Kategorie: Dossier

Längere Beiträge, die sich ausführlich mit einem Thema befassen.

Im Interview: KI-Leitsätze – zwischen AI Literacy und Datenschutz

Vorbemerkung

KI-Tools sind an der TU Berlin ein alltägliches Arbeitsmittel. Für die Nutzung in Publikationen und im Prüfungskontext gibt es bereits Vorgaben und Empfehlungen, die gelebt werden.

In der KI-Verordnung wird explizit eine KI-Kompetenz der Nutzenden gefordert, die Arbeitgeber vermitteln müssen. Erforderlich sind klare Vorgaben, welche Anwendungen für welche Anwendungszwecke KI genutzt und was dabei beachtet werden muss.

Die TU hat eine Task Force „AI Literacy“ gegründet, die sich aus Angehörigen aller Statusgruppen und vieler Bereiche zusammensetzt.

Dr. Mattis Neiling war Teil der Task Force sowohl als Datenschutzbeauftragter als auch aufgrund seiner KI-Expertise und wurde zum Entwurf der Leitsätze im Januar 2026 interviewed.

Im Folgenden sind die wesentlichen Punkte des Interviews wiedergegeben.

Interviewerin: Bevor wir in die einzelnen Punkte einsteigen, möchte ich kurz einordnen, wie dieser Entwurf entstanden ist. Vor gut zwei Jahren gab es bereits erste lose Runden zur Frage, wie die Universität mit KI umgehen sollte. Damals stand vor allem die Frage im Raum, dass man „etwas machen müsste“. Vieles ist danach zunächst parallel entstanden, unter anderem Überlegungen zur Eigenständigkeitserklärung für Studierende und die lebenden KI-Leitlinien im Wiki.

Später wurde das Thema durch das Digital Office wieder stärker aufgegriffen. Dabei ging es nicht nur um konkrete Tools, sondern auch um die Frage, wie wir als Organisation mit AI Literacy, rechtlichen Anforderungen und unserer Rolle als Anbieterin oder Betreiberin umgehen. Gerade weil viele KI-Anwendungen ohnehin genutzt werden, auch informell oder dezentral, stellt sich die Frage, wie die Universität damit strategisch, organisatorisch und rechtlich umgehen sollte.

Dr. Mattis Neiling: Das ist nachvollziehbar. Gerade bei dezentralen Strukturen ist Kontrolle schwierig. Außerdem braucht man für viele KI-Anwendungen heute gar keine zentrale IT mehr.

Genau. Im Rahmen einer Peer-to-Peer-Beratung des Hochschulforums Digitalisierung haben wir uns außerdem angeschaut, wie andere Hochschulen mit dem Thema umgehen: Gibt es KI-Räte? Wo sind Zuständigkeiten verankert? Welche Leitlinien oder Strukturen wurden geschaffen? Aus meiner Sicht war dabei besonders wichtig, wie wir AI Literacy verbessern und Schulungsangebote entwickeln können. Gleichzeitig gibt es die größere strategische Frage: Welche Leitsätze braucht die Universität, und wie verbindlich sollen sie sein?

Der Entwurf, über den wir heute sprechen, ist bewusst noch offen. Er enthält übergeordnete Leitsätze auf der Ebene von Werten und Visionen. Daraus könnten später Leitlinien, Richtlinien oder konkrete Handreichungen abgeleitet werden. Mich interessiert vor allem: Was darf auf dieser Ebene nicht fehlen? Was ist zu allgemein? Und was gehört vielleicht eher in nachgelagerte Dokumente?

Datenschutz: Nicht in Tools, sondern in Verarbeitungstätigkeiten denken

Aus Datenschutzsicht ist ein Punkt zentral: Man sollte nicht in Tools denken, sondern in Verarbeitungstätigkeiten.

Es gibt keine datenschutzkonformen Tools.
Es gibt nur datenschutzkonforme Verarbeitungstätigkeiten.

Entscheidend ist also nicht zuerst, ob ein Tool intern gehostet, extern, kommerziell oder nicht kommerziell ist. Zuerst muss geklärt werden: Welche Daten werden verarbeitet? Zu welchem Zweck? Wer hat Zugriff? Was passiert mit den Daten? Welche Auswirkungen hat die Verarbeitung?

Würde der Begriff „Use Case“ das treffen?

Nicht ganz. Eine Verarbeitungstätigkeit kann mehrere Use Cases umfassen, und umgekehrt kann ein Use Case mehrere Verarbeitungstätigkeiten enthalten. Der datenschutzrechtliche Begriff ist Verarbeitungstätigkeit. Man könnte für eine allgemeinere Kommunikation auch von „Anwendungsfällen“ sprechen. Wichtig ist aber: „Ich nutze ChatGPT“ ist kein Anwendungsfall. Relevant ist, welche Daten damit verarbeitet werden und welche Konsequenzen diese Verarbeitung hat.

Gerade bei KI ist das entscheidend. Mit demselben Tool lassen sich sehr unterschiedliche Dinge tun. Besonders relevant ist für mich das Thema automatische Entscheidungsfindung und Entscheidungsunterstützung. Das wird auch an der Universität zunehmend wichtig werden.

Transparenz und Nachvollziehbarkeit

Einer der vorgeschlagenen Leitsätze lautet: „Wir setzen KI-Systeme transparent ein, dokumentieren ihre Nutzung und machen Entscheidungsprozesse nachvollziehbar – in Forschung, Lehre, Verwaltung und öffentlicher Kommunikation.“ Würdest du Dokumentation und Transparenz als übergreifenden Leitsatz stehen lassen?

Ja, zwingend. Das ist absolut erforderlich.

Die Verarbeitungstätigkeiten unterscheiden sich je nach Bereich. Ein Anwendungsfall in einer Fakultät kann ein anderer sein als in einer anderen Fakultät oder sogar in einem einzelnen Fachgebiet. Deshalb braucht es Transparenz und Dokumentation.

Ich habe für automatische Entscheidungsfindungen ein Prüfschema entwickelt. Das kann mit meiner Unterstützung angewendet werden, um sicherzustellen, dass man keine automatisierten Entscheidungen trifft, wenn man sie nicht treffen will. Und falls man welche treffen will, kann mit dem Prüfschema sichergestellt werden, dass die rechtlichen Verpflichtungen der DSGVO erfüllt werden.

Nehmen wir als Beispiel ein spezialisiertes juristisches Recherchetool. Die Rechtsabteilung nutzt ein KI-System, das mit juristischen Texten trainiert wurde und für konkrete Fälle relevante Paragrafen oder Zusammenfassungen vorschlägt. Wenn das Tool intern bekannt und dokumentiert ist: Müsste auch im Einzelfall dokumentiert werden, dass es für eine bestimmte Fallakte genutzt wurde?

Das würde ich so sehen, wenn die Recherche maßgeblichen Einfluss darauf hat, was später entschieden wird. Dann ist das Teil eines Entscheidungsprozesses. Bei KI-gestützter Entscheidungsunterstützung greifen zusätzliche Transparenzpflichten aus der KI-Verordnung. Es gehört dazu, gegenüber Betroffenen transparent zu machen, wie das System im konkreten Fall eingesetzt und sichergestellt wurde, dass keine Diskriminierung stattfindet.

Das ist anspruchsvoll. Anbieter solcher Software müssten eigentlich Werkzeuge bereitstellen, mit denen die gesetzlichen Anforderungen erfüllt werden können. Sonst lassen sich solche Systeme nicht rechtssicher einsetzen.

Auf der Ebene der Leitsätze wäre der Punkt also grundsätzlich richtig, müsste aber in Leitlinien oder Richtlinien konkretisiert werden.

Genau. Der Leitsatz ist nicht falsch, aber sehr allgemein. Transparenz bedeutet mindestens drei Dinge:

  • interne Dokumentation,
  • allgemeine Informationspflichten – etwa Datenschutzhinweise oder Verarbeitungshinweise – und
  • die Erklärung im Einzelfall, wie eine Entscheidung mit Unterstützung eines KI-Systems zustande gekommen ist.

Außerdem muss geklärt sein, ob ein KI-System in den Bereich der Hochrisiko-KI fällt und welche Rolle die Universität jeweils spielt: Anbieterin oder Betreiberin. Davon hängen unterschiedliche Pflichten ab.

Regulierungslücken und Schatten-IT

Ein grundsätzliches Problem entsteht, wenn man Dinge nicht regulieren möchte, obwohl sie gesetzlich reguliert werden müssen. Dann entstehen Lücken, und problematische Nutzungen finden trotzdem statt. Schatten-IT ist ein gutes Beispiel.

Wenn etwa ein Übersetzungstool ohne Lizenz genutzt wird und dabei vertrauliche Informationen oder personenbezogene Daten eingegeben werden, ist das problematisch. Bei Verträgen mit NDA (Non-disclosure Agreement) kann das erhebliche rechtliche Folgen haben. Die Universität macht sich dadurch angreifbar, wenn sie keine geeigneten Lösungen bereitstellt.

Chancengleichheit und Fairness

Ein weiterer vorgeschlagener Leitsatz lautet: „Wir gestalten KI-Nutzung so, dass niemand benachteiligt wird – unabhängig von Toolzugang, technischen Vorkenntnissen und individuellen Voraussetzungen.“ Ist das ein sinnvoller KI-Leitsatz?

Grundsätzlich ja, aber man muss unterscheiden. Der Zugang zu KI-Möglichkeiten ist tatsächlich unterschiedlich: wegen unterschiedlicher Kompetenzen, unterschiedlicher Tools, finanzieller und personeller Ressourcen. Eine echte Fairness umzusetzen, wird schwierig. Man sollte es aber versuchen.

Aus Datenschutzsicht wichtiger ist zunächst die Perspektive der Betroffenen, also der Menschen, deren Daten verarbeitet werden. Ihre Grundrechte müssen gewahrt bleiben. Transparenz und Fairness in Bezug auf Betroffene sind zentral.

Im Prüfungskontext ist Chancengleichheit besonders wichtig. Dort muss sichergestellt werden, dass alle vergleichbare Mittel zur Verfügung haben. Es darf nicht passieren, dass Studierende mit einem kostenpflichtigen ChatGPT-Account einen Vorteil gegenüber denen haben, die sich das nicht leisten können. Die Universität muss Chancengleichheit entweder durch gleichwertige Angebote herstellen oder die Nutzung konsequent ausschließen.

Nutzung von KI-Diensten für dienstliche Zwecke

Das betrifft auch Beschäftigte, wenn sie bestimmte Aufgaben nur mit KI sinnvoll erledigen können, aber keine dienstliche Lösung bereitsteht.

Genau. Das ist arbeitsrechtlich eigentlich einfach: Wenn ein Arbeitsmittel zur Erfüllung der dienstlichen Aufgaben erforderlich ist, muss der Arbeitgeber es bereitstellen. Das sollte in die Leitlinien aufgenommen werden.

Problematisch ist die private Nutzung von KI-Diensten im dienstlichen Kontext – es gibt da ein Arbeitsgerichtsurteil, welches so interpretiert wird, dass das möglich sei. Aus Datenschutzsicht und auch aus anderen rechtlichen Perspektiven ist das höchst bedenklich. Allein die Nutzung durch Beschäftigte kann personenbezogene Daten betreffen, etwa über IP-Adressen oder Nutzerprofile.

Die Universität sollte die private Nutzung von KI-Diensten für dienstliche Zwecke nicht freigeben.

Wissenschaftliche Integrität und persönliche Verantwortung

Ein weiterer Leitsatz lautet: „Wir bewahren wissenschaftliche Integrität und persönliche Verantwortung. KI ist Werkzeug, nicht Ersatz für kritisches Denken und eigenständige Leistung.“

Dem stimme ich zu. Das ist unproblematisch und sinnvoll.

Datenschutz und Informationssicherheit

Zum Bereich Datenschutz und Informationssicherheit gibt es folgenden Vorschlag: „Wir schützen personenbezogene und vertrauliche Daten konsequent. Wir minimieren die Datenpreisgabe, nutzen ausschließlich KI-Systeme mit datenschutzkonformem Zugang und achten auf Informationssicherheit.“

Der erste Satz ist gut: Wir schützen personenbezogene und vertrauliche Daten konsequent.

Beim Rest wäre ich vorsichtig. „Datenschutzkonformer Zugang“ ist kein präziser Begriff. Besser wäre, auf datenschutzkonforme Verarbeitungstätigkeiten zu verweisen. Allerdings müsste das verständlich erklärt werden.

Aus meiner Sicht sind zwei Aspekte zu trennen:

  • Erstens müssen die Beschäftigten geschützt werden, die KI-Systeme nutzen. Aus ihren Nutzungsdaten können Profile entstehen.
  • Zweitens müssen die Personen geschützt werden, deren Daten durch KI verarbeitet werden. Dabei geht es auch um Grundrechte.

Deshalb sollte nicht nur das Tool betrachtet werden, sondern immer der konkrete Anwendungsfall: Welche Daten werden verarbeitet? Welche Konsequenzen hat die Verarbeitung? Wer ist betroffen? Das ist nicht nur bei KI wichtig, aber bei KI besonders.

Geistiges Eigentum und Persönlichkeitsrechte

Es gibt außerdem den Punkt: „Wir respektieren geistiges Eigentum und prüfen KI-Outputs auf Urheberrechtsverletzungen.“ Das klingt wünschenswert, ist aber praktisch kaum umsetzbar.

Ja, das ist schwierig. Eine vollständige Prüfung von KI-Outputs auf Urheberrechtsverletzungen ist in der Praxis kaum machbar. Man könnte zusätzlich Persönlichkeitsrechte aufnehmen. Aber das macht es nicht einfacher.

Das Thema ist größer. Es geht nicht nur um Outputs, sondern auch um die Frage, mit welchen Daten KI-Systeme trainiert wurden. Wenn Modelle mit illegal oder problematisch erhobenen Daten trainiert wurden, stellt sich die Frage, ob und wie solche Systeme überhaupt eingesetzt werden dürfen. Das betrifft personenbezogene Daten ebenso wie urheberrechtlich geschützte Inhalte.

Aus meiner Sicht ist die Position problematisch, dass alles, was öffentlich zugänglich ist, automatisch verwendet werden darf. Das ist mit der DSGVO nicht ohne Weiteres vereinbar. Bei urheberrechtlich geschützten Inhalten stellen sich ähnliche Fragen.

Trotzdem sollte geistiges Eigentum in irgendeiner Form berücksichtigt werden. Wichtig ist aber eine Formulierung auf ausreichender Flughöhe, die sich nicht in kurzer Zeit überholt.

Lebende Leitlinien und gesellschaftliche Verantwortung

Gerade deshalb ist das Konzept lebender Leitlinien zwingend. Die Materie entwickelt sich sehr schnell. Selbst wenn es manchmal so wirkt, als passiere wenig, verändert sich unter der Oberfläche sehr viel.

Aus meiner Sicht sollte eine Technische Universität sich intensiv mit allen Facetten von KI auseinandersetzen: mit dem, was technisch möglich ist, aber auch mit dem, was ethisch und gesellschaftlich vertretbar ist.

Das betrifft die Nutzung ebenso wie die Entwicklung von KI. Die Universität sollte den gesellschaftlichen Diskurs aktiv mitgestalten.

Auch Nachhaltigkeit gehört dazu. KI sollte nicht ressourcenverschwendend eingesetzt werden. Man sollte überlegen, wann KI wirklich sinnvoll ist und wann nicht.

Im Entwurf gibt es den Punkt „gesellschaftliche Verantwortung“: „Wir tragen Verantwortung für die gesellschaftlichen Auswirkungen unserer KI-Nutzung, fördern den kritischen Diskurs und wirken aktiv gegen Desinformation und missbräuchliche Anwendungen.“

Das ist sinnvoll. Ich würde aber die Entwicklung von KI ausdrücklich ergänzen. Als Technische Universität geht es nicht nur um Nutzung, sondern auch um Forschung, Entwicklung und Gestaltung. Außerdem sollte man offene Systeme und digitale Souveränität mitdenken. Proprietäre Systeme dürfen nicht unkritisch zum Standard werden.

Kritische KI-Kompetenz

Ein weiterer Punkt ist: „Wir befähigen alle Universitätsangehörigen, KI-Ergebnisse fachlich zu überprüfen, KI-Systeme kritisch zu hinterfragen, Bias zu erkennen und Halluzinationen zu identifizieren.“

„Alle“ würde ich durch „die Universitätsangehörigen“ ersetzen. Fachliche Überprüfung ist wichtig. „KI-Systeme kritisch hinterfragen“ ist mir zu allgemein. Man sollte konkreter formulieren, dass Menschen einschätzen können, wie KI-Systeme funktionieren und was für einen grundrechtskonformen Einsatz zu beachten ist.

Wichtig ist außerdem der Automation Bias: die Neigung von Menschen, maschinellen Ergebnissen zu vertrauen. Das ist etwas anderes als ein Bias im System selbst. Dieser Punkt sollte erklärt werden, weil der Begriff missverständlich ist.

Was ließe sich daraus praktisch ableiten?

Bei besonders kritischen Entscheidungen braucht es Mechanismen der Kontrolle. Die KI-Verordnung sieht in bestimmten Zusammenhängen ein Vier-Augen-Prinzip vor. Das bedeutet, dass zwei Personen unabhängig voneinander ausreichend Zeit haben müssen, sich mit dem Sachverhalt zu befassen. Operativ ist das aufwendig und teuer, aber bei kritischen Fällen kann es notwendig sein.

Wissenschaftliche Redlichkeit

Ein weiterer Punkt lautet: „Wir verpflichten uns zu Good Scientific Practice beim KI-Einsatz, dokumentieren KI-Nutzung in Publikationen transparent und sichern Reproduzierbarkeit und Qualität unserer Forschung.“

Dagegen kann man nichts sagen. Das entspricht guter wissenschaftlicher Praxis. Die Frage ist eher, ob es als eigener Leitsatz notwendig ist oder ob es in andere Punkte integriert werden kann.

Kompetenzentwicklung für Beschäftigte und Studierende

Beim Thema Kompetenzentwicklung stellt sich die Frage, ob Beschäftigte und Studierende gemeinsam oder getrennt adressiert werden sollten.

Ich würde sie trennen. Bei Beschäftigten hat KI-Nutzung oft unmittelbare Auswirkungen auf Dritte. Das ist anders zu betrachten als bei Studierenden.

Für Studierende ist KI als Querschnittsthema in allen Studiengängen wichtig. Dabei geht es nicht nur um technische Funktionsweisen, sondern auch um gesellschaftliche, politische und ethische Fragen. Die Studierenden werden später die Gesellschaft mitprägen. Deshalb sollte KI-Kompetenz zum Kanon der Lehre gehören.

Dabei sollte man nicht nur über LLMs sprechen. Die KI-Verordnung ist breiter angelegt, und KI umfasst viel mehr als die Sprachmodelle.

Ein zentraler Leitsatz zum Abschluss

Wir überlegen außerdem, ob folgender Gedanke aufgenommen werden sollte: „Wir fördern Kompetenzen, die auch im KI-Zeitalter unverzichtbar bleiben, und gestalten Lehr- und Lernprozesse so, dass kritisches Denken und Reflexionsfähigkeit gestärkt werden.“

Das finde ich sehr gut. Das gilt nicht nur für Studierende, sondern auch für Beschäftigte. Eigentlich gehört dieser Gedanke in die Präambel.

Er beschreibt den grundlegenden Auftrag der Universität: nicht nur KI-Nutzung zu ermöglichen, sondern kritisches Denken, Reflexionsfähigkeit und verantwortliches Handeln zu stärken.

Insgesamt begrüße ich sehr, dass sich die TU der Thematik annimmt und klare Regeln für die KI-Nutzung formulieren will. Und gern trage ich dazu mit meiner Expertise bei.

Empfehlungen für eine Schnittstelle zwischen Datenschutz und Informationssicherheit an Hochschulen

Aus historischen Gründen sind Datenschutzbeauftragte (DSBs) häufig in der Hochschulverwaltung und Informationssicherheitsbeauftragte (ISBs) bzw. Chief Information Security Officer (CISO) bei der Hochschulleitung oder im Hochschulrechenzentrum  angesiedelt.

Ihre Aufgaben sind dabei nicht zwangsläufig aufeinander abgestimmt und häufig nicht in effiziente Governance-Strukturen eingebettet. Erfahrungen zeigen, dass dadurch Friktionen entstehen können und Digitalisierungsprozesse mit Reibungsverlusten zu kämpfen haben.

In diesem Beitrag wird ein Brückenschlag zwischen Datenschutz und Informationssicherheit versucht, indem zentrale Schnittstellenprozesse identifiziert, ein lösungsorientiertes Vorgehen empfohlen und ein geeignetes Governancemodell vorgeschlagen wird.

Vor dem Hintergrund beschränkter personeller Kapazitäten sollte ein gemeinsames Vorgehen bei der Umsetzung der -häufig sehr bürokratischen- Compliance-Anforderungen konzipiert werden – auch um die aktive Mitwirkung der Beschäftigten in den zentralen und dezentralen Bereichen der Hochschule zu fördern.

„Empfehlungen für eine Schnittstelle zwischen Datenschutz und Informationssicherheit an Hochschulen“ weiterlesen

Palantir – das Betriebssystem des Überwachungsstaats

Werkzeuge wie Palantir ermöglichen eine bislang beispiellose Integration und Auswertung riesiger, heterogener Datenmengen in Echtzeit.

Spätestens seit den Enthüllungen von Edward Snowden im Jahr 2013 ist bekannt, welches Ausmaß staatliche Datensammlungen annehmen können. Damals sprach man vom „permanent record“ – der dauerhaften Speicherung von Informationen über Menschen bei den US-amerikanischen Sicherheitsbehörden.

Was damals noch wie eine dystopische Vision wirkte, ist heute technische Realität: Dank flächendeckender Vernetzung, enormer Speicher- und Rechenleistung ist aus dem permanenten Datensatz ein permanenter Datenstrom geworden, der

„permanent data stream“

Massenüberwachung findet automatisiert und in Echtzeit statt.

Der Beitrag beleuchtet zunächst die Systematik von Datenintegration und Echtzeitverarbeitung und zeigt, wie solche Systeme zur Entscheidungsunterstützung eingesetzt werden. Anschließend werden rechtliche, ethische und demokratietheoretische Fragen diskutiert. Angesprcohen werden grundlegende Probleme automatisierter Entscheidungssysteme wie Automation Bias, algorithmische Diskriminierung und Chilling Effects.

Wissen über Menschen wird dabei zur Ressource staatlicher Macht – mit tiefgreifenden Folgen für Transparenz, individuelle Freiheit und Selbstbestimmung.

Zwar kann anlasslose Massenüberwachung punktuell zur Erhöhung der Sicherheit beitragen, da sie das staatliche Gewaltmonopol stärkt. Die damit verbundene gesellschaftliche Transformation ist jedoch mit Menschenrechten und demokratischen Grundprinzipien unvereinbar.

In einem Überwachungsstaat sind Meinungsfreiheit, Pressefreiheit und demokratische Teilhabe nicht möglich.

„Palantir – das Betriebssystem des Überwachungsstaats“ weiterlesen

Die elektronische Patientenakte (ePA) kommt im Januar – ist ein Opt-Out sinnvoll?

(Aktualisiert am 6.1.2025)

Mit der elektronischen Patientenakte soll die medizinische Versorgung verbessert werden, behandelnde Ärzte sollen Zugriff auf alle Befunde, erfolgte Impfungen und verordnete Medikamente erhalten.

Soweit so gut.

Aber verbessert sich die medizinische Versorgung dadurch wirklich für die Patienten? Und bringt sie genug Vorteile, dass sie sich wirklich lohnt?

„Die elektronische Patientenakte (ePA) kommt im Januar – ist ein Opt-Out sinnvoll?“ weiterlesen

Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie

Im Zusammenhang mit ihrer beruflichen Tätigkeit sind Hinweisgeber („Whistleblower“) nach dem Hinweisgeberschutzgesetz geschützt, wenn sie die Meldestellen nutzen. An Hochschulen können also Beschäftigte und Lehrbeauftragte Hinweise geben, jedoch nicht Studierende.

Vor dem Inkrafttreten des Gesetzes gab es keine rechtsicheren Kanäle, um auf Missstände in Unternehmen und Behörden aufmerksam zu machen. Die Weitergabe von vertraulichen Informationen an die Öffentlichkeit oder Presse ist allerdings weiterhin strafbar, wenn dadurch (Unternehmens-) Geheimnisse offengelegt werden. „Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie“ weiterlesen

Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?

Frage:
Von unserem Bereich wurden im Rahmen von Veranstaltungen und anderen Aktivitäten E-Mail-Adressen von Interessenten erhoben, die wir jetzt für unseren neuen Newsletter verwenden wollen. Ist das datenschutzrechtlich zulässig?

Die kurze Antwort:

Nur dann, wenn eine Einwilligung für den Newsletter erteilt wurde.

Außerdem dürfen Daten nicht länger gespeichert werden als für die ursprüngliche Zweckerfüllung erforderlich ist.

Daten dürfen nicht länger als erforderlich gespeichert werden.

Sofern sie darüber hinaus gespeichert werden, ist das bereits ein Datenschutzverstoss.

Rückfrage:
Gibt es nicht eine Ausnahme für Direktwerbung?

Anwort:
Ja, aber nur in sehr engen Grenzen: Eine weitere Kontaktaufnahme ist nach §7 Absatz 3 UWG zulässig, wenn die E-Mail-Adresse im Zusammenhang mit einem Kauf oder einer Dienstleistung erhoben wurde und auf eigene ähnliche Waren oder Dienstleistungen aufmerksam gemacht werden soll. Die Verwendung für einen Newsletter geht nach üblicher Rechtssprechung darüber hinaus.

Die ausführliche Antwort:

„Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?“ weiterlesen

Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen. Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.

Ziel sollte Sicherheit und Verlässlichkeit sein.

Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

  • einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
  • andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

„Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen“ weiterlesen

Kurzpapier: Einordnung der datenschutzrechtlichen Stellungnahme des behördlichen Datenschutzes

Die Stellungnahme des behördlichen Datenschutzes ist ein zentrales Element für die ordnungsgemäße Umsetzung von Verarbeitungstätigkeiten personenbezogener Daten.

Im Kurzpapier legen wir dar, welche Aufgaben den Verantwortlichen und welche dem behördlichen Datenschutz gesetzlich zugeordnet sind und wie die datenschutzrechtliche Stellungnahme einzuordnen ist.

Weitere Informationen

Digitale Souveränität: Wie sie an Hochschulen gelingen kann

Der Begriff der digitalen Souveränität geistert schon länger durch die Medien, aber was bedeutet es und gibt es bereits Erfolge? Wie tragen auch deutsche Hochschulen dazu bei, diese zu stärken?

Digitale Souveränität bedeutet, nicht abhängig zu sein von einzelnen Anbietern und deren digitalen Produkten, sondern selbst über IT-Systeme und Daten zu bestimmen.

Das Thema wird verstärkt im europäischen und nationalen Kontext angesprochen, da die Politik mittlerweile erkannt hat, dass es großer Anstrengungen bedarf um in der IT unabhängiger von den US-IT-Giganten zu werden. Die Versäumnisse der letzten Jahrzehnte werden daran deutlich, dass weder Verwaltung und  Unternehmen noch die Bürger*innen kaum mehr ohne US-amerikanische Dienste auskommen: Angefangen von Betriebssystemen wie Windows, MacOS und Android über Standardsoftware wie MS Office und Chrome hin zu Cloud-basierten Services wie Social Media oder Videokonferenztools.

Es ist zu befürchten, dass die gewachsene Marktmacht in den nächsten Jahren nicht gebrochen werden kann. Die Frage bleibt, welche Gestaltungsspielräume jetzt und in Zukunft existieren – ob man den Anbietern auf Gedeih und Verderb ausgeliefert ist, so dass diese die Bedingungen diktieren können, oder ob Alternativen bestehen.

Es gibt seit langem Initiativen, in denen eigene Wege beschritten und alternative Angebote entwickelt werden – vornehmlich handelt es sich um Open Source Projekte, die eine größere Verbreitung finden und zumeist spendenbasiert an Qualkität gewinnen und in einigen Fällen gute Substitute für kommerzielle Produkte sind. Die (technischen) Hochschulen können hier mit Ihrer Kompetenz punkten und zur  Verbesserung der Produkte beitragen, indem sie künftig Mittel umschichten und stärker in Open Source Software investieren.

Mit BigBlueButton und Nextcloud sind bereits angegangene Wege zu einer zunehmenden digitalen Souveränität an den Hochschulen sichtbar, die wir näher beschreiben.

„Digitale Souveränität: Wie sie an Hochschulen gelingen kann“ weiterlesen

Online-Whiteboards in der Lehre datenschutzgerecht nutzen

Bereits im Wintersemester 2020/21 haben wir uns zusammen mit engagierten Lehrenden und der Zentraleinrichtung Wissenschaftliche Weiterbildung und Kooperation an der TU (ZEWK) auf die Suche nach datenschutzkonformen Online-Tools begeben.

Insbesondere Whiteboard-Tools werden gern genutzt. Online-Whiteboards eignen sich zur Visualisierung von Abläufen und Zusammenhängen sowie zur Gestaltung digitaler Poster oder Präsentationen. Ein Teilen und kollaboratives Bearbeiten der Boards ist in der Regel möglich.

Die Tools können direkt im Browser aufgerufen werden, einige gibt es auch als App.

Wir haben uns drei Tools (Miro, Conceptboard und Collaboard) näher angesehen und konnten einen der Anbieter sogar motivieren, sein Tool (Collaboard) datenschutzfreundlich anzupassen.

„Online-Whiteboards in der Lehre datenschutzgerecht nutzen“ weiterlesen