Antwort (Datenschutzrechtliche Anforderungen Lehre)
Datenschutzrechtliche Anforderungen an die Nutzung von KI-Systemen in der Lehre
Inhaltsübersicht
I. Personenbezogene Daten
Wenn Lehrende anmeldepflichtige, externe KI-Systeme in ihre Lehrveranstaltungen einbinden wollen, die nicht von der Hochschule angeboten werden, werden personenbezogene Daten verarbeitet. Bei der Registrierung zur Nutzung dieser KI-Systeme, haben die Studierenden beispielsweise bei der Erstellung eines Nutzerkontos Kontodaten, wie eine E-Mail-Adresse oder auch eine Mobilfunknummer, anzugeben. Neben den Registrierungsdaten werden auch Logdaten, die bei der Nutzung des KI-Systems gespeichert werden, verarbeitet sowie gegebenenfalls auch Inhalte, die die Nutzer:innen eingeben. Es handelt sich insoweit um personenbezogene Daten gem?? Artikel 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO).
II. Rechtm??igkeit der Datenverarbeitung
Datenschutzrechtlich verantwortlich für den Einsatz von KI-Systemen zu Lehrzwecken w?re die jeweilige Hochschule gem?? Artikel 4 Nr. 7 DS-GVO in Erfüllung ihrer Aufgaben. Soweit Studierende die KI-Generatoren ausschlie?lich zu eigenen pers?nlichen Zwecken nutzen, w?ren sie hingegen für die Eingabe von eigenen oder fremden Daten verantwortlich (Artikel 2 Absatz 2 lit. c) DS-GVO).
Ob Lehrende KI-Systeme in ihre Lehre einbinden, obliegt ihrem Ermessen. Grunds?tzlich gilt aber, wenn ein Einsatz von KI-Systemen in der Lehre erfolgt, darf dies nur unter Einhaltung der geltenden datenschutzrechtlichen Regelungen erfolgen, insbesondere unter Berücksichtigung der in Artikel 5 DS-GVO festgelegten Grunds?tze für die Verarbeitung von personenbezogenen Daten. Gem?? Artikel 5 Absatz 1 lit. a) DS-GVO müssen personenbezogene Daten ?auf rechtm??ige Weise“ verarbeitet werden, d.h., dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage nach Artikel 6 Absatz 1 DS- GVO beruhen müsste.
Als Rechtsgrundlage k?me eine Einwilligung der betroffenen Studierenden gem?? Artikel 6 Absatz 1 lit. a) DS-GVO in Betracht. Eine Einwilligung in die Nutzung von KI-Systemen w?re aber nur dann zul?ssig, wenn die Einwilligung freiwillig erfolgt (Artikel 4 Nr. 11 DS- GVO), d.h. Studierende dürften im Rahmen von Lehrveranstaltungen von Lehrenden nicht zur Nutzung eines anmeldepflichtigen KI-Systems verpflichtet werden. Eine Einwilligung w?re nur dann für die Betroffenen freiwillig, wenn diese eine echte oder freie Wahl h?tten, die Einwilligung zu verweigern ohne Nachteile befürchten zu müssen (Erw?gungsgrund 42 DS-GVO). Studierende müssten damit die M?glichkeit haben, ohne Nutzung eines externen KI-Systems Studienleistungen zu erfüllen. Zudem k?nnen die erteilten Einwilligungen jederzeit ohne Grund mit Wirkung für zukünftige Datenverarbeitungen widerrufen werden (Artikel 7 Absatz 3 DS-GVO), worüber die betroffenen Studierenden vor Abgabe der Einwilligung auch in Kenntnis zu setzen sind.
Der für Studierende verpflichtende Einsatz von KI-Systemen in einer Lehrveranstaltung w?re nur dann ohne Einwilligung der jeweils betroffenen Studierenden zul?ssig, wenn eine einschl?gige Rechtsgrundlage, wie beispielsweise eine satzungsm??ige Regelung vorliegen würde (Artikel 6 Absatz 1 lit. e DS-GVO i.V.m. Bremischen Hochschulgesetz i.V.m. Satzung / Hochschulordnung). Eine solche Satzungsregelung durch eine Hochschule kann die notwendigen Datenverarbeitungsvorg?nge zu Lehrzwecken legitimieren, indem eine klare und bestimmte Regelung erfolgt, die die Rechte und Freiheiten der betroffenen Studierenden und auch Lehrenden ausreichend schützt, die Zwecke der Datenverarbeitung und die zu verarbeitenden Daten bestimmt werden und zum anderen der Umfang der Datenverarbeitung festgelegt wird.
Voraussetzung dafür w?re aber, dass die externen KI-Systeme rechtskonform genutzt werden k?nnten, indem die Hochschulen verpflichtet werden, einen datenschutzkonformen Zugang durch Anbindung dieser externen KI-Systemen zu erm?glichen (siehe GenKI@UB an der Universit?t Bremen). Dazu haben Hochschulen sicherzustellen, dass die KI-Anbieter datenschutzrechtliche Verpflichtungen weisungsgebunden einhalten, basierend insbesondere auf einem mit dem KI-Anbieter abzuschlie?enden Vertrag zur Auftragsverarbeitung gem?? Artikel 28 DS-GVO.
III. Informationspflichten
Im Rahmen einer Datenschutzerkl?rung sind die Betroffenen durch die Hochschule gem?? Artikel 12 ff. DS-GO insbesondere über über den Zweck, Umfang und Dauer der Datenverarbeitung zu informieren. Zudem sollten die Studierenden darauf hingewiesen werden, dass keine eigenen personenbezogenen Daten oder personenbezogene Daten Dritter in die KI-Systeme eingegeben werden sollten.