Die CNPD möchte die Öffentlichkeit auf die Risiken aufmerksam machen, die mit der Verwendung des KI-Tools DeepSeek R1 (DeepSeek) verbunden sind. Obwohl dieses Modell der generativen KI im Internet frei zugänglich ist, wurde es nicht für europäische Verbraucher konzipiert.
DeepSeek, das in China von der gleichnamigen Firma entwickelt wurde, wird als Open Source zur Verfügung gestellt, auch innerhalb der EU über Plattformen wie Hugging Face. Seine Verwendung wirft jedoch erhebliche Bedenken auf, insbesondere im Hinblick auf die Erhebung und Verarbeitung von Daten ohne ausreichende Garantien. Tatsächlich können die von den Nutzern in die „Prompts“ eingegebenen Daten ohne einen klaren Datenschutzrahmen aufgezeichnet, übertragen, gespeichert oder analysiert werden.
Darüber hinaus bedeutet dies, dass es für die Betroffenen schwierig oder sogar unmöglich ist, ihre in der Datenschutz-Grundverordnung (DSGVO) festgelegten Rechte auszuüben. Das Fehlen eines Vertreters des Unternehmens DeepSeek in der Europäischen Union führt zu Rechtsunsicherheit für Nutzer in Luxemburg und in der EU. Dies führt zu einem Defizit an klaren Garantien für die Einhaltung der DSGVO, zu einem Mangel an Transparenz bezüglich der Governance dieser KI sowie zu einer potenziellen Beteiligung staatlicher oder dritter Akteure an der Datenverwaltung, wodurch das Risiko von Verstößen gegen personenbezogene Daten und das Grundrecht auf Privatsphäre vergrößert wird.
Darüber hinaus bedeutet die Tatsache, dass DeepSeek oder sein für die Verarbeitung Verantwortlicher nicht auf dem Gebiet der EU ansässig ist und keinen gesetzlichen Vertreter in der EU ernannt hat, dass die Zusammenarbeit mit der CNPD und anderen europäischen Datenschutzbehörden unsicher ist, was eine Regulierung oder Abhilfe im Falle von Missbrauch besonders kompliziert macht. Im Gegensatz zu Unternehmen, die auf dem Gebiet der EU ansässig sind oder dort einen Vertreter haben, die die DSGVO einhalten müssen, macht das Fehlen eines Vertreters von DeepSeek in Europa die Ausübung der Rechte (Zugang, Berichtigung, Löschung von Daten) der Bürger schwierig oder sogar unmöglich.
Um die mit der Nutzung von DeepSeek verbundenen Risiken zu begrenzen, spricht die CNPD folgende Empfehlungen aus:
- Vermeiden Sie die Installation der DeepSeek-Vorlage und ihrer Konfigurationsdateien in jeder IT-Umgebung, um die Gefährdung durch Datenlecks oder Datenmissbrauch zu begrenzen.
- Geben Sie bei der Nutzung der Online-Schnittstelle niemals persönliche oder vertrauliche Daten ein, da diese ohne angemessene Sicherheitsvorkehrungen ausgewertet werden könnten.
- Sensibilisieren Sie Mitarbeiter (beruflicher Bereich) und Nutzer (persönlicher Bereich) des Internets aktiv für die Risiken, die mit der Nutzung dieser KI verbunden sind.
- Bevorzugen Sie KI-Tools, die dem europäischen Rechtsrahmen (DSGVO, AI Act) entsprechen, die Datenschutzgrundsätze einhalten und klare Garantien für Sicherheit und Privatsphäre bieten.
Die CNPD bleibt wachsam in Bezug auf die Entwicklung der Künstlichen Intelligenz und arbeitet an der Einführung geeigneter rechtlicher Rahmenbedingungen, um die luxemburgischen und europäischen Bürger vor den mit diesen neuen Technologien verbundenen Risiken zu schützen.