Leitlinien zum verantwortungsvollen Einsatz von Künstlicher Intelligenz (KI) an der Universität Greifswald
Teilaspekt: Datenschutz und Informationssicherheit | Stand: April 2026
Zweck und Geltungsbereich
Diese Leitlinien dienen als Orientierung und praktische Hilfestellung für den verantwortungsvollen Einsatz von Künstlicher Intelligenz an der Universität Greifswald. Sie richten sich an alle Mitglieder der Universität Greifswald, die KI-basierte Systeme oder Anwendungen nutzen, entwickeln oder beauftragen.
Ziel ist es, einen rechtssicheren, transparenten und sicheren Umgang mit KI zu fördern und insbesondere Anforderungen aus dem Datenschutz, der Informationssicherheit, dem Forschungsdatenmanagement sowie dem sicheren Umgang mit Zugangsdaten zu berücksichtigen. Die Leitlinien orientieren sich dabei an den einschlägigen rechtlichen Vorgaben, insbesondere an der Datenschutz-Grundverordnung (DSGVO), den Anforderungen an die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO, den Vorgaben zur IT- und Informationssicherheit, der Ordnung des Universitätsrechenzentrums sowie den Regelungen des EU-KI-Acts. Sie konkretisiert die bestehenden gesetzlichen Anforderungen für den praktischen Arbeitsalltag, ohne eine individuelle rechtliche Prüfung zu ersetzen.
Diese Leitlinien werden fortlaufend überprüft, an technische, rechtliche und organisatorische Entwicklungen angepasst und entsprechend kommuniziert. Dessen ungeachtet sind bei der Nutzung von KI die einschlägigen rechtlichen Regelungen in ihrer jeweils geltenden Fassung zu beachten.
Grundprinzipien für den KI Einsatz
Transparenz | Beim Einsatz von KI ist auf eine den Umständen angemessene Transparenz zu achten. Soweit für einzelne Einsatzgebiete konkrete Festlegungen zur Kenntlichmachung des Einsatzes von KI bestehen, sind diese zu beachten (bspw. Eigenständigkeitserklärung für Abschlussarbeiten).
Menschliche Verantwortung | KI unterstützt den Menschen lediglich. Nutzende tragen jederzeit weiterhin die Verantwortung für Entscheidungen, Inhalte und Dokumente, die mithilfe von KI entstanden sind.
Schutz von Daten und Personen | Die Verarbeitung personenbezogener Daten unter Verwendung von KI ist nur zulässig, wenn für die Verarbeitung die nach § 6 DSGVO erforderliche Rechtsgrundlage besteht und sich der konkrete Einsatz von KI im Rahmen der zulässigen Verarbeitungszwecke bewegt. Darüber hinaus muss jede Nut-zung von KI in Forschung, Lehre und Verwaltung sicherstellen, dass keine vertraulichen Informationen der Universität an Dritte gelangen. Das betrifft zum Beispiel interne Strategien, sensible Vertragsdaten und hochschulinterne Informationen.
Erlaubte und nicht erlaubte Nutzung von KI
Die Nutzung der universitätsinternen KI (AppHubAI) ist grundsätzlich uneingeschränkt gestattet, da diese im Gegensatz zu externen Tools nicht durch Eingaben (Prompts) der Nutzenden weiterlernt. Folglich werden die Inhalte und Daten nicht zum Training der KI verwendet und gelangen nicht an Dritte. Bei der Verwendung personenbezogener Daten ist gleichwohl - wie stets - zu beachten, dass sich der Einsatz von KI im Rahmen des Verarbeitungszwecks, zu dem die jeweiligen Daten erhoben wurden, bewegen muss.
Bei der Nutzung von universitätsexterner KI ist darauf zu achten, dass keine personenbezogenen und/oder vertraulichen Daten preisgegeben werden. Beispiele für eine zulässige Nutzung, sofern nicht fachspezifisch besondere Regelungen gelten:
Formulierungsunterstützung: Überarbeiten oder Vereinfachen von Texten, sofern nur neutrale, nicht vertrauliche und/oder personenbezogene Inhalte eingegeben werden.
Ideensammlung: Vorschläge für Präsentationen, Veranstaltungsplanung oder Prozessoptimierungen.
Erklärung technischer oder fachlicher Konzepte ohne konkrete personenbezogene und/oder vertrauliche Bezüge.
Entwürfe für interne Schulungen, wenn ausschließlich öffentliche oder anonymisierte Informationen verwendet werden.
Erstellung allgemeiner Checklisten oder Prozessbeschreibungen, solange keine vertraulichen und/oder personenbezogenen Details genannt werden.
Nicht erlaubt ist die Eingabe vertraulicher und/oder personenbezogener Daten in universitätsexterne KI‑Dienste. Dazu zählen u. a.:
Personal- oder Bewerbungsunterlagen (Namen, Adressen, Leistungsbeurteilungen etc.)
Daten zu Studierenden (bspw. Prüfungsangelegenheiten, Krankheit, Behinderung oder Betreuung)
Vertragsentwürfe mit sensiblem Inhalt, Rechnungssachverhalte, interne Kalkulationen
Informationen aus internen Systemen
interne oder vertrauliche E‑Mails
strategische Entscheidungsprozesse, Projektbewertungen
Dies gilt auch, wenn die Eingabe von vertraulichen und/oder personenbezogenen universitätsinternen Informationen in KI‑Dienste auf privaten Geräten erfolgt, selbst wenn diese für dienstliche Zwecke genutzt werden.
Zulässig:
„Formuliere folgenden allgemeinen Satz höflicher: Bitte beachten Sie die Frist.“
„Erstelle eine Checkliste für eine typische Büroraum-Übergabe“ ohne Nennung von Personen oder internen Informationen.
„Erkläre den Unterschied zwischen authentifizierten und anonymen Webzugängen.“
Nicht zulässig:
„Bitte bewerte die Bewerbung von Frau X anhand dieser Zeugnisse.“
„Fasse dieses interne Protokoll zusammen.“ (mit vertraulichen Inhalten)
„Erstelle eine Antwort auf diese E-Mail.“ (wenn personenbezogene oder interne Details enthalten sind)
„Analysiere diesen Vertrag/Mittelverteilung/Personaldatensatz.“
IT Sicherheit
Grundsatz | An der Universität gibt es keine allgemeine dienstliche Notwendigkeit, KI zu nutzen. Die Nutzung von KI basiert ausschließlich auf Freiwilligkeit und erfolgt in Eigenverantwortung der Mitglieder.
Kennwort- und Zugangsdaten-Sicherheit | Mitarbeitende tragen die vollständige Verantwortung für die Sicherheit ihrer persönlichen Zugangsdaten. Ergänzend zu den Bestimmungen zum Umgang mit Kennwort- und Zugangsdaten in § 6 Abs. 2 Nr. 2 bis 4 der Ordnung des Universitätsrechenzentrums gilt:
Niemals Kennwort oder Kennwortbestandteile des zentralen Nutzeraccounts in KI‑Diensten verwenden.
Kennwörter müssen stark, einzigartig und geschützt sein.
Zugangsdaten dürfen nicht in Dokumenten gespeichert oder weitergegeben werden.
Zuständigkeiten und Support
Für Fragen stehen zur Verfügung:
IT‑Sicherheitsbeauftragte*r
Datenschutzbeauftragte*r/Referent*in für Datenschutzmanagement
Universitätsrechenzentrum und Chief Information Officer (CIO)
Verstöße
Zuwiderhandlungen gegen datenschutz- und informationssicherheitstechnische Bestimmungen können arbeits- bzw. dienstrechtliche sowie organisatorische Konsequenzen (zum Beispiel den vorübergehenden oder dauerhaften Ausschluss von der Nutzung der IT-Systeme des Universitätsrechenzentrum gemäß § 7 der Ordnung des Universitätsrechenzentrums) nach sich ziehen.