Empfehlungen zum Einsatz von KI-Anwendungen von Anbietern außerhalb der Europäischen Union, die keinen gesetzlichen Vertreter in der EU benannt haben

• Drucken
• Senden

Aus aktuellem Anlass und insbesondere für den Fall, dass der Anbieter einer KI-Anwendung nicht aus der EU oder einem Drittland mit Angemessenheitsbeschluss gemäß Artikel 45 Datenschutzgrundverordnung stammt, möchten wir folgende Hinweise zum Einsatz von KI-Anwendungen geben.
Um die mit dem Einsatz von KI-Anwendungen verbundenen Risiken zu begrenzen, geben wir im Folgenden einige Empfehlungen, die mindestens umgesetzt werden sollten:

• Achten Sie bei der Auswahl einer KI-Anwendung auf Transparenz des Anbieters und eine entsprechende Dokumentation, aus der nachvollziehbar hervorgeht, dass Garantien für die Einhaltung der DSGVO gegeben werden und diese eingehalten werden.
• Stellen Sie vor der Installation des KI-Modells sicher, dass keine (personenbezogenen) Daten abfließen können. Zum Beispiel durch eine separate, gesicherte IT-Umgebung oder andere geeignete Maßnahmen.
• Wenn Sie eine Online-Schnittstelle verwenden, sollten Sie niemals personenbezogene oder vertrauliche Daten eingeben, es sei denn, es sind wirksame Maßnahmen bekannt, die einen Missbrauch verhindern können. Wenn keine Maßnahmen bekannt sind, ist davon auszugehen, dass keine vorhanden sind.
• Beschäftigte und Nutzende sollten aktiv für die mit der Nutzung dieser KI verbundenen Risiken sensibilisiert werden. Dabei ist auch die ab dem 2. Februar 2025 gemäß Artikel 4 KI-Verordnung sicherzustellende KI-Kompetenz zu berücksichtigen.
• Achten Sie darauf, dass der Hersteller der KI-Anwendung, sofern er auch datenschutzrechtlich Verantwortlicher ist und seinen Sitz nicht in der EU hat, möglichst einen Vertreter nach Artikel 27 DSGVO benannt hat. Ansonsten kann die effektive Durchsetzung der Betroffenenrechte unter Umständen sehr schwierig werden.

Beim Einsatz von KI-Anwendungen sollten unter anderem folgende Dokumente berücksichtigt werden:

• Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models des EDSA vom 17. Dezember 2024,
• Orientierungshilfe "Künstliche Intelligenz und Datenschutz" der Datenschutzkonferenz vom 6. Mai 2024, (pdf, 1 MB)
• KI-Checkliste des Bayerischen Landesamts für Datenschutzaufsicht,
• Checkliste zum Einsatz LLM-basierter Chatbots des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit,
• Diskussionspapier "Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz" des Landesbeauftragten für den Datenschutz und
  die Informationsfreiheit Baden-Württemberg.

Ferner verweisen wir auf die Pressemitteilungen folgender europäischer Datenschutzbehörden:

• Italien (Garante)
  https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10097450
• Polen (UODO)
  https://uodo.gov.pl/en/553/1846
• Griechenland (HDPA)
  https://dpa.gr/en/enimerwtiko/press-releases/hellenic-dpa-investigation-ai-application-and-spyware
• Luxemburg (CNPD)
  https://cnpd.public.lu/de/actualites/national/2025/02/deepseek.html