Die DeepSeek-Kontroverse: Woher stammen die Daten und wie sicher sind sie?

Der plötzliche Aufstieg von DeepSeek hat erhebliche Bedenken und Fragen aufgeworfen, insbesondere hinsichtlich der Herkunft und Verwendung der Trainingsdaten sowie der Datensicherheit.

Ein rasanter Aufstieg mit Folgen

Für diejenigen, die die neuesten Entwicklungen verpasst haben: DeepSeek ist ein neuer Akteur im Bereich der Künstlichen Intelligenz (KI). Das chinesische Startup hat innerhalb weniger Tage nach dem Launch die App-Stores im Sturm erobert. Bereits eine Woche nach der Veröffentlichung war die Anwendung die meistgeladene kostenlose App in den USA. Dies sorgte für erhebliche Turbulenzen an den Börsen und führte zu erheblichen Verlusten für nVidia- und Oracle-Aktionäre.

Open-Source oder nicht?

Obwohl DeepSeek als Open-Source-Projekt bezeichnet wird, trifft dies technisch gesehen nicht zu. Zwar sind bestimmte Modelle und Outputs öffentlich zugänglich, jedoch bleiben die zugrunde liegenden Trainingsdaten und der Code für die vollständige Reproduktion der Modelle weitgehend unter Verschluss. Daher wird das Projekt eher als Open-Weight-Modell klassifiziert.

Streit um die Trainingsdaten

Besonders die Herkunft der verwendeten Daten bereitet vielen Experten Sorge. OpenAI hat DeepSeek beschuldigt, sein ChatGPT-Modell für das Training des eigenen KI-Chatbots genutzt zu haben. Diese Vorwürfe haben nicht nur für hitzige Diskussionen gesorgt, sondern auch für eine Welle von Memes im Internet. Brisant dabei ist, dass OpenAI selbst in der Vergangenheit kritisiert wurde, Daten aus fremden Quellen für das Training von ChatGPT verwendet zu haben.

Regulierungsbehörden greifen ein

Behörden haben inzwischen begonnen, Fragen zu stellen. Die italienische Datenschutzbehörde GPDP hat DeepSeek aufgefordert, innerhalb von 20 Tagen umfassende Informationen darüber bereitzustellen, welche personenbezogenen Daten verarbeitet werden, woher diese stammen, zu welchem Zweck sie gesammelt werden und ob sie auf Servern in China gespeichert sind. Aufgrund dieser Bedenken wurde die App am 29. Januar 2025 aus den Google- und Apple-App-Stores in Italien entfernt. Die deutschen Datenschutzbehörden sind bisher nicht aktiv geworden.

Ein sicherheitskritisches Datenleck

Doch die größte Besorgnis dürfte eine weitere Enthüllung sein: Sicherheitsforscher von Wiz entdeckten eine öffentlich zugängliche Datenbank von DeepSeek. Diese enthielt eine enorme Menge an Chatverlauf, Backend-Daten und sensiblen Informationen, darunter Protokollströme, API-Schlüssel und Betriebsdetails. Besonders alarmierend war, dass die Datenbank nicht nur lesbar, sondern auch veränderbar war. Ohne jegliche Authentifizierung konnte jeder, der darauf stieß, sensible Protokolle und Klartext-Chatnachrichten abrufen sowie Passwörter und lokale Dateien entwenden.

Datenschutzrisiken und offene Fragen

Dieser Vorfall verdeutlicht erneut die gravierenden Datenschutzprobleme, die durch den rasanten Fortschritt im KI-Sektor entstehen. Sicherheit scheint in der Entwicklungsphase oft nur eine nachträgliche Rolle zu spielen. Nutzer sollten daher sorgsam überlegen, welche Informationen sie mit KI-Chatbots teilen, da diese an unerwartete und unerwünschte Orte gelangen könnten.

Die Zukunft von DeepSeek bleibt ungewiss, doch eines ist klar: Die Debatte über die Verantwortung und Transparenz von KI-Entwicklungen hat gerade erst begonnen.

Die Europäische Union hat mit der Verabschiedung der NIS2-Richtlinie einen weiteren Schritt unternommen, um die Cybersicherheit in Europa zu stärken. NIS2 ist die Nachfolgerin der NIS-Richtlinie (Network and Information Systems Directive) von 2016 und stellt eine umfassende Aktualisierung der bestehenden Regelungen dar. Aber was genau bedeutet NIS2, und welche Auswirkungen hat sie auf Unternehmen und öffentliche Institutionen? In diesem Artikel geben wir Ihnen einen Überblick über die wichtigsten Neuerungen und was Sie beachten sollten.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine europäische Gesetzgebung, die darauf abzielt, die Widerstandsfähigkeit und Sicherheit von Netz- und Informationssystemen in der Europäischen Union zu verbessern. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und reagiert auf die zunehmenden Bedrohungen in der digitalen Welt, wie Cyberangriffe, die immer häufiger und komplexer werden.

Während die ursprüngliche NIS-Richtlinie in erster Linie kritische Infrastrukturen wie Energie, Transport, Gesundheit und Finanzwesen abdeckte, erweitert NIS2 den Geltungsbereich deutlich. Nun werden auch zahlreiche weitere Sektoren und Akteure in den Anwendungsbereich der Richtlinie einbezogen, darunter öffentliche Verwaltungen, Telekommunikationsanbieter und digitale Dienstleister.

Wichtige Neuerungen unter NIS2

Die NIS2-Richtlinie bringt mehrere wesentliche Änderungen und Erweiterungen im Vergleich zur ursprünglichen NIS-Richtlinie mit sich:

Erweiterter Anwendungsbereich: NIS2 erfasst nun eine breitere Palette von Unternehmen und Sektoren, darunter auch solche, die bisher nicht unter die NIS-Richtlinie fielen. Dies schließt insbesondere mittlere und große Unternehmen ein, die in Bereichen wie Herstellung von Arzneimitteln, Abfallmanagement, Raumfahrt, Lebensmittelsicherheit und vielen weiteren tätig sind.

Beispiel: Ein mittelständisches Unternehmen, das Arzneimittel herstellt und bisher nicht von der NIS-Richtlinie betroffen war, muss nun sicherstellen, dass es die Anforderungen der NIS2-Richtlinie erfüllt.

Höhere Sicherheitsanforderungen: NIS2 legt strengere Anforderungen an die Cybersicherheitsmaßnahmen fest, die von den betroffenen Unternehmen und Organisationen umgesetzt werden müssen. Dazu gehören Anforderungen an das Risikomanagement, Sicherheitsmaßnahmen wie Verschlüsselung und Multifaktor-Authentifizierung sowie Maßnahmen zur Erkennung und Bewältigung von Sicherheitsvorfällen.

Beispiel: Unternehmen müssen jetzt sicherstellen, dass sie nicht nur technische Sicherheitsmaßnahmen ergreifen, sondern auch organisatorische Prozesse implementieren, die den Schutz vor Cyberbedrohungen gewährleisten.

Verpflichtende Meldung von Vorfällen: Die NIS2-Richtlinie verschärft die Meldepflichten für Sicherheitsvorfälle. Unternehmen und Organisationen müssen erhebliche Cybervorfälle innerhalb von 24 Stunden nach Feststellung an die zuständige Behörde melden. Eine ausführlichere Analyse des Vorfalls muss innerhalb von 72 Stunden erfolgen.

Beispiel: Wenn ein Unternehmen Opfer eines Ransomware-Angriffs wird, muss es diesen Vorfall unverzüglich den zuständigen Behörden melden und entsprechende Maßnahmen zur Schadensbegrenzung ergreifen.

Strengere Durchsetzung und höhere Strafen: NIS2 führt strengere Durchsetzungsmechanismen ein, einschließlich der Möglichkeit, hohe Geldbußen für die Nichteinhaltung der Richtlinie zu verhängen. Die Strafen können je nach Schwere des Verstoßes und der Größe des Unternehmens erheblich sein.

Beispiel: Ein Unternehmen, das wiederholt gegen die Sicherheitsanforderungen verstößt oder Vorfälle nicht meldet, kann mit hohen Geldstrafen belegt werden, die in die Millionen gehen können.

Stärkung der Zusammenarbeit zwischen den Mitgliedstaaten: Die NIS2-Richtlinie fördert die Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten im Bereich der Cybersicherheit. Es wird ein Europäisches Kompetenzzentrum für Cybersicherheit eingerichtet, um die gemeinsame Reaktion auf Cyberbedrohungen zu koordinieren und zu stärken.

Beispiel: Bei einem groß angelegten Cyberangriff auf mehrere Unternehmen in verschiedenen EU-Staaten ermöglicht die NIS2-Richtlinie eine koordinierte Reaktion auf europäischer Ebene.

Auswirkungen von NIS2 auf Unternehmen

Unternehmen, die in den Anwendungsbereich der NIS2-Richtlinie fallen, müssen erhebliche Anstrengungen unternehmen, um den neuen Anforderungen gerecht zu werden. Dies erfordert eine umfassende Überprüfung und Anpassung ihrer Sicherheitsstrategien, -prozesse und -technologien. Einige der wichtigsten Schritte, die Unternehmen unternehmen sollten, umfassen:

• Durchführung einer Risikobewertung: Identifizieren Sie die größten Bedrohungen und Schwachstellen in Ihren Netz- und Informationssystemen.
• Implementierung von Sicherheitsmaßnahmen: Stellen Sie sicher, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um die festgestellten Risiken zu minimieren.
• Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für Cybersicherheitsrisiken und schulen Sie sie im Umgang mit Sicherheitsvorfällen.
• Etablierung von Meldeprozessen: Entwickeln Sie klare Verfahren zur Meldung von Sicherheitsvorfällen und stellen Sie sicher, dass diese Verfahren eingehalten werden.
• Überprüfung von Drittanbietern: Achten Sie darauf, dass auch Ihre Lieferanten und Dienstleister die Anforderungen der NIS2-Richtlinie erfüllen.

Fazit

Die NIS2-Richtlinie stellt einen bedeutenden Schritt zur Stärkung der Cybersicherheit in Europa dar. Sie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie erheblich und setzt strengere Anforderungen an Unternehmen und Organisationen, die in kritischen Sektoren tätig sind. Für betroffene Unternehmen ist es unerlässlich, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen und geeignete Maßnahmen zu ergreifen, um Compliance sicherzustellen. Dies wird nicht nur helfen, Strafen zu vermeiden, sondern auch dazu beitragen, die eigenen Netz- und Informationssysteme besser gegen die wachsende Bedrohung durch Cyberangriffe zu schützen.

Seit ihrer Einführung im Mai 2018 hat die Datenschutz-Grundverordnung (DSGVO) die Art und Weise, wie Unternehmen und Organisationen personenbezogene Daten verarbeiten, revolutioniert. Die DSGVO hat sich als weltweit führender Standard für den Schutz personenbezogener Daten etabliert und dient als Vorbild für ähnliche Regelungen in anderen Ländern. Doch was genau ist die DSGVO, und welche Auswirkungen hat sie auf Unternehmen und Verbraucher? In diesem Artikel geben wir Ihnen eine umfassende und leicht verständliche Einführung in die DSGVO, unterlegt mit den relevanten rechtlichen Grundlagen.

Was ist die DSGVO?

Die DSGVO ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten von Bürgern innerhalb der EU regelt. Ziel der Verordnung ist es, das Grundrecht auf den Schutz personenbezogener Daten zu gewährleisten und gleichzeitig den freien Datenverkehr innerhalb des europäischen Binnenmarkts sicherzustellen. Die DSGVO ersetzt die frühere Datenschutzrichtlinie 95/46/EG und gilt unmittelbar in allen EU-Mitgliedstaaten.

1. Was sind personenbezogene Daten?

Personenbezogene Daten sind laut der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen nicht nur offensichtliche Daten wie Name, Adresse und E-Mail-Adresse, sondern auch weniger direkte Informationen wie IP-Adressen, Cookie-Daten oder Standortinformationen (Art. 4 Nr. 1 DSGVO).

Beispiel: Wenn ein Online-Shop Ihre E-Mail-Adresse speichert, um Ihnen Bestellbestätigungen zu senden, handelt es sich dabei um personenbezogene Daten.

2. Rechtmäßigkeit der Verarbeitung

Die Verarbeitung personenbezogener Daten darf nur unter bestimmten Voraussetzungen erfolgen. Die DSGVO legt sechs rechtliche Grundlagen fest, auf denen eine Datenverarbeitung beruhen kann (Art. 6 DSGVO). Die wichtigsten davon sind:

• Einwilligung: Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten gegeben.
• Vertragserfüllung: Die Verarbeitung ist notwendig, um einen Vertrag zu erfüllen, dessen Vertragspartei die betroffene Person ist.
• Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
• Berechtigte Interessen: Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen der betroffenen Person überwiegen.

Beispiel: Ein Unternehmen darf Ihre Adresse speichern, um Ihnen eine bestellte Ware zu liefern (Vertragserfüllung). Möchte es Ihre Daten jedoch für Marketingzwecke verwenden, benötigt es in der Regel Ihre ausdrückliche Einwilligung.

3. Rechte der betroffenen Personen

Die DSGVO stärkt die Rechte der betroffenen Personen erheblich. Zu den wichtigsten Rechten gehören:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht zu erfahren, welche personenbezogenen Daten ein Unternehmen über Sie speichert und wie diese Daten verwendet werden.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO): Unter bestimmten Umständen können Sie die Löschung Ihrer personenbezogenen Daten verlangen, z. B. wenn die Daten für die ursprünglichen Zwecke nicht mehr benötigt werden.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird, wenn bestimmte Voraussetzungen erfüllt sind.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Anbieter zu übertragen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, insbesondere wenn diese auf berechtigten Interessen des Verantwortlichen basiert.

Beispiel: Wenn Sie nicht mehr möchten, dass ein Newsletter-Anbieter Ihre E-Mail-Adresse speichert, können Sie verlangen, dass Ihre Daten gelöscht werden (Recht auf Löschung).

4. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Die DSGVO fordert von Unternehmen, dass sie den Datenschutz bereits bei der Entwicklung neuer Produkte und Dienstleistungen berücksichtigen („Privacy by Design“). Außerdem müssen Unternehmen standardmäßig die datenschutzfreundlichsten Einstellungen vorsehen („Privacy by Default“) (Art. 25 DSGVO).

Beispiel: Ein soziales Netzwerk sollte seine Voreinstellungen so konfigurieren, dass nur notwendige Daten öffentlich sichtbar sind und der Nutzer entscheiden kann, ob und welche weiteren Daten er freigeben möchte.

5. Meldepflicht bei Datenschutzverletzungen

Unternehmen sind verpflichtet, Datenschutzverletzungen, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden (Art. 33 DSGVO). Betroffene Personen müssen ebenfalls unverzüglich informiert werden, wenn ein hohes Risiko besteht (Art. 34 DSGVO).

Beispiel: Wenn eine Datenbank mit Kundendaten gehackt wird und sensible Informationen gestohlen werden, muss das Unternehmen dies umgehend melden und die betroffenen Kunden informieren.

6. Bußgelder und Sanktionen

Die DSGVO sieht bei Verstößen gegen ihre Bestimmungen empfindliche Strafen vor. Je nach Art und Schwere des Verstoßes können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist (Art. 83 DSGVO).

Beispiel: Wenn ein Unternehmen wiederholt gegen die Pflicht zur Einholung der Einwilligung verstößt, kann dies zu erheblichen Bußgeldern führen.

Fazit

Die DSGVO stellt sicher, dass der Schutz personenbezogener Daten in Europa auf einem hohen Niveau gewährleistet ist. Für Unternehmen bedeutet dies, dass sie ihre Prozesse und Systeme sorgfältig überprüfen und anpassen müssen, um den Anforderungen der Verordnung gerecht zu werden. Für Verbraucher bietet die DSGVO eine starke Position und umfangreiche Rechte im Umgang mit ihren persönlichen Daten.

Für alle Beteiligten ist es wichtig, die Grundsätze der DSGVO zu verstehen und anzuwenden, um sowohl den rechtlichen Anforderungen gerecht zu werden als auch das Vertrauen der Kunden und Nutzer zu stärken.

Die „Datenschutzauskunft-Zentrale“ fordert darin auf, bis zum 09.10.2018 bestimmte Angaben über das eigene Unternehmen zu machen und das beigefügte Formular zum Datenschutz zu unterschreiben. Das Schreiben hat einen offiziellen Charakter, jedoch exisitiert eine entsprechende Zentrale existiert gar nicht! Vermutlich soll hier der Eindruck erweckt werden, dass es sich um ein Anschreiben des offiziellen Datenschutzbeauftragten der Länder handelt. Doch das ist nicht der Fall.

Mehrere Landesdatenschutzbeauftragte, wie z.B. Lutz Hasse (Thüringen) oder Andreas Schurig (Sachsen), warnen vor einer sogenannten „Datenschutzauskunft-Zentrale“, ebenso viele Industrie- und Handelkammern. Per Fax werden in den letzten Tagen viele Unternehmer aufgefordert, eine Datenschutzerklärung abzugeben. Das Fax erweckt den Eindruck, es stamme von einer offiziellen Datenschutzbehörde, denn es ist einem offiziellen Schreiben des Gewerbezentralregisters nachempfunden. Es handelt sich hierbei jedoch um eine Betrugsmasche, eine entsprechende Zentrale existiert nicht!

Im Kleingedruckten: Betrug – Datenschutzpaket für 1777,86 Euro

Das Schreiben fordert den Empfänger auf, diverse Angaben zu seinem Unternehmen zu machen, wie etwa die Branche oder die Beschäftigtenzahl. Liest man jedoch das Kleingedruckte durch, findet man den Hinweis, dass mit der Unterzeichnung eigentlich ein Vertrag zustande kommt über ein „Basisdatenschutzpaket“ zum Preis von 498 Euro zzgl. MwSt jährlich. Der Vertrag wird für 36 Monate abgeschlossen. Bekannt ist diese Masche auch von diversen Branchenbuch- und Gewerberegister-Abzocken.

Hinter der DAZ steckt eine Limited aus Malta

Über den im Kleingedruckten stehenden Link lassen sich tatsächlich AGB abrufen, die auf die DAZ Datenschutzauskunft-Zentrale Ltd., verweisen, die in Malta gemeldet ist.

Gemäß den abgedruckten  Bedingungen erhält man ein Informationspaket zur DSGVO. Der Vertrag kommt zustande, wenn der Empfänger „ein Angebotsschreiben von DAZ Datenschutzauskunft-Zentrale Ltd. unterzeichnet und an DAZ Datenschutzauskunft-Zentrale Ltd. zurücksendet“. Um dieses Angebot handelt es sich bei dem betreffenden Fax. Die meisten Unternehmer möchten keinen Auftrag auslösen, sondern senden das Fax in der falschen Annahme zurück, dass Sie auf eine Behördenanfrage reagieren müssen. Dabei wird im Kleingedruckten immer wieder durch die Worte „bei Annahme“ darauf hingewiesen, dass es sich um ein Angebot handelt, welches man durch Unterschrift annimmt.

Das maltesische Unternehmen versucht also, mit Hilfe der allgemeinen Unsicherheit über die Datenschutz-Grundverordnung (DSGVO), sich zu bereichern.

Auf keinen Fall unterschreiben!

Durch die Aufmachung des Schreibens sollen die Empfänger gezielt dazu veranlasst werden, das Formular auszufüllen und zu unterschreiben. Wir empfehlen dringend, nicht auf dieses Schreiben zu reagieren und auch auf anderweitige Kontaktaufnahme zu unterlassen.

Bei Fragen zur DSGVO wenden Sie sich bitte entweder an uns oder an eine der Datenschutz-Aufsichtsbehörden.

Wer bereits in diese Abo-Falle getappt ist, sollte den Vertrag wegen arglistiger Täuschung anfechten und auf keinen Fall bezahlen! Das Problem bei Gewerbetreibenden ist, dass ihnen kein Widerrufsrecht wie bei Verbrauchern zusteht. Notfalls sollte ein Anwalt hinzugezogen werden.

Hinweis zur Kommentarfunktion:

Die von Ihnen unten eingegebenen Daten und Ihre IP-Adresse werden ausschließlich auf  unserem Webserver gespeichert. Als Name kann auch ein Synonym gewählt werden. Die eMail-Adresse wird von uns nur benötigt um ggf. mit Ihnen Kontakt aufzunehmen oder um uns im Falle von Rechtsverletzungen durch den Kommentar zu schützen. Für diesen Zweck wird auch die IP-Adresse gespeichert. Weitere Informationen finden Sie in unserer Datenschutzerklärung.