Die chinesische KI-Anwendung Deepseek soll nach dem Willen der Bundesdatenschutzbeauftragten Louisa Specht-Riemenschneider wegen Verstößen gegen europäisches Recht in Deutschland aus den App-Stores fliegen. „China hat kein Datenschutzniveau, das unserer Datenschutz-Grundverordnung entspricht“, sagte sie den Zeitungen der Funke Mediengruppe. Daher seien Datenabflüsse nach China „äußerst kritisch“.
Kritik, Datenschutz werde zum Innovationshemmnis, wollte Specht-Riemenschneider nicht gelten lassen. „Datenschutz ist Vertrauensgarant. Das kann sogar ein Standortvorteil sein“, sagte die Bundesdatenschutzbeauftragte. „Was Innovation hemmt, ist Rechtsunsicherheit im Markt. Und die rührt auch von einem Wildwuchs in der Digitalgesetzgebung her.“ Gebraucht werde eine besser aufeinander abgestimmte Digitalgesetzgebung in Europa mit klaren Regeln auch für den Datenschutz, sagte Specht-Riemenschneider.
[…]
Behörden in Südkorea, Italien, Taiwan und Australien sind bereits gegen Deepseek vorgegangen. Die italienische Datenschutzbehörde leitete eine Untersuchung ein, um zu prüfen, ob die App gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. In den USA gibt es kein landesweites Verbot, jedoch haben mehrere Bundesbehörden wie die Nasa und das Verteidigungsministerium ihren Mitarbeitern die Nutzung der App untersagt.
[…]
Inwiefern ist das bei OpenAI und Co besser?
Der einzige vertrauenswürdige Anbieter wäre Mistral, weil die in der EU sind. Ich glaube die bieten sogar an, dass sie andere Models hosten, man könnte als das, was Deepseek veröffentlich hat, dort betreiben.
OpenAI und Co gibt es auch EU-gehostet. Nicht umsonst werden Milliarden in neue Rechenzentren in der EU investiert. Und nicht umsonst werden solche Regeln als versteckter Protektionismus gegeißelt.
Die USA haben, anders als China, unter Bedingungen, ein als äquivalent anerkanntes Datenschutzniveau.
Ob es legal ist, selbst gehostetes DeepSeek in der EU anzubieten, kann man bezweifeln.
Naja, das EUGH hat das Data Privacy Framework noch nicht kassiert, aber ich sehe keinen fundamentalen Unterschied zum Vorgänger Privacy Shield. Das “äquivalent anerkannte Datenschutzniveau” ist aus meiner Sicht nur ein temporärer Zustand. Rechenzentren in der EU zu bauen ist nur ein Feigenblatt aber keine wirkliche Lösung.
Was mir aus dem Artikel nicht so ganz klar wird: Geht es überhaupt um die AI an sich oder nur um die App? Die weights an sich haben ja kein Datenschutzproblem, weil weights nichts kommunizieren. Selbst-hosten ist da also kein Problem.
Naja, das EUGH hat das Data Privacy Framework noch nicht kassiert, aber ich sehe keinen fundamentalen Unterschied zum Vorgänger Privacy Shield. Das “äquivalent anerkannte Datenschutzniveau” ist aus meiner Sicht nur ein temporärer Zustand.
Gut möglich, aber so lange die Äquivalenz steht, ist die Exekutive gebunden.
Rechenzentren in der EU zu bauen ist nur ein Feigenblatt aber keine wirkliche Lösung.
Wieso? Es wäre ein recht teures Feigenblatt.
Was mir aus dem Artikel nicht so ganz klar wird: Geht es überhaupt um die AI an sich oder nur um die App?
Um die App.
Inwieweit Weights ein Datenschutzproblem haben, ist noch nicht vor dem EUGH gewesen. Die Frage ist, ob LLMs usw persönliche Daten speichern und was für Pflichten die Betreiber bezüglich Ein- und Ausgaben haben. Die deutschen Datenschützer scheinen das durchwinken zu wollen, aber die Argumente sind ziemlich dünn. Wenn’s sein soll, dann wird das einfach unter Informationsfreiheit fallen. Ich glaube nicht, dass KI illegal gemacht wird, aber kann gut sein, dass man so aufwendig filtern muss, dass es praktisch nur für Profi-Firmen machbar ist.
Das andere Problem ist der AI Act. Die meisten Open Source Modelle sind natürlich nicht regelkonform. Private Zwecke sind ausgenommen. Ob man diese Modelle für professionelle Zwecke hosten darf, ist nicht wirklich klar. Auch unter was für Umständen das in die Hochrisiko-Kategorie fällt und ein paar andere Feinheiten.
Rechenzentren in der EU zu bauen ist nur ein Feigenblatt aber keine wirkliche Lösung.
Wieso? Es wäre ein recht teures Feigenblatt.
Kernproblem ist doch, dass in den USA eine ganze Reihe von Organisationen (CIA, NSA, …) bei Microsoft/Google/… im Hauptquartier auftauchen kann und im Namen der national security Zugriff auf die europäischen Rechenzentren verlangt. Natürlich kombiniert mit einem gag order, so dass niemals jemand darüber reden darf. Das können die im großen Stil machen und damit ist halt nichts mehr private und es gibt keinerlei Kontrolle wohin die Daten dann gehen. Das ist nicht kompatibel mit DSGVO.
Soweit ich mich erinnere, gab es Diskussionen bei Privacy Shield, ob die USA zumindest vertraglich versichern es nicht zu tun (praktisch prüfen kann man es eh nicht), aber das wurde abgelehnt und dürfte sich auch nicht geändert haben. Mit einer Trump-Regierung wirkt das Szenario heute sogar noch bedrohlicher.
Natürlich ist es bequem, wenn man das Problem mit europäischen Rechenzentren lösen kann. Es gab auch noch nie ein Problem, zumindest nicht öffentlich, also ist das “nur” ein Risiko. Ergo scheint das Feigenblatt derzeit auszureichen, dass sich kaum jemand beschwert.
Die DSGVO hat Regeln für Datentransfers in Drittstaaten. Wenn das Rechenzentrum in der EU steht, dann kommen die nicht zur Anwendung. Damit hat sich das erledigt.
Es gibt sicher viele Länder, deren Gesetze Spionage im Ausland erlauben. Was soll man mit der Erkenntnis machen? Wenn man’s genau nimmt, dann müsste man das europäische Internet vom Rest der Welt abkoppeln. An der physischen Grenze kontrolliert der Zoll, ob Güter der EU Anforderung entsprechen. Das bräuchte man eigentlich auch für Daten. Will dann aber irgendwie doch keiner. So wie die Gesellschaft nach rechts rückt, könnte ich’s mir in ein paar Jahren vorstellen.
Wie das wohl bei SAP wäre, wenn die Feds bei SAP America, Inc. anklopfen?
Aber ChatGPT ist okay?
Sagt die Frau das irgendwo?
Außerdem ist DeepSeek ein deutlich leichteres Ziel (insbesondere durch weniger stark ausgeprägte Lobbykontakte). Eine erfgreiche Sperre kann zudem später als Präzedenzfall für die ganzen anderen Chatbots dienen (vorausgesetzt die Datenschutzbeauftragte hat Kompetenz).
Tiktok gleich mit!
