Rechtliche und ethische Aspekte
Vorläufige datenschutzrechtliche Beurteilung
Für KI gelten die allgemeinen Datenschutz-Regeln: zur Informationspflicht gegenüber Betroffenen, zur Verantwortlichkeit derjenigen Stellen, die KI einsetzen (nicht der KI-Anbieter), zur Dokumentationspflicht (nach Art. 30 DSGVO und ggf. Vereinbarungen nach Art. 26 oder 28 DSGVO), zur Gewährleistung eines der DSGVO vergleichbaren Datenschutzniveaus bei Verarbeitung außerhalb des EWR (in „Drittstaaten“), ggf. die Pflicht zur Datenschutz-Folgenabschätzung aus Art. 35 DSGVO und für sächsische Hochschulen außerdem die Vorgaben aus § 15 SächsHSG.
Wegen der Komplexität der Software und der Datenverarbeitung bei KI bereiten diese Regeln durchweg besondere Schwierigkeiten. Datenschutzrechtliche Transparenz bietet derzeit keines der bekannten KI-Tools. Damit sind die Erfüllung von Dokumentations- und Informationspflichten sowie die Risikoabschätzung erheblich erschwert. Zudem behalten sich die meisten Anbieter die Nutzung aller verarbeiteten Daten zur Produktentwicklung vor. Das führt nach der Rechtsprechung des EuGH zur „gemeinsamen Verantwortung“ (Art. 26 DSGVO) von Hochschule und KI-Anbieter. Von den KI-Anbietern werden aber entsprechende Verträge nicht angeboten / abgeschlossen. Auch Verträge zur Auftragsverarbeitung (Art. 28 DSGVO) sind oft nur in den kostenpflichtigen Versionen verfügbar (nicht also bei kostenlosem Einsatz per Website-Zugriff). Daher kommt ein verpflichtender KI-Einsatz (z.B. vorgeschriebene Nutzung in Studienleistungen oder für Prüfungen / für Prüfungsleistungen) nicht in Frage.
Bei entsprechender Information und Einwilligung ist der freiwillige Einsatz möglich. Dabei ist sicherzustellen, dass die keine personenbezogenen Daten anderer Menschen verwendet werden. Ferner sollte jede Nutzung in dem klaren Bewusstsein erfolgen, dass bei Eingabe oder Nutzung eigener Daten die Verwendung durch den Anbieter nicht kontrolliert werden kann.
(Stand Oktober 2023)