Zum Inhalt springen

Datenschutzhinweise

Datenschutzhinweise nach Art. 13, 14 DSGVO anlässlich der Nutzung des Dienstes maKI (LLM-Proxy der Universität Mannheim).

Im Folgenden erfahren Sie, welche personenbezogenen Daten wir zu welchen Zwecken verarbeiten, welche Rechtsgrundlage uns das erlaubt, wie lange wir die Daten verarbeiten, an wen die Daten ggf. weitergegeben werden und welche Rechte Sie geltend machen können.

Verantwortliche:
Universität Mannheim
Schloss
68161 Mannheim
Deutschland
E-Mail: rektor@uni-mannheim.de

Ausführende Stelle:
Universitätsrechenzentrum (URZ)
Universität Mannheim
L 15, 16
68131 Mannheim

Datenschutzbeauftragter:
Jan Morgenstern
Rechtsanwalt und Fachanwalt für IT-Recht
Johannesstraße 30, 67346 Speyer
E-Mail: datenschutzbeauftragter@uni-mannheim.de

maKI ist ein interner LLM-Proxy-Dienst auf Basis von LiteLLM. Er stellt Beschäftigten der Universität Mannheim über eine API Zugang zu lokal betriebenen Sprachmodellen bereit.

Die Universität Mannheim erhebt und verarbeitet Ihre personenbezogenen Daten, um:

  • LLM-Inferenz für dienstliche Zwecke bereitzustellen
  • die Nutzung zu messen und Kapazitäten zu planen
  • den Zugang über API-Schlüssel zu steuern
  • mit Nutzerinnen und Nutzern zu betrieblichen Zwecken zu kommunizieren (Wartungsankündigungen, Störungsmeldungen)

Die Bereitstellung eines API-Schlüssels ist Voraussetzung für die Nutzung des Dienstes. Ohne API-Schlüssel ist kein Zugang möglich. Eine gesetzliche Pflicht zur Bereitstellung personenbezogener Daten besteht nicht; bei Nichtangabe entstehen keine Nachteile außer der Nichtnutzbarkeit des Dienstes.

DatenkategorieBeispiele
API-Schlüssel-ZuordnungSchlüsselname, zugeordnete Person oder Team, E-Mail-Adresse
NutzungsdatenZeitstempel, verwendetes Modell, Token-Anzahl, Kosten pro Anfrage
Monatliche AggregateToken-Summe und Kosten pro Schlüssel, Modell und Monat
ZugriffsprotokolleIP-Adresse, Zeitstempel, angefragter Pfad, HTTP-Statuscode

Der Dienst unterscheidet drei Schlüsseltypen:

  • Personenbezogene Schlüssel — einer einzelnen Person zugeordnet. Nutzungsdaten sind über den Schlüssel indirekt dieser Person zuordenbar.
  • Service-Schlüssel — einer Anwendung oder einem Team zugeordnet, ohne Bezug zu einer einzelnen Person. Nutzungsdaten lassen keinen Rückschluss auf das Verhalten einzelner Beschäftigter zu.
  • Batch-Schlüssel — für Hintergrundaufgaben mit niedriger Priorität, ebenfalls einer Anwendung oder einem Team zugeordnet, ohne Bezug zu einer einzelnen Person.
  • Keine Speicherung von Prompts oder Modellantworten. Die Inhalte Ihrer Anfragen und der generierten Antworten werden nicht protokolliert.
  • Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.

Die erhobenen Nutzungsdaten dienen ausschließlich der Kapazitätsplanung, Kostenverrechnung und dem technischen Betrieb. Eine Verwendung zur Verhaltens- oder Leistungskontrolle von Beschäftigten findet nicht statt.

Die Verarbeitung von personenbezogenen Daten durch die Universität Mannheim ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder die in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e DSGVO i. V. m. Abs. 3 DSGVO i. V. m. § 4 Landesdatenschutzgesetz Baden-Württemberg [LDSG BW]).

Konkret stützt sich die Bereitstellung von maKI auf die gesetzliche Aufgabe der Universität, IT-Infrastruktur für Forschung, Lehre und Verwaltung bereitzustellen.

Die Daten werden ausschließlich direkt bei den betroffenen Personen erhoben — bei der Beantragung eines API-Schlüssels (Name, dienstliche E-Mail-Adresse) sowie bei der Nutzung des Dienstes (Nutzungs- und Zugriffsprotokolle).

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet nicht statt. Die gesamte Verarbeitung erfolgt auf universitätseigener Infrastruktur am Standort Mannheim.

Es werden keine Daten an externe Dienstleister oder in Drittländer übermittelt. Alle für Endnutzerinnen und Endnutzer freigegebenen Modelle laufen lokal auf GPU-Infrastruktur der Universität Mannheim. Ein Auftragsverarbeitungsvertrag mit externen Anbietern besteht nicht.

Darüber hinaus müssen entsprechend der archivrechtlichen Vorschriften Unterlagen vor ihrer Löschung dem Universitätsarchiv angeboten werden; dieses entscheidet über die Übernahme von Unterlagen.

DatenartFrist
Detaillierte Nutzungsdaten12 Monate, danach automatische Aggregation zu Monatssummen
Monatliche AggregateUnbefristet (kein Personenbezug nach Aggregation)
API-Schlüssel-ZuordnungBis zur Deaktivierung + 12 Monate
Zugriffsprotokolle7 Tage (automatische Rotation)

Sie haben das Recht:

  • gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit keine gesetzliche Aufbewahrungspflicht besteht
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen
  • gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren

Bitte wenden Sie sich zur Ausübung Ihrer Betroffenenrechte an:
E-Mail: anfrage.datenschutz@uni-mannheim.de

Aufsichtsbehörde:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

Sofern Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e DSGVO (Datenverarbeitung im öffentlichen Interesse) verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an:
anfrage.datenschutz@uni-mannheim.de

maKI ist ein reiner API-Dienst ohne Web-Oberfläche für Endnutzer. Die API setzt keine Cookies. Die Dokumentationsseite unter maki.uni-mannheim.de/docs setzt ebenfalls keine Cookies und bindet keine externen Dienste, CDNs, Tracking- oder Analyse-Tools ein. Alle Ressourcen (Schriftarten, Stylesheets, Skripte) werden von der universitätseigenen Infrastruktur ausgeliefert.

  • Verschlüsselung aller Verbindungen (TLS)
  • Netzwerksegmentierung (kein direkter Internetzugang der Backend-Systeme)
  • Zugang ausschließlich über API-Schlüssel
  • Regelmäßige Backups mit Restore-Validierung
  • Monitoring und Alerting

Im Betrieb kann optional ein Guardrail aktiviert werden, der eingehende Anfragen vor dem eigentlichen Modellaufruf durch ein lokal betriebenes Klassifikationsmodell prüft, um Anfragen nach personenbezogenen Daten Dritter zu erkennen. Diese Prüfung erfolgt ausschließlich auf universitätseigener Infrastruktur; Anfrageinhalte werden dabei nicht gespeichert. Der Guardrail ist nicht standardmäßig aktiv und kann pro Schlüssel oder Modell zugeschaltet werden.

Bei Fragen zum Datenschutz dieses Dienstes wenden Sie sich an:
Philipp Hematty
E-Mail: philipp.hematty@uni-mannheim.de

Oder an die Servicestelle Datenschutz der Universität Mannheim:
E-Mail: anfrage.datenschutz@uni-mannheim.de