DeepSeek DSGVO-konform? Was deutsche Unternehmen wissen müssen
Ist DeepSeek fuer deutsche Unternehmen DSGVO-konform?
Fuer Hosted DeepSeek in der Regel nein, fuer Self-Hosting unter Umstaenden ja. Stand 29. Juni 2026 verweist DeepSeek in seiner veroeffentlichten Datenschutzerklaerung weiter auf Verarbeitung und Speicherung personenbezogener Daten in China. Deutsche Aufsichtsbehoerden behandeln den Dienst weiter als Hochrisiko-Fall.
- Hosted DeepSeek ist kein sicherer Standard fuer Verarbeitungen mit Personendaten.
- Die veroeffentlichte DeepSeek-Datenschutzerklaerung verweist weiter auf Speicherung in China und Nutzung zur Technologie-Verbesserung.
- Der Berliner Beauftragte teilte am 23. Juni 2026 mit, dass Apple und Google die beantragte Sperrung ablehnten und weitere DSA-Schritte folgen koennen.
- Self-Hosting von DeepSeek auf kontrollierter EU-Infrastruktur ist ein getrennter, besser dokumentierbarer Fall.
Hosted DeepSeek ist fuer deutsche Unternehmen mit personenbezogenen Daten kein sicherer Standard, Self-Hosting kann aber ein anderer rechtlicher Fall sein. Stand 29. Juni 2026 erklaert DeepSeek in seiner veroeffentlichten Datenschutzerklaerung weiterhin, personenbezogene Daten in der Volksrepublik China direkt zu erheben, zu verarbeiten und zu speichern. Gleichzeitig halten deutsche Aufsichtsbehoerden an ihrer kritischen Linie fest. Wenn Sie DeepSeek-aehnliche Leistung brauchen, lautet die praxisnahe Trennung deshalb: gehosteten Dienst fuer Personendaten vermeiden, oder Open-Weight-Modelle auf kontrollierter EU-Infrastruktur betreiben.
Hosted DeepSeek oder Self-Hosting: Die kurze Antwort
Fuer die meisten deutschen Unternehmen ist die erste Einordnung einfach:
- Hosted DeepSeek Cloud: kein sicherer Standard fuer Workflows mit Personendaten
- Begrenzte Tests ohne Personendaten: nur in einer klar geregelten Sandbox
- Self-Hosting von DeepSeek-Modellen in der EU: bei sauberer Beschaffung und Governance moeglich
Diese Unterscheidung ist entscheidend, weil sich das Risiko nach dem Servicemodell richtet und nicht nur nach dem Modellnamen. Ein von DeepSeek betriebener Cloud-Chatbot ist datenschutzrechtlich etwas anderes als ein Open-Weight-Modell in Ihrer eigenen EU-Umgebung.
Warum Hosted DeepSeek im Juni 2026 weiter problematisch ist
Die eigene Datenschutzerklaerung verweist weiter auf China
DeepSeek erklaert in seiner aktuellen veroeffentlichten Datenschutzerklaerung, dass personenbezogene Daten ausserhalb des Wohnsitzlandes gespeichert werden koennen und zur Bereitstellung des Dienstes direkt in der Volksrepublik China erhoben, verarbeitet und gespeichert werden. Zugleich beschreibt die Richtlinie die Nutzung personenbezogener Daten zur Verbesserung und zum Training der Technologie.
Fuer deutsche Unternehmen entstehen daraus sofortige Vendor-Risiken:
- Prompts und Uploads koennen Personenbezug oder vertrauliche Geschaeftsinhalte enthalten
- auch Service-Logs, Geraete- und Netzdaten sind relevant
- eine Drittlandtransfer-Pruefung laesst sich nicht auf spaeter verschieben
Deshalb sollte DeepSeek Cloud nicht wie ein harmloses Produktivitaetstool fuer HR, Legal, Support oder Sales behandelt werden.
Die Beschaffungsunterlagen bleiben fuer deutsche Einkaeufer duenn
Deutsche Unternehmen benoetigen vor der Freigabe eines KI-Anbieters fuer personenbezogene Daten normalerweise eine belastbare Beschaffungsakte. Dazu gehoeren in der Praxis:
- ein verwendbarer AVV/DPA nach Art. 28 DSGVO
- eine nachvollziehbare Transfergrundlage mit Dokumentation
- Zusagen zu Sicherheit und Aufbewahrung
- Transparenz zu Training, Telemetrie und Rollenverteilung
Stand 29. Juni 2026 haben wir fuer den gehosteten DeepSeek-Dienst kein oeffentliches AVV-/DPA-Paket und kein oeffentliches SCC-Paket gefunden, das sich fuer die regulaere deutsche Beschaffung ohne Weiteres eignet. Das beweist nicht, dass in keinem Einzelvertrag Unterlagen existieren. Fuer deutsche Legal- und Privacy-Teams ist das Produkt damit aber gerade nicht so beschaffungsreif, wie man es fuer Personendaten erwarten wuerde.
Als Vergleichsmassstab helfen unsere Leitfaeden zu DSGVO-KI-Beschaffung, zur KI-Anbieter-Due-Diligence, und zum Auftragsverarbeitungsvertrag.
Die deutschen Aufsichtsbehoerden eskalieren weiter
Die aktuelle Behoerdenlage bleibt negativ:
- Am 27. Juni 2025 meldete die Berliner Beauftragte fuer Datenschutz und Informationsfreiheit die DeepSeek-App bei Apple und Google als rechtswidrigen Inhalt wegen unzulaessiger Datenuebermittlungen nach China.
- Der LfD Niedersachsen wies darauf hin, dass nach gegenwaertigem Kenntnisstand wesentliche Anforderungen der DSGVO und der KI-Verordnung nicht eingehalten werden.
- Im Jahresbericht 2025, veroeffentlicht am 23. Juni 2026, teilte die Berliner Aufsicht mit, dass Apple und Google die beantragte Sperrung ablehnten und nun weitere Schritte nach Art. 20 und 21 DSA geprueft bzw. verfolgt werden.
Das ist das aktuellste offizielle Signal aus Deutschland im Juni 2026: Der Fall ist nicht erledigt, sondern weiter offen.
Was sich gegenueber aelteren DeepSeek-Analysen geaendert hat
Eine aeltere Fassung dieser Seite stellte das Fehlen eines EU-Vertreters stark in den Vordergrund. Diese Aussage muss heute enger gefasst werden.
DeepSeek benennt in seiner aktuellen Datenschutzerklaerung die Prighter Group als Datenschutzvertreter und Anlaufstelle fuer die EU und das Vereinigte Koenigreich. Das verbessert die Erreichbarkeit, loest aber die fuer deutsche Unternehmen wichtigeren Punkte nicht:
- Der gehostete Dienst bleibt ein heikler Drittlandtransfer-Fall.
- Die Beschaffungsunterlagen bleiben fuer deutsche Unternehmen unklar.
Kurz: Beim Vertreterthema gab es Bewegung, beim Risikoprofil des gehosteten Dienstes nicht.
Entscheidungsrahmen fuer deutsche Unternehmen
Nutzen Sie fuer die Praxis folgende Einordnung:
| Szenario | Empfohlene Haltung | Warum |
|---|---|---|
| Mitarbeitende nutzen Hosted DeepSeek fuer HR-, Kunden-, Legal- oder interne Dokumente mit Personendaten | Verbieten | Hoechstes DSGVO- und Vertraulichkeitsrisiko |
| Begrenzte Tests mit synthetischen oder voll anonymisierten Daten | Nur Sandbox | Erfordert trotzdem klare Policies, Rechte und Protokollierung |
| Self-Hosting von DeepSeek auf eigener EU-Infrastruktur | Pruefen und dokumentieren | Andere Rechtslage, weil DeepSeek Cloud nicht genutzt wird |
| DeepSeek-Gewichte ueber einen EU-Anbieter | Diesen Anbieter vollstaendig pruefen | Der EU-Anbieter wird zum eigentlichen Vertragspartner |
Fuer viele Unternehmen ist damit der pragmatische Standard:
- Hosted DeepSeek fuer Personendaten untersagen
- nur kontrollierte Tests ohne Personendaten zulassen
- Self-Hosting oder EU-Hosting erst nach Vendor Review freigeben
Wenn Sie das sauber aufsetzen wollen, helfen unser Leitfaden zur KI-Anbieter-Due-Diligence und die EU-AI-Act-Beschaffungsanforderungen fuer Unternehmen.
Wann Self-Hosting die bessere Antwort sein kann
Die Open-Weight-Modelle von DeepSeek koennen rechtlich deutlich leichter handhabbar sein als DeepSeek Cloud, weil sich die Modellgewichte vom gehosteten Dienst trennen lassen.
Praxisnah wird der Fall besser vertretbar, wenn:
- Prompts in Ihrer eigenen EU-Umgebung bleiben
- Ihr Infrastrukturprovider einen AVV unterschreibt
- die Verarbeitung im VVT dokumentiert wird
- eine DSFA dort durchgefuehrt wird, wo sie erforderlich ist
- Zugriffe, Logging und Loeschkonzepte zur internen Governance passen
Das entspricht grundsaetzlich dem Weg bei Self-Hosted Llama. Wenn Sie statt Eigenbetrieb lieber einen beschaffungsreiferen Anbieter nutzen wollen, vergleichen Sie Claude Enterprise Datenschutz und die dazugehoerigen AVV-Unterlagen.
Praktische Checkliste
- Hosted DeepSeek fuer Workflows mit Personendaten sperren
- Pruefen, ob Teams DeepSeek bereits mit Kunden-, Mitarbeiter- oder Vertragsdaten genutzt haben
- Entscheiden, ob eine eng begrenzte Sandbox ohne Personendaten zulaessig sein soll
- Falls DeepSeek-Faehigkeiten benoetigt werden, Self-Hosting oder EU-Hosting gesondert pruefen
- Die Entscheidung in KI-Governance und Vendor Review dokumentieren
- Interne Schulungen aktualisieren, damit der Unterschied zwischen Open-Weight und Hosted Cloud verstanden wird
Diese Seite enthaelt allgemeine rechtliche Informationen und keine Rechtsberatung. Konkrete Beschaffungs-, Transfer- und AI-Governance-Entscheidungen sollten an Ihrem tatsaechlichen Datenfluss und Deployment-Modell geprueft werden. Fuer unternehmensspezifische Unterstuetzung kontaktieren Sie Compound Law.
Haeufig gestellte Fragen
Ist DeepSeek DSGVO-konform?
Fuer den gehosteten DeepSeek-Dienst in der Regel nein, wenn deutsche Unternehmen personenbezogene Daten verarbeiten. Fuer Self-Hosting auf kontrollierter EU-Infrastruktur kann DSGVO-Compliance mit den richtigen Vertraegen, Prozessen und Nachweisen moeglich sein.
Ist DeepSeek in Deutschland verboten?
Ein gesetzliches Verbot gibt es nicht. Der Berliner Beauftragte meldete die App aber am 27. Juni 2025 bei Apple und Google als rechtswidrigen Inhalt; im Jahresbericht vom 23. Juni 2026 heisst es, dass beide Plattformen eine Sperrung ablehnten und weitere DSA-Schritte folgen koennen.
Kann ich DeepSeek in der EU selbst hosten?
Ja. Wenn Sie die Open-Weight-Modelle auf eigener EU-Infrastruktur oder ueber einen sauber vertraglich eingebundenen EU-Anbieter betreiben, ist die rechtliche Bewertung eine andere als bei DeepSeek Cloud.
Gibt es einen AVV von DeepSeek?
Stand 29. Juni 2026 haben wir kein oeffentliches AVV- oder DPA-Paket fuer die regulaere deutsche Beschaffung gefunden. Das erschwert die datenschutzkonforme Nutzung des gehosteten Dienstes erheblich.
Uebermittelt DeepSeek Prompts oder Telemetrie nach China?
Die veroeffentlichte Datenschutzerklaerung sagt, dass DeepSeek personenbezogene Daten einschliesslich Nutzereingaben und Servicedaten in der Volksrepublik China erhebt, verarbeitet und speichert. Genau das ist das zentrale Transferproblem.
Was gilt bei einem EU-Host fuer DeepSeek?
Dann ist der EU-Host der eigentliche Anbieter, den Sie pruefen muessen. Bleiben Prompts im EU-gehosteten Umfeld und fliessen nicht an DeepSeek-Dienste zurueck, ist die Lage naeher an Self-Hosting als an DeepSeek Cloud.