DeepSeek DSGVO-Analyse fuer deutsche Unternehmen
tools

DeepSeek DSGVO-konform? Was deutsche Unternehmen wissen müssen

Ist DeepSeek fuer deutsche Unternehmen DSGVO-konform?

Fuer Hosted DeepSeek in der Regel nein, fuer Self-Hosting unter Umstaenden ja. Stand 29. Juni 2026 verweist DeepSeek in seiner veroeffentlichten Datenschutzerklaerung weiter auf Verarbeitung und Speicherung personenbezogener Daten in China. Deutsche Aufsichtsbehoerden behandeln den Dienst weiter als Hochrisiko-Fall.

  • Hosted DeepSeek ist kein sicherer Standard fuer Verarbeitungen mit Personendaten.
  • Die veroeffentlichte DeepSeek-Datenschutzerklaerung verweist weiter auf Speicherung in China und Nutzung zur Technologie-Verbesserung.
  • Der Berliner Beauftragte teilte am 23. Juni 2026 mit, dass Apple und Google die beantragte Sperrung ablehnten und weitere DSA-Schritte folgen koennen.
  • Self-Hosting von DeepSeek auf kontrollierter EU-Infrastruktur ist ein getrennter, besser dokumentierbarer Fall.

Hosted DeepSeek ist fuer deutsche Unternehmen mit personenbezogenen Daten kein sicherer Standard, Self-Hosting kann aber ein anderer rechtlicher Fall sein. Stand 29. Juni 2026 erklaert DeepSeek in seiner veroeffentlichten Datenschutzerklaerung weiterhin, personenbezogene Daten in der Volksrepublik China direkt zu erheben, zu verarbeiten und zu speichern. Gleichzeitig halten deutsche Aufsichtsbehoerden an ihrer kritischen Linie fest. Wenn Sie DeepSeek-aehnliche Leistung brauchen, lautet die praxisnahe Trennung deshalb: gehosteten Dienst fuer Personendaten vermeiden, oder Open-Weight-Modelle auf kontrollierter EU-Infrastruktur betreiben.

Hosted DeepSeek oder Self-Hosting: Die kurze Antwort

Fuer die meisten deutschen Unternehmen ist die erste Einordnung einfach:

  • Hosted DeepSeek Cloud: kein sicherer Standard fuer Workflows mit Personendaten
  • Begrenzte Tests ohne Personendaten: nur in einer klar geregelten Sandbox
  • Self-Hosting von DeepSeek-Modellen in der EU: bei sauberer Beschaffung und Governance moeglich

Diese Unterscheidung ist entscheidend, weil sich das Risiko nach dem Servicemodell richtet und nicht nur nach dem Modellnamen. Ein von DeepSeek betriebener Cloud-Chatbot ist datenschutzrechtlich etwas anderes als ein Open-Weight-Modell in Ihrer eigenen EU-Umgebung.

Warum Hosted DeepSeek im Juni 2026 weiter problematisch ist

Die eigene Datenschutzerklaerung verweist weiter auf China

DeepSeek erklaert in seiner aktuellen veroeffentlichten Datenschutzerklaerung, dass personenbezogene Daten ausserhalb des Wohnsitzlandes gespeichert werden koennen und zur Bereitstellung des Dienstes direkt in der Volksrepublik China erhoben, verarbeitet und gespeichert werden. Zugleich beschreibt die Richtlinie die Nutzung personenbezogener Daten zur Verbesserung und zum Training der Technologie.

Fuer deutsche Unternehmen entstehen daraus sofortige Vendor-Risiken:

  • Prompts und Uploads koennen Personenbezug oder vertrauliche Geschaeftsinhalte enthalten
  • auch Service-Logs, Geraete- und Netzdaten sind relevant
  • eine Drittlandtransfer-Pruefung laesst sich nicht auf spaeter verschieben

Deshalb sollte DeepSeek Cloud nicht wie ein harmloses Produktivitaetstool fuer HR, Legal, Support oder Sales behandelt werden.

Die Beschaffungsunterlagen bleiben fuer deutsche Einkaeufer duenn

Deutsche Unternehmen benoetigen vor der Freigabe eines KI-Anbieters fuer personenbezogene Daten normalerweise eine belastbare Beschaffungsakte. Dazu gehoeren in der Praxis:

  1. ein verwendbarer AVV/DPA nach Art. 28 DSGVO
  2. eine nachvollziehbare Transfergrundlage mit Dokumentation
  3. Zusagen zu Sicherheit und Aufbewahrung
  4. Transparenz zu Training, Telemetrie und Rollenverteilung

Stand 29. Juni 2026 haben wir fuer den gehosteten DeepSeek-Dienst kein oeffentliches AVV-/DPA-Paket und kein oeffentliches SCC-Paket gefunden, das sich fuer die regulaere deutsche Beschaffung ohne Weiteres eignet. Das beweist nicht, dass in keinem Einzelvertrag Unterlagen existieren. Fuer deutsche Legal- und Privacy-Teams ist das Produkt damit aber gerade nicht so beschaffungsreif, wie man es fuer Personendaten erwarten wuerde.

Als Vergleichsmassstab helfen unsere Leitfaeden zu DSGVO-KI-Beschaffung, zur KI-Anbieter-Due-Diligence, und zum Auftragsverarbeitungsvertrag.

Die deutschen Aufsichtsbehoerden eskalieren weiter

Die aktuelle Behoerdenlage bleibt negativ:

  • Am 27. Juni 2025 meldete die Berliner Beauftragte fuer Datenschutz und Informationsfreiheit die DeepSeek-App bei Apple und Google als rechtswidrigen Inhalt wegen unzulaessiger Datenuebermittlungen nach China.
  • Der LfD Niedersachsen wies darauf hin, dass nach gegenwaertigem Kenntnisstand wesentliche Anforderungen der DSGVO und der KI-Verordnung nicht eingehalten werden.
  • Im Jahresbericht 2025, veroeffentlicht am 23. Juni 2026, teilte die Berliner Aufsicht mit, dass Apple und Google die beantragte Sperrung ablehnten und nun weitere Schritte nach Art. 20 und 21 DSA geprueft bzw. verfolgt werden.

Das ist das aktuellste offizielle Signal aus Deutschland im Juni 2026: Der Fall ist nicht erledigt, sondern weiter offen.

Was sich gegenueber aelteren DeepSeek-Analysen geaendert hat

Eine aeltere Fassung dieser Seite stellte das Fehlen eines EU-Vertreters stark in den Vordergrund. Diese Aussage muss heute enger gefasst werden.

DeepSeek benennt in seiner aktuellen Datenschutzerklaerung die Prighter Group als Datenschutzvertreter und Anlaufstelle fuer die EU und das Vereinigte Koenigreich. Das verbessert die Erreichbarkeit, loest aber die fuer deutsche Unternehmen wichtigeren Punkte nicht:

  • Der gehostete Dienst bleibt ein heikler Drittlandtransfer-Fall.
  • Die Beschaffungsunterlagen bleiben fuer deutsche Unternehmen unklar.

Kurz: Beim Vertreterthema gab es Bewegung, beim Risikoprofil des gehosteten Dienstes nicht.

Entscheidungsrahmen fuer deutsche Unternehmen

Nutzen Sie fuer die Praxis folgende Einordnung:

SzenarioEmpfohlene HaltungWarum
Mitarbeitende nutzen Hosted DeepSeek fuer HR-, Kunden-, Legal- oder interne Dokumente mit PersonendatenVerbietenHoechstes DSGVO- und Vertraulichkeitsrisiko
Begrenzte Tests mit synthetischen oder voll anonymisierten DatenNur SandboxErfordert trotzdem klare Policies, Rechte und Protokollierung
Self-Hosting von DeepSeek auf eigener EU-InfrastrukturPruefen und dokumentierenAndere Rechtslage, weil DeepSeek Cloud nicht genutzt wird
DeepSeek-Gewichte ueber einen EU-AnbieterDiesen Anbieter vollstaendig pruefenDer EU-Anbieter wird zum eigentlichen Vertragspartner

Fuer viele Unternehmen ist damit der pragmatische Standard:

  1. Hosted DeepSeek fuer Personendaten untersagen
  2. nur kontrollierte Tests ohne Personendaten zulassen
  3. Self-Hosting oder EU-Hosting erst nach Vendor Review freigeben

Wenn Sie das sauber aufsetzen wollen, helfen unser Leitfaden zur KI-Anbieter-Due-Diligence und die EU-AI-Act-Beschaffungsanforderungen fuer Unternehmen.

Wann Self-Hosting die bessere Antwort sein kann

Die Open-Weight-Modelle von DeepSeek koennen rechtlich deutlich leichter handhabbar sein als DeepSeek Cloud, weil sich die Modellgewichte vom gehosteten Dienst trennen lassen.

Praxisnah wird der Fall besser vertretbar, wenn:

  • Prompts in Ihrer eigenen EU-Umgebung bleiben
  • Ihr Infrastrukturprovider einen AVV unterschreibt
  • die Verarbeitung im VVT dokumentiert wird
  • eine DSFA dort durchgefuehrt wird, wo sie erforderlich ist
  • Zugriffe, Logging und Loeschkonzepte zur internen Governance passen

Das entspricht grundsaetzlich dem Weg bei Self-Hosted Llama. Wenn Sie statt Eigenbetrieb lieber einen beschaffungsreiferen Anbieter nutzen wollen, vergleichen Sie Claude Enterprise Datenschutz und die dazugehoerigen AVV-Unterlagen.

Praktische Checkliste

  • Hosted DeepSeek fuer Workflows mit Personendaten sperren
  • Pruefen, ob Teams DeepSeek bereits mit Kunden-, Mitarbeiter- oder Vertragsdaten genutzt haben
  • Entscheiden, ob eine eng begrenzte Sandbox ohne Personendaten zulaessig sein soll
  • Falls DeepSeek-Faehigkeiten benoetigt werden, Self-Hosting oder EU-Hosting gesondert pruefen
  • Die Entscheidung in KI-Governance und Vendor Review dokumentieren
  • Interne Schulungen aktualisieren, damit der Unterschied zwischen Open-Weight und Hosted Cloud verstanden wird

Diese Seite enthaelt allgemeine rechtliche Informationen und keine Rechtsberatung. Konkrete Beschaffungs-, Transfer- und AI-Governance-Entscheidungen sollten an Ihrem tatsaechlichen Datenfluss und Deployment-Modell geprueft werden. Fuer unternehmensspezifische Unterstuetzung kontaktieren Sie Compound Law.

Haeufig gestellte Fragen

Ist DeepSeek DSGVO-konform?

Fuer den gehosteten DeepSeek-Dienst in der Regel nein, wenn deutsche Unternehmen personenbezogene Daten verarbeiten. Fuer Self-Hosting auf kontrollierter EU-Infrastruktur kann DSGVO-Compliance mit den richtigen Vertraegen, Prozessen und Nachweisen moeglich sein.

Ist DeepSeek in Deutschland verboten?

Ein gesetzliches Verbot gibt es nicht. Der Berliner Beauftragte meldete die App aber am 27. Juni 2025 bei Apple und Google als rechtswidrigen Inhalt; im Jahresbericht vom 23. Juni 2026 heisst es, dass beide Plattformen eine Sperrung ablehnten und weitere DSA-Schritte folgen koennen.

Kann ich DeepSeek in der EU selbst hosten?

Ja. Wenn Sie die Open-Weight-Modelle auf eigener EU-Infrastruktur oder ueber einen sauber vertraglich eingebundenen EU-Anbieter betreiben, ist die rechtliche Bewertung eine andere als bei DeepSeek Cloud.

Gibt es einen AVV von DeepSeek?

Stand 29. Juni 2026 haben wir kein oeffentliches AVV- oder DPA-Paket fuer die regulaere deutsche Beschaffung gefunden. Das erschwert die datenschutzkonforme Nutzung des gehosteten Dienstes erheblich.

Uebermittelt DeepSeek Prompts oder Telemetrie nach China?

Die veroeffentlichte Datenschutzerklaerung sagt, dass DeepSeek personenbezogene Daten einschliesslich Nutzereingaben und Servicedaten in der Volksrepublik China erhebt, verarbeitet und speichert. Genau das ist das zentrale Transferproblem.

Was gilt bei einem EU-Host fuer DeepSeek?

Dann ist der EU-Host der eigentliche Anbieter, den Sie pruefen muessen. Bleiben Prompts im EU-gehosteten Umfeld und fliessen nicht an DeepSeek-Dienste zurueck, ist die Lage naeher an Self-Hosting als an DeepSeek Cloud.

Weitere Tool-Guides

Claude ZDR Zero Data Retention Leitfaden fuer Anthropic API und Claude Code Enterprise
tools

Claude ZDR: Zero Data Retention fuer Enterprise und Claude Code

Claude ZDR gilt nur auf qualifizierten Anthropic-API- und Claude-Code-Enterprise-Pfaden. Erfahren Sie Scope, Ausschluesse, Retention-Ausnahmen und AVV-Bezug.

DeepL AVV und DSGVO Freigabeleitfaden fuer Unternehmen
tools

DeepL AVV und DSGVO in Deutschland: Freigabeleitfaden

DeepL ist in Deutschland meist nur mit bezahltem Business-Tarif, AVV und dokumentierter Funktionspruefung freigabefaehig. DeepL Free ist nicht freigegeben.

Cursor AVV und DSGVO-Prüfung für Teams in Deutschland
tools

Cursor AVV 2026: Wo Sie ihn finden und was er regelt

Der Cursor-AVV steht unter cursor.com/terms/dpa. Für deutsche Teams braucht es trotzdem den richtigen Tarif, Privacy Mode und eine Transferprüfung.

Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.

Claude Code DSGVO-Konformität — AVV, Datenspeicherung und EU-Hosting
tools

Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting

Claude Code ist per Anthropic-API-AVV DSGVO-konform. AVV, Datenspeicherung, Zero Data Retention, EU-Hosting und Compliance-Checkliste für Unternehmen.

HubSpot Datenschutz und DSGVO fuer Unternehmen in Deutschland
tools

HubSpot Datenschutz: DSGVO, AVV und Betriebsrat in Deutschland

HubSpot Datenschutz in Deutschland gelingt nur mit AVV, SCC-Pruefung, EU-Datenspeicherung-Bewertung und sauberer Betriebsratspruefung.

Tool Library

Mehr KI-Tools nach Thema durchsuchen

Vergleichen Sie weitere Tools, Datenschutzfragen und Einsatzszenarien in unserer vollständigen KI-Tool-Bibliothek.

Alle KI-Tools ansehen

Häufige Fragen

Fuer den gehosteten DeepSeek-Dienst in der Regel nein, wenn deutsche Unternehmen personenbezogene Daten verarbeiten. Fuer Self-Hosting auf kontrollierter EU-Infrastruktur kann DSGVO-Compliance mit den richtigen Vertraegen, Prozessen und Nachweisen moeglich sein.

Ein gesetzliches Verbot gibt es nicht. Der Berliner Beauftragte meldete die App aber am 27. Juni 2025 bei Apple und Google als rechtswidrigen Inhalt; im Jahresbericht vom 23. Juni 2026 heisst es, dass beide Plattformen eine Sperrung ablehnten und weitere DSA-Schritte folgen koennen.

Ja. Wenn Sie die Open-Weight-Modelle auf eigener EU-Infrastruktur oder ueber einen sauber vertraglich eingebundenen EU-Anbieter betreiben, ist die rechtliche Bewertung eine andere als bei DeepSeek Cloud.

Stand 29. Juni 2026 haben wir kein oeffentliches AVV- oder DPA-Paket fuer die regulare deutsche Beschaffung gefunden. Das erschwert die datenschutzkonforme Nutzung des gehosteten Dienstes erheblich.

Die veroeffentlichte Datenschutzerklaerung sagt, dass DeepSeek personenbezogene Daten einschliesslich Nutzereingaben und Servicedaten in der Volksrepublik China erhebt, verarbeitet und speichert. Genau das ist das zentrale Transferproblem.

Dann ist der EU-Host der eigentliche Anbieter, den Sie pruefen muessen. Bleiben Prompts im EU-gehosteten Umfeld und fliessen nicht an DeepSeek-Dienste zurueck, ist die Lage naeher an Self-Hosting als an DeepSeek Cloud.

Kostenlos beraten