DeepSeek erreicht 2026 mit V3 und R2 Performance auf Augenhöhe mit westlichen Top-Modellen — bei einem Bruchteil der Kosten. Aber: chinesischer Anbieter, China-Hosting der API-Variante. Was deutsche Mittelständler wirklich nutzen dürfen, was über Self-Hosting geht, und welche DSGVO-Stolperfallen auf dem Weg liegen.
Drei Wege DeepSeek zu nutzen — drei sehr unterschiedliche DSGVO-Profile
| Variante | Hosting | DSGVO-Bewertung |
|---|---|---|
| API über deepseek.com | China | Drittlandtransfer, kritisch — keine Standardvertragsklauseln in DACH-anerkannter Form, kein Angemessenheits-Beschluss |
| API über westliche Reseller (z.B. OpenRouter mit EU-Hosting) | Variable | Hängt vom konkreten Reseller ab — AVV und Datenfluss prüfen |
| Self-Hosted Open-Source-Variante (DeepSeek-R1-Distill, Lokal) | Eigene Server | Volle Datenhoheit, DSGVO-konform machbar |
Was praktisch geht 2026
Wenn ihr Daten OHNE Personenbezug verarbeitet
Allgemeines Brainstorming, generische Texte ohne Kundenbezug, technische Recherche — DeepSeek-API ist nutzbar, auch über chinesische Server. Es gilt aber: Sobald Geschäftsgeheimnisse drinstecken, ist das ein Compliance-Risiko (auch ohne DSGVO).
Wenn personenbezogene Daten verarbeitet werden
Direkte API-Nutzung über China nicht empfehlenswert. Optionen:
- Self-Hosted Lokal-Variante (für Tech-affine Mittelständler mit eigener Hardware oder GPU-Cloud bei deutschen Anbietern)
- EU-Reseller mit dokumentierter Datenresidenz (nicht alle bieten das)
- Alternative: Mistral oder Claude Enterprise mit EU-Boundary für gleiche Use-Cases
Praktische Empfehlung nach Mittelstand-Profil
| Wenn ihr seid | Empfehlung |
|---|---|
| KMU mit Standard-Office-Bedarf, keine Tech-Ressourcen | DeepSeek nicht — Mistral oder Claude Enterprise nutzen |
| Tech-affine Mittelständler mit eigener IT | Self-Hosted DeepSeek-R1-Distill für nicht-personenbezogene Aufgaben |
| Software-Entwicklungs-Häuser | Self-Hosted für Code-Tasks, kombiniert mit Claude für komplexe Reviews |
| Forschungs-/Analyse-Firmen ohne Personenbezug in Daten | API mit Vorsicht (kein Geheimnis-Schutz) |
Was rechtlich 2026 gilt
- DSGVO Art. 44ff (Drittlandtransfer): Übermittlung in Drittländer ohne Angemessenheits-Beschluss nur mit Schutzmaßnahmen. China hat keinen solchen Beschluss
- EU AI Act Art. 4: Schulungspflicht der Mitarbeiter unabhängig vom Anbieter
- Verarbeitungsverzeichnis: Auch DeepSeek-Nutzung muss ins ROPA
- Geschäftsgeheimnis-Schutz: Über GeschGehG geschützte Daten dürfen nicht in unsicheren Kanälen landen
Konkrete Schulungs-Komponente
Der wichtigste Schutz: Geschulte Mitarbeiter, die wissen welche Daten in welche Tools gehen dürfen. Eine 4-monatige DigiMan-Weiterbildung deckt Tool-Auswahl, Datenklassifikation und DSGVO-konforme KI-Nutzung systematisch ab. 100 % über QCG förderfähig.
Was diese Woche tun
- Tool-Inventur: Wer im Haus nutzt aktuell DeepSeek (API, Self-Hosted, Web-Interface)?
- Datenklassifikation: Welche Daten sind personenbezogen, welche Geschäftsgeheimnisse?
- Tool-Whitelist updaten: Welche Variante von DeepSeek (wenn überhaupt) ist erlaubt?
- QCG-Schulung: Mitarbeiter zu DSGVO-konformer KI-Nutzung weiterbilden
Wir helfen bei der Schulung
Die DigiMan-Weiterbildung deckt Open Source, EU-Alternativen, DSGVO und Tool-Auswahl ab. 100 % über QCG förderfähig. 15 Minuten kostenloses Erstgespräch.
Datenklassifikation + Tool-Auswahl lernen?
DigiMan-Weiterbildung deckt EU-/Open-Source-KI und DSGVO ab. 100 % über QCG förderfähig.