Aus aktuellem Anlass und insbesondere für den Fall, dass der Anbieter einer KI-Anwendung nicht aus der EU oder einem Drittland mit Angemessenheitsbeschluss gemäß Art. 45 der Datenschutzgrundverordnung (DS-GVO) stammt, gibt der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) im Folgenden einige Empfehlungen, die mindestens umgesetzt werden sollten, um die mit dem Einsatz von KI-Anwendungen verbundenen Risiken zu begrenzen:
- Achten Sie bei der Auswahl einer KI-Anwendung auf Transparenz des Anbieters und eine entsprechende Dokumentation, aus der nachvollziehbar hervorgeht, dass Garantien für die Einhaltung der DS-GVO gegeben sind und diese eingehalten werden.
- Wenn Sie eine Online-Schnittstelle verwenden, sollten Sie niemals personenbezogene oder vertrauliche Daten eingeben, es sei denn, Ihnen sind wirksame Maßnahmen bekannt, die einen Missbrauch verhindern können. Wenn keine Maßnahmen bekannt sind, ist davon auszugehen, dass keine vorhanden sind.
- Achten Sie darauf, dass der Hersteller der KI-Anwendung, sofern er auch datenschutzrechtlich Verantwortlicher ist und seinen Sitz nicht in der EU hat, möglichst einen Vertreter nach Art. 27 DS-GVO benannt hat. Ansonsten kann die effektive Durchsetzung der Betroffenenrechte unter Umständen sehr schwierig werden.
- Stellen Sie vor der Installation des KI-Modells sicher, dass keine (personenbezogenen) Daten abfließen können, zum Beispiel durch eine separate, gesicherte IT-Umgebung oder andere geeignete Maßnahmen.
- Beschäftigte und Nutzende sollten in jedem Fall aktiv für die mit der Nutzung dieser KI verbundenen Risiken sensibilisiert werden. Dabei ist auch die ab dem 02. Februar 2025 gemäß Art. 4 der Verordnung über künstliche Intelligenz (KI-VO) sicherzustellende KI-Kompetenz zu berücksichtigen.
Beim Einsatz von KI-Anwendungen sollten u.a. folgende Dokumente berücksichtigt werden:
Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI modelsÖffnet sich in einem neuen Fenster des EDSA vom 17. Dezember 2024,
Orientierungshilfe „Künstliche Intelligenz und Datenschutz“Öffnet sich in einem neuen Fenster der DSK vom 06. Mai 2024,
KI-ChecklisteÖffnet sich in einem neuen Fenster des Bayerischen Landesamts für Datenschutzaufsicht,
Checkliste zum Einsatz LLM-basierter ChatbotsÖffnet sich in einem neuen Fenster des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit,
Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“Öffnet sich in einem neuen Fenster des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
Ferner verweist der HBDI auf die Pressemitteilungen folgender europäischer Datenschutzbehörden:
Italien (Garante)Öffnet sich in einem neuen Fenster
Polen (UODO)Öffnet sich in einem neuen Fenster
Griechenland (HDPA)Öffnet sich in einem neuen Fenster
Luxemburg (CNPD)Öffnet sich in einem neuen Fenster
Stand: 20.02.2025