Der jüngste Schritt des Datenschutzbeauftragten, DeepSeek zu blockieren, ist ein fragwürdiger Brief an die Anbieter

Hintergrund

Bis Ende 2024 schien der KI-Markt fest von den großen Technologieunternehmen dominiert zu sein, die sich von den wenigen europäischen Konkurrenten nicht stören ließen. Doch dann erschien Deepseek, eine chinesische KI, auf der Bildfläche, deren Leistung und Effizienz die bis dahin unerschütterlichen Gewissheiten über die technologische Überlegenheit der USA in diesem Sektor in Frage stellten.

Als der Überraschungseffekt nachließ, begannen die Wettbewerber zu reagieren, indem sie die Art und Weise anzweifelten, wie diese KI aufgebaut sein würde – im Wesentlichen, so argumentieren sie, würden sie OpenAIs „parasitieren“. Die nationalen Datenschutzbehörden leiteten Untersuchungen ein, um herauszufinden, ob es Profile zur unrechtmäßigen Verarbeitung personenbezogener Daten gab. Insbesondere ordnete die italienische Datenschutzbehörde am 30. Januar 2025 an, dass Deepseek die Verarbeitung der Daten italienischer Benutzer, die sich mit der Plattform verbunden haben, unterlassen darf. Deepseek seinerseits hat die Maßnahme nicht umgesetzt, da es der Ansicht war, dass es nicht dem italienischen Recht unterliegt, und hat den Dienst weiterhin auch von unserem Land aus zugänglich gemacht .

Erledigt

Gestern hat die Datenschutzbehörde, vertreten durch den stellvertretenden Generalsekretär und Direktor der Abteilung für Telematiknetze und Marketing, eine zertifizierte E-Mail an italienische Betreiber und Internetanbieter gesendet. Diese enthielt eine Kopie der Anordnung vom 30. Januar und die Aufforderung, „alle Entscheidungen in eigener Zuständigkeit“ zu treffen, da Deepseek trotz der Anordnung vom Januar 2025 immer noch von Italien aus erreichbar ist.

Eine nicht nur rechtlich verwirrende Botschaft

Es ist durchaus verständlich, dass der Garant die Nichteinhaltung seiner Bestimmung nicht begrüßte. Ebenso ist es verständlich, dass er zu strengen Mitteln griff und den Zugangsbetreibern die Sperrung von Verbindungen zur chinesischen Plattform auferlegte, wie es die Kommunikationsbehörde bereits bei Piraterie-Streaming-Sites tut.

Das Merkwürdige dabei ist jedoch, dass die Behörde, anstatt explizit die Filterung der Verbindungen der Nutzer anzuordnen, einen „langen Weg“ gegangen ist, indem sie eine ziemlich zweideutige Botschaft in Form eines „Vorschlags“ verschickt hat – ein Akt, der im Verwaltungsrecht unbekannt ist – und von einer internen Struktur übermittelt wurde, die nicht befugt ist, Anordnungen zu erlassen.

Tatsächlich ist nicht klar, was die Abteilung für Telematiknetze und Marketing des Garantiegebers mit den Worten „jede Bestimmung der Zuständigkeit“ meint, da die Betreiber keine autonome Macht in Bezug auf Deepseek und im Allgemeinen in Bezug auf andere Netzwerkressourcen haben, die über ihre eigenen Infrastrukturen erreichbar sind. Man muss bedenken, dass das, was wir „das Internet“ nennen, kein einzelnes Objekt ist, sondern eine Ansammlung unabhängiger, aber miteinander verbundener Netzwerke, ein bisschen wie Venedig: viele unabhängige Inseln, die durch Brücken miteinander verbunden sind.

Mit anderen Worten: Ohne eine entsprechende Anordnung einer Behörde kann ein Betreiber die Privatsphäre seiner Kunden nicht dadurch verletzen, dass er sämtliche Verbindungsanfragen „abfängt“ und diejenigen blockiert, die sich auf die betroffene Site beziehen, wie dies beispielsweise bei der „Sperrung“ einer Site geschieht.

Keine Verantwortung des Zugangsbetreibers

Geht man davon aus, dass Deepseek über seine Plattform eine Straftat begeht, ist die Verhinderung der Fortsetzung dieser Straftat eine dringende Aufgabe für die Polizei und kurzfristig auch für die Staatsanwaltschaft. Natürlich können die Bediener nicht autonom eingreifen, sondern müssen bei der Ausführung der Aufträge maximal zusammenarbeiten. der Autorität.

Tatsächlich sind die Zugangsanbieter seit dem Jahr 2000, als die Richtlinie 31 über den elektronischen Geschäftsverkehr in Kraft trat, nicht mehr verpflichtet, aktiv zu überwachen, was über ihre Netzwerke läuft, und sie sind auch nicht dafür verantwortlich, sofern sie nicht in den Datenverkehr eingreifen.

Damit ein Betreiber in die Verbindungen der Nutzer eingreifen kann, muss es einerseits ein Gesetz geben, das dies erlaubt. Andererseits ist der Betreiber nur dann (mit)verantwortlich für das Verhalten seiner Kunden, wenn er beschließt, den Durchgangsverkehr abzufangen und zu entscheiden, was passieren darf und was nicht.

Die Nichtanwendbarkeit der Digital Services Regulation (DSA)

Manche mögen darauf hinweisen, dass viel Wasser den Bach hinuntergeflossen ist und die Grundsätze der altehrwürdigen E-Commerce-Richtlinie nicht mehr gelten.

Tatsächlich sieht Artikel 7 der Verordnung über digitale Dienste heute vor, dass Betreiber „spontan“ Maßnahmen ergreifen können, um die EU-„Gesetze“ einzuhalten. Daher findet die Aufforderung des Garanten an die Betreiber, „sich selbst Fragen zu stellen“ und „sich selbst Antworten zu geben“, in dieser Regel ihre Grundlage.

Allerdings kann Artikel 7 – wie jedes europäische und internationale Gesetz – nicht gegen die italienische Verfassung und in diesem speziellen Fall gegen Artikel 15 verstoßen, der die Vertraulichkeit der Kommunikation schützt, indem er das Eingreifen der Justiz in Fällen vorschreibt, in denen ein Eingriff in das Privatleben einer Person notwendig ist.

Wenn also das italienische Gesetz vorsieht, dass zum „Abfangen“ des auf bestimmte Websites gerichteten Datenverkehrs eine behördliche Anordnung erforderlich ist, ist klar, dass der Betreiber allein nichts darüber entscheiden kann. Es ist nämlich völlig klar, dass ein „Eingreifen in den Verkehr“ ohne ausdrückliche Anweisung eine systematische Verletzung der Vertraulichkeit der Kommunikation bedeutet, also (zumindest) eine Straftat begeht.

Es ist in der Tat kein Zufall, dass sowohl das Abhören von Telefongesprächen und andere „obligatorische Dienste“, die in einer vertraulichen Liste aufgeführt sind, als auch das DNS-Hijacking, das zur Sperrung von Websites eingesetzt wird, die Maßnahmen der Justiz und unabhängiger Behörden unterliegen, nur und ausschließlich als Reaktion auf eine ausdrückliche und begründete Maßnahme durchgeführt werden.

Um weiterhin im Anwendungsbereich der Verordnung über digitale Dienste zu bleiben, sollte auch die Möglichkeit ausgeschlossen werden, Artikel 9 der betreffenden Verordnung auf Deepseek anzuwenden. Erstens, weil auch hier das Gesetz zunächst voraussetzt, dass eine Behörde eine Anordnung erlassen hat, und zweitens, in der Sache, dass es sich um „illegale Inhalte“ handelt.

Im Falle der vom Garanten formulierten Aufforderung ist neben der Tatsache, dass die Anordnung der Behörde fehlt, offensichtlich, dass es sich nicht um Inhalte handelt, da der gegenüber Deepseek beanstandete Gesetzesverstoß die Erhebung von Daten betrifft, bei denen es sich offensichtlich nicht um „Inhalte“ handelt.

Warum hat der Garant die Filterung der Verbindungen zu Deepseek nicht angeordnet?

An diesem Punkt stellt sich natürlich die Frage, warum der Garant den kompliziertesten Weg gewählt hat, um das Ziel zu erreichen, wenn er den bequemsten Weg hätte wählen und, da er sich seiner Gründe sicher war, allen Betreibern direkt auferlegen können, den Verkehr italienischer Benutzer „abzufangen“, um Verbindungen zur chinesischen Plattform zu blockieren.

Man könnte sagen – aber das ist ein Scherz –, dass er vielleicht nicht in das Paradoxon einer unabhängigen Behörde verfallen wollte, die sich selbst als „Garant der Privatsphäre“ bezeichnet und stattdessen Maßnahmen ergreift, die diese verletzen.

Fehlende Zuständigkeit

Realistischer ist, dass sich die Behörde aller Wahrscheinlichkeit nach darüber im Klaren war, dass die italienischen Gesetze (wie die Gesetze jedes anderen Landes auch) bis zur Staatsgrenze gelten und dort enden, wenn keine Einigung mit dem anderen betroffenen Land erzielt wird.

Dieses Konzept wird „Gerichtsbarkeit“ genannt und ist von grundlegender Bedeutung, um das ordnungsgemäße Funktionieren der Beziehungen zwischen Ländern zu gewährleisten, da es verhindert, dass ein Land in die Souveränität anderer „eindringt“ (und wenn dies geschieht, bedeutet dies, dass Krieg ausbricht).

Wenn also eine Plattform – welcher Art auch immer – in einer bestimmten Rechtsordnung betrieben wird und ihre Benutzer aus anderen Ländern auf sie zugreifen, ist das einzige Recht, das nicht gilt, das Recht des Ortes, aus dem die einzelnen Benutzer stammen. Es ist kein Zufall, dass Deepseek mit einer gewissen Rechtsgrundlage erklärt hat, dass es in Italien nicht tätig ist (es gibt keinen Firmensitz, keine Betriebsstätte, die Site ist nicht auf Italienisch) und sich daher nicht unseren Vorschriften unterworfen sieht.

Das universelle (Nicht-)Verbrechen

Eine weitere Möglichkeit besteht darin, dass die Art und Weise, wie Deepseek mit den Daten italienischer Bürger umgeht, die das Unternehmen nutzen, den Straftatbestand der unrechtmäßigen Verarbeitung personenbezogener Daten erfüllen könnte. Seit 1930 gibt es im Strafgesetzbuch eine Bestimmung, die ein „Universalverbrechen“ vorsieht. Artikel 6 legt nämlich fest, dass eine Straftat in Italien begangen wird, wenn „die Handlung, die sie begründet, ganz oder teilweise“ in Italien stattgefunden hat oder wenn das letzte Ereignis hier stattgefunden hat.

Das Problem besteht in diesem Fall darin, dass es nicht einfach wäre, diese Regel auf die Verwaltung einer Plattform an einem beliebigen Standort anzuwenden. Dies könnte beispielsweise bei Online-Diffamierungen, bei denen der Rufschaden in Italien entsteht, leichter gelingen. Im Fall von Deepseek wäre es weitaus schwieriger, Artikel 6 des Strafgesetzbuches anzuwenden, da sich die Server des Unternehmens in den USA befinden (die mit deepseek.com verknüpfte IP lautet 104.18.27.90, wird von Cloudflare verwaltet und befindet sich in den USA) und die Daten von dort nach China gelangen. In diesem Fall würden die Datenverarbeitungsvorgänge tatsächlich außerhalb Italiens beginnen und enden und daher würde alles außerhalb der nationalen Gerichtsbarkeit stattfinden.

Sind die Betreiber an der Tat beteiligt?

Sollte der Datenschutzbeauftragte trotz allem zu Recht die Verarbeitung personenbezogener Daten für „rechtswidrig“ erklären, wäre er nicht befugt, dagegen vorzugehen. Tatsächlich kann bei Straftaten nur die Staatsanwaltschaft eingreifen, denn der Schutz der Rechte liegt ausschließlich in der Verantwortung der Justiz, die Ermittlungen hingegen in der Verantwortung der Strafgerichte. Daher hätte die Information der Betreiber ein Weg sein können, ihnen zumindest eine „Mitschuld“ zuzuschreiben, nämlich die der „Mittäterschaft“ – genauer gesagt, Artikel 110 des Strafgesetzbuches spricht von „Mittäterschaft“. Mit anderen Worten: Wir haben Sie darüber informiert, dass Deepseek ein Verbrechen begeht, Sie haben keinen Finger gerührt und sind daher mitschuldig.

Doch selbst in diesem Fall erscheint es unwahrscheinlich, dass eine solche Hypothese praktikabel ist: Selbst wenn die Betreiber tatsächlich darüber informiert wurden, dass Deepseek gegen italienisches Recht verstoßen würde, können sie aus den mehrfach erläuterten Gründen nicht autonom agieren und können daher nicht Teil der „kriminellen Vereinigung“ sein.

Das Eingeständnis des Versagens der EU-Regeln

In Wirklichkeit und unabhängig vom Ergebnis ist die Geschichte der Einladung des Garanten an die Betreiber ein weiterer Beweis dafür, wie die Staaten (Mitglieder der EU) die Ausübung der souveränen Macht zur Rechtspflege zunächst an Subjekte – wie unabhängige Behörden – übertragen haben, die nicht Teil der Justiz sind, und dann an private Einrichtungen – Plattformen, Betreiber und „Trusted Flaggers“, neue Informanten –, die diese mit weitgehender Autonomie verwalten.

Diese stillschweigende Verschiebung hat zwei Nebenwirkungen: Einerseits entleert sie die Wirksamkeit des materiellen Rechts, indem sie es in eine bloße moralische Empfehlung verwandelt; Andererseits wirft es beunruhigende Fragen hinsichtlich der demokratischen Verantwortlichkeit derjenigen auf, die tatsächlich Entscheidungen treffen, die die Grundfreiheiten einschränken.

Selbst wenn dieser Mechanismus der „moralischen Überzeugung“, der auf Regulierung angewandt wird, wirksam wäre, legitimiert er letztlich ein Modell privatisierter, informeller und potenziell willkürlicher Justiz – wo das Gesetz durch Druck, die Ordnung durch „Ratschläge“ und der Richter durch den Anbieter ersetzt wird.

Ein Modell, das ebenso effizient ist wie es gefährlich weit von der Rechtsstaatlichkeit entfernt ist.

*Andrea Monti ist Anwältin, Autorin und Expertin für Hightech-Recht. Er beschäftigt sich mit Bioinformatik, Telekommunikationsrecht und Informationstechnologie.