Datenschutzerklärung KI.Toolbox

Informationen zum Datenschutz gemäß Artikel 13 Datenschutz-Grundverordnung (DS-GVO)

Mit den nachfolgenden Informationen geben wir Ihnen einen Überblick über die erfolgende Verarbeitung Ihrer personenbezogenen Daten sowie über Ihre Rechte aus dem Datenschutzrecht. Personenbezogene Daten sind nach Art. 4 Nr. 1 der EU-Datenschutz-Grundverordnung (DS-GVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. 

Übersicht

  1. Verantwortliches und Datenschutzbeauftragte
  2. Allgemeine Informationen zum Dienst „KI-Toolbox“
  3. Allgemeine Informationen für die Nutzung von Modellen (LLM)
  4. Spezifische Informationen nur Nutzung von selbstgehosteten Modellen
  5. Spezifische Informationen zur Nutzung externer Modelle bei Microsoft Azure
  6. Rechtsgrundlage
  7. Ihre Rechte

Inhaltliche Angaben

1. Verantwortlicher und Datenschutzbeauftragte 

Verantwortlicher für die Datenverarbeitung im Sinne der DS-GVO (Art. 4 Nr. 7) sowie anderer datenschutzrechtlicher Bestimmungen ist:

Karlsruher Institut für Technologie (KIT) 
Kaiserstraße 12, 76131 Karlsruhe 
Deutschland 
Tel.: +49 721 608-0 
Fax: +49 721 608-44290 
E-Mail: info∂kit.edu  

Das Karlsruher Institut für Technologie ist Körperschaft des öffentlichen Rechts. Es wird vertreten durch die/den jeweilige/n Präsident/in. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte∂kit.edu oder der Postadresse mit dem Zusatz „Die Datenschutzbeauftragte“.

2. Allgemeine Informationen zum Dienst KI.Toolbox

Beschreibung und Benennung des Umfangs der Datenverarbeitung

Die KI.Toolbox besteht aus mehreren Komponenten, insbesondere einem Web-Frontend und Large Language Modellen (LLM) im Backend. Das Frontend bietet Nutzer*Innen ein Webinterface, um Benutzeranfragen eingeben zu können. Weiterhin kann das LLM ausgewählt und Einstellungen vorgenommen werden. Das Frontend leitet alle Anfragen an das ausgewählte LLM weiter. Es wird hierbei aus Datenschutzgründen unterschieden zwischen:

  • lokal beim KIT selbst gehostete Open-Source-LLM und 
  • externen LLM von Drittanbietern unterschieden. 

Die LLM sind im Webinterface jeweils als lokale (selbst gehostete) oder externe Modelle gekennzeichnet.
Wir verarbeiten personenbezogene Daten unserer Nutzer nur soweit dies zur Bereitstellung einer funktionsfähige Dienstes sowie unserer Inhalte und Leistungen erforderlich ist. 

Bei jedem Aufruf der KI.Toolbox (egal ob ein lokales oder extern gehostetes LLM genutzt wird), erfasst das System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.

Folgende Daten werden hierbei in jedem Fall erhoben:

  • Datum des Zugriffs
  • Name des auf dem zugreifenden Gerät installierten Betriebssystems
  • Name des verwendeten Browsers
  • Quellsystem, über das der Zugriff erfolgt ist
  • IP-Adresse des zugreifenden Geräts

Die Daten werden in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

Speicherdauer: Die personenbezogenen Daten werden solange gespeichert, wie es für die Erreichung des Zweckes ihrer Erhebung erforderlich ist. Nach spätestens sieben Tagen werden die Daten gelöscht. 

Rechtsgrundlage: Die Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. e, Abs. 3 lit. b DS-GVO i.V.m. § 4 LDSG bzw. § 20 Abs. 1 KITG i.V.m. § 12 Abs. 1 LHG.

Die Anmeldung an die KI.Toolbox erfolgt über das Identitätsmanagementsystem mittels Ihres KIT-Accounts. Die KI.Toolbox speichert bei der ersten Anmeldung eines neuen Nutzenden den Vor- und Nachnamen, die E-Mail-Adresse in der Form <account>@kit.edu, sowie einen eindeutigen Identifier. Zur Erteilung von Rechten über Gruppen werden außerdem die Gruppenzugehörigkeit von bestimmten Gruppen übertragen und gespeichert (Gruppen, deren Name mit "SCC-openwebui-group-" beginnt). Die Gruppenzugehörigkeiten werden bei jedem Anmeldevorgang übertragen.

3. Allgemeine Informationen für die Nutzung von Modellen (LLM)

Je nachdem ob lokal gehostete LLM oder externe LLM genutzt werden, liegen zusätzlich zu diesen Allgemeinen Informationen und Beschreibungen (die für beide Arten der Nutzung gelten) auch noch spezifische Informationen zu spezifischen Datenverarbeitungen vor gelten unterschiedliche Datenschutzbestimmungen. Weitere Informationen dazu finden Sie unter "Nutzung von selbstgehosteten Modellen" (Ziff. 4) und "Nutzung von externen Modellen bei Microsoft Azure" (Ziff. 5). 

Beschreibung und Benennung des Umfangs der Datenverarbeitung

Zu Abrechnungszwecken und Dienstoptimierungen werden bei jeder Anfrage an ein LLM auf unseren Server die folgenden Daten abgespeichert:

  • Datum und Uhrzeit der Anfrage
  • Nutzenden-ID
  • Ausgewähltes Modell
  • Länge der Anfrage und Antwort (Tokens)
  • Kosteninformationen (sofern vorhanden)

Diese Daten werden nicht zusammen mit anderen personenbezogenen Daten des Nutzenden (insb. Chatverlauf) gespeichert.

Eingebende Daten (Chats) und hochgeladene Dateien werden (egal , ob eine lokale oder extern gehostete LLM genutzt wird) auf Servern des KIT gespeichert und sind dem Nutzenden eindeutig zugeordnet, sind per se nicht für andere Nutzende zugänglich (private Nutzung). Nutzende können ihre Daten oder Dateien auf Wunsch anderen Nutzenden zur Verfügung gestellt werden (über das Webinterface oder die integrierte Schnittstelle bzw. API).

Speicherdauer: Die für Abrechnungszwecke und Dienstoptimierung genutzten Daten werden auf Servern am KIT ein Jahr gespeichert.

Von Nutzenden eingegebene Daten bzw. hochgeladene Dateien werden für maximal ein Jahr gespeichert, können aber jederzeit zu einem früheren Zeitpunkt von den Nutzenden in der KI.Toolbox selbst gelöscht werden. Daten und Dateien, die nicht mehr einem Nutzenden zugeordnet werden können (z.B. durch Ausscheiden eines Nutzenden aus dem KIT und damit verbunden der Inaktivierung des KIT-Accounts), werden spätestens nach 24 Stunden gelöscht.

4. Spezifische Informationen nur Nutzung von selbstgehosteten Modellen

Empfänger: Bei den beim KIT gehosteten Open-Source-LLM werden die Anfragen nur auf Servern des KIT verarbeitet. Um die bei am KIT gehosteten Modelle zu nutzen, werden die Anfragen und Antworten von den Nutzenden ausschließlich auf Systemen des KIT verarbeitet und nicht an externe Dienste weitergeleitet.

5. Spezifische Informationen zur Nutzung externer Modelle bei Microsoft Azure

Empfänger: Im Falle von externen LLM, werden die Anfragen, inklusive des bisherigen Verlaufs im aktuellen Chat, an die externen Anbieter weitergeleitet.
Um externe Modelle zu nutzen, leiten wir die Anfragen der Nutzenden von unserem Server an Microsoft Azure weiter. Diese Daten werden in Azure-Rechenzentren in Deutschland und in Schweden verarbeitet. In Ausnahmefällen kann die Verarbeitung auch in anderen Rechenzentren innerhalb Europas erfolgen.

Zur Erfüllung werden folgende Daten weitergeleitet:

  • Anfragen der Nutzenden

Informationen über die Nutzenden selbst werden nicht weitergegeben. Allerdings wird die Anfrage der Nutzenden ungefiltert weitergegeben, d.h. persönliche Informationen, die in der Anfrage selbst enthalten sind, werden an den externen Dienstleister weitergegeben.

Die Realisierung/Umsetzung der KI-Toolbox orientiert sich zwingend am Data Processing Addendum (https://learn.microsoft.com/en-us/legal/cognitive-services/openai/data-privacy, https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA).

Ein Angemessenheitsbeschluss gemäß europäischer Datenschutzgrundverordnung mit Microsoft liegt vor. Eine Datenübermittlung an Dritte kann nicht ausgeschlossen werden.

Ergänzung zur Speicherdauer: Die durch das KIT gesendeten anonymisierten Anfragen an den externen Dienstleister werden gemäß des Microsoft Data Processing Addendums ausschließlich im Falle eines Missbrauchsversuchs, z.B. zum Erstellen von Hass- oder sexualisierten Inhalten, für bis zu 30 Tage geloggt. Dies geschieht automatisch, wenn das Backend feststellt, dass ein Missbrauchsversuch vorliegt. Dabei kann es nicht ausgeschlossen werden, dass legitime Anfragen fälschlicherweise als Missbrauchsversuch gewertet und geloggt werden.

6. Rechtsgrundlage

Bei Nutzung im Beschäftigtenkontext ist die Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe e, Absatz 3 DS-GVO in Verbindung mit § 15 Landesdatenschutzgesetz Baden-Württemberg (LDSG), da die Datenverarbeitung für die Durchführung des Dienstverhältnisses erforderlich ist.

Bei Nutzung für Hochschulaufgaben des KIT ergibt sich die Rechtsgrundlage aus Artikel 6 Absatz 1 Buchstabe e, Absatz 3 Buchstabe b DS-GVO in Verbindung mit § 12 Landeshochschulgesetz in Verbindung mit §§ 2, 20 KIT-Gesetz.

Bei Nutzung zur Erfüllung der übrigen Aufgaben des KIT ergibt sich die Rechtsgrundlage aus Artikel 6 Absatz 1 Buchstabe e, Absatz 3 Buchstabe b DS-GVO in Verbindung mit § 4 Landesdatenschutzgesetz (LDSG) in Verbindung mit § 2 KIT-Gesetz.

7. Ihre Rechte 

Hinsichtlich der Sie betreffenden personenbezogenen Daten haben Sie gegenüber uns folgende Rechte:

  • Recht auf Widerruf Ihrer Einwilligung mit Wirkung für die Zukunft, sofern die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a DS-GVO beruht (Artikel 7 Absatz 3 DS-GVO)
  • Recht auf Bestätigung, ob Sie betreffende Daten verarbeitet werden und auf Auskunft über die verarbeiteten Daten, auf weitere Informationen über die Datenverarbeitung sowie auf Kopien der Daten (Artikel 15 DS-GVO)
  • Recht auf Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (Artikel 16 DS-GVO)
  • Recht auf unverzügliche Löschung der Sie betreffenden Daten (Artikel 17 DS-GVO)
  • Recht auf Einschränkung der Verarbeitung (Artikel 18 DS-GVO)
  • Recht auf Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format, sofern die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe b beruht (Artikel 20 DS-GVO)
  • Recht auf Widerspruch gegen die künftige Verarbeitung der Sie betreffenden Daten, sofern die Daten nach Maßgabe von Artikel 6 Absatz 1 Buchstabe e oder f DS-GVO verarbeitet werden (Artikel 21 DS-GVO)

Sie haben zudem das Recht, sich bei der Aufsichtsbehörde über die Verarbeitung der Sie betreffenden personenbezogenen Daten durch das KIT zu beschweren (Artikel 77 DS-GVO). Aufsichtsbehörde im Sinne des Artikels 51 Absatz 1 DS-GVO über das KIT ist gemäß § 25 Absatz 1 LDSG: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/).

Stand: 23.10.2025