Dieser Satz aus einem Gespräch mit einem Mittelstands-CIO trifft den Kern einer Diskussion, die längst überfällig ist. Chinesische Open-Weight-Modelle wie DeepSeek V4 oder Qwen 3.6 werden reflexartig als „DSGVO-Problem" abgehakt — bei Azure OpenAI, Google Gemini oder AWS Bedrock stellt sich die gleiche Frage seltsamerweise nicht.
DeepSeek lokal hosten: DSGVO-sicher — und besser als Azure OpenAI
„DeepSeek klaut deine Daten? ChatGPT macht das genauso. Wer wirklich sicher sein will, muss lokal hosten."
Dieser Satz aus einem Gespräch mit einem Mittelstands-CIO trifft den Kern einer Diskussion, die längst überfällig ist. Chinesische Open-Weight-Modelle wie DeepSeek V4 oder Qwen 3.6 werden reflexartig als „DSGVO-Problem" abgehakt — bei Azure OpenAI, Google Gemini oder AWS Bedrock stellt sich die gleiche Frage seltsamerweise nicht.
Das DSGVO-Risiko liegt im Datenfluss — nicht im Modellgewicht
Art. 44 ff. DSGVO regelt nicht die Herkunft eines Algorithmus, sondern die Übermittlung personenbezogener Daten in Drittländer. Entscheidend ist also nicht, wo das Modell trainiert wurde, sondern wohin Prompts und Kontextdaten zur Inferenz fließen.
| Setup | Datenfluss | Rechtsgrundlage / Risiko |
|---|---|---|
| Azure OpenAI (GPT-5) | Microsoft-Cloud, Tenant in EU möglich | CLOUD Act + FISA 702 → Drittlandtransfer |
| Google Gemini API | Google Cloud, US-Konzern | CLOUD Act + FISA 702 → Drittlandtransfer |
| DeepSeek V4 (on-premise) | Eigener Server, kein Egress | Kein Drittlandtransfer — DSGVO-konform |
| Qwen 3.6 (on-premise) | Eigener Server, kein Egress | Kein Drittlandtransfer — DSGVO-konform |
Ein lokal betriebenes Open-Weight-Modell sendet keine einzige Zeile Prompt-Daten nach Peking, San Francisco oder sonstwohin. Die Modellgewichte sind nach Download statisches Material — sie „telefonieren" nicht heim.
Schrems II, FISA 702 und CLOUD Act — was tatsächlich gilt
Der EuGH hat im Urteil C-311/18 (Schrems II) vom 16. Juli 2020 das Privacy Shield gekippt und festgehalten: Solange US-Behörden über FISA Section 702 (50 U.S.C. § 1881a) Zugriff auf Daten von US-Anbietern haben, bietet ein US-Cloud-Vertrag — auch mit EU-Rechenzentrum — kein gleichwertiges Schutzniveau. Der CLOUD Act (2018) verschärft das: US-Unternehmen müssen Daten herausgeben, unabhängig vom physischen Speicherort.
Das Trans-Atlantic Data Privacy Framework (TADPF, 2023) hat den Zustand provisorisch repariert, ist aber bereits Gegenstand neuer Klagen (noyb, „Schrems III"). Wer heute auf TADPF baut, baut auf Sand.
Lokal gehostete Open-Weight-Modelle unterliegen keinem dieser Zugriffsregime — egal, ob die Gewichte aus China, Europa oder den USA stammen. Das Risiko reduziert sich auf das, was Sie in der eigenen Infrastruktur ohnehin kontrollieren.
Die richtige Frage: Wer kontrolliert die Infrastruktur?
Nicht „Cloud oder lokal" und auch nicht „US oder CN" sind die entscheidenden Achsen, sondern die Jurisdiktion des Betreibers:
- US-Hyperscaler (Azure, AWS, GCP) — auch mit EU-Tenant: Daten unterliegen CLOUD Act und FISA 702. DSGVO-Konformität hängt an AVV, TIA, SCCs und Behördenzugang — und bleibt rechtlich angreifbar.
- Europäische Cloud-Anbieter (IONOS, OVHcloud, StackIT): Können DSGVO-konform betrieben werden, da kein US-Mutterkonzern existiert. AVV bleibt erforderlich.
- Eigene Infrastruktur (on-premise): Kein Drittanbieter, kein Transfer, kein Schrems-Risiko. Übrig bleibt klassische IT-Security.
Was on-premise heute realistisch ist (Stand Mai 2026)
| Modell | Größe | Empfohlene Hardware |
|---|---|---|
| DeepSeek V4-Pro | 1,6T MoE (49B aktiv), 1M Kontext | 8× H200 oder Multi-Node H100 |
| DeepSeek V4-Flash | 284B MoE (13B aktiv), 1M Kontext | 4× H100 / 2× H200 |
| Qwen 3.6 27B | 27B dense | 1× RTX 6000 Ada / 1× H100 |
| Qwen 3.6 35B-A3B | 35B MoE (3B aktiv) | 1× RTX 4090 24GB |
| Mistral Large 3 (EU) | 675B MoE (41B aktiv), 256k Kontext | 8× H200 |
Alle genannten Modelle stehen unter Apache 2.0 und sind über Hugging Face frei verfügbar. Auf passender Hardware liegt der Time-to-First-Token bei 50–150 ms, der Durchsatz je nach Quantisierung bei 40–120 Tokens/s pro Nutzer. Quantisierung (FP8, AWQ, GPTQ, INT4) reduziert den VRAM-Bedarf um Faktor 2–4 — ein quantisiertes Qwen 3.6 27B läuft inzwischen auf einem 24-GB-Mac. Inference-Stack: vLLM, SGLang oder TGI; für kleinere Setups Ollama oder llama.cpp. Air-Gapped-Betrieb ist Standard.
Fazit
Die Herkunft der Modellgewichte entscheidet nicht über DSGVO-Compliance — und der physische Serverstandort allein auch nicht. Entscheidend ist, wer die Infrastruktur betreibt und welcher Jurisdiktion er unterliegt. Ein Azure-Tenant in Frankfurt oder ein AWS-Rechenzentrum in Dublin ändern daran nichts: Solange Microsoft, Google oder Amazon US-Konzerne sind, greifen CLOUD Act und FISA 702 — der Datenzugriff ist nicht der Server, sondern der Mutterkonzern.
DSGVO-Konformität entsteht erst dort, wo kein US- (oder anderes Drittland-)Unternehmen rechtlich auf die Daten durchgreifen kann. Wer DeepSeek V4, Qwen 3.6 oder Mistral Large 3 auf eigener Hardware oder bei einem rein europäischen Betreiber hostet, schließt diese Lücke. Jedes Schrems-II-Konstrukt rund um GPT-5 in der Azure Cloud bleibt dagegen rechtlich angreifbar.
Lokale KI für Ihr Unternehmen einrichten? 30 Minuten mit einem AlpiType-Ingenieur. Kein Vertrieb — direkte technische Beratung. Gespräch vereinbaren →
Quellen
- EuGH, Urteil v. 16.07.2020, C-311/18 (Schrems II)
- 50 U.S.C. § 1881a — FISA Section 702
- Clarifying Lawful Overseas Use of Data Act (CLOUD Act), Pub.L. 115-141, Div. V (2018)
- Verordnung (EU) 2016/679 (DSGVO), Art. 44–49
- EDSA, Empfehlungen 01/2020 zu Übermittlungstools (TIA)