Questions to DeepSeek can be a data protection issue

Fragen an DeepSeek können ein Datenschutzproblem sein

Wien. Vorige Woche erschütterte zufällig genau am europäischen Datenschutztag der Markteintritt von DeepSeek die IT-Branche. Der Datenschutztag soll uns jährlich an die Bedeutung des Datenschutzes erinnern und uns beim Umgang mit unseren Daten sensibilisieren. Er ist aber auch eine gute Gelegenheit, sich zurückzulehnen, durchzuatmen und auf den Datenschutz im Hier und Jetzt zu blicken. Und dieser Blick zeigt: Das Recht wird vernetzter, und die juristischen Herausforderungen steigen. Holistisches Denken ist gefragt. Ein Beispiel hierfür: Im August 2024 wurde der Fahrtendienstanbieter Uber von der niederländischen Datenschutzbehörde zu einer Geldstrafe in Höhe von 290 Mio. Euro unter der DSGVO verurteilt. Der Fall ist im Detail komplex. Im Wesentlichen fußt die Strafe auf dem Vorwurf, dass Uber innerhalb seines Konzerns personenbezogene Daten von Europa in die USA transferiert hatte, ohne jedoch geeignete Standardvertragsklauseln verwendet zu haben.

Im Uber-Fall fehlten passende Klauseln 

Bei diesen Klauseln handelt es sich um einen von der EU-Kommission vorgegebenen standardisierten Vertrag. Mit dessen Abschluss verpflichtet sich der US-Datenempfänger zur Einhaltung der EU-Datenschutzstandards, sodass der Datentransfer an ihn als sicher und rechtskonform gilt. Die Pikanterie: In dem Uber vorgeworfenen Tatzeitraum hatte die EU-Kommission noch keine Standardvertragsklauseln in Geltung gesetzt, die auf die Gegebenheiten der Datentransfers von Uber „gepasst“ hätten. Uber vertrat die Ansicht, dass das US-Uber Unternehmen dem (erweiterten) Anwendungsbereich der DSGVO unterliege und daher auch keine Standardvertragsklauseln erforderlich gewesen wären. Dieses Argument verwarf die niederländische Datenschutzbehörde, weshalb sie die erwähnte Strafe verhängte. So weit, so verwirrend. Uber hat gegen diese Strafe berufen und der juristische Diskurs wird an Komplexität vermutlich noch zulegen. Was aber hat das Schicksal von Uber mit der jüngst raketenhaft propagierten KI DeepSeek und vor allem auch mit österreichischen Unternehmen zu tun? Eine Menge. Denn was für Uber gilt, gilt für jeden anderen auch. Das bedeutet, wann immer ein Unternehmen personenbezogene Datentransfers ins EU-Ausland tätigt, müssen die Vorschriften der DSGVO eingehalten werden. Das gilt nicht nur für Datentransfers in die USA, sondern auch nach China wie auch ins sonstige EU-Ausland.

Personenbezogene Datentransfers 

Und hier beginnt sich der Kreis zu schließen. Denn was dem einen das Prompting bei der Nutzung von DeepSeek ist, das ist dem anderen der Transfer personenbezogener Daten an einen chinesischen Datenempfänger. Und Prompts beinhalten oftmals personenbezogene Daten. Nicht nur die namentliche Erwähnung, sondern auch die eindeutige Beschreibung von Personen kann den Personenbezug auslösen (z. B. das Prompting über den Leiter einer Abteilung im Unternehmen). Gemäß der Judikatur des EuGH ist der Personenbezug im Zweifel weit auszulegen. Und schon stehen komplexe Beurteilungen unter der DSGVO an, so wie es bei den Datentransfers von Uber der Fall ist. Diskussionen, die man mit Blick allein auf die Kl-Verordnung übersehen könnte. Und die natürlich nicht nur bei der Nutzung chinesischer Kl-Modelle anstehen, sondern auch bei US-KI-Lösungen. Der Datenschutz reicht weit über die DSGVO hinaus und verlangt nach vernetzter Betrachtung. Und nach einem Blick auf den Weltatlas unter der Brille der DSGVO. Denn ihre Regelungen zum erweiterten Anwendungsbereich machen nicht immer klar, wo Europa beginnt und wo es endet.

Autor: Günther Leissler