Skip to main content

Hinweise zum Einsatz von KI-Systemen

Datenschutz, Informationssicherheit und Nutzungsregeln

Diese Webseite betrachtet die an der HoMe nutzbaren KI-Dienste im Kontext von Datenschutz und Informationssicherheit. 

Zur Einstufung des Schutzbedarfs werden Informationen in fünf Stufen klassifiziert, angelehnt an das Traffic Light Protocol. Die Klassifizierung bestimmt, welche Daten in welchem der freigegebenen KI-Dienste verarbeitet werden dürfen – je nach Dienst gelten unterschiedliche Obergrenzen, die den jeweiligen Nutzungsmatrizen zu entnehmen sind.

Freigegebene Dienste:

Weitere Informationen

Rechtlich wird der Einsatz von KI-Systemen insbesondere durch die KI-Verordnung und die DSGVO geregelt. Darüber hinaus sind die Benutzerordnung der IT-Dienste und die Ordnung zum Datenschutz der HoMe einzuhalten.

Für einen verantwortungsvollen Einsatz müssen Nutzungsregeln sowie Vorgaben der Anbieter beachtet werden. Eine Missachtung satzungsrechtlicher und gesetzlicher Vorgaben bei der Nutzung von KI-Systemen kann neben der zivilrechtlichen und strafrechtlichen Verantwortung zu zu prüfungs-, dienst- oder arbeitsrechtlichen Konsequenzen führen.

  • Aktuell gibt es drei freigegebene Dienste (siehe unten).
  • Die Nutzung ist ausschließlich für dienstliche Zwecke bzw. für Zwecke des Studiums gestattet.
  • Sämtliche durch KI-Systeme erzeugte Ergebnisse sind vor ihrer Weiterverwendung durch die nutzende Person auf Richtigkeit, Vollständigkeit und Angemessenheit zu überprüfen.
  • Die inhaltliche Verantwortung bleibt bei den Nutzer:innen.
  • Vor der KI-Nutzung sind stets die Datenklassifizierung (siehe unten) sowie die Datenschutzkonformität zu prüfen; die entsprechenden Spezifikationen sind den unten aufgeführten Diensten zu entnehmen.
  • Je nach Datenklassifizierung ist die Verarbeitung der Daten nur mit Zustimmung der Fachbereichs-, Dezernats-, Projekt- oder Einrichtungsleitung möglich.

Die Übermittlung insbesondere von Forschungsdaten, internen Dokumenten und personenbezogenen Daten an KI-Dienste, für die weder ein Auftragsverarbeitungsvertrag mit der Hochschule besteht noch eine Datenverarbeitung auf europäischen Servern gewährleistet ist, ist nicht zulässig (z. B. ChatGPT, Google Gemini, Claude).

  • Bei intensiver Verwendung von KI-Systemen zur Texterstellung ist ein entsprechender Vermerk im Dokument anzubringen (beispielsweise: ‚Erstellt unter Verwendung von GPT-4 am 27.04.2026‘).
  • Wird die KI lediglich punktuell eingesetzt – etwa zur Inspiration oder für einzelne Formulierungen –, ist kein Hinweis erforderlich.
  • Die direkte Übernahme von KI-Inhalten für Webseiten, offizielle Korrespondenz oder Publikationen erfordert eine Kennzeichnung.
  • Erfolgt die Kommunikation mit Studierenden oder externen Dritten unter Zuhilfenahme von KI, ist dies eindeutig kenntlich zu machen.

Klassifizierungsstufen Traffic Light Protocol (TLP 2.0)

  

HoMe-Web-App: Audiotranskription

Beschreibung:
Die Hochschule bietet eine eigene Web-App zur Umwandlung von gesprochener Sprache in schriftlichen Text. Die gesamte Datenverarbeitung findet auf den Servern der HoMe statt.

Zugang und Nutzung:
Anmeldung mit dem Loginportal der HoMe
Link zur Web-App: speech2text.hs-merseburg.de
Dokumentation: hs-merseburg.de/sl2/speech2text/

Klassifikation:

Die App ist für die Verarbeitung von Daten bis einschließlich der Klassifizierungsstufe TLP:RED zugelassen.
Verschlusssachen. Nur für direkte Empfänger
Dies schließt die niedrigeren Stufen TLP:CLEAR, TLP:GREEN und TLP:AMBER mit ein.

Hinweis: Die Verarbeitung von Daten dieser Kategorie ist zulässig, da der Dienst vollständig auf den Servern der HoMe betrieben wird. Bitte beachten Sie, dass die Verwendung in manchen Fällen durch vertragliche Vereinbarungen (NDA) eingeschränkt wird.
(Link: Hinweise zur Klassifikation)

Nutzungsmatrix | HoMe-Web-App: Audiotranskription mit Beispielen

Daten-KategorieTLP-KlassifikationErlaubt?VoraussetzungenBeispiele
Öffentliche Infos (Skripte, PR)CLEARJAKeine Einschränkungen.

Veröffentlichte Prüfungs- und Studienordnungen 

Modulhandbücher und Vorlesungsverzeichnisse 

Pressemitteilungen und Öffentlichkeitsarbeit

Interne Infos (Protokolle ohne Namen)GREENJADienstliches Interesse.

Entwürfe für Gremienpapiere und Strategiepapiere 

Allgemeine Konzeptpapiere und Arbeitshilfen 

Lehrveranstaltungsunterlagen, die nicht öffentlich zugänglich sind

Personenbezogen (Interviews Art. 6)AMBERJARechtsgrundlage (z. B. Einwilligung) vorhanden.

E-Mail-Korrespondenz mit Personenbezug 

Bewerbungsunterlagen (Beschäftigte und Studierende) 

Evaluationsergebnisse mit Dozentennamen

Sensible Daten (Gesundheit Art. 9)AMBER+STRICTBEDINGTNur mit spezifischer DSFA und Freigabe durch Forschungs-/Projektleitung.

Gesundheitsdaten aus Forschungsprojekten (z. B. Patienteninterviews) 

Forschungsdaten mit Angaben zu religiöser oder politischer Überzeugung

Forschungsdaten mit biometrischen Daten

Hochvertraulich (Patente, Personalakten)REDBEDINGTFreigabe durch zuständige Leitung

Patentanmeldungen vor Veröffentlichung 

Personalakten und Disziplinarverfahren 

Forschungsdaten unter NDA

 

Hinweise zur Anwendung

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist zulässig, sofern eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegt – im Forschungskontext insbesondere Art. 9 Abs. 2 lit. j i.V.m. § 27 BDSG (Verarbeitung zu wissenschaftlichen Forschungszwecken), bei Einwilligung der Betroffenen Art. 9 Abs. 2 lit. a DSGVO.

Darüber hinaus ist die Verarbeitung von Daten der Kategorien TLP:RED sowie besonderer Kategorien personenbezogener Daten nur nach vorheriger Freigabe durch die zuständige Forschungs- bzw. Projektleitung und unter Einhaltung spezifischer Schutzmaßnahmen (z. B. Datenschutz-Folgenabschätzung) gestattet.

  • Interviews & Umfragen: Die Transkription von Gesprächen für Studienzwecke ist gestattet.
  • Personenbezogene Daten: Zulässig, sofern die Gesprächspartner vorab eingewilligt haben, dass das Gespräch aufgezeichnet und durch dieses KI-System verarbeitet wird. Der Teilnehmer ist vollständig über die Verarbeitung, die KI-Technologie, die Datenverwendung, die Speicherung, die Weitergabe an Dritte (z.B. Anbieter) und mögliche Risiken zu informieren. Die Einwilligung muss freiwillig, informiert und eindeutig  sein (Art. 7 DSGVO). Auch ist dem Teilnehmer eine einfache Möglichkeit zur Widerrufbarkeit der Einwilligung zu geben.
  • Daten sind sparsam und zweckorientiert zu erheben.
  • Nach der Transkription ist die Löschung der Daten vorzusehen.
  • Sensible Themen (Art. 9 DSGVO): Falls Ihre Forschung Themen wie Gesundheit, Religion oder politische Meinungen berührt, ist die Nutzung unter den oben genannten Voraussetzungen erlaubt. Die Einwilligungserklärung muss in diesem Fall explizit auf die besonderen Datenkategorien sowie die KI-gestützte Verarbeitung hinweisen.
  • Die Nutzung des Systems zur Transkription von Audioaufnahmen für Zwecke der Forschung sowie im Rahmen der dienstlichen Tätigkeit an der Hochschule Merseburg ist zulässig, sofern Betroffene vor der Aufzeichnung darüber aufgeklärt werden, welche Daten erhoben und wie und wo die Daten verarbeitet werden. Zusätzlich sind die Daten sparsam und zweckgebunden zu erheben. Die Betroffenen sind vor der Aufzeichnung ausführlich über ihre Rechte (Auskunft, Berichtigung, Löschung, Übertragung, Widerspruch, Beschwerde) aufzuklären.
  • Personenbezogene Daten (Art. 6 DSGVO): Die Verarbeitung ist zulässig, sofern sie zur Erfüllung Ihrer dienstlichen Aufgaben oder Forschungszwecke erforderlich ist.
  • Besondere Kategorien (Art. 9 DSGVO): Die Transkription besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten in der Forschung) ist unter den oben genannten Voraussetzungen (Hinweise zur Anwendung für Studierende) zulässig.
    • Voraussetzung: Für jedes Forschungsprojekt muss eine entsprechende Datenschutz-Folgenabschätzung (DSFA) vorliegen, dass die KI-gestützte Verarbeitung einschließt.

GWDG Chat AI

Beschreibung:
Chat AI ist ein Chatbot-Dienst der Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG). Dieser Dienst ermöglicht es Nutzer:innen, mit einer generativen KI zu interagieren und stellt verschiedene KI-Modelle bereit.

Zugang und Nutzung:
Anmeldung mit SSO (Zugangsdaten Loginportal der HoMe)
Link zur App: academiccloud.de/de/services/chatai (Föderierte Anmeldung)
Dokumentation HoMe: hs-merseburg.de/sl2/chat-ai/
Dokumentation GWDG: uni-goettingen.de/de/686446.html

Klassifikation:

Die Verarbeitung von Daten bis einschließlich der Klassifizierung TLP:GREEN ist zulässig.
Intern. Organisationsübergreifende Weitergabe.
Dies schließt die niedrigere Stufe TLP:CLEAR mit ein.

Die Verarbeitung von Daten bis einschließlich der Klassifizierung TLP:AMBER ist zulässig.
Vertraulich. Eingeschränkte organisationsinterne Verteilung.

Voraussetzung
Folgende technische Schutzmaßnahmen aktiv sind:

  1. Deaktivierung der Webrecherche-Funktion.
  2. Ausschließliche Nutzung lokal gehosteter Open-Source-Modelle.
  3. Garantierter Ausschluss von Speicherung oder Modelltraining durch Dritte.

Die Verarbeitung der Klassifizierung TLP:RED ist in dem Tool strikt untersagt.
Verschlusssachen. Nur für direkte Empfänger.
(Link: Hinweise zur Klassifikation unten)

Nutzungsmatrix | GWDG Chat AI mit Beispielen

Daten-KategorieTLP-KlassifikationErlaubt?VoraussetzungenBeispiele
Öffentliche Infos (Skripte, PR)CLEARJAKeine Einschränkungen.

Veröffentlichte Prüfungs- und Studienordnungen 

Modulhandbücher und Vorlesungsverzeichnisse 

Pressemitteilungen und Öffentlichkeitsarbeit

Interne Infos (Protokolle ohne Namen)GREENJADienstliches Interesse.

Entwürfe für Gremienpapiere und Strategiepapiere 

Allgemeine Konzeptpapiere und Arbeitshilfen 

Lehrveranstaltungsunterlagen, die nicht öffentlich zugänglich sind

Personenbezogen (Interviews Art. 6)AMBERJARechtsgrundlage (z. B. Einwilligung) vorhanden.

E-Mail-Korrespondenz mit Personenbezug 

Bewerbungsunterlagen (Beschäftigte und Studierende) 

Evaluationsergebnisse mit Dozentennamen

Sensible Daten (Gesundheit Art. 9)AMBER+STRICTBEDINGTNur mit spezifischer DSFA und Freigabe durch Forschungs-/Projektleitung.

Gesundheitsdaten aus Forschungsprojekten (z. B. Patienteninterviews) 

Forschungsdaten mit Angaben zu religiöser oder politischer Überzeugung

Forschungsdaten mit biometrischen Daten

Hochvertraulich (Patente, Personalakten)REDBEDINGTFreigabe durch zuständige Leitung

Patentanmeldungen vor Veröffentlichung 

Personalakten und Disziplinarverfahren 

Forschungsdaten unter NDA

 

Datenschutz

Die Verarbeitung personenbezogener Daten ist zulässig, sofern hierfür eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO vorliegt.
Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist in diesem Dienst nicht gestattet.

Microsoft 365 Copilot Chat

Beschreibung:
Der M365 Copilot ist ein Chatbot-Dienst von Microsoft. 

Zugang und Nutzung:
Login mit Microsoft-Account (HoMe-E-Mail-Adresse)
Link zur App: m365.cloud.microsoft/
Support: support.microsoft.com/

Die Datenverarbeitung erfolgt im Rahmen der EU Data Boundary von Microsoft.
learn.microsoft.com/en-us/copilot/microsoft-365/microsoft-365-copilot-privacy
learn.microsoft.com/en-us/copilot/microsoft-365/enterprise-data-protection

Klassifikation:

Die App ist für die Verarbeitung von Daten bis einschließlich der Klassifizierung TLP:Amber eingeschränkt zugelassen.
Vertraulich. Eingeschränkte organisationsinterne Verteilung.
Dies schließt die niedrigeren Stufen TLP:CLEAR, TLP:GREEN mit ein.

Voraussetzung
Die Zustimmung der Fachbereichs-, Dezernats-, Projekt- oder Einrichtungsleitung liegt vor.

Die Verarbeitung dieser Datenkategorie in dem Tool ist strikt untersagt.
Verschlusssachen. Nur für bekannte Empfänger.
(Link: Hinweise zur Klassifikation unten)

Nutzungsmatrix | Microsoft 365 Copilot Chat mit Beispielen

Daten-KategorieTLP-StufeErlaubt?Grund / Bedingung
Öffentliche InfosCLEARJARecherche, Entwürfe für PR, etc.
Interne InfosGREENJASitzungsvorbereitung, allgemeine Konzepte.
Personenbezogen (Art. 6)AMBEREINGESCHRÄNKTZulässig für Dienstzwecke (z. B. E-Mails kürzen), aber keine Massendaten (keine ganzen Notenlisten hochladen)
Sensible Daten (Art. 9) AMBER+STRICTNEINStrikt untersagt. Das Risiko bei Cloud-Verarbeitung ist hier zu hoch.
HochvertraulichREDNEINStrikt untersagt. Keine Patente, keine Personalakten.

 

Datenschutz

Die Verarbeitung personenbezogener Daten ist zulässig, sofern hierfür eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO vorliegt. Zudem erfolgt die strikte Umsetzung der Nutzungsvorgaben – siehe TLP:AMBER.
Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist in diesem Dienst nicht gestattet.

Ansprechpartner

Kontaktperson
Christian Kandels
Projektleitung Umgang mit KI an der Hochschule Merseburg
Raum: Hg/D/4/06a

Die allgemeinen Nutzungsregeln basieren auf dem „Merkblatt für KI-Nutzende" von J. Nehlsen, K. Möhring, S. Rehfeld / ZKI e.V. (zki.de), lizenziert unter CC BY-SA 4.0. Bearbeitet und angepasst. Dieses Werk steht ebenfalls unter CC BY-SA 4.0 (creativecommons.org/licenses/by-sa/4.0)

Nach oben