Antwort (Datenschutzrechtliche Anforderungen Lehre)
Datenschutzrechtliche Anforderungen an die Nutzung von KI-Systemen in der Lehre
Inhaltsübersicht
I. Personenbezogene Daten
Wenn Lehrende anmeldepflichtige, externe KI-Systeme in ihre Lehrveranstaltungen einbinden wollen, die nicht von der Hochschule angeboten werden, werden personenbezogene Daten verarbeitet. Bei der Registrierung zur Nutzung dieser KI-Systeme, haben die Studierenden beispielsweise bei der Erstellung eines Nutzerkontos Kontodaten, wie eine E-Mail-Adresse oder auch eine Mobilfunknummer, anzugeben. Neben den Registrierungsdaten werden auch Logdaten, die bei der Nutzung des KI-Systems gespeichert werden, verarbeitet sowie gegebenenfalls auch Inhalte, die die Nutzer:innen eingeben. Es handelt sich insoweit um personenbezogene Daten gemäß Artikel 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO).
II. Rechtmäßigkeit der Datenverarbeitung
Datenschutzrechtlich verantwortlich für den Einsatz von KI-Systemen zu Lehrzwecken wäre die jeweilige Hochschule gemäß Artikel 4 Nr. 7 DS-GVO in Erfüllung ihrer Aufgaben. Soweit Studierende die KI-Generatoren ausschließlich zu eigenen persönlichen Zwecken nutzen, wären sie hingegen für die Eingabe von eigenen oder fremden Daten verantwortlich (Artikel 2 Absatz 2 lit. c) DS-GVO).
Ob Lehrende KI-Systeme in ihre Lehre einbinden, obliegt ihrem Ermessen. Grundsätzlich gilt aber, wenn ein Einsatz von KI-Systemen in der Lehre erfolgt, darf dies nur unter Einhaltung der geltenden datenschutzrechtlichen Regelungen erfolgen, insbesondere unter Berücksichtigung der in Artikel 5 DS-GVO festgelegten Grundsätze für die Verarbeitung von personenbezogenen Daten. Gemäß Artikel 5 Absatz 1 lit. a) DS-GVO müssen personenbezogene Daten „auf rechtmäßige Weise“ verarbeitet werden, d.h., dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage nach Artikel 6 Absatz 1 DS- GVO beruhen müsste.
Als Rechtsgrundlage käme eine Einwilligung der betroffenen Studierenden gemäß Artikel 6 Absatz 1 lit. a) DS-GVO in Betracht. Eine Einwilligung in die Nutzung von KI-Systemen wäre aber nur dann zulässig, wenn die Einwilligung freiwillig erfolgt (Artikel 4 Nr. 11 DS- GVO), d.h. Studierende dürften im Rahmen von Lehrveranstaltungen von Lehrenden nicht zur Nutzung eines anmeldepflichtigen KI-Systems verpflichtet werden. Eine Einwilligung wäre nur dann für die Betroffenen freiwillig, wenn diese eine echte oder freie Wahl hätten, die Einwilligung zu verweigern ohne Nachteile befürchten zu müssen (Erwägungsgrund 42 DS-GVO). Studierende müssten damit die Möglichkeit haben, ohne Nutzung eines externen KI-Systems Studienleistungen zu erfüllen. Zudem können die erteilten Einwilligungen jederzeit ohne Grund mit Wirkung für zukünftige Datenverarbeitungen widerrufen werden (Artikel 7 Absatz 3 DS-GVO), worüber die betroffenen Studierenden vor Abgabe der Einwilligung auch in Kenntnis zu setzen sind.
Der für Studierende verpflichtende Einsatz von KI-Systemen in einer Lehrveranstaltung wäre nur dann ohne Einwilligung der jeweils betroffenen Studierenden zulässig, wenn eine einschlägige Rechtsgrundlage, wie beispielsweise eine satzungsmäßige Regelung vorliegen würde (Artikel 6 Absatz 1 lit. e DS-GVO i.V.m. Bremischen Hochschulgesetz i.V.m. Satzung / Hochschulordnung). Eine solche Satzungsregelung durch eine Hochschule kann die notwendigen Datenverarbeitungsvorgänge zu Lehrzwecken legitimieren, indem eine klare und bestimmte Regelung erfolgt, die die Rechte und Freiheiten der betroffenen Studierenden und auch Lehrenden ausreichend schützt, die Zwecke der Datenverarbeitung und die zu verarbeitenden Daten bestimmt werden und zum anderen der Umfang der Datenverarbeitung festgelegt wird.
Voraussetzung dafür wäre aber, dass die externen KI-Systeme rechtskonform genutzt werden könnten, indem die Hochschulen verpflichtet werden, einen datenschutzkonformen Zugang durch Anbindung dieser externen KI-Systemen zu ermöglichen (siehe GenKI@UB an der Universität Bremen). Dazu haben Hochschulen sicherzustellen, dass die KI-Anbieter datenschutzrechtliche Verpflichtungen weisungsgebunden einhalten, basierend insbesondere auf einem mit dem KI-Anbieter abzuschließenden Vertrag zur Auftragsverarbeitung gemäß Artikel 28 DS-GVO.
III. Informationspflichten
Im Rahmen einer Datenschutzerklärung sind die Betroffenen durch die Hochschule gemäß Artikel 12 ff. DS-GO insbesondere über über den Zweck, Umfang und Dauer der Datenverarbeitung zu informieren. Zudem sollten die Studierenden darauf hingewiesen werden, dass keine eigenen personenbezogenen Daten oder personenbezogene Daten Dritter in die KI-Systeme eingegeben werden sollten.