Grundsätzlich gelten bei der Nutzung von generativer KI die Reglungen der DSGVO. Deshalb wird empfohlen, insbesondere folgende Punkte zu beachten (aus KI-Leitfaden Hochschule Bayern 2025):
- Verwendung von KI-Werkzeugen, die nach verbindlicher Angabe des Anbieters datenschutzkonform und nichtdiskriminierend sind, die Prompts nicht zu Trainingszwecken nutzen und die das Löschen oder Deaktivieren von Verlaufsprotokollen ermöglichen.
- Bei der Anmeldung für KI-Werkzeuge sollte, sofern eine Nutzerregistrierung erforderlich ist, eine anonymisierte E-Mail-Adresse verwendet werden (z. B. userpseudonym123@gmail.com). Die Verwendung eines Authentifizierungsverfahrens verhindert die missbräuchliche Nutzung des Accounts.
- Verbot der Nutzung von KI-Systemen außerhalb von Forschungs-, Lehr-, Studienzwecken bzw. Zwecken des Hochschulmanagements bei Verwendung der dienstlichen Zugangsdaten.
Zentrale Bedeutung kommt nach der DSGVO auch der Eingabe im Prompt zu. So dürfen nur Informationen eingegeben werden, die als TLP:CLEAR gemäß dem Traffic Light Protocol (TLP) (siehe Tabelle 1) eingestuft sind. Das bedeutet: Prompt-Inhalte müssen öffentlich zugänglich und unkritisch sein.
Nicht-zulässige Eingaben sind z. B.:
Personenbezogene Daten
Zu personenbezogenen Daten zählen z. B.:
- Namen, Matrikelnummern, Kontaktdaten.
- Gesundheitsdaten, Adressen oder Bildmaterial.
- Daten, die in Kombination Rückschlüsse auf Einzelpersonen zulassen.
Manipulative Prompts
Dazu zählen z. B.:
- Eingaben mit dem Ziel, technische Schutzmechanismen des KI-Systems zu umgehen.
- Eingaben, die darauf abzielen, die KI zu ethisch oder rechtlich problematischem Verhalten zu verleiten.
Vertrauliche Inhalte
Zu vertraulichen Inhalten zählen z. B.:
- Unveröffentlichte Forschungsergebnisse Dritter (z. B. im Rahmen von Feedback- oder Korrekturanfragen) oder interne Dokumente.
- Informationen mit Zugangsbeschränkung.
- Inhalte, die der Geheimhaltung oder dem Dienstgeheimnis unterliegen.
Hinweis: Im Rahmen von KI-Systemen, die ausschließlich zu wissenschaftlichen Forschungs- und Entwicklungszwecken betrieben werden, können in diesem Zusammenhang unter Umständen Ausnahmen aufgrund des Wissenschaftsprivilegs gelten (vgl. Rechtsgutachten zur Bedeutung der europäischen KI-Verordnung für Hochschulen (externer Link, öffnet neues Fenster)).
| LP- Stufe | Vertraulichkeitsstufen | Beschreibung | Weitergabe |
|---|---|---|---|
| LP: RED | Verschlusssachen | Nur für bekannte Empfänger Informationen dürfen nur an die direkt anwesenden Personen weitergegeben werden. | Keine Weitergabe an Dritte. |
| TLP: AMBER +STRICT | Streng vertraulich | Eingeschränkte organisationsinterne Verteilung. | Informationen dürfen nur innerhalb der Universität Regensburg und aufeiner„Need-to-know“-Basis weitergegeben werden. |
| TLP: AMBER | Vertraulich | Eingeschränkte organisationsinterne Verteilung. | Informationen dürfen innerhalb der Universität Regensburg und an Partner weitergegeben werden, jedoch nicht an Dritte. |
| LP: GREEN | Intern | Organisationsübergreifende Weitergabe. | Informationen dürfen innerhalb der Hochschulgemeinschaft weitergegeben, jedoch nicht veröffentlicht werden. |
| TLP: CLEAR | Öffentlich | Uneingeschränkte Weitergabe. | Informationen dürfen uneingeschränkt an jeden weitergegeben werden. |
Tabelle 1. Das TrafficLightProtocol (TLP) ist eine standardisierte Vereinbarung zum Austausch schutzwürdiger, aber nicht formell eingestufter Informationen. Alle Dokumente werden in TLP-Stufen eingeteilt, die die Bedingungen für ihre Weitergabe regeln. Weitere Informationen des BSI zum TLP finden Sie unter folgendem Link (externer Link, öffnet neues Fenster).
Kontaktstelle und Empfehlungen für KI-Anwendungen
Bei Fragen oder Datenschutzverstößen ist der/die Datenschutzbeauftragte der UR zu kontaktieren.
Im Sinne des Urheberrechts und des Datenschutzes ist die Nutzung von Microsoft Copilot an der UR zu empfehlen (siehe hier (externer Link, öffnet neues Fenster)), da alle Daten gemäß den vertraglichen Vereinbarungen (Data Processing Addendum, DPA) von Microsoft und der UR verarbeitet und die Bedingungen für M365 Education greifen. Im Wesentlichen ist damit sichergestellt, dass die Daten nur innerhalb der EU verarbeitet werden, keine Speicherung der Anfragen stattfindet und diese auch nicht verwendet werden, um die KI-Modelle zu trainieren.
Ähnliche Regelungen wurden mit DeepL vereinbart und stehen den Mitgliedern der UR bei der Nutzung im Content-Management-System für Übersetzungen von Website-Inhalten zur Verfügung.