3.2 Datenschutz
Datenschutzrecht im KI-Kontext
In vier thematischen Abschnitten erhalten Sie einen Überblick über die wichtigsten Grundlagen des Datenschutzrechts – insbesondere im Kontext der Nutzung Künstlicher Intelligenz (KI) an Hochschulen. Sie erfahren, warum Datenschutz eine zentrale Rolle spielt, welche grundlegenden Prinzipien gelten, wie Systeme datenschutzkonform gestaltet werden können und in welchen Fällen ein Auftragsverarbeitungsvertrag erforderlich ist.
Datenschutz leicht erklärt: Warum Datenschutz?
Spezielle datenschutzrechtliche Herausforderungen bei KI
Künstliche Intelligenz (KI) verarbeitet häufig große Mengen an Daten – darunter auch zahlreiche personenbezogene Informationen. Sie erhalten einen kompakten Überblick über die zentralen datenschutzrechtlichen Anforderungen im Zusammenhang mit KI-Systemen und erfahren, wie diese in der Praxis umgesetzt werden können.
Herausforderungen für die Hochschulen
- Verarbeitung sensibler Daten: Hochschulen verarbeiten oft sensible Daten (z.B. Gesundheitsdaten, religiöse oder politische Überzeugungen) im Rahmen von Forschungsprojekten oder im Personalbereich.
- Learning Analytics: Die Analyse von Lerndaten zur Verbesserung des Lernerfolgs wirft datenschutzrechtliche Fragen auf, insbesondere hinsichtlich der Transparenz und Einwilligung der Studierenden.
- KI-basierte Überwachungssysteme: Der Einsatz von KI zur Überwachung von Studierenden oder Mitarbeitenden (z.B. Plagiatserkennung, Verhaltensanalyse) ist datenschutzrechtlich besonders kritisch.
- Internationale Datentransfers: Bei der Zusammenarbeit mit internationalen Partnern müssen die Regeln für die Übermittlung personenbezogener Daten in Drittländer beachtet werden.
Handlungsempfehlungen für Hochschulen
- Bestandsaufnahme: Umsetzung einer umfassenden Bestandsaufnahme aller KI-Systeme, die personenbezogene Daten verarbeiten
- Rechtliche Prüfung: Prüfung der Rechtmäßigkeit der Datenverarbeitung für jedes KI-System
- Datenschutz-Folgenabschätzung (DSFA): Durchführung einer DSFA für KI-Systeme, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen (Art. 35 DSGVO)
- Datenschutzrichtlinien: Entwicklung und Implementierung von Datenschutzrichtlinien für den Einsatz von KI
- Transparenzinformationen: Erstellung von klaren und verständlichen Transparenzinformationen für betroffene Personen
- Einwilligungen: Einholung von Einwilligungen, wenn die Datenverarbeitung auf einer Einwilligung beruht
- Verträge zur Auftragsverarbeitung: Abschluss von Verträgen zur Auftragsverarbeitung mit allen Dienstleistern, die personenbezogene Daten im Auftrag der Hochschule verarbeiten (Art. 28 DSGVO)
- Datensicherheitsmaßnahmen: Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Datensicherheit (z.B. Verschlüsselung, Zugriffskontrollen, Datensicherheitskonzept)
- Schulungen: Durchführung regelmäßiger Schulungen für Mitarbeitende zum Datenschutzrecht
- Datenschutzbeauftragte: Benennung einer/eines Datenschutzbeauftragten (Art. 37 DSGVO)
- Ergänzender Hinweis zur KI-VO im Forschungskontext: Die Forschungsausnahme (Art. 2 Nr. 6 und 8 KI-VO) entbindet nicht von der Einhaltung des Datenschutzrechts.
Fazit: Datenschutzkonformer und verantwortungsvoller Umgang mit KI obligatorisch
Der datenschutzrechtliche Rahmen ist bei der Entwicklung und dem Einsatz von KI-Systemen an Hochschulen von zentraler Bedeutung. Durch die Umsetzung der genannten Handlungsempfehlungen und die Beachtung der einschlägigen Rechtsvorschriften können Hochschulen einen datenschutzkonformen und verantwortungsvollen Umgang mit KI gewährleisten.
💡 Lernzusammenfassung: Datenschutz und KI an Hochschulen
- Datenschutz ist zentral für den KI-Einsatz: KI-Systeme verarbeiten häufig personenbezogene oder sensible Daten. Hochschulen müssen daher Datenschutzgrundsätze wie Datenminimierung, Zweckbindung, Transparenz und Sicherheit konsequent umsetzen.
- Pflichten nach DSGVO: Eine Datenschutz-Folgenabschätzung (DSFA) ist verpflichtend, wenn hohe Risiken bestehen (z.B. bei Learning Analytics oder Überwachungssystemen). Zudem sind Einwilligungen, klare Informationspflichten und Verträge zur Auftragsverarbeitung rechtlich erforderlich.
- Institutionelle Verantwortung: Hochschulen sollten Datenschutzrichtlinien für KI entwickeln, Schulungen anbieten und Datenschutzbeauftragte einbinden. Die Forschungsausnahme in der KI-VO befreit nicht von der Einhaltung der DSGVO.
- Das Video "Datenschutz – Warum?" von [BvD e.V] steht unter der Lizenz Creative Commons Namensnennung - Nicht-kommerziell - Keine Bearbeitungen 4.0 International (CC BY-NC-ND 4.0). Quelle: https://www.datenschutz-geht-zur-schule.de/videos/.
- Erstellt mit Unterstützung von Künstlicher Intelligenz (ChatGPT, OpenAI)
- KI-Verordnung – was nun? Herausforderungen des AI Acts für Hochschulen/Online-Fachveranstaltung vom 12.03.2025/veranstaltet von MMKH und elan e.V. in Kooperation mit HND-BW, VCRP, vhb und NeL; gefördert von StIL/https://www.mmkh.de/digitale-lehre/netzwerk-landesinitiativen/ki-verordnung