DSGVO-relevante Dokumente

Im Rahmen der Mitbestimmung für KI-Dienste sind insbesondere Fragen des Datenschutzes zu bewertung und zu klären. Formal notwendig sind fünf Dokumente:

  1. Datenschutzerklärung
  2. Nutzungsbedingungen
  3. Datenschutzfolgenabschätzung (DSFA)
  4. Verzeichnis von Verarbeitungstätigkeiten (VVT)
  5. Technische und Organisatorische Maßnahmen (TOMs)

Vier dieser fünf Dokumente sind nachfolgend bereitgestellt. Lediglich die TOMs sind in so hohem Maße spezifisch für die IT-Infrastruktur der jeweiligen Hochschule, dass sie sich für eine sinnvolle Vorlage nicht eignen.

Vorbemerkung: Datenschutz bei unzulässiger Nutzung

Bei der Datenschutzbewertung sind zwei Perspektiven zu unterscheiden. Entweder kann davon ausgegangen werden, dass die zugriffsberechtigten Personen die Nutzungsbedingungen für den Dienst einhalten und nicht gegen diese sowie weitere Dienstvorschriften der Hochschule verstoßen. Es kann aber auch der Fall betrachtet werden, dass die Nutzenden gegen die Nutzungsbedingungen oder andere Vorschriften der Hochschule verstoßen, z.B. indem sie personenbezogene Daten oder andere unzulässige Inhalte als Teil ihrer Nutzung verarbeiten.

Beide Perspektiven werden im Rahmen der vorliegenden Dokumente berücksichtigt. Insbesondere die Datenschutzfolgenabschätzung nimmt beide Varianten explizit in den Blick.

Datenschutzerklärung

An der Datenschutzerklärung kommen die Nutzenden nicht vorbei, da sie beiden Erklärungen bei der Anmeldung zum Dienst zustimmen müssen. Die Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung des KI-Dienstes. Dies können zum einen Daten sein, die maschinell im Rahmen der Nutzung erhoben werden und zum anderen Daten, welche die Nutzenden selbst in den Dienst einbringen.

Hinweis: Die Datenschutzerklärung geht davon aus, dass die Nutzung des KI-Dienstes zum Zwecke der Erfüllung von Dienstaufgabenutzung erfolgt und somit durch Vorgesetzte angeordnet werden kann. Überraschenderweise erleichtert diese Setzung den Mitbestimmungsprozess, da bei dienstlich notwendigen Softwarediensten für die Mitarbeitenden Gelegenheiten zur Fort- und Weiterbildung durch die Dienststelle eingeräumt werden müssen.

Download Icon Dokument als bearbeitbare Word-Datei

Download Icon Dokument als PDF-Datei

Nutzungsbedingungen

Auch die Nutzungsbedingungen sind zur Kenntnis zu nehmen und zu bestätigen, bevor der KI-Dienst genutzt werden kann. Auch wenn es oft mühsam ist, die Nutzungsbedingungen und die Datenschutzerklärung zu lesen, empfehlen wir dringend deren Studium, da hier die erlaubten Nutzungszwecke von der unzulässigen Nutzung abgegrenzt wird. Wie bereits bei der Datenschutzerklärung wurde bei der Abfassung darauf geachtet, das Dokument möglichst kurz und präzise zu halten.

Download Icon Dokument als bearbeitbare Word-Datei

Download Icon Dokument als PDF-Datei

Datenschutzfolgenabschätzung

Wenn Nutzende vertiefte Fragen zu datenschutzrechtlichen Aspekten des KI-Dienstes, finden sie in der Datenschutzfolgenabschätzung (DSFA) ausführliche Informationen. Das Dokument beschreibt die möglichen Folgen bei Schwachstellen in der Datenverarbeitung und die Vorgehensweisen zur Minimierung der Risiken.

Die DSFA setzt sich aus zwei Dokumenten zusammen:

  1. Tabellarische Darstellung der Risikoanalyse mit den identifizierten Risikoquellen, der möglichen Schäden sowie der Maßnahmen zur Minimierung der Risiken.
  2. Rahmendokument, das die Inhalte der tabellarischen Darstellung laienverständlich aufbereitet und die tabellarische Darstellung als Anhänge enthält.

Beide Dokumente sind hier verlinkt:

Download Icon Tabellarische Darstellung als Excel-Datei

Download Icon Rahmendokument als bearbeitbare Word-Datei

Download Icon Rahmendokument als PDF-Datei

Verzeichnis von Verarbeitungstätigkeiten

Das Verzeicbnis von Verarbeitungstätigkeiten (VVT) fasst die Arten der verarbeiteten Daten, deren Rechtsgrundlage, die Verantwortlichkeiten sowie die Löschfristen tabellarisch zusammen.

Hinweis: Beim vorliegenden VVT wird davon ausgegangen, dass nur anonyme Daten und keinerlei personenbezogene Daten – in pseudonymisierter oder nicht-pseudonymisierter Form – automatisch an den Anbieter des KI-Dienstes übermittelt werden.

Download Icon Dokument als bearbeitbare Word-Datei

Download Icon Dokument als PDF-Datei

Das gesamte Dokumentenpaket als ZIP-Datei

Statt individueller Downloas kann das KI:connect.nrw Dokumentenpaket auch gesammelt als ZIP-Datei herunterladen werden. Die Datei enthält alle Word- und PDF-Dateien zu Rechtsfragen, zum Datenschutz und zu weiteren Aspekten.

Download Icon Dokumentenpaket als ZIP-Datei

Archiv

Die hier verlinkten Dokumente befinden sich in einem kontinuierlichen Überarbeitungsprozess, um die aktuellen Entwicklungen rund um generative KI-Dienste zu berücksichtigen und die Rückmeldungen aus den Hochschulen des Landes aufnehmen zu können. Frühere Versionen der Dokumente sind auf einer eigenen Archivseite gesammelt, um die Änderungen zu dokumentieren. Dort findet sich ein Changelog mit Links auf die jeweils alten Dateiversionen.