DeepSeek DSGVO-konform? Was deutsche Unternehmen wissen müssen
Ist DeepSeek DSGVO-konform für deutsche Unternehmen?
Nein. DeepSeek Cloud kann nicht rechtskonform für personenbezogene Daten eingesetzt werden: kein AVV, keine SCC für China-Transfers, kein EU-Vertreter nach Art. 27 DSGVO. Self-Hosting der DeepSeek-Modelle auf EU-Infrastruktur ist ein rechtlich gangbarer Weg.
- Kein AVV verfügbar — damit ist ein datenschutzkonformer Unternehmenseinsatz nach Art. 28 DSGVO nicht möglich.
- Datenspeicherung auf Servern in China ohne EU-Angemessenheitsbeschluss und ohne Standardvertragsklauseln.
- Sieben deutsche Landesdatenschutzbehörden eröffneten im Februar 2025 formelle Prüfverfahren.
- DeepSeek V3 und R1 als Open-Weight-Modelle können DSGVO-konform auf eigener EU-Infrastruktur betrieben werden.
DeepSeek Cloud kann von deutschen Unternehmen nicht rechtskonform für die Verarbeitung personenbezogener Daten eingesetzt werden. Es gibt keinen Auftragsverarbeitungsvertrag (AVV), keine Standardvertragsklauseln für Datentransfers nach China und deutschen Datenschutzbehörden haben formelle Prüfverfahren eingeleitet. Self-Hosting der Open-Weight-Modelle auf europäischer Infrastruktur ist dagegen ein rechtlich gangbarer Weg. Dieser Leitfaden erklärt die rechtlichen Lücken und die Compliance-Optionen. Eine Übersicht aller bewerteten KI-Tools finden Sie in unserem KI-Tool-Verzeichnis.
Ist DeepSeek DSGVO-konform?
Nein — für den Cloud-Dienst. DeepSeek AI (Hangzhou DeepSeek Artificial Intelligence Co., Ltd.) hat seinen Sitz in China und speichert Nutzerdaten auf chinesischen Servern. Für China besteht kein EU-Angemessenheitsbeschluss nach Art. 45 DSGVO — das heisst: Es gibt keine offizielle Anerkennung, dass das chinesische Datenschutzniveau dem der EU entspricht.
Damit ein Datentransfer nach China zulässig ist, müssen geeignete Garantien nach Art. 46 DSGVO vorliegen — in der Praxis üblicherweise Standardvertragsklauseln (SCC). DeepSeek bietet keine SCCs an. Darüber hinaus stellt DeepSeek keinen Auftragsverarbeitungsvertrag (AVV) bereit, den Art. 28 DSGVO zwingend verlangt, wenn ein Auftragsverarbeiter personenbezogene Daten für einen Verantwortlichen verarbeitet.
Das Ergebnis für deutsche Rechts- und Compliance-Teams: DeepSeek Cloud ist für personenbezogene Daten nicht einsetzbar, solange diese Lücken nicht geschlossen werden.
Warum der DeepSeek Cloud-Dienst gegen deutsches Datenschutzrecht verstößt
Keine Standardvertragsklauseln für Datentransfers nach China
Nach Art. 46 DSGVO bedürfen Übermittlungen personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss geeigneter Garantien. Das gängigste Instrument bei US-Cloud-Anbietern sind die Standardvertragsklauseln der Europäischen Kommission (aktualisierte Fassung Juni 2021).
DeepSeek bietet keine SCCs an. Alle personenbezogenen Daten, die über den DeepSeek Cloud-Dienst verarbeitet werden — Prompts, hochgeladene Dokumente, Kundendaten, Mitarbeiterdaten — werden ohne gültigen Übermittlungsmechanismus nach China transferiert. Dies ist für jedes deutsche Unternehmen, das personenbezogene Daten verarbeitet, ein direkter DSGVO-Verstoss.
Kein AVV für den Unternehmenseinsatz
Art. 28 DSGVO verlangt einen schriftlichen Auftragsverarbeitungsvertrag zwischen Verantwortlichem (Ihrem Unternehmen) und Auftragsverarbeiter (DeepSeek), sobald personenbezogene Daten im Auftrag verarbeitet werden. Dieser Vertrag ist keine Kür, sondern Pflicht — ohne AVV ist die gesamte Verarbeitungsbeziehung rechtswidrig.
DeepSeek bietet keinen AVV für Unternehmenskunden an. Dieser Umstand allein macht DeepSeek Cloud für deutschen Unternehmenseinsatz unbrauchbar. Wie ein datenschutzkonformer AVV aussehen sollte und welche Punkte zu prüfen sind, zeigt unser Leitfaden zum Auftragsverarbeitungsvertrag nach DSGVO.
Kein EU-Vertreter nach Art. 27 DSGVO
Art. 27 DSGVO verpflichtet Unternehmen ausserhalb der EU, die Dienstleistungen für EU-Betroffene erbringen, zur Benennung eines Vertreters in der EU. Dieser Vertreter ist Anlaufstelle für Betroffene und Aufsichtsbehörden.
DeepSeek hat mit der Datenschutzerklärung vom Januar 2026 einen Datenschutzkontakt für eine „Europäische Region” benannt. Deutsche Datenschutzbehörden haben öffentlich erklärt, dass dies Art. 27 DSGVO nicht erfüllt — der benannte Kontakt verfügt nicht über das formelle Vertretungsmandat und die Durchsetzbarkeit, die die Verordnung verlangt.
Behördliche Maßnahmen: Berliner Beauftragter, LfD Niedersachsen und App-Store-Sperrungen
Deutsche Datenschutzbehörden gehören weltweit zu den aktivsten Aufsehern im Fall DeepSeek. Der Zeitstrahl der regulatorischen Massnahmen:
| Datum | Ereignis |
|---|---|
| Februar 2025 | Sieben Landesdatenschutzbehörden eröffnen formelle Prüfverfahren. Federführend: HBDI (Hessen), LfDI Baden-Württemberg, BlnBDI (Berlin), LfDI Rheinland-Pfalz |
| Februar 2025 | LfD Niedersachsen spricht formelle Empfehlung gegen den Einsatz von DeepSeek Cloud für personenbezogene Daten aus |
| 27. Juni 2025 | Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) sendet Hinweisschreiben nach Art. 16 DSA an Apple und Google mit der Aufforderung, die DeepSeek-App aus deutschen App-Stores zu entfernen |
| Januar 2026 | DeepSeek aktualisiert seine Datenschutzerklärung, benennt eine „Europäische Region” und einen Datenschutzkontakt |
| Q1 2026 | Deutsche Datenschutzbehörden bewerten das Januar-2026-Update kollektiv als unzureichend; Prüfverfahren laufen weiter |
Die DSA-Hinweisschreiben des BlnBDI an Apple und Google sind besonders bemerkenswert: Sie stellen das erste Mal dar, dass eine deutsche Datenschutzbehörde den Inhaltsentfernungsmechanismus des Digital Services Act gegen ein KI-Tool eingesetzt hat.
Die Datenschutzkonferenz (DSK) — das gemeinsame Gremium aller deutschen Bundes- und Landesdatenschutzbehörden — hat das DeepSeek-Verfahren als fortlaufendes Beobachtungsthema eingestuft.
DeepSeek Datenschutzerklärung Januar 2026 — Ausreichend?
Im Januar 2026 veröffentlichte DeepSeek eine überarbeitete Datenschutzerklärung mit einer „Europäischen Region” und einem benannten Datenschutzkontakt für europäische Nutzer. Diese Aktualisierung adressierte oberflächliche Kritik. Sie löste die grundlegenden DSGVO-Probleme jedoch nicht:
- Kein AVV eingeführt. Die Aktualisierung hat keinen Art. 28-konformen Auftragsverarbeitungsvertrag hervorgebracht. Für Unternehmenseinkauf fehlt weiterhin die vertragliche Grundlage.
- SCC weiterhin nicht vorhanden. Es wurden keine Standardvertragsklauseln hinzugefügt. Drittlandtransfers nach China erfolgen weiterhin ohne gültigen Art. 46-Mechanismus.
- Art. 27-Vertreter nicht formal benannt. Deutsche Behörden haben klargestellt, dass ein „Datenschutzkontakt” in einer Datenschutzerklärung nicht der formellen Vertreterbestellung nach Art. 27 entspricht.
- Datenspeicherungsort unverändert. Die primäre Datenspeicherung erfolgt weiterhin auf Servern in China.
Deutsche Aufsichtsbehörden haben die Januar-2026-Aktualisierung öffentlich als unzureichend eingestuft. Die Prüfverfahren laufen fort.
DeepSeek Self-Hosting: Die DSGVO-konforme Alternative
Self-gehostete DeepSeek-Modelle sind eine grundlegend andere rechtliche Situation. DeepSeek hat seine Modelle V3 und R1 als Open-Weight-Modelle veröffentlicht — die Modellgewichte sind öffentlich zum Download und zur lokalen Ausführung verfügbar. Wenn Sie DeepSeek auf Ihrer eigenen EU-Infrastruktur betreiben:
- Keine Daten verlassen Ihre Infrastruktur. Prompts, Eingaben und Ausgaben werden vollständig auf Ihrer kontrollierten Infrastruktur verarbeitet.
- Kein Transfer nach China. Das Art. 46-SCC-Problem entfällt vollständig.
- AVV nur mit Ihrem Infrastrukturanbieter erforderlich. Sie benötigen einen AVV mit Ihrem EU-Cloud- oder On-Premise-Anbieter, nicht mit DeepSeek AI.
- Keine Verbindung zu DeepSeek AI-Diensten. Sie nutzen die Modellgewichte, nicht die DeepSeek-API oder -Server.
Dies ist derselbe Compliance-Weg wie bei Open-Source-Llama-Modellen — entscheidend ist, dass Daten in Ihrer kontrollierten, EU-gehosteten Umgebung verbleiben. Unternehmen, die diesen Weg gehen, sollten:
- Deployment auf zertifizierter EU-Cloud-Infrastruktur (z.B. deutsches Rechenzentrum oder EU-Region-Cloud mit bestehendem AVV)
- Eintragung der Verarbeitung ins Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO
- Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO bei systematischer Verarbeitung sensibler Daten
- Implementierung von Zugriffskontrollen und Protokollierung entsprechend der internen Informationssicherheitsrichtlinien
DSGVO-Risikoanalyse für verschiedene Einsatzfelder
Verschiedene Einsatzszenarien weisen unterschiedliche Risikograde auf für Unternehmen, die DeepSeek einsetzen oder dessen Einsatz erwägen:
| Einsatzfeld | Personenbezogene Daten? | DSGVO-Risiko (Cloud) |
|---|---|---|
| Interne Entwürfe (keine Personendaten) | Nein | Geringer — aber Transferrisiko bleibt |
| Kundenkommunikation oder -support | Ja | Kritisch — kein AVV, keine SCC |
| HR und Mitarbeiterdaten | Ja | Kritisch — besondere Beachtung §26 BDSG |
| Rechtliche Dokumentenprüfung | Wahrscheinlich ja | Kritisch — Vertraulichkeit + DSGVO |
| Code-Generierung (keine Personendaten) | Nein | Geringer — IP-Risiko separat prüfen |
| Forschung mit anonymisierten Daten | Möglicherweise | Mittel — abhängig von Anonymisierungsqualität |
Für jeden Einsatzfall mit personenbezogenen Daten ist das Fehlen eines AVV ein absolutes Hindernis. Selbst bei Einsatzfällen ohne personenbezogene Daten führt das Fehlen von SCCs dazu, dass bei versehentlicher Einbeziehung personenbezogener Daten sofortige Haftungsrisiken entstehen.
Wenn Ihr Unternehmen DeepSeek Cloud bereits genutzt hat, empfehlen sich folgende Schritte:
- Umfang dokumentieren: Welche personenbezogenen Daten wurden verarbeitet?
- Meldepflichten nach Art. 33 DSGVO prüfen: War die Verarbeitung ohne ausreichende Garantien ein meldepflichtiger Vorfall?
- Auf datenschutzkonforme Alternative migrieren — siehe unten
Praktische Checkliste für deutsche Unternehmen
Für Unternehmen, die DeepSeek evaluieren oder aktuell einsetzen:
- DeepSeek Cloud sofort für personenbezogene Daten einstellen — ohne AVV und SCC laufende Rechtswidrigkeit
- Audit: Welche Workflows nutzen DeepSeek? — identifizieren, welche Daten verarbeitet wurden und von wem
- Art. 33-Exposition prüfen — feststellen, ob eine Meldepflicht gegenüber der Aufsichtsbehörde besteht
- DeepSeek Self-Hosting evaluieren — bei Bedarf an den Fähigkeiten EU-basierte Eigeninstallation prüfen
- Datenschutzkonforme Alternative einsetzen — Claude Enterprise bietet EU-Datenspeicherung, DSGVO-konformen AVV und SCCs für deutschen Unternehmenseinsatz
- Interne KI-Nutzungsrichtlinien aktualisieren — welche Tools für Personendaten freigegeben sind, klar festlegen
- Entscheidung dokumentieren — Risikoabwägung und Migrationsentscheidung ins VVT aufnehmen
DSGVO-konforme Alternativen für deutsche Unternehmen
Wenn Ihr Unternehmen einen KI-Assistenten oder ein grosses Sprachmodell für Aufgaben mit personenbezogenen Daten benötigt, bieten folgende Optionen die erforderliche DSGVO-Dokumentation:
- Claude Enterprise — Anthropic AVV mit SCCs, EU-Datenspeicherung, kein Training auf Kundendaten; Claude AVV im Detail
- Self-Hosted DeepSeek V3/R1 — Open-Weight-Modelle auf eigener EU-Infrastruktur betreiben
- Self-Hosted Llama — Metas Open-Weight-Modelle, identischer Self-Hosting-Compliance-Weg
Bei der Bewertung jedes KI-Anbieters gilt: Ein Auftragsverarbeitungsvertrag nach DSGVO ist die Mindestvoraussetzung. Kein AVV bedeutet keine rechtmässige Verarbeitung personenbezogener Daten — unabhängig von den Fähigkeiten des Tools.
Die Informationen auf dieser Seite sind allgemeine rechtliche Informationen, keine Rechtsberatung. Die regulatorische Lage rund um DeepSeek entwickelt sich weiter. Für auf Ihr Unternehmen zugeschnittene Beratung wenden Sie sich an Compound Law.
Häufig gestellte Fragen
Ist DeepSeek DSGVO-konform?
Nein. Der DeepSeek Cloud-Dienst kann von deutschen Unternehmen nicht datenschutzkonform für personenbezogene Daten eingesetzt werden. Es fehlen AVV nach Art. 28 DSGVO, Standardvertragsklauseln für Transfers nach China und ein EU-Vertreter nach Art. 27 DSGVO. Mehrere deutsche Datenschutzbehörden führen formelle Prüfverfahren durch. Self-Hosting auf EU-Infrastruktur ist eine datenschutzkonforme Alternative.
Ist DeepSeek in Deutschland gesperrt?
DeepSeek ist gesetzlich nicht verboten, aber der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat am 27. Juni 2025 Hinweisschreiben nach Art. 16 DSA an Apple und Google gesandt und die Entfernung der App gefordert. Sieben Landesdatenschutzbehörden führen formelle Prüfverfahren durch. Der Einsatz für personenbezogene Daten birgt erhebliches Aufsichtsrisiko.
Kann ich DeepSeek selbst hosten?
Ja. DeepSeek V3 und R1 sind als Open-Weight-Modelle für Self-Hosting auf eigener EU-Infrastruktur verfügbar. Bei Eigenhosting verlassen keine Daten Ihre Infrastruktur; der problematische Drittlandtransfer nach China entfällt. Erforderlich sind dennoch: AVV mit dem Infrastrukturanbieter, VVT-Eintrag und DSFA bei risikobehafteter Verarbeitung.
Hat DeepSeek einen AVV?
Nein. Stand April 2026 bietet DeepSeek keinen Auftragsverarbeitungsvertrag für Unternehmenskunden an. Ohne AVV ist jede Verarbeitung personenbezogener Daten über DeepSeek Cloud nach Art. 28 DSGVO rechtswidrig.
Was haben deutsche Datenschutzbehörden zu DeepSeek gesagt?
Sieben Landesdatenschutzbehörden eröffneten im Februar 2025 formelle Prüfverfahren. Die LfD Niedersachsen sprach eine formelle Empfehlung gegen den Cloud-Einsatz für Personendaten aus. Der BlnBDI sandte am 27. Juni 2025 DSA-Hinweisschreiben an Apple und Google. Die überarbeitete Datenschutzerklärung von Januar 2026 wurde von deutschen Behörden als unzureichend bewertet.
