Vorbemerkung
KI-Tools sind an der TU Berlin ein alltägliches Arbeitsmittel. Für die Nutzung in Publikationen und im Prüfungskontext gibt es bereits Vorgaben und Empfehlungen, die gelebt werden.
In der KI-Verordnung wird explizit eine KI-Kompetenz der Nutzenden gefordert, die Arbeitgeber vermitteln müssen. Erforderlich sind klare Vorgaben, welche Anwendungen für welche Anwendungszwecke KI genutzt und was dabei beachtet werden muss.
Die TU hat eine Task Force „AI Literacy“ gegründet, die sich aus Angehörigen aller Statusgruppen und vieler Bereiche zusammensetzt.
Dr. Mattis Neiling war Teil der Task Force sowohl als Datenschutzbeauftragter als auch aufgrund seiner KI-Expertise und wurde zum Entwurf der Leitsätze im Januar 2026 interviewed.
Im Folgenden sind die wesentlichen Punkte des Interviews wiedergegeben.
Interviewerin: Bevor wir in die einzelnen Punkte einsteigen, möchte ich kurz einordnen, wie dieser Entwurf entstanden ist. Vor gut zwei Jahren gab es bereits erste lose Runden zur Frage, wie die Universität mit KI umgehen sollte. Damals stand vor allem die Frage im Raum, dass man „etwas machen müsste“. Vieles ist danach zunächst parallel entstanden, unter anderem Überlegungen zur Eigenständigkeitserklärung für Studierende und die lebenden KI-Leitlinien im Wiki.
Später wurde das Thema durch das Digital Office wieder stärker aufgegriffen. Dabei ging es nicht nur um konkrete Tools, sondern auch um die Frage, wie wir als Organisation mit AI Literacy, rechtlichen Anforderungen und unserer Rolle als Anbieterin oder Betreiberin umgehen. Gerade weil viele KI-Anwendungen ohnehin genutzt werden, auch informell oder dezentral, stellt sich die Frage, wie die Universität damit strategisch, organisatorisch und rechtlich umgehen sollte.
Dr. Mattis Neiling: Das ist nachvollziehbar. Gerade bei dezentralen Strukturen ist Kontrolle schwierig. Außerdem braucht man für viele KI-Anwendungen heute gar keine zentrale IT mehr.
Genau. Im Rahmen einer Peer-to-Peer-Beratung des Hochschulforums Digitalisierung haben wir uns außerdem angeschaut, wie andere Hochschulen mit dem Thema umgehen: Gibt es KI-Räte? Wo sind Zuständigkeiten verankert? Welche Leitlinien oder Strukturen wurden geschaffen? Aus meiner Sicht war dabei besonders wichtig, wie wir AI Literacy verbessern und Schulungsangebote entwickeln können. Gleichzeitig gibt es die größere strategische Frage: Welche Leitsätze braucht die Universität, und wie verbindlich sollen sie sein?
Der Entwurf, über den wir heute sprechen, ist bewusst noch offen. Er enthält übergeordnete Leitsätze auf der Ebene von Werten und Visionen. Daraus könnten später Leitlinien, Richtlinien oder konkrete Handreichungen abgeleitet werden. Mich interessiert vor allem: Was darf auf dieser Ebene nicht fehlen? Was ist zu allgemein? Und was gehört vielleicht eher in nachgelagerte Dokumente?
Datenschutz: Nicht in Tools, sondern in Verarbeitungstätigkeiten denken
Aus Datenschutzsicht ist ein Punkt zentral: Man sollte nicht in Tools denken, sondern in Verarbeitungstätigkeiten.
Es gibt keine datenschutzkonformen Tools.
Es gibt nur datenschutzkonforme Verarbeitungstätigkeiten.
Entscheidend ist also nicht zuerst, ob ein Tool intern gehostet, extern, kommerziell oder nicht kommerziell ist. Zuerst muss geklärt werden: Welche Daten werden verarbeitet? Zu welchem Zweck? Wer hat Zugriff? Was passiert mit den Daten? Welche Auswirkungen hat die Verarbeitung?
Würde der Begriff „Use Case“ das treffen?
Nicht ganz. Eine Verarbeitungstätigkeit kann mehrere Use Cases umfassen, und umgekehrt kann ein Use Case mehrere Verarbeitungstätigkeiten enthalten. Der datenschutzrechtliche Begriff ist Verarbeitungstätigkeit. Man könnte für eine allgemeinere Kommunikation auch von „Anwendungsfällen“ sprechen. Wichtig ist aber: „Ich nutze ChatGPT“ ist kein Anwendungsfall. Relevant ist, welche Daten damit verarbeitet werden und welche Konsequenzen diese Verarbeitung hat.
Gerade bei KI ist das entscheidend. Mit demselben Tool lassen sich sehr unterschiedliche Dinge tun. Besonders relevant ist für mich das Thema automatische Entscheidungsfindung und Entscheidungsunterstützung. Das wird auch an der Universität zunehmend wichtig werden.
Transparenz und Nachvollziehbarkeit
Einer der vorgeschlagenen Leitsätze lautet: „Wir setzen KI-Systeme transparent ein, dokumentieren ihre Nutzung und machen Entscheidungsprozesse nachvollziehbar – in Forschung, Lehre, Verwaltung und öffentlicher Kommunikation.“ Würdest du Dokumentation und Transparenz als übergreifenden Leitsatz stehen lassen?
Ja, zwingend. Das ist absolut erforderlich.
Die Verarbeitungstätigkeiten unterscheiden sich je nach Bereich. Ein Anwendungsfall in einer Fakultät kann ein anderer sein als in einer anderen Fakultät oder sogar in einem einzelnen Fachgebiet. Deshalb braucht es Transparenz und Dokumentation.
Ich habe für automatische Entscheidungsfindungen ein Prüfschema entwickelt. Das kann mit meiner Unterstützung angewendet werden, um sicherzustellen, dass man keine automatisierten Entscheidungen trifft, wenn man sie nicht treffen will. Und falls man welche treffen will, kann mit dem Prüfschema sichergestellt werden, dass die rechtlichen Verpflichtungen der DSGVO erfüllt werden.
Nehmen wir als Beispiel ein spezialisiertes juristisches Recherchetool. Die Rechtsabteilung nutzt ein KI-System, das mit juristischen Texten trainiert wurde und für konkrete Fälle relevante Paragrafen oder Zusammenfassungen vorschlägt. Wenn das Tool intern bekannt und dokumentiert ist: Müsste auch im Einzelfall dokumentiert werden, dass es für eine bestimmte Fallakte genutzt wurde?
Das würde ich so sehen, wenn die Recherche maßgeblichen Einfluss darauf hat, was später entschieden wird. Dann ist das Teil eines Entscheidungsprozesses. Bei KI-gestützter Entscheidungsunterstützung greifen zusätzliche Transparenzpflichten aus der KI-Verordnung. Es gehört dazu, gegenüber Betroffenen transparent zu machen, wie das System im konkreten Fall eingesetzt und sichergestellt wurde, dass keine Diskriminierung stattfindet.
Das ist anspruchsvoll. Anbieter solcher Software müssten eigentlich Werkzeuge bereitstellen, mit denen die gesetzlichen Anforderungen erfüllt werden können. Sonst lassen sich solche Systeme nicht rechtssicher einsetzen.
Auf der Ebene der Leitsätze wäre der Punkt also grundsätzlich richtig, müsste aber in Leitlinien oder Richtlinien konkretisiert werden.
Genau. Der Leitsatz ist nicht falsch, aber sehr allgemein. Transparenz bedeutet mindestens drei Dinge:
- interne Dokumentation,
- allgemeine Informationspflichten – etwa Datenschutzhinweise oder Verarbeitungshinweise – und
- die Erklärung im Einzelfall, wie eine Entscheidung mit Unterstützung eines KI-Systems zustande gekommen ist.
Außerdem muss geklärt sein, ob ein KI-System in den Bereich der Hochrisiko-KI fällt und welche Rolle die Universität jeweils spielt: Anbieterin oder Betreiberin. Davon hängen unterschiedliche Pflichten ab.
Regulierungslücken und Schatten-IT
Ein grundsätzliches Problem entsteht, wenn man Dinge nicht regulieren möchte, obwohl sie gesetzlich reguliert werden müssen. Dann entstehen Lücken, und problematische Nutzungen finden trotzdem statt. Schatten-IT ist ein gutes Beispiel.
Wenn etwa ein Übersetzungstool ohne Lizenz genutzt wird und dabei vertrauliche Informationen oder personenbezogene Daten eingegeben werden, ist das problematisch. Bei Verträgen mit NDA (Non-disclosure Agreement) kann das erhebliche rechtliche Folgen haben. Die Universität macht sich dadurch angreifbar, wenn sie keine geeigneten Lösungen bereitstellt.
Chancengleichheit und Fairness
Ein weiterer vorgeschlagener Leitsatz lautet: „Wir gestalten KI-Nutzung so, dass niemand benachteiligt wird – unabhängig von Toolzugang, technischen Vorkenntnissen und individuellen Voraussetzungen.“ Ist das ein sinnvoller KI-Leitsatz?
Grundsätzlich ja, aber man muss unterscheiden. Der Zugang zu KI-Möglichkeiten ist tatsächlich unterschiedlich: wegen unterschiedlicher Kompetenzen, unterschiedlicher Tools, finanzieller und personeller Ressourcen. Eine echte Fairness umzusetzen, wird schwierig. Man sollte es aber versuchen.
Aus Datenschutzsicht wichtiger ist zunächst die Perspektive der Betroffenen, also der Menschen, deren Daten verarbeitet werden. Ihre Grundrechte müssen gewahrt bleiben. Transparenz und Fairness in Bezug auf Betroffene sind zentral.
Im Prüfungskontext ist Chancengleichheit besonders wichtig. Dort muss sichergestellt werden, dass alle vergleichbare Mittel zur Verfügung haben. Es darf nicht passieren, dass Studierende mit einem kostenpflichtigen ChatGPT-Account einen Vorteil gegenüber denen haben, die sich das nicht leisten können. Die Universität muss Chancengleichheit entweder durch gleichwertige Angebote herstellen oder die Nutzung konsequent ausschließen.
Nutzung von KI-Diensten für dienstliche Zwecke
Das betrifft auch Beschäftigte, wenn sie bestimmte Aufgaben nur mit KI sinnvoll erledigen können, aber keine dienstliche Lösung bereitsteht.
Genau. Das ist arbeitsrechtlich eigentlich einfach: Wenn ein Arbeitsmittel zur Erfüllung der dienstlichen Aufgaben erforderlich ist, muss der Arbeitgeber es bereitstellen. Das sollte in die Leitlinien aufgenommen werden.
Problematisch ist die private Nutzung von KI-Diensten im dienstlichen Kontext – es gibt da ein Arbeitsgerichtsurteil, welches so interpretiert wird, dass das möglich sei. Aus Datenschutzsicht und auch aus anderen rechtlichen Perspektiven ist das höchst bedenklich. Allein die Nutzung durch Beschäftigte kann personenbezogene Daten betreffen, etwa über IP-Adressen oder Nutzerprofile.
Die Universität sollte die private Nutzung von KI-Diensten für dienstliche Zwecke nicht freigeben.
Wissenschaftliche Integrität und persönliche Verantwortung
Ein weiterer Leitsatz lautet: „Wir bewahren wissenschaftliche Integrität und persönliche Verantwortung. KI ist Werkzeug, nicht Ersatz für kritisches Denken und eigenständige Leistung.“
Dem stimme ich zu. Das ist unproblematisch und sinnvoll.
Datenschutz und Informationssicherheit
Zum Bereich Datenschutz und Informationssicherheit gibt es folgenden Vorschlag: „Wir schützen personenbezogene und vertrauliche Daten konsequent. Wir minimieren die Datenpreisgabe, nutzen ausschließlich KI-Systeme mit datenschutzkonformem Zugang und achten auf Informationssicherheit.“
Der erste Satz ist gut: Wir schützen personenbezogene und vertrauliche Daten konsequent.
Beim Rest wäre ich vorsichtig. „Datenschutzkonformer Zugang“ ist kein präziser Begriff. Besser wäre, auf datenschutzkonforme Verarbeitungstätigkeiten zu verweisen. Allerdings müsste das verständlich erklärt werden.
Aus meiner Sicht sind zwei Aspekte zu trennen:
- Erstens müssen die Beschäftigten geschützt werden, die KI-Systeme nutzen. Aus ihren Nutzungsdaten können Profile entstehen.
- Zweitens müssen die Personen geschützt werden, deren Daten durch KI verarbeitet werden. Dabei geht es auch um Grundrechte.
Deshalb sollte nicht nur das Tool betrachtet werden, sondern immer der konkrete Anwendungsfall: Welche Daten werden verarbeitet? Welche Konsequenzen hat die Verarbeitung? Wer ist betroffen? Das ist nicht nur bei KI wichtig, aber bei KI besonders.
Geistiges Eigentum und Persönlichkeitsrechte
Es gibt außerdem den Punkt: „Wir respektieren geistiges Eigentum und prüfen KI-Outputs auf Urheberrechtsverletzungen.“ Das klingt wünschenswert, ist aber praktisch kaum umsetzbar.
Ja, das ist schwierig. Eine vollständige Prüfung von KI-Outputs auf Urheberrechtsverletzungen ist in der Praxis kaum machbar. Man könnte zusätzlich Persönlichkeitsrechte aufnehmen. Aber das macht es nicht einfacher.
Das Thema ist größer. Es geht nicht nur um Outputs, sondern auch um die Frage, mit welchen Daten KI-Systeme trainiert wurden. Wenn Modelle mit illegal oder problematisch erhobenen Daten trainiert wurden, stellt sich die Frage, ob und wie solche Systeme überhaupt eingesetzt werden dürfen. Das betrifft personenbezogene Daten ebenso wie urheberrechtlich geschützte Inhalte.
Aus meiner Sicht ist die Position problematisch, dass alles, was öffentlich zugänglich ist, automatisch verwendet werden darf. Das ist mit der DSGVO nicht ohne Weiteres vereinbar. Bei urheberrechtlich geschützten Inhalten stellen sich ähnliche Fragen.
Trotzdem sollte geistiges Eigentum in irgendeiner Form berücksichtigt werden. Wichtig ist aber eine Formulierung auf ausreichender Flughöhe, die sich nicht in kurzer Zeit überholt.
Lebende Leitlinien und gesellschaftliche Verantwortung
Gerade deshalb ist das Konzept lebender Leitlinien zwingend. Die Materie entwickelt sich sehr schnell. Selbst wenn es manchmal so wirkt, als passiere wenig, verändert sich unter der Oberfläche sehr viel.
Aus meiner Sicht sollte eine Technische Universität sich intensiv mit allen Facetten von KI auseinandersetzen: mit dem, was technisch möglich ist, aber auch mit dem, was ethisch und gesellschaftlich vertretbar ist.
Das betrifft die Nutzung ebenso wie die Entwicklung von KI. Die Universität sollte den gesellschaftlichen Diskurs aktiv mitgestalten.
Auch Nachhaltigkeit gehört dazu. KI sollte nicht ressourcenverschwendend eingesetzt werden. Man sollte überlegen, wann KI wirklich sinnvoll ist und wann nicht.
Im Entwurf gibt es den Punkt „gesellschaftliche Verantwortung“: „Wir tragen Verantwortung für die gesellschaftlichen Auswirkungen unserer KI-Nutzung, fördern den kritischen Diskurs und wirken aktiv gegen Desinformation und missbräuchliche Anwendungen.“
Das ist sinnvoll. Ich würde aber die Entwicklung von KI ausdrücklich ergänzen. Als Technische Universität geht es nicht nur um Nutzung, sondern auch um Forschung, Entwicklung und Gestaltung. Außerdem sollte man offene Systeme und digitale Souveränität mitdenken. Proprietäre Systeme dürfen nicht unkritisch zum Standard werden.
Kritische KI-Kompetenz
Ein weiterer Punkt ist: „Wir befähigen alle Universitätsangehörigen, KI-Ergebnisse fachlich zu überprüfen, KI-Systeme kritisch zu hinterfragen, Bias zu erkennen und Halluzinationen zu identifizieren.“
„Alle“ würde ich durch „die Universitätsangehörigen“ ersetzen. Fachliche Überprüfung ist wichtig. „KI-Systeme kritisch hinterfragen“ ist mir zu allgemein. Man sollte konkreter formulieren, dass Menschen einschätzen können, wie KI-Systeme funktionieren und was für einen grundrechtskonformen Einsatz zu beachten ist.
Wichtig ist außerdem der Automation Bias: die Neigung von Menschen, maschinellen Ergebnissen zu vertrauen. Das ist etwas anderes als ein Bias im System selbst. Dieser Punkt sollte erklärt werden, weil der Begriff missverständlich ist.
Was ließe sich daraus praktisch ableiten?
Bei besonders kritischen Entscheidungen braucht es Mechanismen der Kontrolle. Die KI-Verordnung sieht in bestimmten Zusammenhängen ein Vier-Augen-Prinzip vor. Das bedeutet, dass zwei Personen unabhängig voneinander ausreichend Zeit haben müssen, sich mit dem Sachverhalt zu befassen. Operativ ist das aufwendig und teuer, aber bei kritischen Fällen kann es notwendig sein.
Wissenschaftliche Redlichkeit
Ein weiterer Punkt lautet: „Wir verpflichten uns zu Good Scientific Practice beim KI-Einsatz, dokumentieren KI-Nutzung in Publikationen transparent und sichern Reproduzierbarkeit und Qualität unserer Forschung.“
Dagegen kann man nichts sagen. Das entspricht guter wissenschaftlicher Praxis. Die Frage ist eher, ob es als eigener Leitsatz notwendig ist oder ob es in andere Punkte integriert werden kann.
Kompetenzentwicklung für Beschäftigte und Studierende
Beim Thema Kompetenzentwicklung stellt sich die Frage, ob Beschäftigte und Studierende gemeinsam oder getrennt adressiert werden sollten.
Ich würde sie trennen. Bei Beschäftigten hat KI-Nutzung oft unmittelbare Auswirkungen auf Dritte. Das ist anders zu betrachten als bei Studierenden.
Für Studierende ist KI als Querschnittsthema in allen Studiengängen wichtig. Dabei geht es nicht nur um technische Funktionsweisen, sondern auch um gesellschaftliche, politische und ethische Fragen. Die Studierenden werden später die Gesellschaft mitprägen. Deshalb sollte KI-Kompetenz zum Kanon der Lehre gehören.
Dabei sollte man nicht nur über LLMs sprechen. Die KI-Verordnung ist breiter angelegt, und KI umfasst viel mehr als die Sprachmodelle.
Ein zentraler Leitsatz zum Abschluss
Wir überlegen außerdem, ob folgender Gedanke aufgenommen werden sollte: „Wir fördern Kompetenzen, die auch im KI-Zeitalter unverzichtbar bleiben, und gestalten Lehr- und Lernprozesse so, dass kritisches Denken und Reflexionsfähigkeit gestärkt werden.“
Das finde ich sehr gut. Das gilt nicht nur für Studierende, sondern auch für Beschäftigte. Eigentlich gehört dieser Gedanke in die Präambel.
Er beschreibt den grundlegenden Auftrag der Universität: nicht nur KI-Nutzung zu ermöglichen, sondern kritisches Denken, Reflexionsfähigkeit und verantwortliches Handeln zu stärken.
Insgesamt begrüße ich sehr, dass sich die TU der Thematik annimmt und klare Regeln für die KI-Nutzung formulieren will. Und gern trage ich dazu mit meiner Expertise bei.