Die Verbraucherorganisationen Altroconsumo (Italien) und Euroconsumers (eine Gruppe internationaler Verbraucherorganisationen) haben bei der italienischen Datenschutzaufsichtsbehörde, der Garante per la protezione dei dati personali (GPDP), eine Beschwerde gegen das chinesische Unternehmen DeepSeek eingereicht. Sie beschweren sich über Datenschutzverstöße der Hangzhou DeepSeek Artificial Intelligence Co., Ltd. und Beijing DeepSeek Artificial Intelligence Co., Ltd. (zusammen „DeepSeek“), die KI-Dienste in der EU bereitstellen.
Die Anbieter der DeepSeek-App und des DeepSeek-Chats verstoßen nach Ansicht der beiden Organisationen in mehreren Punkten gegen die Datenschutz-Grundverordnung (DSGVO).
Welche Verstöße wurden festgestellt?
- Fehlende EU-Vertretung: Obwohl DeepSeek Dienste für europäische Nutzer anbietet, hat das Unternehmen keinen Vertreter in der EU benannt – eine Pflicht nach Art. 27 DSGVO.
- Unzulässige Datenübertragung nach China: Nutzerdaten werden laut Datenschutzerklärung auf Servern in China gespeichert. Es fehlen jedoch verbindliche Schutzmaßnahmen wie Standardvertragsklauseln oder Binding Corporate Rules. Zudem gewährt das chinesische Recht Behörden weitreichenden Zugriff auf diese Daten.
- Fehlende Transparenz: Die Datenschutzerklärung gibt keine klaren Informationen zu Speicherdauern, Nutzerrechten oder den verarbeiteten Datenkategorien. Auch die Rechtsgrundlage der Datenverarbeitung bleibt unklar.
- Unklare Nutzung von KI und Profiling: DeepSeek gibt an, Nutzerdaten zur Verbesserung seiner KI-Modelle zu verwenden, ohne jedoch offen darzulegen, ob Profiling oder automatisierte Entscheidungen erfolgen.
- Unklare Umsetzung der Betroffenenrechte (Artt. 15 – 22 DSGVO): Der Prozess zur Ausübung von Rechten (z. B. Datenlöschung, Widerspruch) ist unklar und entspricht nicht den DSGVO-Standards.
- Unzureichender Schutz für Minderjährige: Obwohl das Unternehmen angibt, seine Dienste seien nicht für unter 18-Jährige gedacht, fehlen Altersverifikationsmechanismen.
Was fordern die Verbraucherschützer?
Die Beschwerdeführer verlangen von der italienischen Datenschutzbehörde unter anderem:
-
- Sofortige Einschränkung der Datenverarbeitung italienischer Nutzer durch DeepSeek (Art. 58 (2) (f) DSGVO).
- Offizielle Verwarnungen gegen DeepSeek wegen unrechtmäßiger Datenverarbeitung (Art. 58 (2) (a) und (b) DSGVO).
Fazit
Der Fall zeigt erneut, wie wichtig es ist, dass Datenschutzvorschriften auch bei außereuropäischen Anbietern durchgesetzt werden. Unternehmen, die ihre Dienste in der EU anbieten, müssen sich an die DSGVO halten – auch wenn sie außerhalb Europas ansässig sind. Nutzer sollten zudem besonders vorsichtig sein, wenn sie KI-Dienste nutzen, deren Datenschutzpraktiken intransparent sind.
Quelle:
Das Dokument wurde am 28. Januar 2025 von Marco Scialdone (Euroconsumers) und Federico Cavallo (Altroconsumo) unterzeichnet:
Notification pursuant to Article 144 of the Code on the protection of personal data, containing provisions for the adaptation of national law to Regulation (EU) No. 2016/679 of the European Parliament and of the Council of 27 April 2016 – hier aufrufbar: 2025-01_DeepSeek