Vorsicht bei KI aus Nicht-EU-Staaten
Empfehlungen zum Einsatz von KI-Anwendungen von Anbietern außerhalb der Europäischen Union, die keinen gesetzlichen Vertreter in der EU benannt haben
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz macht auf die Risiken aufmerksam, die mit der Verwendung des KI-Tools DeepSeek R1 (DeepSeek) verbunden sind. Obwohl dieses Modell der generativen KI im Internet frei zugänglich ist, hat es der Hersteller nicht für den europäischen Markt konzipiert. Nach gegenwärtigem Kenntnisstand ist davon auszugehen, dass insbesondere die Anforderungen der europäischen KI-Verordnung und der Datenschutz-Grundverordnung nicht eingehalten werden.
Für diesen und alle weiteren Fälle, in denen der Anbieter einer KI-Anwendung nicht aus der EU oder einem Drittland mit Angemessenheitsbeschluss gemäß Artikel 45 DS-GVO stammt, geben wir daher folgende Empfehlungen:
- Achten Sie bei der Auswahl einer KI-Anwendung auf Transparenz des Anbieters und eine entsprechende Dokumentation, aus der nachvollziehbar hervorgeht, dass Garantien für die Einhaltung der DS-GVO gegeben werden und diese eingehalten werden.
- Stellen Sie vor der Installation des KI-Modells sicher, dass keine (personenbezogenen) Daten abfließen können. Zum Beispiel durch eine separate, gesicherte IT-Umgebung oder andere geeignete Maßnahmen.
- Wenn Sie eine Online-Schnittstelle verwenden, sollten Sie niemals personenbezogene oder vertrauliche Daten eingeben, es sei denn, es sind wirksame Maßnahmen bekannt, die einen Missbrauch verhindern können. Wenn keine Maßnahmen bekannt sind, ist davon auszugehen, dass keine vorhanden sind.
- Beschäftigte und Nutzende sollten aktiv für die mit der Nutzung dieser KI verbundenen Risiken sensibilisiert werden. Dabei ist auch die ab dem 2. Februar 2025 gemäß Artikel 4 KI-VO sicherzustellende KI-Kompetenz zu berücksichtigen.
- Achten Sie darauf, dass der Hersteller der KI-Anwendung, sofern er auch datenschutzrechtlich Verantwortlicher ist und seinen Sitz nicht in der EU hat, möglichst einen Vertreter nach Artikel 27 DS-GVO benannt hat. Ansonsten kann die effektive Durchsetzung der Betroffenenrechte sehr schwierig werden.
Beim Einsatz von KI-Anwendungen sollten unter anderem folgende Dokumente berücksichtigt werden:
- Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models des EDSA vom 17. Dezember 2024
- Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ der DSK vom 6. Mai 2024
- KI-Checkliste des Bayerischen Landesamts für Datenschutzaufsicht
- Checkliste zum Einsatz LLM-basierter Chatbots des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
- Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ des LfDI Baden-Württemberg
Ferner verweisen wir auf die Pressemitteilungen folgender europäischer Datenschutzbehörden: