Die Freie Universität Berlin (nachfolgend „FU Berlin“, Informationen zur FU Berlin erhalten Sie hier), freut sich, dass Sie den KI-Chatbot „KI.Assist@FU“ (nachfolgend: „KI.Assist@FU“; oder Gemeinschaftlich „KI-Chatbot“) nutzen. Datenschutz und Datensicherheit bei der Nutzung des Chatbots sind für uns sehr wichtig. Wir möchten Sie daher an dieser Stelle darüber informieren, welche Ihrer personenbezogenen Daten wir bei Ihrer Nutzung des Chatbots erfassen und für welche Zwecke diese genutzt werden.
Da Gesetzesänderungen oder Änderungen unserer universitätsinternen Prozesse eine Anpassung dieser Datenschutzerklärung erforderlich machen können, bitten wir Sie, diese Datenschutzerklärung regelmäßig durchzulesen. Die Datenschutzerklärung kann jederzeit unter Datenschutzerklärung abgerufen, abgespeichert und ausgedruckt werden.
Der Verantwortliche im Sinne der EU-Datenschutzgrundverordnung (im Folgenden: DSGVO) und anderer nati-onaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Freie Universität Berlin
Kaiserswerther Straße 16-18
14195 Berlin
Tel.: +49 (30) 838 1
Website: www.fu-berlin.de
Diese Datenschutzerklärung gilt für den KI-Chatbot „KI.Assist@FU“ der Freien Universität Berlin, welcher unter der Domain www.assist.ki.fu-berlin.de abrufbar ist.
Der externe Datenschutzbeauftragte des Verantwortlichen ist:
Herr Rechtsanwalt Dr. Karsten Kinast, LL.M.
KINAST Rechtsanwaltsgesellschaft mbH
Nordstraße 17a
D-50733 Köln
Tel.: +49 (0)221 – 222 183 – 0
E-Mail: datenschutz@fu-berlin.de
Website: http://www.kinast.eu
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierzu gehören beispielsweise Informationen wie Ihr Name, Ihr Alter, Ihre Anschrift, Ihre Telefonnummer, Ihr Geburtsdatum, Ihre E-Mail-Adresse, Ihre IP-Adresse oder das Nutzerverhalten. Informationen, bei denen wir keinen (oder nur mit einem unverhältnismäßigen Aufwand einen) Bezug zu Ihrer Person herstellen können, z. B. durch Anonymisierung der Informationen, sind keine personenbezogenen Daten. Die Verarbeitung von personenbezogenen Daten (bspw. das Erheben, das Abfragen, die Verwendung, die Speicherung oder die Übermittlung) bedarf immer einer gesetzlichen Grundlage oder Ihrer Einwilligung. Verarbeitete personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung erreicht wurde und keine gesetzlich vorgeschriebenen Aufbewahrungspflichten mehr zu wahren sind.
Sofern wir für die Bereitstellung bestimmter Angebote Ihre personenbezogenen Daten verarbeiten, informieren wir Sie nachfolgend über die konkreten Vorgänge, den Umfang und den Zweck der Datenverarbeitung, die Rechtsgrundlage für die Verarbeitung und die jeweilige Speicherdauer.
a. Art und Umfang der Datenverarbeitung
Bei Aufruf und Nutzung des Chatbots erheben wir personenbezogene Daten, die Ihr Browser automatisch an die Server unseres technischen Dienstleisters (Microsoft Azure) übermittelt. Dieser technische Dienstleister verarbeitet die Daten in unserem Auftrag. Diese Informationen werden temporär in einem sogenannten Logfile gespeichert. Wenn Sie den Chatbot nutzen, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen den Chatbot anzuzeigen und die Stabilität und Sicherheit zu gewährleisten:
b. Rechtsgrundlage der Verarbeitung
Die Verarbeitung der genannten personenbezogenen Daten beruht auf Abs. 6 Abs. 1 lit. e DSGVO i.V.m. § 4 BerlHG.
c. Speicherdauer
Sobald die genannten Daten zur Anzeige oder Nutzung des Chatbots nicht mehr erforderlich sind, werden sie gelöscht. Die Erfassung der Daten zur Bereitstellung des Chatbots und die Speicherung der Daten in Logfiles ist für den Betrieb des Chatbots zwingend erforderlich. Es besteht folglich seitens des Nutzenden keine Widerspruchsmöglichkeit. Eine weitergehende Speicherung kann im Einzelfall dann erfolgen, wenn dies gesetzlich vorgeschrieben ist.
a. Art und Umfang der Datenverarbeitung
Um den Chatbot zu nutzen, müssen Sie sich über Ihren FU-Account (Single-Sign-On) einloggen. Dabei werden die folgenden personenbezogenen Daten verarbeitet:
Diese Daten werden zur Rollenzuweisung im System und für das Kosten-Monitoring bei Nutzung der OpenAI-Modelle genutzt. Für jede*n Nutzer*in wird der aktuelle (Token-)Verbrauch/Kosten verschlüsselt in einer PostgreSQL-DB in der Azure Cloud gespeichert.
b. Rechtsgrundlage
Die Verarbeitung der genannten personenbezogenen Daten im Nutzerbereich beruht auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 4 BerlHG.
c. Speicherdauer
Es erfolgt keine dauerhafte Speicherung der Authentifizierungsdaten im System selbst. Eine Erstellung eines Benutzerkontos im klassischen Sinne (mit Benutzername, Passwort, etc.) findet nicht statt. Der TokenVerbrauch wird zusammen mit Pseudonym, Statusgruppe und primärer Organisationseinheit für die Dauer von 12 Monaten gespeichert und anschließend gelöscht. Zugang zu den Verbrauchsdaten haben ausschließlich die Systemadministrator*innen.
a. Art und Umfang der Datenverarbeitung:
Die von den Nutzenden eingegebenen Inhalte (Prompts) werden je nach ausgewähltem KI-Modell an den entsprechenden Anbieter geschickt und vom Modell verarbeitet:
Die von den Modellen generierte Antwort wird dann zurück an den Chatbot geschickt und dem Nutzenden angezeigt. Bei Nutzung von OpenAI-Modellen (über Microsoft Azure) werden alle Anfragen 30 Tage von Microsoft für ein Abuse Monitoring vorgehalten, um Missbrauch auszuschließen. Das Abuse Monitoring erkennt und entschärft Fälle von wiederkehrenden Inhalten und/oder Verhaltensweisen, die auf eine Nutzung gegen den Verhaltenskodex hinweisen oder gegen andere geltende Produktbedingungen verstoßen. Um Missbrauch zu erkennen und abzuschwächen, speichert Azure OpenAI alle Aufforderungen und generierten Inhalte sicher für bis zu 30 Tage. Admins des Azure Tenants können diese Daten nicht einsehen. Nur wenn die ersten zwei automatisierten Schritte ein entsprechendes Signal geben, erfolgt eine Kontrolle durch Microsoft Mitarbeiter*innen.
Damit die Chatverläufe (von den Nutzenden eingegebene Inhalte und vom
Chatbot generierte Antworten) geräteübergreifend verfügbar sind, werden sie
clientseitig verschlüsselt, an die Serverinfrastruktur (Microsoft Azure)
übertragen und dort in einer PostgreSQL-DB gespeichert. Beim Einloggen auf
einem anderen Gerät – sei es Smartphone, Tablet oder Arbeitsrechner – werden
die Chatverläufe automatisch heruntergeladen und entschlüsselt.
Die Chatverläufe sind ausschließlich für die jeweils eingeloggte Person
einsehbar, können von ihr gelöscht oder exportiert werden und dienen der
persönlichen Nachvollziehbarkeit des Dialogverlaufs. Eine Einsicht durch
Dritte ist technisch ausgeschlossen, mit Ausnahme gemeinsamer Gruppenchats,
in denen Inhalte für alle am Gruppenchat Beteiligten sichtbar sind.
Die Inhalte der Chats werden nicht durch die Betreiber ausgewertet, nicht
weitergegeben und nicht für Profiling, Marketing oder zum Training der
KI-Modelle verwendet. Nutzer*innen sind verpflichtet, keine personen-
bezogenen, urheberrechtlich geschützten oder sensiblen Daten einzugeben. Es
finden keine technischen Kontrollen oder Verhinderungen der Eingabe
personenbezogener Daten statt. Die Nutzer*innen sind selbst dafür
verantwortlich diese Verpflichtung einzuhalten.
b. Rechtsgrundlage
Die Verarbeitung dieser Daten beruht auf Art. 6 Abs. 1 lit. e DSGVO iVm. § 4 BerlHG.
c. Speicherdauer
Einzelne Chats können von den Nutzenden jederzeit gelöscht werden. Bei der Nutzung von OpenAI-Modellen (über Microsoft Azure) werden alle Anfragen maximal 30 Tage von Microsoft für ein Abuse Monitoring vorgehalten, um Missbrauch auszuschließen. Chatverläufe werden gelöscht, sobald der Zugang nicht weiter besteht oder eine Inaktivität von 12 Monaten vorliegt.
Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:
Die an den Chatbot gerichteten Anfragen der Nutzenden (Inhaltsdaten) werden je nach Auswahl des KI- Modells weitergegeben an:
Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown
Dublin 18 D18 P521
(bei der Nutzung der von Microsoft-gehosteten LLMs)
Oder
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG)
Burckhardtweg 4
37077 Göttingen
(bei der Nutzung der von der GWDG gehosteten LLMs)
Zu beiden Empfängern besteht jeweils ein Auftragsverarbeitungsvertrag. Die
GWDG verarbeitet die Daten auf eigenen Servern. Microsoft verwendet zur
Verarbeitung in Europa (Schweden) gehostete Server.
Je nach Anbieter werden die Chatdaten ggf. für eine bestimmte Zeit auf deren
Servern gespeichert:
Etwaige mit der Weitergabe der Inhaltsdaten verbundene Drittstaatstransfers in Staaten außerhalb der EU/des EWRs sind abgesichert durch Angemessenheitsbeschlüsse und Standarddatenschutzklauseln der EU-Kommission.
a. Art und Umfang der Datenverarbeitung
Wir setzten bei der Nutzung des Chatbots Cookies ein. Cookies sind kleine Dateien, die bei der Nutzung des Chatbots von uns an den Browser Ihres Endgeräts gesendet und dort gespeichert werden. Einige Funktionen des Chatbots können ohne den Einsatz technisch notwendiger Cookies nicht angeboten werden. Andere Cookies ermöglichen uns hingegen verschiedene Analysen. Cookies sind beispielsweise in der Lage, den von Ihnen verwendeten Browser bei einem erneuten Besuch des Chatbots wiederzuerkennen und verschiedene Informationen an uns zu übermitteln. Mithilfe von Cookies können wir unter anderem unser Internetangebot für Sie nutzerfreundlicher und effektiver gestalten, indem wir etwa Ihre Nutzung des Chatbots nachvollziehen und Ihre bevorzugten Einstellungen (bspw. Länder- und Spracheneinstellungen) feststellen. Sofern Dritte über Cookies Informationen verarbeiten, erheben diese die Informationen direkt über Ihren Browser. Cookies richten auf Ihrem Endgerät keinen Schaden an. Sie können keine Programme ausführen und keine Viren enthalten.
Bei der Nutzung des Chatbots werden Transient-Cookies verwendet, die automatisch gelöscht werden, sobald Sie Ihren Browser schließen. Diese Art von Cookies ermöglicht es, Ihre Session-ID zu erfassen. Dadurch lassen sich verschiedene Anfragen Ihres Browsers einer gemeinsamen Sitzung zuordnen und es ist uns möglich, Ihr Endgerät bei späteren Webseitenbesuchen innerhalb einer Session wiederzuerkennen.
Diese Cookies werden aus technischen Gründen benötigt, damit Sie die Chatbot-Webseite besuchen und die angebotenen Funktionen nutzen können. Außerdem tragen diese Cookies zu einer sicheren und vorschriftsge- mäßen Nutzung des Chatbots bei.
b. Rechtsgrundlage
Aufgrund der beschriebenen Verwendungszwecke (vgl. § 6. a.) liegt die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies in Art. 6 Abs. 1 lit. f DSGVO.
c. Speicherdauer
Sobald die über die Cookies an uns übermittelten Daten für die Erreichung der oben beschriebenen Zwecke nicht mehr erforderlich sind, werden diese Informationen gelöscht. Eine weitergehende Speicherung kann im Einzelfall dann erfolgen, wenn dies gesetzlich vorgeschrieben ist.
d. Konfiguration der Browsereinstellungen
Die meisten Browser sind so voreingestellt, dass sie Cookies standardmäßig
akzeptieren. Sie können Ihren jeweiligen Browser jedoch so konfigurieren,
dass er nur noch bestimmte oder auch gar keine Cookies mehr akzeptiert. Wir
weisen Sie jedoch darauf hin, dass Sie möglicherweise nicht mehr alle
Funktionen des Chatbots nutzen können, wenn Cookies durch Ihre
Browsereinstellungen auf der Chatbot-Webseite deaktiviert werden. Über Ihre
Browsereinstellungen können Sie auch bereits in Ihrem Browser gespeicherte
Cookies löschen oder sich die Speicherdauer anzeigen lassen. Weiterhin ist
es möglich, Ihren Browser so einzustellen, dass er Sie benachrichtigt, bevor
Cookies gespeichert werden. Da sich die verschiedenen Browser in ihren
jeweiligen Funktionsweisen unterscheiden können, bitten wir Sie, dass
jeweilige Hilfe-Menü Ihres Browsers für die Konfigurationsmöglichkeiten in
Anspruch zu nehmen.
Falls Sie eine umfassende Übersicht aller Zugriffe Dritter auf Ihren
Internetbrowser wünschen, empfehlen wir Ihnen die Installation hierzu
speziell entwickelter Plug-Ins.
Aus der DSGVO ergeben sich für Sie als Betroffener einer Verarbeitung personenbezogener Daten die folgenden Rechte:
Bei der Verarbeitung Ihrer personenbezogenen Daten auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im Fall der Direktwerbung besteht für Sie ein generelles Widerspruchsrecht, das von uns ohne Angabe einer besonderen Situation umgesetzt wird.
Wir verpflichten uns, Ihre Privatsphäre zu schützen und Ihre personenbezogenen Daten vertraulich zu behandeln. Um eine Manipulation, einen Verlust oder einen Missbrauch Ihrer bei uns gespeicherten Daten zu vermeiden, treffen wir umfangreiche technische und organisatorische Sicherheitsvorkehrungen, die regelmäßig überprüft und dem technologischen Fortschritt angepasst werden. Hierzu gehört unter anderem die Verwendung anerkannter Verschlüsselungsverfahren (SSL oder TLS). Wir weisen Sie jedoch darauf hin, dass es aufgrund der Struktur des Internets möglich ist, dass die Regeln des Datenschutzes und die o. g. Sicherungsmaßnahmen von anderen, nicht innerhalb unseres Verantwortungsbereichs liegenden Personen oder Institutionen nicht beachtet werden. Insbesondere können unverschlüsselt preisgegebene Daten – z. B. wenn dies per E-Mail erfolgt – von Dritten mitgelesen werden. Wir haben technisch hierauf keinen Einfluss. Es liegt im Verantwortungsbereich des Nutzers, die von ihm zur Verfügung gestellten Daten durch Verschlüsselung oder in sonstiger Weise gegen Missbrauch zu schützen.