Hinweise zur dienstlichen Nutzung von KI-Diensten (Fokus generative KI)
Information zur Nutzung von externen KI-Diensten wie z.B. Microsoft Copilot
Übersicht KI-Dienste
Ein stetig wachsendes Angebot von KI-Diensten kann Ihre Arbeit in Forschung, Studium und Lehre und in technisch-administrativen Bereichen unterstützen. Wir geben Ihnen hier weitere Informationen zu generativen KI-Diensten, die im Hochschulkontext häufig nachgefragt werden. Die Übersicht ist nicht abschließend, sondern eher informativ und bietet keine Rechtsberatung oder rechtliche Freigabe.
Wenn Sie selbst JLU-externe KI-Dienste beschaffen möchten, beachten Sie bitte die Checkliste zur Einführung einer Software.
An der JLU zentral angebotene KI-Dienste
| Plattformen | Verarbeitung personenbezogener Daten (Art. 4 Abs. 1 DS-GVO) | Verarbeitung nicht-öffentlicher / vertraulicher Daten | Registrierung erforderlich? | Anmerkung |
|---|---|---|---|---|
| JLU kiChat „ki@JLU“ | unbedenklich | unbedenklich | Anmeldung mit JLU-Kennung |
DSGVO-konform, auf JLU-Servern
|
| JLU kiChat „EU“ | i.d.R. ausgeschlossen (siehe Nutzungsbedingungen) | unbedenklich | Anmeldung mit JLU-Kennung |
DSGVO-konform, Verarbeitung auf Servern innerhalb der EU
|
| JLU kiChat OpenAI und weitere | i.d.R. ausgeschlossen (siehe Nutzungsbedingungen) | Prüfung und ggf. Freigabe erforderlich | Anmeldung mit JLU-Kennung |
DSGVO-konform, Verarbeitung auf Servern außerhalb der EU
|
| JLU HRZ-API-Service | i.d.R. ausgeschlossen (siehe Nutzungsbedingungen) | Bei EU-Hosting
unbedenklich für nicht-öffentliche Daten (z.B. GWDG-Modelle), außerhalb der EU Prüfung und ggf. Freigabe erforderlich (z.B. Anthropic-, Google- und OpenAI-Modelle)
|
Anmeldung mit JLU-Kennung |
DSGVO-konform, Verarbeitung abhängig vom gewählten Modell
|
Informationen über häufig nachgefragte externe KI-Dienste
| Plattformen | Verarbeitung personenbezogener Daten (Art. 4 Abs. 1 DS-GVO) | Verarbeitung nicht-öffentlicher / vertraulicher Daten | Registrierung erforderlich? | Anmerkung |
|---|---|---|---|---|
| OpenAI chatgpt.com (außerhalb JLU kiChat) | Prüfung und ggf. Freigabe erforderlich | Prüfung und ggf. Freigabe erforderlich | eingeschränkte Nutzung ohne Registrierung möglich, Abo-Modell für Pro-Version | Empfohlenes Opt-Out für Modelltraining nur in der Pro-Version möglich |
| DeepL Translator / Write / Voice | Prüfung und ggf. Freigabe erforderlich | Prüfung und ggf. Freigabe erforderlich | eingeschränkte Nutzung ohne Registrierung möglich, Abo-Modell für Pro-Version | Deutscher Anbieter (DSGVO-konform), Opt-Out für Modelltraining nur in der Pro-Version möglich |
| Google Gemini | Prüfung und ggf. Freigabe erforderlich | Prüfung und ggf. Freigabe erforderlich | eingeschränkte Nutzung ohne Registrierung möglich, Abo-Modell für Pro-Version | |
| Google NotebookLM | Prüfung und ggf. Freigabe erforderlich | Prüfung und ggf. Freigabe erforderlich | eingeschränkte Nutzung ohne Registrierung möglich, Abo-Modell für Pro-Version | |
| Google Vertex AI | Prüfung und ggf. Freigabe erforderlich | Prüfung und ggf. Freigabe erforderlich | eingeschränkte Nutzung ohne Registrierung möglich, Abo-Modell für Pro-Version | |
| Science OS | Prüfung und ggf. Freigabe erforderlich | Prüfung und ggf. Freigabe erforderlich | erfordert Registrierung bei Science OS, kostenfreie Lizenz verfügbar | Deutscher Anbieter (DSGVO-konform), kein Modelltraining mit User Input oder Output |
| GitHub Copilot | Prüfung und ggf. Freigabe erforderlich | Prüfung und ggf. Freigabe erforderlich | erfordert Registrierung bei Github, kostenlose Education-Lizenz verfügbar | Dienst kann Code der Entwicklungsumgebung eigenständig verarbeiten (KI-Agent). Achtung bei Prompt Injections. Weitere Infos |
| Microsoft Copilot Chat | Prüfung und ggf. Freigabe erforderlich | Prüfung und ggf. Freigabe erforderlich | in manchen Produkten Nutzung ohne Registrierung möglich |
In Microsoft Produkten ist der KI-Dienst Copilot für MS365-Nutzerinnen und -Nutzer integriert und aktiviert und das Hochschulrechenzentrum (HRZ) kann bedingt durch den Anbieter nicht alle Funktionalitäten deaktivieren. Der Copilot kann Ihnen z.B. im Edge-Browser oder in Office-Programmen begegnen. Wir sind daher auf Ihren sorgsamen Umgang damit angewiesen.
|
Die Plattform chat.openai.com ermöglicht den direkten Zugriff auf Sprachmodelle wie GPT-5. Inhalte, die dort eingegeben werden, werden vom Anbieter außerhalb der EU verarbeitet und können für die Weiterentwicklung der Systeme genutzt werden. Aus diesem Grund darf die Plattform nicht für personenbezogene oder nicht-öffentliche Informationen verwendet werden. Die Inhalte unterliegen außerdem nicht dem Auftragsverarbeitungsvertrag der OpenAI-Einbindung im JLU kiChat, die Dauer und Ausmaß der Datenverarbeitung einschränkt.
Für zusätzliche Sicherheit kann in den Einstellungen unter „Data Controls“ die Option „Chat History & Training“ deaktiviert werden. Dadurch werden Eingaben nicht zur Weiterentwicklung der Systeme genutzt (durch das Verwenden der Eingaben als Trainingsdaten der nächsten Modell-Generation, wodurch diese grundsätzlich öffentlich verfügbar werden). Diese Einstellung erhöht die Datensouveränität, ersetzt aber nicht die grundsätzliche Vorsicht im Umgang mit sensiblen Informationen.
Eine datenschutzkonforme Nutzung von OpenAI-Sprachmodellen für nicht-personenbezogene und öffentliche Daten ist über den zentralen Dienst JLU kiChat möglich, da dort spezielle Schutzmechanismen und vertragliche Regelungen greifen.
DeepL ist in Deutschland ansässig und bietet mit seinen Diensten DeepL Translate und DeepL Write hochwertige KI-gestützte Übersetzungs- und Textoptimierungsfunktionen. Die Plattform ist frei zugänglich und kann grundsätzlich ohne Account verwendet werden. Für erweiterte Funktionen (z. B. längere Texte, Teamfunktionen, API-Zugriff) ist jedoch ein Nutzerkonto erforderlich. DeepL Voice, ein Transkriptions- und Audio-Übersetzungsservice, ist kostenpflichtig. DeepL selbst verbietet die Eingabe personenbezogener Daten bei der Nutzung seiner kostenlosen Dienste (siehe https://www.deepl.com/de/privacy).
Da die Verarbeitung serverseitig (durch den Anbieter) erfolgt und Inhalte zur Optimierung der Ergebnisse analysiert werden können, ist die Nutzung nicht für nicht-öffentliche oder personenbezogene Daten geeignet. Für allgemeine oder öffentliche Inhalte stellt DeepL jedoch eine leistungsfähige Unterstützung dar.
NoScribe ist eine lokale (auf einem eigenen ausreichend leistungsstarken Rechner installierte) Open-Source-Alternative zu externen KI-gestützten Transkriptions-Tools, mit der z.B. Interviews für qualitative Sozialforschung transkribiert werden können.
Eine Nutzung für personenbezogene oder nicht-öffentliche bzw. vertrauliche Daten ist daher nicht erlaubt. Bei dem Einsatz im universitären Kontext ist Vorsicht geboten, da aktuell keine eindeutige datenschutzrechtliche Einschätzung oder Integration in die Infrastruktur der JLU vorliegt.
Science OS ist ein Anbieter von KI-Tools für Forschung und Lehre. Die Plattform legt besonderen Wert auf Datenschutz, Transparenz und wissenschaftliche Nachvollziehbarkeit.
Science OS gilt als vertrauenswürdiger Anbieter und ist in Deutschland ansässig. Allerdings sind, wie auch sonst üblich, nur für Team- oder Institution-Lizenzen Auftragsverarbeitungsverträge abschließbar und es besteht aktuell kein zentral durch das HRZ verwalteter Vertrag mit dem Anbieter. Vor einer dienstlichen Nutzung sollte geprüft werden, ob die jeweilige Anwendung den universitären Datenschutzanforderungen entspricht.
GitHub Copilot unterstützt beim Programmieren, indem automatisch Codevorschläge auf Basis des aktuellen Kontexts gemacht werden. Der Dienst ist direkt in Entwicklungsumgebungen wie Visual Studio Code integrierbar. Mitglieder der JLU können Github Copilot im Rahmen von GitHub Education kostenfrei aktivieren. Es ist jedoch zu beachten, dass Copilot zur Generierung von Vorschlägen Eingaben analysiert, was eine vorsichtige Nutzung bei nicht-öffentlichen Projekten erforderlich macht.
Eine offizielle datenschutzrechtliche Prüfung für den universitären Einsatz liegt aktuell nicht vor.
Lokale LLM als Alternative zu GitHub Copilot
Als alternative Möglichkeit zur KI-gestützten Programmierunterstützung kann in verschiedenen IDEs das Open-Source-Plugin Continue genutzt werden. Im Gegensatz zu GitHub Copilot erlaubt Continue die Anbindung an verschiedene Sprachmodelle – darunter auch lokal betriebene (über ollama) oder durch die Universität bereitgestellte Modelle (HRZ API).
Dies ermöglicht eine datenschutzkonforme Nutzung, da Eingaben nicht zwingend an externe Anbieter übermittelt werden müssen. Die Einrichtung erfordert etwas technisches Verständnis, bietet dafür aber deutlich mehr Kontrolle über Datenflüsse und Modellwahl. Bei Fragen wenden Sie sich bitte an ki@uni-giessen.de.
Allgemeine Informationen zum Einsatz dieser und weiterer KI-Dienste
Um die Auswahl geeigneter Dienste zu erleichtern, können die folgenden Leitfragen und Einschätzungen (keine Rechtsberatung) helfen:
- Welche Art von Daten möchte ich mit dem KI-Dienst verarbeiten?
- Muss ich mir einen Nutzeraccount erstellen oder ist der Dienst über meinen JLU-Account oder ohne Registrierung zugänglich?
- Ist der Dienst kostenpflichtig oder gratis?
- Passen die Regularien des KI-Diensts zu meinem Nutzungszweck und Rechtsrahmen?
Wenn Sie personenbezogene Daten (z.B. Lebensläufe, Gesprächsnotizen mit Verweis auf Personen, E-Mail-Kommunikation über Personalthemen) verarbeiten, ist besondere Vorsicht geboten. Insbesondere bei der Verarbeitung personenbezogener Daten Dritter sind i.d.R. Prüfungen und Freigaben durch den Datenschutzbeauftragten und (bei Mitarbeitenden) den Personalrat nötig (siehe Checkliste zur Einführung von Software). Sie können aber mit anonymisierten Daten arbeiten, sofern diese nicht zusätzlich nicht-öffentliche bzw. vertrauliche Informationen enthalten. Alternativ könnten Sie sich z.B. durch KI ein Skript schreiben lassen, mit denen Sie sensiblere Daten in lokalen Programmen verarbeiten können, z.B. für Datenanalysen.
Nicht-öffentliche bzw. vertrauliche Daten (z.B. Verträge, Sitzungsprotokolle, Forschungsdaten vor Veröffentlichung, Informationen aus dem internen Bereich der JLU-Website) müssen ebenfalls besonders geschützt werden. Die lokalen Sprachmodelle im JLU kiChat oder über den API-Service erlauben Ihnen auch die Verarbeitung dieser Daten.
Urheberrechtlich geschützte Materialien dürfen Sie nur mit Zustimmung der Person oder Institution, die die Rechte innehat, in KI-Diensten verarbeiten (z.B. durch Dokumentenupload für einen KI-Chatbot). Dazu zählen i.d.R. auch die Lernmaterialien, die durch Dozierende erstellt wurden (ggf. Creative Commons-Lizenz prüfen), und Prüfungsleistungen von Studierenden, wenn sie die Schöpfungshöhe eines „Werks“ i.S. des UrhG erreichen (z.B. Abschlussarbeiten).
Was wir empfehlen:
Mit Blick auf die Informationssicherheit und den Datenschutz empfehlen wir derzeit im dienstlichen Kontext die Nutzung von KI-Diensten, die durch die JLU bereitgestellt oder durch die JLU datenschutzkonform beschafft werden.
Wir empfehlen die Nutzung des JLU kiChat, der DS-GVO-konform ist und bei Nutzung der lokalen Sprachmodelle auch Eingaben personenbezogener oder nicht-öffentlicher Daten erlaubt (Ausnahme: besondere Kategorien personenbezogener Daten Dritter gemäß Art. 9 Abs. 1 DS-GVO, z.B. Gesundheits- oder Weltanschauungsdaten). So können Sie sicher und datenschutzkonform kommunizieren und arbeiten. Auch extern betriebene Sprachmodelle wie das in ChatGPT verwendete GPT-4o oder DeepSeek R1 können wegen spezieller vertraglicher Regelungen über JLU kiChat für vielfältige Anwendungsfälle sicher und DS-GVO-konform genutzt werden – nur nicht für die Eingabe personenbezogener oder nicht-öffentlicher Daten. Für die Verarbeitung sensibler Daten bietet das HRZ Ihnen dafür vergleichbar leistungsfähige und auf JLU-Servern betriebene sichere Open-Source Modelle. Weitere Informationen finden Sie in unseren FAQ.
Was im Einzelfall zu prüfen ist:
Bei externen Angeboten dürfen ohne vertraglichen Rahmen, rechtliche Prüfung und Freigabe keine personenbezogene Daten Dritter oder sensible (nicht-öffentliche oder vertrauliche) Daten verarbeitet werden (siehe oben). Zu diesen externen Angeboten zählen z. B. Microsoft Copilot sowie Apps oder Websites von Anbietern wie bspw. OpenAI (Chatgpt), DeepL (DeepL Translate / Write), DeepSeek (R1), Perplexity Ai und andere. In Microsoft Produkten ist der KI-Dienst Copilot für MS365-Nutzerinnen und -Nutzer integriert und aktiviert und das Hochschulrechenzentrum (HRZ) kann bedingt durch den Anbieter nicht alle Funktionalitäten deaktivieren. Der Copilot kann Ihnen z.B. im Edge-Browser oder in Office-Programmen begegnen. Wir sind daher auf Ihren sorgsamen Umgang damit angewiesen.
Aktuell ist ungeklärt, ob und wie solche KI-Dienste konform mit der EU-Datenschutzgrundverordnung (DS-GVO) und mit universitären Vertraulichkeitspflichten genutzt werden können. Sollte sich diese Einschätzung ändern, werden wir Sie darüber informieren.
Das externe Angebot der GWDG (Academic Cloud) ist vertraglich geregelt, aber erlaubt derzeit auch keine personenbezogenen oder nicht-öffentlichen Daten.
Dienst über JLU-Account und Passwort zugänglich:
Die Einbindung externer Dienste ist hierbei möglichst datensparsam, z.B. indem das Training der KI-Modelle durch die Nutzereingaben vertraglich ausgeschlossen wird. Achten Sie trotzdem innerhalb des Diensts, z.B. JLU kiChat, auf weitere Informationen, welche Daten wo eingegeben werden dürfen.
Ohne Registrierung zugänglich:
Prüfen Sie die Informationen des Anbieters. Hier wird evtl. kein Nutzerprofil erstellt, aber es mag ungünstige Nutzungsbedingungen (z.B. zum geistigen Eigentum/Urheberrecht) geben. User „bezahlen“ oft mit ihren Daten.
Ein Nutzeraccount muss erstellt werden:
Prüfen Sie die Informationen des Anbieters und wägen Sie ab. Ihre Eingaben bleiben mit einem persönlichen Nutzerprofil verknüpft. Gleichzeitig haben Sie ggf. mehr Möglichkeiten, Sicherheits- und Datenschutzeinstellungen vorzunehmen und die Löschung Ihrer Daten zu verlangen.
Falls Sie einen KI-Dienst gratis verwenden können, raten wir dazu, das Geschäftsmodell des Anbieters zu prüfen und abzuwägen. Eine kostenlose Lizenz als Einstiegsmodell für kostenpflichtige Lizenzen mit mehr Funktionen kann empfehlenswert sein; eine Weitergabe Ihrer persönlicher Nutzerdaten, Analyse der Eingaben zu Werbezwecken oder Weiterverarbeitung der Eingaben zu Trainingszwecken sollte kritischer bewertet werden (auch wenn es sich nicht um personenbezogene oder nicht-öffentliche Daten handelt).
Falls ein Dienst kostenpflichtig ist, prüfen Sie bitte die Checkliste zur Einführung einer Software zu Beschaffungsfragen.
Prüfen Sie für jeden Dienst, dass Ihr Nutzungszweck in den Nutzungsbedingungen und sonstigen Regularien des Anbieters sowie dem allgemeinen Rechtsrahmen abgedeckt ist. Hier einige Leitfragen (keine abschließende Auflistung):
- Urheberrecht / Copyright: Dürfen Sie die Daten eingeben, mit denen Sie arbeiten möchten, oder müssen Sie dafür zuerst die Einwilligung des Urhebers / der Urheberin einholen?
- Vertraulichkeit / Geheimnisschutz: Dürfen Sie die Daten eingeben, mit denen Sie arbeiten möchten, oder widerspricht das der Informationssicherheit (z.B. Forschungsdaten, interne Verwaltungsdaten)?
- Nutzungsrechte / Lizenzfragen: Wird Ihnen zugesichert, dass der Output Ihr geistiges Eigentum ist und von Ihnen unbeschränkt weiterverarbeitet werden darf, oder findet eine Rechteübertragung an den Anbieter statt?
- Exportkontrolle: Dürfen Sie einem ausländischen Anbieter potenziell sensible Daten anvertrauen?
- (Länderspezifische) Nutzungsbedingungen und Voreinstellungen: Ist die Eingabe Ihrer Daten nach den Nutzungsbedingungen des (ggf. außereuropäischen) Diensts erlaubt? Gelten gewisse Inhalte evtl. als potenziell gefährdend und könnten Forschungsarbeiten darüber von dem KI-Dienst evtl. fehlklassifiziert und gefiltert, kontrolliert oder verzerrt werden?
- Datenschutz: Prüfen Sie die Datenschutzerklärung des Anbieters. In der EU ansässige Anbieter mit DSGVO-Konformität sind i.d.R. vorzuziehen. Prüfen Sie auch die Datenschutzeinstellungen Ihres gewählten KI-Diensts und widersprechen Sie nach Möglichkeit dem Modelltraining (Opt-Out). Gibt es kein Opt-Out, raten wir von einer Nutzung des Diensts ab. Deaktivieren Sie möglichst auch Eingabehistorien bzw. Memory-Funktionen.
Ihr Nutzungszweck muss sich in jedem Fall im Rahmen der EU-KI-Verordnung, der EU-Datenschutzgrundverordnung (DSGVO) und der weiteren geltenden Gesetze und Verordnungen bewegen.