Section: 2.2 Datenschutz | Regelungen zur Nutzung von KI-Diensten im Unternehmenskontext der DMT-LB

Section outline

Datenschutz ist der Oberbegriff für die sog. informationelle Selbstbestimmung, also der Hoheit über eigene, personenbezogene Daten. Obwohl nicht ausdrücklich im Grundgesetz der Bundesrepublik Deutschland (in Form eines Datenschutzgrundrechts) erwähnt, hat es durch Rechtsprechung des Bundesverfassungsgerichtes (Volkszählungsurteil, Begründung C II 1. a)) quasi Grundrechtscharakter. In der Charta der Grundrechte der Europäischen Union findet es in Art. 8 seine Entsprechung.

Das Datenschutzrecht ist in verschiedenen Rechtsnormen, vornehmlich der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, kurz: DS-GVO (Langtext hier), dem BDSG (Langtext) und verschiedenen Landesgesetzen (DSG NRW) festgelegt und teilweise in hochschulbezogenen (HG NRW) und hochschuleigenen Regelungen ausdifferenziert. Grds. folgt es dem Prinzip des "Verbots mit Erlaubnisvorbehalt", so dass personenbezogene Daten einen recht hohen Schutz genießen, sofern nicht eine Rechtsgrundlage (meist gem. Art. 6 (1) DS-GVO) besteht.

Die Themen KI-Systeme und Datenschutz haben verschiedene Berührungspunkte:

2.2.1 Datenschutz für Nutzende der von der DMT-LB zur Verfügung gestellten Dienste
Bei der Bereitstellung der KI-Dienste wurde streng auf den Datenschutz der Benutzenden im Rahmen der Nutzung geachtet und eine Minimierung der bei Login übertragenen personenbezogenen Daten angestrebt. Die konkret übertragenen personenbezogenen Daten sind der Datenschutzerklärung für den Dienst zu entnehmen:
DSE einsehen

2.2.2 Personenbezogene Daten in Prompts
Personenbezogene Daten sind gemäß DS-GVO "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen" (Art. 4 DS-GVO). Eine Weitergabe personenbezogener Daten Dritter und damit auch deren Übertragung an einen KI-Dienst ist ohne Zustimmung der betroffenen Personen regelmäßig nicht zulässig (Art. 5 (1) lit. a DS-GVO).

In eine solche Datenübertragung müsste die betroffene Person gemäß Art. 6 (1) lit. a DS-GVO einwilligen. An diese Einwilligung sind jedoch strenge Anforderungen gestellt, von deren Erfüllung nicht ausgegangen werden kann. Benutzende dürfen also die KI-Dienste nicht dazu nutzen, um persönliche Daten Dritter zu verarbeiten.

Beispiele unzulässiger Nutzung wären die KI-gestützte Auswertung von Testergebnissen durch Lehrende der THGA, bei der der KI-Dienst Zugriff auf Daten erhält, in denen auch personenbezogene Daten, z.B. Namen oder Matrikelnummern der Studierenden enthalten sind, oder auch die Unterstützung der Korrektur einer Prüfung durch KI-Dienste, bei der etwa eine komplette Klausur samt darauf abgedrucktem Namen als PDF von einem KI-Dienst verarbeitet wird.

2.2.3 Hochschule: Einsatz in Lehrkontexten
Generell darf von Studierenden nicht verlangt werden, für eine Lehrveranstaltung - ebenso wenig wie für eine Prüfung - anmeldepflichtige Dienste zu verwenden, die nicht von der Hochschule angeboten werden. Aus diesem Grund stellt die Hochschule generative KI-Dienste bereit, die von den Mitgliedern der Hochschule rechtskonform genutzt werden können. Die Hochschule hat dabei auf eine möglichst vollständige Eliminierung personenbezogener Daten bei Login und Nutzung geachtet. Eine genaue Aufstellung der übertragenen Daten liefert die Datenschutzerklärung:
DSE einsehen

Im Verlaufe der Nutzung eines KI-Dienstes übertragen Studierende notwendigerweise Daten an den Dienst. Zu diesen Daten gehören die Prompts der Nutzenden und weitere Aktivitätsdaten. Findet eine Verwendung innerhalb von Lehrveranstaltungen statt, ist die Nutzung der jeweiligen Dienste und damit auch die Übertragung von Daten für die Studierenden nicht länger freiwillig, sondern verbindlich und kann durch diese nicht vermieden werden. Es gelten deshalb besondere Schutzbedingungen für den rechtskonformen Einsatz, die in den Abschnitten "Datenschutz" und "Persönlichkeitsrechte" erläutert werden.