Rechtsanwalt & Spezialist für Kryptorecht & KI-Recht, Zertifizierter Geldwäschebeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
| IT-Recht
Blog News
DeepSeek sah sich nur wenige Tage nach dem erfolgreichen Start ihrer KI mit einem gravierenden Datenproblem konfrontiert. Berichten zufolge sind Millionen sensibler Informationen ungehindert einsehbar. Keine Frage, mit seinem Modell R1 tritt DeepSeek selbstbewusst gegen etablierte Tech-Giganten an. Was bedeutet das Datenleck für Nutzer?
Bei DeepSeek handelt es sich ein chinesisches KI-Startup, das die KI DeepSeek-R1 entwickelt hat. Das Besondere an dem fortschrittlichen Sprachmodell: Die Hersteller haben dazu deutlich weniger Chips und Kosten gebraucht als ihre Konkurrenten wie OpenAI für ChatGPT. Anders als Google Gemini und Co. basiert DeepSeek-R1 auf einem Open-Source-Ansatz, was bedeutet, dass der Quellcode offen ist und jederzeit von Entwicklern auf der ganzen Welt angepasst werden kann. Die Funktionen, von Textverarbeitung bis Recherche, sind für Endverbraucher vollkommen kostenfrei. Das gilt auch für die weiterentwickelten Modelle.
Das chinesische Unternehmen DeepSeek macht derweil nicht nur Schlagzeilen aufgrund der smarten Entwicklung zu einem Bruchteil der Kosten vergleichbarer KI-Modelle, sondern rückt zeitgleich in den Fokus, nachdem Sicherheitsforscher von Wiz eine bedenkliche Datenpanne gemeldet hatten. So war eine ungesicherte ClickHouse-Datenbank, die große Datenmengen schnell verarbeiten kann, über gleich zwei öffentlich erreichbare Adressen ohne Schutz abrufbar und sowohl Chatverläufe als auch sensible Schlüssel frei zugänglich. Zwar verschleiert das Unternehmen im Gegensatz zu anderen Marktmitspielern ihre Datenpraktiken nicht und hält in seinen englischsprachigen Richtlinien klar fest, dass sämtliche Informationen auf Servern in der Volksrepublik China lagern, doch für eine solche gravierende Datenschutzpanne gibt es keine Rechtfertigung.
Zu den betroffenen Daten gehörten Chatverläufe der Nutzer, API-Schlüssel, Backend-Daten sowie betriebliche Details. Die Forscher von Wiz berichteten, dass sie innerhalb weniger Minuten nach Beginn ihrer Analyse vollständige Kontrolle über die Datenbank erlangten.
Nachdem Wiz das Problem an DeepSeek gemeldet hatte, reagierte das Unternehmen schnell: Innerhalb weniger als einer Stunde wurde die Sicherheitslücke geschlossen. Laut Ami Luttwak, CTO von Wiz, ist jedoch nicht auszuschließen, dass auch böswillige Akteure die Datenbank entdeckt haben könnten. Die einfache Zugänglichkeit der Daten lässt vermuten, dass andere Personen oder Gruppen möglicherweise bereits Zugriff hatten. So schreibt Ami Luttwak, der CTO von Wiz im zugehörigen Blogbeitrag: „Das Leck war so einfach zu finden, dass wir glauben, dass wir nicht die Einzigen sind, die es entdeckt haben.“
Das KI-Unternehmen zieht die gesammelten Informationen nicht nur für den laufenden Betrieb heran, sondern auch für das Training neuer KI-Systeme. Laut den Vertragsbedingungen werden die Daten zudem an verbundene Unternehmen weitergegeben. DeepSeek ist ein Tochterunternehmen eines chinesischen Hedgefonds namens High-Flyer Capital, der auf quantitative Finanzalgorithmen spezialisiert ist. Aufgrund der nationalen Vorschriften muss DeepSeek kooperieren, wenn staatliche Behörden Zugang zu Nutzerdaten verlangen. Darüber hinaus behält sich das Unternehmen vor, selbst nach einer Kontolöschung weiterhin auf die Daten zuzugreifen.
Open-Source-Lösungen schaffen zwar oft mehr Transparenz aufgrund der öffentlichen Codebasis, doch es ist nicht immer klar, wie und wo Daten verarbeitet oder gespeichert werden. Bevor Unternehmen und öffentliche Einrichtungen DeepSeek nutzen, sollten diese zunächst abwarten, wie sich die dauerhafte Speicherung von Eingaben sowie die Verarbeitung aller Informationen innerhalb der EU verhält. Vor allem bei sensiblen Informationen besteht das Risiko, das DeepSeek erheblich gegen Datenschutzvorgaben verstößt. Wer geschäftskritische oder vertrauliche Daten einsetzen möchte, sollte ferner die Sicherheit der Plattform hinterfragen.
Denn auch Haftungsfragen bleiben bislang noch eine unzureichend geregelte Thematik. Birgt die rasche Recherche immer noch die Gefahr von Fehlinformationen und diskriminierenden Ergebnissen. Nach aktueller Rechtslage ist nicht eindeutig, ob Entwickler, Betreiber oder Nutzer bei Schäden durch fehlerhafte Ausgaben haften. Dieser Punkt gewinnt an Brisanz, sobald Unternehmen Entscheidungen auf Basis unzutreffender KI-Auswertungen treffen und daraus wirtschaftliche Nachteile entstehen.
Im Vergleich mit Anbietern wie OpenAI oder Google, die betonen, DSGVO-konforme Lösungen bereitzustellen, trägt bei Open-Source-KIs wie DeepSeek oft der Anwender selbst mehr Verantwortung für den Datenschutz und die Datensicherheit. Einerseits gibt es mehr Einblicke in den Code, andererseits ist die Einhaltung gesetzlicher Standards stärker von der konkreten Implementierung abhängig. Wer hier keine klaren Richtlinien einhält, setzt sich potenziell juristischen und finanziellen Risiken aus.
Mit Blick auf die geplante EU-KI-Verordnung (AI Act) stellt sich zudem die Frage, ob DeepSeek in eine Hochrisiko-Kategorie fällt. In diesem Fall müssten sich Nutzer und Anbieter auf Dokumentationspflichten, strenge Transparenzanforderungen und eventuell Zertifizierungen einstellen. Gerade für Unternehmen und kommunale Verwaltungen, die mit schutzbedürftigen Daten arbeiten, wird das am Ende erhebliche Auswirkungen haben.
Die Europäische Union hatte am 21. Mai 2024 ein neues Kapitel in der Technologiegesetzgebung aufgeschlagen. Alle 27 Mitgliedstaaten haben sich auf einheitliche Spielregeln für Künstliche Intelligenz geeinigt. Damit entstand der erste weltweite Rechtsrahmen, der gezielt den Einsatz von KI steuert und gleichzeitig die nötige Innovationskraft im Blick behält.
In Deutschland legt die Bundesregierung besonderen Wert auf eine ausgewogene Strategie. Einerseits will sie die Sicherheit der Nutzerinnen und Nutzer gewährleisten. Andererseits soll das Potenzial von KI gefördert und in wirtschaftliche Dynamik übersetzt werden. Hierfür wird nun die EU-KI-Verordnung, kurz als AI Act bezeichnet, in nationales Recht überführt.
Das neue Gesetz teilt KI-Anwendungen in drei zentrale Risikoebenen ein. Verfahren, die ein untragbares Risiko darstellen, wie die staatliche Bewertung von Bürgern anhand bestimmter Kriterien, werden gänzlich untersagt. Hochriskante Systeme, zum Beispiel in der Personalrekrutierung, unterliegen strengen Auflagen, damit Diskriminierung und Fehlentscheidungen vermieden werden. Alle anderen KI-Anwendungen fallen in eine Kategorie mit geringeren Risiken und bleiben weitgehend regulierungsfrei.
Bevor Anwender auf DeepSeek zurückgreifen, lautet unsere Empfehlung als Anwalt für IT-Recht: Erst einmal abwarten und den aktuellen Hype um DeepSeek-R1 gelassen beobachten. Unserer Ansicht nach ist es sehr wahrscheinlich, dass die chinesische KI unter die riskanten Anwendungen des AI Act fällt – insbesondere aufgrund der sehr frühen Problematiken mit Datenlecks.
Sie fragen sich, ob der Einsatz von KI, aber auch anderer Software rechtlich sicher ist? Wie verhält es sich genau mit den Datenschutzregeln und welche Richtlinien müssen Sie neben der DSGVO zukünftig mit AI Act erfüllen?
Als Fachanwälte sind wir bei allen Belangen des Datenschutzrechts, des IT-Rechts und des Internetrechts an Ihrer Seite. Mit Aufkommen der Künstlichen Intelligenz haben wir uns ferner auf die wesentlichen rechtlichen Aspekte der neuen Informationstechnologien spezialisiert und sind so in der Lage, Sie kompetent zu unterstützen.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?