Allgemeine Rechtsfragen zum Umgang mit generativen KI-Diensten

Hintergrund

KI-Dienste verarbeiten Eingaben („Prompts“) oft in Cloud-Umgebungen, auf Servern außerhalb der Hochschule oder sogar außerhalb der EU.
Sobald in diesen Eingaben personenbezogene Daten enthalten sind, findet eine Verarbeitung im Sinne der DSGVO statt.
Dafür muss eine Rechtsgrundlage vorliegen (Art. 6 DSGVO) – etwa eine Einwilligung oder ein rechtmäßiger Hochschulzweck nach § 3 DSG NRW.
Da die Nutzung externer KI-Dienste meist keinen klaren Hochschulzweck erfüllt und Datenübermittlungen an Drittländer beinhalten, ist sie für personenbezogene oder sensible Daten nicht zulässig.

Besondere Vorsicht gilt bei sogenannten besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) – etwa Gesundheitsdaten, religiöse oder politische Überzeugungen oder biometrische Merkmale.
Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, die betroffene Person hat ausdrücklich zugestimmt.

Auch unabhängig vom Datenschutzrecht bestehen Persönlichkeitsrechte wie das Recht am eigenen Bild (§ 22 KunstUrhG) und das Recht am eigenen Wort, die durch das Hochladen entsprechender Dateien verletzt werden können.

Hinweis auf Regelwerk

• Art. 4 Abs. 1 DSGVO – Definition personenbezogener Daten
• Art. 9 Abs. 1 DSGVO – Besondere Kategorien personenbezogener Daten
• Art. 6 Abs. 1 DSGVO, § 3 DSG NRW – Rechtsgrundlagen der Datenverarbeitung
• § 22 KunstUrhG – Recht am eigenen Bild
• Art. 8 EMRK, Art. 1 und 2 GG – Recht auf Achtung des Privat- und Familienlebens / Recht auf informationelle Selbstbestimmung

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Nie

• Wenn eine Person auf Bildern, Videos oder Tonaufnahmen erkennbar ist oder sensible Daten enthalten sind.
• Beispiel: Fotos von Kolleg:innen, Interviews, Seminaraufzeichnungen, Prüfungsleistungen, Studierendenakten

⚠️ Nur mit Einwilligung

• Wenn die betroffene Person der Nutzung ausdrücklich zugestimmt hat oder selbst öffentlich gemacht hat und der Zweck vergleichbar ist.
• Beispiel: Öffentliches Vortragvideo einer Professorin, Nutzung mit schriftlicher Zustimmung

✅ Zulässig

• Wenn keinerlei Personenbezug mehr besteht (anonymisiert, synthetisch, fiktiv).
• Beispiel: KI-Übung mit selbst erzeugten Beispieldaten oder Stockfotos ohne Personenbezug

Hintergrund

KI-Systeme können Stimmen klonen, Gesichter realistisch nachbilden oder ganze Videos mit scheinbar echten Personen generieren („Deepfakes“).
Dabei werden biometrische Daten verarbeitet, die nach Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten gehören.
Ihre Nutzung ist grundsätzlich verboten, sofern keine ausdrückliche Einwilligung oder spezielle gesetzliche Grundlage vorliegt.

Darüber hinaus greifen mehrere Schutzrechte:

• das Recht am eigenen Bild (§ 22 KunstUrhG),
• das Recht am eigenen Wort,
• sowie das allgemeine Persönlichkeitsrecht nach Art. 1 Abs. 1 und Art. 2 Abs. 1 GG.

KI-basierte Imitationen können daher zu verschiedenen Rechtsverstößen führen – von der Urkunden- oder Identitätsfälschung (§ 267 StGB) über die falsche Verdächtigung (§ 164 StGB) bis hin zur Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen (§ 201a StGB).

Die Kunstfreiheit (Art. 5 Abs. 3 GG) schützt zwar künstlerische Auseinandersetzungen, nicht jedoch Täuschungen oder die unautorisierte Nachbildung realer Personen.
Beispielhaft wurde die Veröffentlichung eines KI-Interviews mit dem früheren Rennfahrer Michael Schumacher (2023) gerichtlich als Verletzung des Persönlichkeitsrechts bewertet.

Hinweis auf Regelwerk

• Art. 6, Art. 9 DSGVO – Rechtsgrundlagen und besondere Datenkategorien
• § 3 DSG NRW – Verarbeitung im öffentlichen Auftrag
• § 22 KunstUrhG – Recht am eigenen Bild
• Art. 1 und 2 GG – Recht auf informationelle Selbstbestimmung
• §§ 164, 267, 268, 201a StGB – strafrechtliche Folgen bei Täuschung oder Identitätsmissbrauch
• Art. 5 Abs. 3 GG – Kunstfreiheit (nur bei klar erkennbarer, zulässiger künstlerischer Nutzung)

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Nie

• Wenn reale Personen ohne ihre Zustimmung imitiert oder täuschend echt nachgebildet werden.
• Beispiel: Stimmen- oder Gesichts-Cloning, Deepfake-Videos, gefälschte Interviews oder Unterschriften

⚠️ Nur mit Einwilligung und Kennzeichnung

• Wenn die betroffene Person schriftlich zugestimmt hat und die Nutzung eindeutig als KI-generiert kenntlich gemacht wird.
• Beispiel: Forschungs- oder Lehrprojekte mit dokumentierter Zustimmung

✅ Zulässig

• Wenn ausschließlich fiktive oder synthetische Personen, Stimmen oder Bilder erzeugt werden, die keine realen Menschen nachahmen.
• Beispiel: Generierung neutraler Avatare oder Kunstfiguren für Präsentationen

Hintergrund

Der Grundsatz der Gleichbehandlung verpflichtet Hochschulen, faire Lern- und Prüfungsbedingungen zu schaffen (Art. 3 GG, § 3 HG NRW).
Dieser Anspruch gilt auch für neue digitale Werkzeuge wie KI-Dienste.

Zwei zentrale Aspekte stehen dabei im Vordergrund:

1. Kompetenzausgleich:
   Studierende bringen sehr unterschiedliche Erfahrungen im Umgang mit KI-Tools mit.
   Lehrende sollen keine Nutzung voraussetzen, ohne zuvor Grundlagen oder begleitende Informationen bereitzustellen.
   Die Hochschule unterstützt durch Schulungs- und Informationsangebote, um allen den Einstieg zu ermöglichen.
2. Zugangsgerechtigkeit:
   Wenn ein KI-Dienst in einer Lehrveranstaltung eingesetzt wird, muss sichergestellt sein, dass alle Studierenden ihn unter denselben Bedingungen nutzen können.
   Kostenpflichtige, regional beschränkte oder kontingentierte Dienste dürfen nicht verpflichtend eingesetzt werden.
   Deshalb sollten zentrale, von der Hochschule bereitgestellte KI-Services bevorzugt genutzt werden.
   Externe Tools dürfen nur dann eingesetzt werden, wenn gleicher Zugang, Datenschutz und Lizenzbedingungen für alle gewährleistet sind.

Ungleichheiten entstehen nicht nur durch unterschiedliche Vorkenntnisse, sondern auch durch ungleichen Zugang zu Infrastruktur (Hardware, Internetverbindung, Konten, Spracheinstellungen).
Ziel ist daher Chancengleichheit, nicht Identität aller Nutzungsmöglichkeiten.

Hinweis auf Regelwerk

• Art. 3 Abs. 1 und 3 GG – Gleichheitssatz und Benachteiligungsverbot
• § 3, § 59 HG NRW – Chancengleichheit und faire Studienbedingungen
• § 64 HG NRW – Grundsätze von Lehre, Studium und Prüfung
• Allgemeines Gleichbehandlungsgesetz (AGG) – Diskriminierungsverbot (ergänzend)
• EU-Grundrechtecharta Art. 21 – Gleichheit und Nichtdiskriminierung

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Nie

• Wenn ein kostenpflichtiger oder regional eingeschränkter KI-Dienst verpflichtend verlangt wird, den nicht alle Studierenden nutzen können.
• Beispiel: Pflicht zur Nutzung eines ChatGPT-Plus-Accounts oder Cloud-Tools mit Zugangsbeschränkung

⚠️ Nur mit Ausgleichsmaßnahme

• Wenn ein KI-Dienst optional genutzt wird, aber Unterstützungsangebote oder Alternativen bereitgestellt werden müssen.
• Beispiel: Freiwillige Nutzung eines externen Tools mit begleitender Einführung oder Schulung

✅ Zulässig

• Wenn die Hochschule oder der Fachbereich selbst KI-Services bereitstellt und alle Studierenden unter gleichen Bedingungen darauf zugreifen können.
• Beispiel: Nutzung des zentralen Hochschul-KI-Dienstes (z.B. über KI:connect@H-BRS)

Hintergrund

KI-Dienste können Texte, Aussagen oder Verhaltensweisen realer Menschen interpretieren, bewerten oder klassifizieren.
Sobald sich diese Analyse auf eine identifizierbare Person bezieht, handelt es sich um eine Verarbeitung personenbezogener Daten (Art. 4 Nr. 1 DSGVO).
Ergebnisse solcher Analysen gelten als Profilbildung (Art. 4 Nr. 4 DSGVO) und dürfen nur unter strengen Voraussetzungen erfolgen.

Die Nutzung solcher Analysen kann Persönlichkeitsrechte verletzen, etwa durch

• entstellende oder ehrverletzende Darstellungen,
• Rückschlüsse auf Charakter, politische Haltung oder Leistungsfähigkeit,
• oder eine Veröffentlichung ohne Zustimmung.

Selbst scheinbar neutrale Anfragen wie „Analysiere den Schreibstil von Prof. X“ oder „Wie empathisch wirkt Person Y?“ können rechtlich problematisch sein, weil sie Rückschlüsse über eine reale Person ziehen.

Nur in klar definierten Ausnahmefällen ist eine Nutzung möglich:

• Didaktisch: Wenn in einer Lehrveranstaltung das öffentliche Handeln oder die Rhetorik bekannter Personen analysiert wird.
• Wissenschaftlich: Wenn ein Forschungsvorhaben vorliegt und geeignete Schutzmaßnahmen (z. B. Pseudonymisierung, Zweckbindung, Datenminimierung) umgesetzt sind.

In allen anderen Fällen ist eine Analyse realer Personen durch KI-Dienste zu unterlassen oder zu anonymisieren.

Hinweis auf Regelwerk

• Art. 4 Nr. 1, Nr. 4, Art. 6, Art. 22 DSGVO – Personenbezug, Profilbildung und Rechtsgrundlagen
• Art. 89 DSGVO, § 3 DSG NRW – Verarbeitung zu wissenschaftlichen oder didaktischen Zwecken
• Art. 1 Abs. 1, Art. 2 Abs. 1 GG – Allgemeines Persönlichkeitsrecht
• §§ 823, 1004 BGB analog – zivilrechtlicher Schutz gegen Persönlichkeitsverletzungen
• §§ 186, 187 StGB – Üble Nachrede und Verleumdung
• Art. 5 GG – Meinungs- und Wissenschaftsfreiheit (Abwägung erforderlich)

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Nie

• Wenn Aussagen, Handlungen oder Merkmale realer Personen analysiert oder bewertet werden, ohne Einwilligung oder rechtliche Grundlage.
• Beispiel: „Bewerte die Persönlichkeit meines Dozenten“, „Analysiere die politische Haltung von XY“

⚠️ Nur mit Einwilligung oder klarer Zweckbindung

• Wenn eine didaktische oder wissenschaftliche Analyse erfolgt, die sich auf öffentlich zugängliche, sachliche Inhalte bezieht und den Datenschutz wahrt.
• Beispiel: Analyse öffentlicher Reden oder Wahlprogramme bekannter Personen im Seminar „Rhetorik und KI“

✅ Zulässig

• Wenn ausschließlich fiktive, anonymisierte oder synthetische Personen analysiert werden.
• Beispiel: KI-Übungen mit erfundenen Charakteren oder anonymisierten Textbeispielen

Hintergrund

KI-Dienste können heute täuschend echt wirkende Inhalte erzeugen – etwa gefälschte Fotos („Deepfakes“), manipulierte Stimmen, erfundene Zitate oder Texte mit Ihrem Namen.
Solche Inhalte verletzen häufig das allgemeine Persönlichkeitsrecht (Art. 1 Abs. 1 und Art. 2 Abs. 1 GG), insbesondere

• das Recht am eigenen Bild (§ 22 KunstUrhG),
• das Recht am eigenen Wort,
• und das Recht auf informationelle Selbstbestimmung.

Unzulässige Deepfakes oder Falschdarstellungen können zu Rufschädigung, Diskriminierung oder Täuschung Dritter führen.
Die Verursacher sind in der Regel nicht der KI-Dienst selbst, sondern Personen, die die Inhalte mit Hilfe eines KI-Tools erstellen und weiterverbreiten.

Was Sie tun können:

1. Beweise sichern:
   Screenshots, URLs, Veröffentlichungszeitpunkte und ggf. Metadaten dokumentieren.
   Diese Unterlagen sind Grundlage für spätere Ansprüche.
2. Veröffentlichende Plattform kontaktieren:
   Löschung oder Sperrung beantragen, ggf. unter Verweis auf DSGVO oder Persönlichkeitsrechtsverletzung.
3. Rechte nach DSGVO geltend machen:
   • Auskunft (Art. 15): Wer verarbeitet oder verbreitet Daten über mich?
   • Löschung (Art. 17): Entfernung unzulässiger Inhalte verlangen.
   • Beschwerde (Art. 77): An die zuständige Datenschutzaufsicht wenden.
4. Zivil- oder strafrechtlich vorgehen:
   • Unterlassungs- und Beseitigungsanspruch (§§ 823, 1004 BGB analog),
   • ggf. Strafanzeige bei Beleidigung, Verleumdung oder unbefugter Bildnutzung (§§ 185 ff., 201a StGB).
5. Hochschulinterne Unterstützung:
   Wenden Sie sich an den Datenschutzbeauftragten, die Rechtsabteilung oder den IT-Sicherheitsbeauftragten, um Hilfe bei der Einschätzung und Formulierung von Lösch- oder Unterlassungsanträgen zu erhalten.

Hinweis auf Regelwerk

• Art. 15–21, 77, 82 DSGVO – Betroffenenrechte, Beschwerde und Schadensersatz
• Art. 1 Abs. 1, Art. 2 Abs. 1 GG – Allgemeines Persönlichkeitsrecht
• §§ 823, 1004 BGB analog – Unterlassungs- und Beseitigungsansprüche
• §§ 185 ff., 201a StGB – Strafrechtlicher Schutz gegen Beleidigung und unbefugte Aufnahmen
• § 22 KunstUrhG – Veröffentlichung von Bildnissen nur mit Einwilligung

Ampelregel: Wann dürfen Daten verwendet werden?

‼️ Sofort reagieren 

• Wenn ein KI-Bild, Video oder Text Sie falsch oder diffamierend darstellt. Dokumentieren, Plattform informieren, rechtliche Schritte prüfen.
• Beispiel: Deepfake-Video, gefälschtes Zitat in sozialen Medien

⚠️ Gezielt prüfen und reagieren

• Wenn ein KI-Inhalt Ihr Bild oder Ihre Stimme verwendet, ohne erkennbaren diffamierenden Zweck. Nachfragen, Quelle klären, ggf. Löschung beantragen.
• Beispiel: KI-Porträt, das ohne Einwilligung veröffentlicht wurde

🛡️ Präventiv schützen

• Persönliche Inhalte sparsam online teilen, über Privatsphäre-Einstellungen und Meldemöglichkeiten informieren.
• Beispiel: Eigene Fotos nur in geschützten Bereichen posten

Hintergrund

Beim Datenschutz im Umgang mit KI-Diensten ist zu unterscheiden zwischen

• hochschuleigenen KI-Diensten und
• externen KI-Diensten, die außerhalb der Verantwortung der Hochschule betrieben werden (siehe FAQ 5.2).

Bei hochschuleigenen KI-Diensten ist die Hochschule Verantwortliche im Sinne der DSGVO.
Der Schutz Ihrer Daten wird dabei auf mehreren Ebenen gewährleistet:

1. Datenminimierung und Zweckbindung
   Bei Registrierung und Login werden nur diejenigen personenbezogenen Daten verarbeitet, die für die Nutzung des Dienstes erforderlich sind (z. B. Hochschulkennung, Rolle).
   Eine darüberhinausgehende Nutzung zu anderen Zwecken findet nicht statt.
2. Trennung von Datenarten
   Es wird unterschieden zwischen
   • Authentifizierungsdaten (z. B. Login, Rolleninformationen),
   • Nutzungsdaten (z. B. Sitzungsinformationen) und
   • Inhaltsdaten (z. B. Prompts, Texteingaben).
     Für jede dieser Kategorien gelten unterschiedliche Schutzmaßnahmen.
3. Technische Schutzmaßnahmen
   • Zugriff auf den KI-Dienst erfolgt über gesicherte Verbindungen.
   • Die Nutzung von außerhalb der Hochschulnetze wird nur über eine aktive VPN-Verbindung empfohlen, um die Kommunikation zusätzlich abzusichern.
   • Die IT-Infrastruktur unterliegt den allgemeinen Sicherheits- und Zugriffskonzepten der Hochschule.
4. Organisatorische Schutzmaßnahmen
   • Für den Dienst bestehen verbindliche Nutzungsbedingungen, insbesondere zum Umgang mit personenbezogenen Daten in Prompts.
   • Beschäftigte und Studierende werden über Schulungen und Informationsmaterialien für einen datenschutzkonformen Umgang sensibilisiert.
   • Die Verarbeitung ist im Verzeichnis der Verarbeitungstätigkeiten dokumentiert und wurde im Rahmen einer Datenschutz-Folgenabschätzung geprüft.

Hinweis auf Regelwerk

• Art. 5, Art. 6 Abs. 1 lit. e DSGVO – Grundsätze der Verarbeitung und Rechtsgrundlage
• § 3 DSG NRW – Verarbeitung im öffentlichen Interesse
• Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten
• Art. 35 DSGVO – Datenschutz-Folgenabschätzung
• Interne Nutzungsbedingungen und Datenschutzerklärung des jeweiligen KI-Dienstes

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Nicht zulässig

• Nutzung externer KI-Dienste zur Verarbeitung personenbezogener, sensibler oder dienstlicher Hochschuldaten ohne Freigabe
• Beispiel: Eingabe von Namen, Kontaktdaten, Prüfungsleistungen, internen Dokumenten oder Verwaltungsdaten in externe KI-Tools

⚠️ Eigenverantwortlich

• Nutzung externer KI-Dienste für private oder nicht-personenbezogene Zwecke
• Beispiel: Nutzung von Google Gemini zur Ideensammlung oder Textstruktur, Nutzung von Perplexity für allgemeine Recherche, immer ohne Eingabe personenbezogener, sensibler oder vertraulicher Hochschuldaten

✅ Abgesichert

• Nutzung hochschuleigener KI-Dienste gemäß den geltenden Vorgaben
• Beispiel: Nutzung von KI:connect oder Chat-AI ohne Eingabe personenbezogener, sensibler oder vertraulicher Hochschuldaten

Hintergrund

Externe KI-Dienste (z. B. Text-, Bild- oder Codegeneratoren) werden außerhalb der IT- und Datenschutzverantwortung der Hochschule betrieben.
Daher ist bei ihrer Nutzung zwischen zwei grundlegend unterschiedlichen Szenarien zu unterscheiden:

1. Institutioneller Einsatz oder Beschaffung durch die Hochschule

Soll ein externer KI-Dienst offiziell eingeführt, bereitgestellt oder verpflichtend genutzt werden, ist vorab eine umfassende datenschutzrechtliche Bewertung notwendig. Dazu gehören insbesondere:

• die Prüfung der Rechtsgrundlage (z. B. Art. 6 DSGVO i. V. m. § 3 DSG NRW),
• die Einhaltung der Grundsätze des Art. 5 DSGVO (Zweckbindung, Datenminimierung, Transparenz),
• die Klärung der datenschutzrechtlichen Rollen
  (Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder eigenständige Verantwortlichkeit),
• die Bewertung von Speicher- und Löschfristen sowie der Betroffenenrechte,
• ggf. die Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
• die Prüfung möglicher Drittlandübermittlungen (z. B. Verarbeitung außerhalb der EU),
• sowie – bei einem Einsatz für Beschäftigte – die Beteiligung der Mitbestimmung.

Ein solcher Einsatz darf nur in Abstimmung mit den zuständigen Fachabteilungen (Datenschutz, IT, Justiziariat, ggf. Personalrat) erfolgen.

2. Private oder individuelle Nutzung externer KI-Dienste

Nutzen Beschäftigte oder Studierende externe KI-Dienste freiwillig und eigenverantwortlich, ohne dass die Hochschule diese bereitstellt oder vorgibt, ist die Hochschule nicht Verantwortliche im Sinne der DSGVO.
Die datenschutzrechtliche Verantwortung liegt dann grundsätzlich beim Anbieter des KI-Dienstes und bei den Nutzenden selbst.

Dabei ist zu beachten:

• Bereits bei der Registrierung werden häufig personenbezogene Daten verarbeitet (z. B. E-Mail-Adresse, Log- und Nutzungsdaten, ggf. Zahlungsinformationen).
• Zusätzlich werden regelmäßig die Inhalte der Eingaben (Prompts, Texte, Bilder) verarbeitet.
• Abhängig vom Anbieter, Tarifmodell und der Art der Nutzung (Weboberfläche oder API) können diese Daten für Sicherheits- oder Trainingszwecke weiterverwendet werden.
• Art und Umfang der Datenverarbeitung unterscheiden sich teils erheblich zwischen kostenlosen und kostenpflichtigen Versionen.

Maßgeblich sind daher stets die Datenschutzinformationen und Nutzungsbedingungen des jeweiligen Anbieters.

Hinweis auf Regelwerk

• Art. 5, Art. 6 DSGVO – Grundsätze und Rechtsgrundlagen der Datenverarbeitung
• Art. 30, Art. 35 DSGVO – Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung
• Art. 44 ff. DSGVO – Datenübermittlung in Drittländer
• § 3 DSG NRW – Verarbeitung im öffentlichen Interesse
• Landespersonalvertretungsrecht NRW – Mitbestimmung bei Einführung technischer Systeme
• Datenschutzerklärungen der jeweiligen KI-Anbieter

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Nicht zulässig

• Verarbeitung personenbezogener, sensibler oder dienstlicher Hochschuldaten in externen KI-Diensten ohne Freigabe
• Beispiel: Eingabe von Namen, Prüfungsdaten, internen Dokumenten, Forschungs- oder Verwaltungsdaten

⚠️ Prüfpflichtig (vor Einsatz/Beschaffung)

• Geplanter institutioneller Einsatz oder Integration in Hochschulprozesse
• Beispiel: Einführung eines KI-Tools für Lehre oder Verwaltung; verpflichtende Nutzung in einem Studiengang

✅ Zulässig

• Private oder individuelle Nutzung ohne Personenbezug
• Beispiel: Ideensammlung, Textstruktur, allgemeine Recherche ohne dienstliche oder personenbezogene Daten

Hintergrund

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO; siehe auch FAQ 4.1).
Dazu zählen u. a. Namen, Matrikelnummern, Prüfungsleistungen, Texte mit Personenbezug, aber auch indirekte Hinweise, die eine Identifizierung ermöglichen.

Die Übertragung solcher Daten an einen KI-Dienst ist datenschutzrechtlich eine Weitergabe an einen Dritten. Sie ist nur zulässig, wenn

• eine geeignete Rechtsgrundlage besteht (Art. 6 DSGVO) und
• die Grundsätze des Art. 5 DSGVO (Zweckbindung, Datenminimierung, Rechtmäßigkeit) eingehalten werden.

Eine bloße Pseudonymisierung (z. B. Ersetzen von Namen durch Kürzel) reicht hierfür nicht aus, da die Daten weiterhin personenbezogen bleiben.
Zulässig wäre nur eine echte Anonymisierung, bei der eine Rückführbarkeit auf einzelne Personen ausgeschlossen ist.

Zwei typische Anwendungsfälle im Hochschulkontext

1. Übertragung von Studierendendaten an KI-Dienste durch Lehrende

Die Übermittlung personenbezogener Daten von Studierenden an KI-Dienste durch Lehrende, Prüfende oder Verwaltungspersonal ist nicht zulässig.

Eine Einwilligung der Studierenden käme zwar theoretisch in Betracht (Art. 6 Abs. 1 lit. a DSGVO), sie ist im Lehr- und Prüfungskontext jedoch regelmäßig nicht wirksam, da

• ein Abhängigkeitsverhältnis besteht,
• die Freiwilligkeit zweifelhaft ist,
• Studierende besonderen Schutz genießen.

Nicht zulässig sind daher insbesondere:

• KI-gestützte Auswertungen von Quiz- oder Testergebnissen mit Personenbezug,
• Unterstützung der Korrektur von Prüfungen durch KI, wenn Klausuren mit Namen, Matrikelnummern oder anderen personenbezogenen Angaben verarbeitet werden (z. B. Upload eines PDF-Scans).

2. Eingabe personenbezogener Daten Dritter durch Studierende

Auch Studierende dürfen keine personenbezogenen Daten anderer Personen in KI-Dienste eingeben.

Beispiel:

„Maxi Mustermensch sitzt neben mir und hat gerade die Lösung X für Aufgabe 2 erhalten. Erkläre das.“

In solchen Fällen werden personenbezogene Daten eines Dritten an einen KI-Dienst übermittelt.
Dafür fehlt regelmäßig eine geeignete Rechtsgrundlage – insbesondere eine wirksame Einwilligung der betroffenen Person.

Die Hochschule klärt daher alle Nutzenden hochschuleigener KI-Dienste über ihre Rechte und Pflichten auf.
Dazu gehört die klare Vorgabe, keine personenbezogenen Daten Dritter in KI-Dienste einzugeben.
Lehrenden wird empfohlen, Studierende beim Einsatz von KI in Lehre oder Prüfungen explizit auf diese Regeln hinzuweisen.
Hierfür stellt die Hochschule eine Checkliste für den rechtskonformen Umgang mit KI-Diensten zur Verfügung.

Hinweis auf Regelwerk

• Art. 4 Nr. 1, Art. 5, Art. 6 DSGVO – Personenbezug, Grundsätze und Rechtsgrundlagen
• Art. 9 DSGVO – Besondere Kategorien personenbezogener Daten
• § 3 DSG NRW – Verarbeitung im öffentlichen Interesse
• Art. 89 DSGVO – Schutzmaßnahmen bei Verarbeitung zu wissenschaftlichen Zwecken
• Interne Richtlinien und Checklisten der Hochschule zum KI-Einsatz

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Nie

• Eingabe personenbezogener Daten anderer Personen in KI-Dienste ohne Rechtsgrundlage
• Beispiel: Namen von Studierenden, Prüfungsleistungen, Klausuren mit Personenbezug

⚠️ Nur mit Ausgleichsmaßnahme

• Verarbeitung personenbezogener Daten mit klarer Rechtsgrundlage, genehmigtem Zweck und geeigneten Schutzmaßnahmen
• Beispiel: Auswertung personenbezogener Forschungsdaten mit einem hochschulseitig geprüften KI-System im Rahmen eines genehmigten Forschungsprojekts, inklusive Datenschutz-Folgenabschätzung und vertraglicher Absicherung.

✅ Zulässig

• Nutzung von KI-Diensten ohne Personenbezug
• Beispiel: Analyse vollständig anonymisierter Datensätze, fiktiver Daten oder allgemeiner Sachverhalte.

Hintergrund

Die Nutzung von KI-Diensten in Lehrveranstaltungen berührt unmittelbar den Datenschutz der Studierenden. Entscheidend ist dabei, ob die Nutzung freiwillig oder verbindlich erfolgt.

• Freiwillige Nutzung (z. B. optionale Lernhilfe) lässt Studierenden Ausweichmöglichkeiten.
• Verbindliche Nutzung (z. B. Pflicht in einer Lehrveranstaltung oder Prüfung) führt dazu, dass Studierende der Datenverarbeitung nicht ausweichen können.

In diesen Fällen ist eine datenschutzrechtliche Einwilligung nicht wirksam, da die Nutzung nicht freiwillig erfolgt.
Aus diesem Grund dürfen Studierende nicht verpflichtet werden, externe oder anmeldepflichtige KI-Dienste zu nutzen, die nicht von der Hochschule angeboten werden.

Die Hochschule stellt daher eigene generative KI-Dienste bereit, die unter Beachtung von

• Datenminimierung,
• Zweckbindung,
• Transparenz
  betrieben werden. Eine Übersicht der konkret verarbeiteten Daten findet sich in der jeweiligen Datenschutzerklärung des Dienstes.

Bei der Nutzung von KI-Diensten werden dennoch notwendigerweise Daten verarbeitet, insbesondere:

• Prompts und Texteingaben der Studierenden,
• Nutzungs- und Aktivitätsdaten (z. B. Sitzungsinformationen).

Da diese Verarbeitung im Lehrkontext verbindlich sein kann, gelten erhöhte Schutzanforderungen.
Diese betreffen insbesondere:

• die Auswahl geeigneter (hochschuleigener) KI-Dienste,
• den Verzicht auf die Verarbeitung personenbezogener Daten,
• transparente Information der Studierenden über Art und Umfang der Datenverarbeitung,
• sowie Alternativen, falls Studierende KI-Dienste nicht nutzen können oder sollen.

Weitergehende Details ergeben sich aus den Regelungen zum Datenschutz und zum Umgang mit personenbezogenen Daten Dritter .

Hinweis auf Regelwerk

• Art. 5, Art. 6 DSGVO – Grundsätze und Rechtsgrundlagen der Datenverarbeitung
• Art. 7 DSGVO – Anforderungen an eine wirksame Einwilligung
• Art. 8 EU-Grundrechtecharta – Schutz personenbezogener Daten
• § 3, § 64 HG NRW – Chancengleichheit und faire Studienbedingungen
• Interne Datenschutz- und KI-Richtlinien der Hochschule

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Nicht zulässig

• Verpflichtende Nutzung externer oder anmeldepflichtiger KI-Dienste
• Beispiel: Pflicht zur Nutzung eines externen KI-Tools mit persönlichem Account in einer Lehrveranstaltung oder Prüfung

⚠️ Nur unter Bedingungen zulässig

• Einsatz von KI-Diensten im Lehrkontext mit verbindlicher Nutzung
• Beispiel: Nutzung hochschuleigener KI-Dienste mit transparenter Information, Datenminimierung und klaren Alternativen

✅ Zulässig

• Freiwillige Nutzung ohne Nachteile bei Nichtteilnahme
• Beispiel: Optionale Nutzung eines KI-Dienstes als Lernhilfe ohne Einfluss auf Bewertung oder Prüfungsleistung

Hintergrund

Die Datenschutz-Grundverordnung knüpft Verantwortung und Haftung an die Rolle der jeweils handelnden Stelle.

1. Hochschuleigene KI-Dienste

Wird ein KI-Dienst von der Hochschule bereitgestellt und betrieben, ist sie in der Regel Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.
Das bedeutet:

• Die Hochschule trägt die Verantwortung für
  • die Rechtmäßigkeit der Verarbeitung,
  • die Auswahl des Dienstes,
  • technische und organisatorische Schutzmaßnahmen,
  • sowie die Wahrung der Betroffenenrechte.
• Kommt es bei ordnungsgemäßer Nutzung zu einem Datenschutzverstoß, liegt die primäre Haftung bei der Hochschule.

Beschäftigte handeln hier regelmäßig im Rahmen ihrer dienstlichen Tätigkeit.

2. Externe oder private KI-Dienste

Nutzen Beschäftigte oder Studierende externe KI-Dienste eigenverantwortlich, insbesondere über private Accounts oder private Geräte, ist die Hochschule nicht Verantwortliche.

In diesen Fällen:

• liegt die Verantwortung für die Datenverarbeitung grundsätzlich beim Anbieter des KI-Dienstes und bei der nutzenden Person,
• insbesondere dann, wenn
  • personenbezogene oder dienstliche Daten eingegeben werden,
  • entgegen klarer Vorgaben oder Hinweise gehandelt wird.

3. Pflichtverstöße und individuelles Fehlverhalten

Werden KI-Dienste entgegen geltender Vorgaben genutzt – etwa durch:

• die Eingabe personenbezogener Daten Dritter,
• die Nutzung externer KI-Dienste für dienstliche Zwecke ohne Freigabe,
• oder den verpflichtenden Einsatz externer Tools in der Lehre –

kann dies individuelle Verantwortlichkeit begründen.

Je nach Fall kommen in Betracht:

• arbeits- oder dienstrechtliche Maßnahmen,
• zivilrechtliche Haftung (z. B. Schadensersatz nach Art. 82 DSGVO),
• in gravierenden Fällen auch ordnungswidrigkeiten- oder strafrechtliche Konsequenzen.

4. Schutz der Nutzenden

Die Hochschule verfolgt keinen Sanktions-, sondern einen präventiven Ansatz.
Wer

• die bereitgestellten KI-Dienste nutzt,
• die geltenden Vorgaben einhält,
• und bei Unsicherheiten frühzeitig Rücksprache hält,

handelt schutzwürdig und bewegt sich in einem rechtssicheren Rahmen.

Hinweis auf Regelwerk

• Art. 4 Nr. 7, Art. 5, Art. 6 DSGVO – Verantwortlichkeit, Grundsätze, Rechtsgrundlagen
• Art. 24, Art. 32 DSGVO – Verantwortung und Schutzmaßnahmen
• Art. 82 DSGVO – Haftung und Schadensersatz
• § 839 BGB i. V. m. Art. 34 GG – Amtshaftung
• Dienst- und arbeitsrechtliche Vorschriften der Hochschule
• Interne KI- und Datenschutzrichtlinien

Ampelregel: Wann dürfen Daten verwendet werden?

🛑 Individuelle Verantwortung

• Nutzung von KI-Diensten entgegen klarer Vorgaben
• Beispiel: Eingabe personenbezogener Studierendendaten in einen externen KI-Dienst

⚠️ Geteilte Verantwortung

• Nutzung von KI-Diensten im Graubereich oder mit Abweichungen
• Beispiel: Einsatz eines KI-Tools ohne vorherige Abstimmung bei dienstlichem Bezug

✅ Institutionelle Verantwortung

• Ordnungsgemäße Nutzung hochschuleigener KI-Dienste
• Beispiel: Nutzung des bereitgestellten KI-Dienstes gemäß Vorgaben und Schulungen