Datenschutz­woche

Datenschutzaufsicht Berlin will DeepSeek in deutschen Appstores sperren lassen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die KI-Anwendung „DeepSeek“ bei Apple und Google als rechtswidrigen Inhalt gemeldet. Grund dafür ist die unzulässige Übermittlung personenbezogener Daten deutscher Nutzer.innen nach China durch den Anbieter Hangzhou DeepSeek Artificial Intelligence Co., Ltd. Die Unternehmen wurden am 27. Juni 2025 über den Vorgang informiert und müssen nun zeitnah prüfen, ob eine Sperrung der App in ihren Stores für Deutschland erfolgt. 

Deepseek wird vorgeworfen, dass personenbezogene Daten deutscher Nutzer.innen ohne ausreichende Schutzmaßnahmen nach China übermittelt werden. Die Behörde sieht darin einen Verstoß gegen zentrale Vorgaben der DSGVO zur Datenübermittlung in Drittstaaten. Da für China bislang kein Angemessenheitsbeschluss der EU-Kommission vorliegt, sind Unternehmen verpflichtet, geeignete Garantien vorzusehen, um ein gleichwertiges Datenschutzniveau sicherzustellen. Hierzu zählen insbesondere Standardvertragsklauseln, die zusätzlich durch ein sogenanntes Transfer Impact Assessment (TIA) flankiert werden müssen. Ergibt die Risikoprüfung, dass diese Maßnahmen keinen ausreichenden Schutz gewährleisten, sind ergänzende technische oder organisatorische Schutzvorkehrungen erforderlich. 

Nach Einschätzung der Berliner Aufsichtsbehörde konnte DeepSeek den erforderlichen Nachweis über ein solches Schutzkonzept nicht erbringen. Bemerkenswert ist, dass sich die Behörde bei ihrer Meldung nicht auf die DSGVO, sondern auf Artikel 16 des Digital Services Act (DSA) stützt. Dieser verpflichtet Plattformbetreiber dazu, Hinweisen auf rechtswidrige Inhalte nachzugehen und gegebenenfalls Maßnahmen zu ergreifen, etwa durch die Sperrung entsprechender Apps. Die Meldung wurde in Abstimmung mit den Datenschutzaufsichten aus Baden-Württemberg, Rheinland-Pfalz und Bremen sowie der Bundesnetzagentur erstattet.

Zahlreiche Datenschutzverstöße bei YouTube-Einbettungen auf Websites des Bundes

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat erstmals eine automatisierte Prüfung von rund 200 Webseiten öffentlicher Stellen des Bundes durchgeführt. Dabei wurden auf rund 40 Webseiten datenschutzwidrige YouTube-Einbettungen festgestellt. 

Grundlage für die Bewertung ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das eine Einwilligung der Nutzerinnen und Nutzer vor der Datenübertragung an Drittanbieter vorschreibt. Insgesamt wurden über 500.000 Einzelseiten automatisiert analysiert.

Aufgrund der entdeckten Verstöße verschickte die BfDI entsprechende Beratungsschreiben an die betroffenen Behörden. Ziel ist es, die Stellen bei der Umsetzung datenschutzkonformer Lösungen zu unterstützen. Als Alternative nennt die BfDI das Selbsthosting, das sie als „Goldstandard“ bezeichnet. Dabei werden Videos auf eigenen Servern gehostet und auf der Webseite eingebunden. Dies gewährleistet eine vollständige Kontrolle über die Datenverarbeitung und Nutzerinteraktionen. 

Des Weiteren existiert die Möglichkeit von sogenannten Zwei-Klick-Lösungen: Nutzende müssen aktiv auf ein Vorschaubild klicken, bevor eine Verbindung zu YouTube aufgebaut wird. Wichtig: Bei dieser Variante sollte immer eine gleichwertige Alternative ohne Drittanbieter angeboten werden. 

Die BfDI versteht sich als beratende Aufsicht und betont, dass vielen Verantwortlichen die Problematik trotz früherer Hinweise nicht bewusst ist. Die automatisierte Analyse erlaubt erstmals ein umfassendes, objektives Lagebild. Weitere Prüfungen sind geplant. Ende 2025 soll evaluiert werden, wie die Behörden auf die Hinweise reagiert haben.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat eine Orientierungshilfe zum berechtigten Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage bei der Entwicklung von KI-Systemen veröffentlicht. Demnach ist für die Verarbeitung personenbezogener Daten zur Entwicklung von KI nicht zwingend eine Einwilligung erforderlich. Sie kann auch auf einem berechtigten Interesse basieren, sofern angemessene Schutzmaßnahmen vorliegen. Zum Schutz personenbezogener Daten bei der Entwicklung von KI-Anwendungen empfiehlt die CNIL Maßnahmen zur Datensparsamkeit und zur Anonymisierung, Kontrollmöglichkeiten für Betroffene, die Begrenzung von Risiken bei der Nutzung, Governance und Transparenz.
• Großbritannien: Die Europäische Kommission hat am 24. Juni 2025 beschlossen, den Angemessenheitsbeschluss für das Vereinigte Königreich um sechs Monate zu verlängern. Der ursprünglich bis zum 27. Juni 2025 befristete Beschluss bleibt nun bis zum 27. Dezember 2025 in Kraft. Grundlage hierfür ist der Durchführungsbeschluss (EU) 2025/1226. Die Kommission begründet die Verlängerung mit einem laufenden britischen Gesetzgebungsverfahren, das potenzielle Änderungen am nationalen Datenschutzrahmen vorsieht. Der „Data (Use and Access) Bill“ könnte zu Änderungen der UK GDPR und des Data Protection Act 2018 nach sich ziehen.

Aktuelle Gerichtsentscheidungen

• LAG Niedersachsen, Urteil vom 15.01.2025, Az. 2 SLa 31/24 (BeckRS 2025, 13688): Beschäftigtendatenschutz – § 26 Abs. 1 Satz 2 BDSG erfordert nicht, dass von einer auf ihrer Grundlage vorgenommenen Kontrollmaßnahme ausschließlich Beschäftigte betroffen sein dürfen, für die es bereits einen konkretisierten Verdacht gibt.
• BVerwG, Urteil vom 29.01.2025, Az. 6 C 3.23 (Volltext): Telefonwerbung – Bei der Beurteilung, ob die Verarbeitung personenbezogener Daten zum Zweck der Telefonwerbung zur Wahrung eines berechtigten Interesses im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO erfolgt, sind die Wertungen des § 7 Abs. 2 Nr. 1 UWG, der die Vorgaben des Art. 13 der RL 2002/58/EG umsetzt, zu berücksichtigen.
• OLG Stuttgart, Hinweisbeschluss vom 04.04.2025, Az. 9 U 141/24 (GRUR-RS 2025, 13881): Recht auf Löschung – Ist ein Geschäftsbetrieb auf die massenhafte Datenverarbeitung gerichtet, kann das verarbeitende Unternehmen der Löschungsverpflichtung nach Art. 17 DSGVO grundsätzlich nach Maßgabe von angemessenen Regellöschungsfristen ohne Einzelfallprüfungen unter Beteiligung der betroffenen Personen nachkommen.
• LG Dortmund, Urteil vom 08.04.2025, Az. 5 O 162/24 (Volltext): Recht auf Auskunft – Aus der Koppelung des Auskunftsanspruchs mit einem unbezifferten Zahlungsantrag ergibt sich, dass es dem Kläger allein darum geht, Auskünfte über das Bestehen eines etwaigen Rückzahlungsanspruchs in Erfahrung zu bringen. Eine solche Vorgehensweise ist vom Schutzzweck der DSGVO nicht umfasst. Es betrifft noch nicht einmal den mit der Verordnung als solchem verfolgten Datenschutz.
• VG Bremen, Urteil vom 23.04.2025, Az. 4 K 2873/23 (GRUR-RS 2025, 8910): Haustürwerbung – Die nachvertragliche Werbung in Form von Haustürbesuchen kann ein berechtigtes Interesse darstellen. Sie verstößt nicht gegen die Rechtsordnung, sondern wird von dieser im Rahmen des § 7 Abs. 1 Satz 1 UWG gebilligt. Insbesondere kann eine Kündigung allein nicht bewirken, dass für den Werbenden ersichtlich ist, dass weitere Werbung unerwünscht ist. Insoweit muss hinzukommen, dass der Empfänger seinen entgegenstehenden Willen geäußert hat.
• OVG Münster, Beschluss vom 17.06.2025, Az. 6 B 467/25 (Volltext): Behördlicher Datenschutzbeauftragter – Sieht man in der Versagung der vom Antragsteller begehrten Begünstigung eine derartige Benachteiligung, beruht diese jedenfalls nicht auf der in Art. 38 Abs. 3 Satz 2 DSGVO angesprochenen Erfüllung der Aufgaben als Datenschutzbeauftragter. Vielmehr ist das Hinausschieben der Regelaltersgrenze für den Antragsteller wie für andere Beamte vom Vorliegen eines „dienstlichen Interesses“ abhängig, das der Antragsgegner jedoch – wie dargelegt – rechtsfehlerfrei sowohl hinsichtlich der bisherigen Tätigkeit des Antragstellers u. a. als Datenschutzbeauftragter als auch hinsichtlich einer etwaigen künftigen operativen Tätigkeit verneint hat.

Neuigkeiten aus den Aufsichtsbehörden: 

• Die Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI): „Informationsfreiheit international unter Druck – Die Zukunft der Informationsfreiheit ist digital“ – Pressemitteilung vom 23.06.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „LDI NRW schafft Rechtssicherheit im Umgang mit smarten Messgeräten“ – Pressemitteilung vom 25.06.2025
• Datenschutzaufsicht Saarland:„Veröffentlichung der Tätigkeitsberichte für die Bereiche Datenschutz (Berichtsjahr 2024) und Informationsfreiheit (Berichtszeitraum 2023/2024)“ – Pressemitteilung vom 25.06.2025. Zum Bericht
• Die Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI): „Europäisches Transparenz-Netzwerk gegründet - BfDI übernimmt Vorsitz von ENTRI“ – Pressemitteilung vom 25.06.2025
• Datenschutzaufsicht Rheinland-Pfalz: „Angebot für Lehrkräfte: Unterrichtsmaterialien zu Künstlicher Intelligenz und Datenschutz“ – Pressemitteilung vom 25.06.2025
• Bayerisches Landesamt für Datenschutzaufsicht: „Werden Kriminelle durch künstliche Intelligenz klüger?“ – Pressemitteilung vom 26.06.2025
• Datenschutzaufsicht Berlin:„Berliner Datenschutzbeauftragte meldet KI-App DeepSeek in Deutschland bei Apple und Google als rechtswidrigen Inhalt“ – Pressemitteilung vom 27.06.2025
• Datenschutzaufsicht Hamburg:„Symbol zur Kennzeichenerfassung als Download verfügbar“ – Pressemitteilung vom 27.06.2025