päi­sche Nutzer an­bie­tet, hat das Un­ter­neh­men keinen Ver­tre­ter in der EU benannt – eine Pflicht nach Art. 27 DSGVO.
  2. Un­zu­läs­si­ge Da­ten­über­tra­gung nach China: Nut­zer­da­ten werden laut Da­ten­schutz­er­klä­rung auf Servern in China ge­spei­chert. Es fehlen jedoch ver­bind­li­che Schutz­maß­nah­men wie Stan­dard­ver­trags­klau­seln oder Binding Cor­po­ra­te Rules. Zudem gewährt das chi­ne­si­sche Recht Be­hör­den weit­rei­chen­den Zugriff auf diese Daten.
  3. Feh­len­de Trans­pa­renz: Die Da­ten­schutz­er­klä­rung gibt keine klaren In­for­ma­tio­nen zu Spei­cher­dau­ern, Nut­zer­rech­ten oder den ver­ar­bei­te­ten Da­ten­ka­te­go­rien. Auch die Rechts­grund­la­ge der Da­ten­ver­ar­bei­tung bleibt unklar.
  4. Unklare Nutzung von KI und Pro­fil­ing: Deep­Seek gibt an, Nut­zer­da­ten zur Ver­bes­se­rung seiner KI-Modelle zu ver­wen­den, ohne jedoch offen dar­zu­le­gen, ob Pro­fil­ing oder au­to­ma­ti­sier­te Ent­schei­dun­gen erfolgen.
  5. Unklare Um­set­zung der Be­trof­fe­nen­rech­te (Artt. 15 – 22 DSGVO): Der Prozess zur Aus­übung von Rechten (z. B. Da­ten­lö­schung, Wi­der­spruch) ist unklar und ent­spricht nicht den DSGVO-Standards.
  6. Un­zu­rei­chen­der Schutz für Min­der­jäh­ri­ge: Obwohl das Un­ter­neh­men angibt, seine Dienste seien nicht für unter 18-Jährige gedacht, fehlen Altersverifikationsmechanismen.

Was fordern die Verbraucherschützer?

Die Be­schwer­de­füh­rer ver­lan­gen von der ita­lie­ni­schen Da­ten­schutz­be­hör­de unter anderem:

    • So­for­ti­ge Ein­schrän­kung der Da­ten­ver­ar­bei­tung ita­lie­ni­scher Nutzer durch Deep­Seek (Art. 58 (2) (f) DSGVO).
    • Of­fi­zi­el­le Ver­war­nun­gen gegen Deep­Seek wegen un­recht­mä­ßi­ger Da­ten­ver­ar­bei­tung (Art. 58 (2) (a) und (b) DSGVO).

Fazit

Der Fall zeigt erneut, wie wichtig es ist, dass Da­ten­schutz­vor­schrif­ten auch bei au­ßer­eu­ro­päi­schen An­bie­tern durch­ge­setzt werden. Un­ter­neh­men, die ihre Dienste in der EU an­bie­ten, müssen sich an die DSGVO halten – auch wenn sie au­ßer­halb Europas an­säs­sig sind. Nutzer sollten zudem be­son­ders vor­sich­tig sein, wenn sie KI-Dienste nutzen, deren Da­ten­schutz­prak­ti­ken in­trans­pa­rent sind.

Quelle:
Das Do­ku­ment wurde am 28. Januar 2025 von Marco Scial­do­ne (Eu­ro­con­su­mers) und Fe­der­i­co Cavallo (Alt­ro­con­su­mo) unterzeichnet:
No­ti­fi­ca­ti­on pur­su­ant to Article 144 of the Code on the pro­tec­tion of per­so­nal data, con­tai­ning pro­vi­si­ons for the ad­apt­a­ti­on of na­tio­nal law to Re­gu­la­ti­on (EU) No. 2016/679 of the Eu­ro­pean Par­lia­ment and of the Council of 27 April 2016 – hier auf­ruf­bar: 2025-01_­­Deep­­Seek

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!