„DeepSeek und Co. kannst du ja lokal hosten. Die sind zwar DSGVO-kritisch — aber die amerikanischen Unternehmen ja genauso.“
Dieser Satz trifft den Kern einer Diskussion, die im deutschen Mittelstand längst überfällig ist. Während viele IT-Verantwortliche chinesische KI-Modelle wie DeepSeek oder Qwen reflexartig als „DSGVO-Problem“ abhaken, stellen sie sich dieselbe Frage bei Azure OpenAI, Google Gemini oder AWS Bedrock nicht.
Das eigentliche DSGVO-Risiko liegt in der Cloud — nicht im Modell
Die DSGVO-Relevanz eines KI-Systems hängt nicht davon ab, wo das Modell entwickelt wurde, sondern davon, wohin die Daten fließen. Und hier liegt der entscheidende Unterschied:
| Modell | Betrieb | DSGVO |
|---|---|---|
| Azure OpenAI (GPT-4) | Microsoft Cloud · US-Server | ⚠️ Risiko |
| Google Gemini API | Google Cloud · US-Server | ⚠️ Risiko |
| DeepSeek R2 (lokal) | Eigener Server · kein Transfer | ✅ Konform |
| Qwen 2.5 (lokal) | Eigener Server · kein Transfer | ✅ Konform |
Ein lokal betriebenes DeepSeek-Modell sendet keine einzige Zeile Ihrer Daten nach China — oder irgendwohin sonst. Das Modell läuft auf Ihrer Hardware, in Ihrem Rechenzentrum, unter Ihrer Kontrolle.
FISA Section 702 vs. chinesisches Datenschutzrecht
US-amerikanische Cloud-Anbieter unterliegen dem FISA Section 702 und dem CLOUD Act — Gesetze, die US-Behörden unter bestimmten Umständen Zugang zu Daten auf US-Servern ermöglichen, auch wenn diese physisch in der EU stehen. Der EuGH hat genau das 2020 mit dem Schrems-II-Urteil bestätigt.
Chinesische Modelle, die Sie lokal hosten, unterliegen diesen US-Zugriffsnormen nicht. Ihr Risiko hängt ausschließlich davon ab, ob Sie das Modell in einer sicheren, isolierten Umgebung betreiben.
Die richtige Frage: Cloud oder lokal?
Die Frage ist nicht „Chinesisch oder Amerikanisch?“ — die Frage ist: Cloud oder lokal?
- Cloud-KI (egal welcher Herkunft): Ihre Daten verlassen das Unternehmen. DSGVO-Konformität hängt von Verträgen, Serverstandorten und Behördenzugang ab.
- Lokale KI auf eigener Infrastruktur: Daten bleiben im Haus. Kein Drittanbieter, kein Datentransfer, kein Problem.
Empfohlene Modelle für lokalen Betrieb
- DeepSeek R1 / R2 — stark in Reasoning, Dokumentenanalyse, Code
- Qwen 2.5 (72B) — exzellentes Preis-Leistungs-Verhältnis, gut für Deutsch
- Mistral — europäische Alternative mit vergleichbarer Leistung
Alle laufen on-premise, ohne Internetverbindung, mit <50ms Latenz auf geeigneter Hardware.
Fazit
Die Herkunft eines KI-Modells entscheidet nicht über Ihre DSGVO-Compliance — der Betriebsort tut es. Wer DeepSeek oder Qwen lokal hostet, ist rechtlich besser aufgestellt als jeder, der GPT-4 über die Azure Cloud nutzt.
Lokale KI für Ihr Unternehmen einrichten?
30 Minuten mit einem AlpiType-Ingenieur. Kein Vertrieb — direkte technische Beratung.
Gespräch vereinbaren →