Dataskyddsmyndigheten i den tyska delstaten Bayern (Der Bayerische Landesbeauftragte für den Datenschutz, BayLfD) råder offentliga verksamheter att avstå från användningen av AI-leverantörer i tredjeländer som inte är transparenta med sin behandling av personuppgifter.
Rekommendationen lämnas i en vägledning om användning av AI-verktyg som tillhandahålls av leverantörer med säte i tredjeländer. Vägledningen namnger varken enskilda AI-verktyg eller leverantörer men omfattar bland annat verktyg för generativ AI som exempelvis ChatGPT (OpenAI), Gemini (Google) och DeepSeek (High-Flyer).
Vägledningen förtydligar bland annat att användningen av ett AI-verktyg regelbundet innebär en behandling av personuppgifter i den allmänna dataskyddsförordningens (GDPR) mening. Vidare konstaterar BayLfD att en offentlig verksamhet blir personuppgiftsansvarig för en sådan behandling, medan leverantören kan bli såväl personuppgiftsansvarig som personuppgiftsbiträde, beroende på omständigheterna i det enskilda fallet.
Gällande tredjelandsöverföringar konstaterar BayLfD att användningen av AI-verktyg från leverantörer i tredjeländer regelbundet medför tredjelandsöverföringar av personuppgifter i GDPR:s mening. BayLfD påpekar särskilt att en överföring som grundar sig på avtalsmässiga åtgärder, som exempelvis standardavtalsklausuler, förutsätter att dessa åtgärder kan efterlevas av leverantören. Om det föreligger en risk för åtkomst från (brottsbekämpande) myndigheter i det tredjelandet har den offentliga verksamheten en skyldighet att utreda rättsläget gällande dataskydd i det tredjelandet och, om nödvändigt, vidta ytterligare åtgärder. Resonemanget återspeglar EU-domstolens resonemang i Schrems II-målet som bland annat begränsar möjligheterna att använda standardavtalsklausuler som överföringsgrund till USA.
Rådet från BayLfD till offentliga verksamheter att avstå från användningen av AI-leverantörer i tredjeländer som inte är transparenta med sin behandling av personuppgifter motiveras särskilt av principen om ansvarsskyldighet (artikel 5.2 GDPR). Enligt denna princip ska den personuppgiftsansvarige, i detta fall offentliga verksamheter som använder AI-verktyg, ansvara för och kunna visa att GDPR:s dataskyddsprinciper efterlevs.
Samtidigt lämnar BayLfD konkreta förslag på åtgärder för att minska dataskyddsriskerna. En sådan en åtgärd kan enligt BayLfD vara att drifta AI-verktyg lokalt (on-prem). Genom denna åtgärd får den offentliga verksamheten kontroll över den fysiska och logiska infrastrukturen som används för att drifta AI-verktyget vilket i sin tur gör det möjligt för verksamheten att säkerställa att dataskyddsreglerna efterlevs.
Slutligen hänvisar BayLfD till AI-förordningen och de särskilda krav som regelverket ställer avseende transparens och cybersäkerhet. BayLfD varnar också för de särskilda cybersäkerhetsrisker som kan uppstå som följd av leverantörer av AI-verktyg inte vidtar tillräckliga säkerhetsåtgärder.