Die Warnungen und Verbote häufen sich: DeepSeek-KI widerspricht dem Datenschutz und hat Sicherheitslücken

Der Start des KI-Chatbots DeepSeek war für viele Tech-Influencer ein „Sputnik-Moment“. Die KI aus China tauchte urplötzlich auf, wurde angeblich mit geringsten Entwicklungskosten reif für die globale Nutzung gemacht und soll ChatGPT mindestens ebenbürtig sein. Doch von Anfang an mehren sich die Zweifel am Datenschutz der derzeit schwer angesagten App.

In Südkorea und Italien verboten

Südkorea hat den Download von DeepSeek in den App-Stores ausgesetzt, weil die KI in Konflikt mit den Datenschutzgesetzen des Landes steht. Die Südkoreaner haben herausgefunden, dass DeepSeek persönliche Daten sammle und Eingabedaten für Trainingszwecke verwende – im Grunde nichts anderes als ein Spionagevorwurf Richtung China. Auch Taiwan, Australien und Italien haben mit DeepSeek kurzen Prozess gemacht. Nachdem die italienische Datenschutzbehörde GDDP von den Betreibern der KI keine befriedigenden Antworten auf Fragen zur Konformität mit der europäischen Datenschutz-Grundverordnung (DSGVO) erhielten, wurde DeepSeek kurzerhand aus dem App-Store verbannt. In den anderen beiden Ländern besteht ein Verbot für die Nutzung von DeepSeek für staatliche Institutionen und Regierungsbehörden. Ähnliche partielle Verbote gibt es inzwischen auch in den USA.

Auch in Deutschland wird gewarnt

In Deutschland hat DeepSeek ebenfalls den Verdacht von Datenschützern und Experten für Cybersicherheit auf sich gezogen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass DeepSeek anhand von Mustern und Rhythmen bei der Tastatureingabe Nutzerprofile erstellen kann. In den Datenschutzhinweisen von DeepSeek wird dies sogar freimütig zugegeben. Außerdem ist die App in der Lage, Tastatureingaben vor dem Abschicken mitzulesen. Dies könne letztlich zu einer Identifizierung und Überwachung der KI-Nutzer führen. Die Speicherung der so gewonnenen Nutzerdaten erfolgt in China. Das BSI warnt daher insbesondere sicherheitskritische Anwendungsbereiche vor dem Umgang mit der chinesischen KI.

Wenn der Staat auf Daten zugreifen darf

OpenAI hat für ChatGPT zugesichert, dass weder persönliche Daten gesammelt noch Nutzerprofile angelegt würden. Anders in China: DeepSeek unterliegt dem Recht der Volksrepublik, wonach sogar eine Verpflichtung für das Speichern gewonnener Daten im Land besteht. Ebenso sind Firmen zur Kooperation mit den chinesischen Sicherheitsdiensten verpflichtet. Der Staat erhält damit nach Belieben Datenzugriff.

Jailbreaking durch Hacker möglich

DeepSeek unterscheidet sich von ChatGPT aber auch durch mangelnde bzw. fehlende Sicherheitsfunktionen. Hacker könnten nach Ansicht von Cybersicherheitsdienstleistern den Chatbot manipulieren und zum Datenklau umfunktionieren. Solche Jailbreaking genannten Verfahren sind offenbar selbst mit begrenzten technischen Kenntnissen umsetzbar. Neben dem Datendiebstahl ist so auch die Erstellung von gezielten Falschinformationen denkbar.

Deutsche Datenschutzbehörde wird reagieren

Das Intervenieren der italienischen Datenschutzbehörde wird kein Einzelfall in Europa bleiben. Die DSGVO sieht vor, dass Unternehmen ohne Sitz in der EU einen gesetzlichen Vertreter benennen müssen. Die Tatsache, dass dies bislang unterlassen wurde, ist bereits als Datenschutzverstoß zu werten und wird womöglich ein Bußgeld nach sich ziehen. Man darf nun gespannt auf Schritte der deutschen Datenschutzbehörde sein.