Diese Datenschutzinformationen beschreiben die Verarbeitung personenbezogener Daten bei der Nutzung der KI-Chat-Benutzeroberfläche der HWR Berlin „https://ki-chat.hwr-berlin.de“. Über den KI-Chat können Anfragen an KI-Modelle gestellt werden. Die KI-Chat-Benutzeroberfläche wird an der HWR Berlin betrieben.
Verantwortlicher
Hochschule für Wirtschaft und Recht
Badensche Str. 52
10825 Berlin (Deutschland)
praesident@hwr-berlin.de
Gesetzlicher Vertreter:
Prof. Dr. Jens Hermsdorf
Datenschutzbeauftragter:
Klaus Hoogestraat (ITM Management & Consulting GmbH)
Badensche Str. 52
10825 Berlin
datenschutz@hwr-berlin.de
Angaben zur Verarbeitungstätigkeit
Zwecke der Verarbeitungstätigkeit
Open WebUI ist ein Interface, das einen sicheren Zugang (Login) zu generativen Sprachmodellen bietet. Der Zugriff erfolgt über die Benutzeraccount der Hochschule.
Die Nutzung findet über die KI-Chat-Benutzeroberfläche der HWR Berlin https://ki-chat.hwr-berlin.de statt. Über den KI-Chat können Anfragen an KI-Sprachmodelle (Large Language Models, LLMs) gestellt werden.
Kategorien personenbezogener Daten
Technische und Authentifizierungsdaten:
- Shibboleth-Login (Identitätsmanagement der HWR Berlin),
- Cookiedaten (Session-Cookie zur Aufrechterhaltung der Verbindung, für personalisierte Einstellungen),
- Protokolldaten – Webserver (insb. IP-Adresse)
- Stammdaten (Vorname, Name, Benutzername, E-Mail-Adresse)
Profildaten und Einstellungen:
- persönliche Einstellungen im Profil, die gespeichert werden, um die Nutzung des Portals an Ihre persönlichen Bedürfnisse und Gewohnheiten anzupassen: bspw. Designeinstellungen, Sprachauswahl, vordefinierte Prompts
Prompts:
- Die Eingaben (sogenannte Prompts), die an die KI-Modelle gestellt werden, sind in der Regel natürlichsprachliche Sätze mit Fragen, Anweisungen, Aufträgen o. ä.
- Dabei können die eingegebenen unstrukturierten Daten ggf. personenbezogene Daten enthalten. Die vom KI-Chat ausgegebenen Daten können ebenfalls personenbezogene Daten enthalten, die i.d.R. beim Training der Modelle aus öffentlich zugänglichen Quellen genutzt wurden.
- Die Eingaben werden über eine Schnittstelle (API) an die Betreiber der jeweils ausgewählten KI-Modelle weitergeleitet und bei extern angebotenen Modellen dazu an die betreibende Firma übermittelt. Dabei werden keine persönlichen Kontaktdaten (Hochschulaccount, Name) sondern nur die Prompts weitergegeben.
- Die über eine Schnittstelle (API) an die Betreiber übermittelten Prompts werden keinen einzelnen Nutzerinnen und Nutzern zugeordnet, sondern nur der API der HWR Berlin. Prompts können für Auskünfte oder Löschanträge bei externen Betreibern nicht mehr identifiziert werden.
Limitierung der Nutzung:
Da die Nutzung der KI-Modell Kosten verursachen (Lizenzkosten, Rechenleistung / Energieverbrauch) werden zur möglichen Limitierung der Nutzung Verbrauchsdaten gespeichert. Dazu werden die an die Modelle übermittelten Prompts und die generierten Ausgaben in Form von übermittelten Tokens gezählt und für die einzelnen Nutzerinnen und Nutzer gespeichert. Die Speicherung erfolgt ausschließlich auf HWR Servern und wird nicht an Dritte übermittelt.
Rechtsgrundlage der Verarbeitungstätigkeit
- Beschäftigte: Art 88 DSGVO, §18 BlnDSG i.V.m. § 26 BDSG sowie Art. 6 Abs. 1 lit. c DSGVO, §§ 4 und 6 Abs. 1 BerlHG
- Allgemeine Nutzung durch Studierende und Lehrende zu Lehr- und Hochschulzwecken: §3 BlnDSG i.V.m. Art. 6 Abs. 1 lit. e DSGVO und § 6 Abs. 1 und 2 BerlHG
Empfänger*innen personenbezogener Daten
Ihre bei der Nutzung des KI-Chats als Prompts eingegebenen personenbezogenen Daten werden bei der Nutzung der Fa. OpenAI (ChatGPT) an die OpenAI Ireland Ltd. übertragen. Dabei werden keine persönlichen Kontaktdaten übermittelt.
Zwischen der HWR Berlin und Fa. OpenAI (The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland) wurde eine Vereinbarung zur Auftragsverarbeitung (Data processing agreement) geschlossen, die auf den Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO basiert.
Datenschutzbestimmungen der Fa. OpenAI
Die von der Fa. OpenAI auf Basis der Prompts in der KI-Chat-Benutzeroberfläche basierende Verarbeitung personenbezogener Daten wird in den Datenschutzbestimmungen der Fa. OpenAI für die geschäftliche Nutzung der openAI API beschrieben: https://openai.com/policies/business-terms.
Auftragnehmer
OpenAI Ireland Ltd.
The Liffey Trust Centre 117-126
Sheriff Street Upper
Dublin 1, D01 YC43 Ireland
Datentransfer in ein Drittland
Die OpenAI Ireland Ltd. hat ihren Sitz in Dublin, Irland, sichert aber bislang nicht zu, dass die Verarbeitung der personenbezogenen Daten ausschließlich in Rechenzentren in Europa stattfindet. Die Bearbeitung von Prompts kann über Rechenzentren in den USA erfolgen. Dafür ist die OpenAI, L.L.C., 3180 18th Street, San Francisco, California 94110, United States zuständig.
Löschung der personenbezogenen Daten
- Stammdaten und Authentifizierungsdaten entsprechend den allgemeinen Löschvorgaben der HWR Berlin: Löschung der Nutzerdaten, 150 Tage nach Ausscheiden von Studierenden aus der Hochschule, 60 Tage nach Ausscheiden von Lehrenden oder Beschäftigten aus der Hochschule / Server-Protokolldaten: 30 Tage
- Chatverläufe werden mit Löschung der Nutzerdaten gelöscht.
- Eingaben / Prompts werden in der KI-Chat-Benutzeroberfläche gespeichert, können aber jederzeit selbstständig gelöscht werden. Zusätzlich lässt sich eine „Temporäre Unterhaltung“ einstellen, sodass der Promptverlauf nicht über die Sitzung hinaus gespeichert wird.
- Für Prompts, die an Modelle der Fa. OpenAI übertragen werden, speichert OpenAI gemäß seiner API-Nutzungsbedingungen die Daten für 30 Tage, um einen eventuellen Missbrauch festzustellen. Nach 30 Tagen werden die Daten gelöscht. Gemäß der geschlossenen Vereinbarung zur Auftragsverarbeitung werden Ihre Eingaben nicht verwendet, um das Produkt der externen Anbieter sicherer oder besser zu machen, d.h. mit den Eingaben werden nicht die Modelle trainiert.
Rechte der betroffenen Personen
Die von der Verarbeitung betroffene Person verfügt gemäß Art. 13 – 23 DSGVO über Rechte, welche gegenüber der HWR Berlin geltend gemacht werden können. Eine Übersicht der wichtigsten Rechte ist nachfolgend aufgeführt:
- Recht auf Auskunft über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 15 DSGVO
- Recht auf Widerruf der Einwilligung nach Art 7 Abs. 2 DSGVO
- Recht auf Berichtigung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 16 DSGVO
- Recht auf Löschung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung über beim Verantwortlichen (HWR Berlin) gespeicherte Daten nach Art. 18 DSGVO
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung nach Art. 19 DSGVO
- Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
- Recht gegen die Datenverarbeitung zu widersprechen, sofern die Verarbeitung nach Art. 6 (1) e DSGVO für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt nach Art. 21 DSGVO.
- Recht nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtlicher Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Recht auf Benachrichtigung nach Art. 34 DSGVO der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person.
Ausübung der Rechte
Möchten Sie von Ihren Rechten Gebrauch machen, wenden Sie sich bitte an den oben genannten Datenschutzbeauftragten oder stellen Sie die Anfrage unter dem Link: https://dsgvo2.ds-manager.net/jd8g73mg9/anfrage_meldung.html?key=5oZEoda8bochZmO9
Beschwerderecht
Der Betroffene hat ferner das Recht sich bei einer Aufsichtsbehörde über die HWR Berlin zu beschweren. Die zuständige Aufsichtsbehörde im Land Berlin ist
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
mailbox@datenschutz-berlin.de
Automatisierte Entscheidungsfindung:
Es erfolgt keine automatisierte Entscheidungsfindung bzw. Profiling.
Stand, Änderungen und Geltung der allgemeinen Datenschutzerklärung
Diese allgemeine Datenschutzerklärung hat den Stand 03/2026. Wir behalten uns vor, diese Datenschutzerklärung regelmäßig zu aktualisieren, um den aktuellen rechtlichen Anforderungen und technischen Änderungen Rechnung zu tragen sowie um unsere Dienstleistungen und Angebote datenschutzkonform umzusetzen. Wir informieren Sie bei wesentlichen Änderungen der rechtlichen Rahmenbedingungen.