Recht und Compliance

Datenschutzerklärung KI:connect@H-BRS

Willkommen bei KI:connect@H-BRS, Ihrem Zugang zu generativer KI über eine sichere Hochschul-Schnittstelle! Wir freuen uns, Ihnen ein Werkzeug zur Verfügung stellen zu können, dass Forschung, Lehre, Studium, Transfer und Verwaltung unterstützt, und dabei den Datenschutz der Nutzenden besonders schützt.

1. Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von KI:connect@H-BRS ist:

Hochschule Bonn-Rhein-Sieg (H-BRS)
Grantham-Allee 20
53757 Sankt Augustin
Tel.: +49 2241 865 0
E-Mail: info@h-brs.de

Vertreten durch:
die Präsidentin der Hochschule Bonn-Rhein-Sieg

 

2. Datenschutzbeauftragter

Dr. Martin Eßer
E-Mail: datenschutzbeauftragte@h-brs.de

 

Für Fragen zum Datenschutz können Sie sich an den Datenschutzreferenten der H-BRS wenden:

Manfred Höffken
Telefon: +492241 865 9683
E-Mail: manfred.hoeffken@h-brs.de

 

3. Beschreibung des Dienstes

KI:connect@H-BRS ist ein Interface, das Studierenden und Beschäftigten der H-BRS den Zugang zu verschiedenen Modellen generativer Künstlicher Intelligenz ermöglicht.

Das Interface wird technisch durch die RWTH Aachen betrieben, bei der sich die Nutzenden mit ihrem H-BRS-Login anmelden. Eine direkte Anmeldung bei den jeweiligen KI-Anbietern ist nicht erforderlich.

Die H-BRS bindet über eigene Schnittstellen (APIs) sowohl kommerzielle als auch frei verfügbare KI-Modelle ein. Zu den kommerziellen Modellen zählt unter anderem die GPT-Modellfamilie (OpenAI L.L.C., USA). Frei verfügbare Modelle werden von der Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG) im Auftrag der H-BRS betrieben. Die Auswahl des genutzten Modells erfolgt durch die Nutzenden innerhalb des Interfaces.

Die H-BRS bleibt für die Datenverarbeitung Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Weitere Hinweise zur Nutzung von KI:connect@H-BRS können in den Nutzungsbedingungen abgerufen werden.

 

4. Zwecke der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt, um:

  • den Zugang zu generativen KI-Modellen zu ermöglichen,
  • die Nutzungsberechtigung zu prüfen,
  • Konversationen (Chats) technisch zu speichern und fortsetzen zu können,
  • die Nutzung statistisch zu erfassen und Kostenelement-IDs zuzuordnen,
  • einen sicheren und datenschutzkonformen Betrieb zu gewährleisten.

Eingaben (Prompts) werden zunächst an die RWTH Aachen übermittelt, die diese im Auftrag der H-BRS verarbeitet und pseudonymisiert an den Anbieter des vom Nutzenden ausgewählten KI-Modells weiterleitet. Die Rückgabe der generierten Antworten (Completions) erfolgt über denselben technischen Weg zurück an das Interface.

Eine Nutzung der Prompts oder Completions zu Trainings-, Optimierungs- oder Analysezwecken findet weder durch die RWTH Aachen noch durch einen der Anbieter der KI-Modelle statt.

 

5. Kategorien personenbezogener Daten

Im Rahmen der Nutzung werden folgende Daten verarbeitet:

1. Anmelde- und Kontodaten

Diese Daten werden bei der Anmeldung über MIA, den Identity Provider (IDP) der H-BRS, erhoben und dienen der Authentifizierung, Autorisierung und der Abrechnung der Nutzung:

  • IDP-spezifische, eindeutige, persistierende ID zur Person (vom Identity Provider generiert),
  • Hochschul-E-Mail-Adresse, Vor- und Nachname,
  • Rolle/Gruppe und Art der Zugehörigkeit zur H-BRS  (z. B. Studierende, Beschäftigte),
  • IP-Adresse und Session-Cookie lediglich zur Authentifizierung und zur technischen Sitzungsverwaltung.

Diese Daten werden von der RWTH Aachen im Auftrag der H-BRS verarbeitet.

Eine technische Verknüpfung dieser Daten mit den im Folgenden genannten Prompts oder Ausgaben wäre grundsätzlich möglich, ist jedoch vertraglich ausdrücklich untersagt und wird technisch nicht durchgeführt.

2. Daten aus Prompts und Completions

Dies sind Texteingaben der Nutzenden (Prompts) und die von den KI-Modellen generierten Antworten (Completions).

Die Übermittlung der Prompts an den Anbieter des vom Nutzenden ausgewählten KI-Modells erfolgt pseudonymisiert über das Interface, sodass dieser Anbieter die Inhalte nicht direkt einer bestimmten Person zuordnen kann.

Diese Daten können je nach Nutzung jedoch personenbeziehbare Informationen enthalten, wenn Nutzende freiwillig personenbezogene Angaben (z. B. ihren Namen, ihre Rolle oder andere identifizierende Merkmale) in einen Prompt aufnehmen.

Die Verarbeitung dieser Daten erfolgt ausschließlich, um die gewünschte Ausgabe zu erzeugen. Eine Nutzung zu Trainings- oder Optimierungszwecken durch einen der Anbieter der KI-Modelle findet nicht statt.

3. Metadaten (anonymisierte Nutzungsdaten)

Darunter fallen technische Daten, die für die Funktionsweise und Auswertung des Dienstes erforderlich sind, etwa:

  • anonyme Konversations- und Kostenelement-IDs,
  • Zeitstempel der Nutzung,
  • Anzahl der verarbeiteten Tokens,
  • Modellname,
  • Nutzungskosten.

Diese Metadaten lassen keinen Rückschluss auf einzelne Personen zu und werden ausschließlich zu statistischen und abrechnungsbezogenen Zwecken verwendet. Eine zusätzliche Identifizierung der betroffenen Person ist technisch ausgeschlossen, da Zuordnungsdaten und Referenzen strikt getrennt gespeichert und durch technische sowie organisatorische Maßnahmen gegen eine nachträgliche Verknüpfung abgesichert sind.

Die Bereitstellung der genannten personenbezogenen Daten ist für die Nutzung von KI:connect@H-BRS erforderlich. Ohne diese Daten ist eine Nutzung des Dienstes aus technischen und organisatorischen Gründen nicht möglich.

 

6. Rechtsgrundlage der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zur Wahrnehmung der Aufgaben der H-BRS in Lehre, Forschung, Studium, Transfer und Verwaltung gemäß Art. 6 Abs. 1 S. 1 lit. e DSGVO in Verbindung mit § 3 Abs. 1, § 8 Abs. 7 und § 25 Abs. 1 HG NRW sowie § 18 Abs. 1 DSG NRW.

 

7. Empfänger der Daten

Empfänger der von Ihnen bereitgestellten Daten sind ausschließlich die im Rahmen der Dienstbereitstellung beteiligten Institutionen:

  • Hochschule Bonn-Rhein-Sieg (H-BRS) – Verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO.
    Innerhalb der Hochschule erfolgt der Zugriff ausschließlich durch den IT-Service (IT-S), soweit dies für den technischen Betrieb, die Integration und die Unterstützung der Nutzerinnen und Nutzer erforderlich ist.
  • RWTH Aachen University – Auftragsverarbeiter der H-BRS gemäß Art. 28 DSGVO.
    Die RWTH betreibt das landesweite Portal KI:connect.nrw, führt die Authentifizierung über die MIA-Schnittstelle durch, pseudonymisiert die Nutzerkennungen, verarbeitet technische Metadaten und leitet die Anfragen (Prompts) an die jeweils ausgewählten Sprachmodelle weiter.
  • Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG) – Auftragsverarbeiter der H-BRS im Rahmen der Nutzung freier Modelle.
    Die GWDG stellt die innerhalb von KI:connect@H-BRS verfügbaren frei gehosteten Sprachmodelle (z. B. Mixtral, Qwen, Meta LLaMA) bereit, verarbeitet die übermittelten Anfragen und liefert die generierten Ergebnisse zurück.
    Die Übermittlung erfolgt ausschließlich über einen API-Zugang der H-BRS über die RWTH-Schnittstelle und in pseudonymisierter Form; ein Rückschluss auf einzelne Personen ist nicht möglich.
  • OpenAI L.L.C. (bzw. OpenAI Ireland Limited) – Auftragsverarbeiter der H-BRS im Rahmen der Nutzung kommerzieller Modelle.
    OpenAI stellt die innerhalb von KI:connect@H-BRS verfügbaren kommerziellen GPT-Modelle bereit, verarbeitet die übermittelten Anfragen und liefert die generierten Ergebnisse zurück.
    Auch hier erfolgt die Übermittlung ausschließlich über den lizenzierten API-Zugang der H-BRS über die RWTH-Schnittstelle und in pseudonymisierter Form; ein Rückschluss auf einzelne Personen ist nicht möglich.

 

8. Drittlandtransfer

Ein Drittlandtransfer erfolgt ausschließlich im Rahmen der Nutzung der von der H-BRS lizenzierten API-Schnittstelle von OpenAI, L.L.C. (USA). Wir weisen darauf hin, dass die Verarbeitung bei Nutzung der von der H-BRS lizenzierten API-Schnittstelle von OpenAI, L.L.C. (USA) nach Maßgabe der EU-Standardvertragsklauseln, der Zertifizierung unter dem EU-US Data Privacy Framework sowie nach Durchführung eines Transfer Impact Assessment erfolgt. Dennoch kann – insbesondere aufgrund abweichender rechtlicher Vorgaben in Drittländern – ein Restrisiko für Ihre Daten nicht vollständig ausgeschlossen werden.

Bei der Nutzung der von der GWDG betriebenen Modelle findet kein Drittlandtransfer statt, da die Verarbeitung ausschließlich innerhalb der Europäischen Union erfolgt.

 

9. Speicherdauer und Löschung

Personenbezogene Daten werden grundsätzlich nur so lange verarbeitet, wie eine Hochschulzugehörigkeit besteht oder der Zugang zu KI:connect@H-BRS aktiv ist. Nach dem Ende des Nutzungsverhältnisses oder auf Antrag werden diese Daten innerhalb von 30 Tagen anonymisiert oder gelöscht.

Die über das Interface eingegebenen Texte (Prompts) und die erzeugten Ausgaben (Completions) können von den Nutzenden jederzeit selbst gelöscht werden. Erfolgt keine aktive Löschung, werden die Inhalte spätestens nach 14 Tagen automatisch entfernt.

Technische und pseudonymisierte Nutzungsdaten, wie etwa Kostenelement-IDs, Zeitstempel oder Token-Zahlen, werden lediglich für statistische und abrechnungsbezogene Zwecke aufbewahrt. Diese Metadaten bleiben bis zum Abschluss der jeweiligen Abrechnungsperiode gespeichert und werden spätestens nach 386 Tagen gelöscht.

Zur Gewährleistung der Sicherheit und Vertraulichkeit Ihrer Daten werden zahlreiche technische und organisatorische Schutzmaßnahmen eingesetzt, insbesondere:

  • Transportverschlüsselung aller Datenübertragungen (TLS 1.2/1.3)
  • Strikte Trennung und Pseudonymisierung von Nutzungs- und Identitätsdaten
  • Zugriffsbeschränkungen sowie regelmäßige Schulungen des Personals
  • Protokollierung und Kontrolle aller Zugriffe gemäß aktuellem Stand der Technik
  • Regelmäßige Datenschutz- und IT-Sicherheitsaudits

 

10. Rechte der betroffenen Person

Betroffene Personen haben gemäß Art. 15 ff. DSGVO das Recht auf:

  • Auskunft über die sie betreffenden personenbezogenen Daten,
  • Berichtigung unrichtiger Daten,
  • Löschung („Recht auf Vergessenwerden“),
  • Einschränkung der Verarbeitung,
  • Widerspruch gegen die Verarbeitung,
  • Datenübertragbarkeit.

Zur Wahrnehmung dieser Rechte genügt eine formlose Anfrage an: datenschutzbeauftragte@h-brs.de.

Darüber hinaus besteht ein Beschwerderecht bei der zuständigen Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf

 

11. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt.

 

12. Weitere Hinweise

Die H-BRS hat keinen Zugriff auf Inhalte einzelner Chats. Die Verantwortung für die eingegebenen Inhalte und die Nutzung der generierten Ergebnisse liegt bei den Nutzenden.

Die Eingabe von personenbezogenen Daten Dritter ist untersagt. Die Nutzung des Dienstes ist ausschließlich für dienstliche Zwecke gestattet.

Für die sichere und verantwortungsvolle Verwendung des Dienstes empfehlen wir die Beachtung der Checkliste Zulässige Nutzung KI-Systeme der H-BRS.

Diese Datenschutzerklärung bildet die datenschutzrechtlichen Anforderungen zum Zeitpunkt Oktober 2025 ab. Sie wird regelmäßig an rechtliche, technische oder organisatorische Veränderungen angepasst. Die jeweils aktuelle Fassung finden Sie stets auf dieser Webseite.

Zu KI:connect@H-BRS