Empfehlungen der SDTB zu DeepSeek und anderen KI-Anwendungen ohne gesetzlichen Vertreter in der EU

Um die mit der Nutzung von DeepSeek und anderen KI-Anwendungen, deren Anbieter nicht aus der EU oder einem Drittland mit Angemessenheitsbeschluss gemäß Artikel 45 DSGVO stammen, verbundenen Risiken zu begrenzen, empfiehlt die Sächsische Datenschutz- und Transparenzbeauftragte mindestens folgende Punkte umzusetzen.

• Achten Sie bei der Auswahl einer KI-Anwendung auf Transparenz des Anbieters und eine entsprechende Dokumentation, aus der nachvollziehbar hervorgeht, dass Garantien für die Einhaltung der DSGVO gegeben werden und diese eingehalten werden.
• Stellen Sie vor Bereitstellung bzw. Nutzung der KI-Anwendung sicher, dass keine (personenbezogenen) Daten abfließen können. Zum Beispiel durch eine separate, gesicherte IT-Umgebung oder andere geeignete Maßnahmen.
• Wenn Sie eine Online-Schnittstelle verwenden, sollten Sie niemals personenbezogene oder vertrauliche Daten eingeben, es sei denn, es sind wirksame Maßnahmen bekannt, die einen Missbrauch verhindern können. Wenn keine Maßnahmen bekannt sind, ist davon auszugehen, dass keine vorhanden sind.
• Beschäftigte und Nutzende sollten aktiv für die mit der Nutzung dieser KI verbundenen Risiken sensibilisiert werden. Dabei ist auch die ab dem 2. Februar 2025 gemäß Artikel 4 KI-Verordnung sicherzustellende KI-Kompetenz zu berücksichtigen.
• Achten Sie darauf, dass der Hersteller der KI-Anwendung, sofern er auch datenschutzrechtlich Verantwortlicher ist und seinen Sitz nicht in der EU hat, möglichst einen Vertreter nach Artikel 27 DSGVO benannt hat. Ansonsten kann die effektive Durchsetzung der Betroffenenrechte unter Umständen sehr schwierig werden.

Beim Einsatz von KI-Anwendungen sollten unter anderem folgende Dokumente berücksichtigt werden:

Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models des Europäischen Datenschutzausschusses vom 17. Dezember 2024,

Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ der DSK vom 6. Mai 2024,

KI-Checkliste des Bayerischen Landesamts für Datenschutzaufsicht,

Checkliste zum Einsatz LLM-basierter Chatbots des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit,

Diskussionspapier Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Ferner verweist die Sächsische Datenschutz- und Transparenzbeauftragte auf die Pressemitteilungen folgender europäischer Datenschutzaufsichtsbehörden:

Italien (Garante), Polen (UODO), Griechenland (HDPA), Luxemburg (CNPD)