Datenschutzhinweise
Datenschutzhinweise nach Art. 13, 14 DSGVO anlässlich der Nutzung des Dienstes maKI (LLM-Proxy der Universität Mannheim).
Im Folgenden erfahren Sie, welche personenbezogenen Daten wir zu welchen Zwecken verarbeiten, welche Rechtsgrundlage uns das erlaubt, wie lange wir die Daten verarbeiten, an wen die Daten ggf. weitergegeben werden und welche Rechte Sie geltend machen können.
Verantwortliche und Datenschutzbeauftragter
Abschnitt betitelt „Verantwortliche und Datenschutzbeauftragter“Verantwortliche:
Universität Mannheim
Schloss
68161 Mannheim
Deutschland
E-Mail: rektor@uni-mannheim.de
Ausführende Stelle:
Universitätsrechenzentrum (URZ)
Universität Mannheim
L 15, 16
68131 Mannheim
Datenschutzbeauftragter:
Jan Morgenstern
Rechtsanwalt und Fachanwalt für IT-Recht
Johannesstraße 30, 67346 Speyer
E-Mail: datenschutzbeauftragter@uni-mannheim.de
Bezeichnung und Zweck der Datenverarbeitung
Abschnitt betitelt „Bezeichnung und Zweck der Datenverarbeitung“maKI ist ein interner LLM-Proxy-Dienst auf Basis von LiteLLM. Er stellt Beschäftigten der Universität Mannheim über eine API Zugang zu lokal betriebenen Sprachmodellen bereit.
Die Universität Mannheim erhebt und verarbeitet Ihre personenbezogenen Daten, um:
- LLM-Inferenz für dienstliche Zwecke bereitzustellen
- die Nutzung zu messen und Kapazitäten zu planen
- den Zugang über API-Schlüssel zu steuern
- mit Nutzerinnen und Nutzern zu betrieblichen Zwecken zu kommunizieren (Wartungsankündigungen, Störungsmeldungen)
Folgen der Nichtangabe
Abschnitt betitelt „Folgen der Nichtangabe“Die Bereitstellung eines API-Schlüssels ist Voraussetzung für die Nutzung des Dienstes. Ohne API-Schlüssel ist kein Zugang möglich. Eine gesetzliche Pflicht zur Bereitstellung personenbezogener Daten besteht nicht; bei Nichtangabe entstehen keine Nachteile außer der Nichtnutzbarkeit des Dienstes.
Art der Daten
Abschnitt betitelt „Art der Daten“| Datenkategorie | Beispiele |
|---|---|
| API-Schlüssel-Zuordnung | Schlüsselname, zugeordnete Person oder Team, E-Mail-Adresse |
| Nutzungsdaten | Zeitstempel, verwendetes Modell, Token-Anzahl, Kosten pro Anfrage |
| Monatliche Aggregate | Token-Summe und Kosten pro Schlüssel, Modell und Monat |
| Zugriffsprotokolle | IP-Adresse, Zeitstempel, angefragter Pfad, HTTP-Statuscode |
Arten von API-Schlüsseln
Abschnitt betitelt „Arten von API-Schlüsseln“Der Dienst unterscheidet drei Schlüsseltypen:
- Personenbezogene Schlüssel — einer einzelnen Person zugeordnet. Nutzungsdaten sind über den Schlüssel indirekt dieser Person zuordenbar.
- Service-Schlüssel — einer Anwendung oder einem Team zugeordnet, ohne Bezug zu einer einzelnen Person. Nutzungsdaten lassen keinen Rückschluss auf das Verhalten einzelner Beschäftigter zu.
- Batch-Schlüssel — für Hintergrundaufgaben mit niedriger Priorität, ebenfalls einer Anwendung oder einem Team zugeordnet, ohne Bezug zu einer einzelnen Person.
Was wird nicht gespeichert?
Abschnitt betitelt „Was wird nicht gespeichert?“- Keine Speicherung von Prompts oder Modellantworten. Die Inhalte Ihrer Anfragen und der generierten Antworten werden nicht protokolliert.
- Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.
Zweckbindung der Nutzungsdaten
Abschnitt betitelt „Zweckbindung der Nutzungsdaten“Die erhobenen Nutzungsdaten dienen ausschließlich der Kapazitätsplanung, Kostenverrechnung und dem technischen Betrieb. Eine Verwendung zur Verhaltens- oder Leistungskontrolle von Beschäftigten findet nicht statt.
Rechtsgrundlage
Abschnitt betitelt „Rechtsgrundlage“Die Verarbeitung von personenbezogenen Daten durch die Universität Mannheim ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder die in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e DSGVO i. V. m. Abs. 3 DSGVO i. V. m. § 4 Landesdatenschutzgesetz Baden-Württemberg [LDSG BW]).
Konkret stützt sich die Bereitstellung von maKI auf die gesetzliche Aufgabe der Universität, IT-Infrastruktur für Forschung, Lehre und Verwaltung bereitzustellen.
Quelle der Daten
Abschnitt betitelt „Quelle der Daten“Die Daten werden ausschließlich direkt bei den betroffenen Personen erhoben — bei der Beantragung eines API-Schlüssels (Name, dienstliche E-Mail-Adresse) sowie bei der Nutzung des Dienstes (Nutzungs- und Zugriffsprotokolle).
Empfänger
Abschnitt betitelt „Empfänger“Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet nicht statt. Die gesamte Verarbeitung erfolgt auf universitätseigener Infrastruktur am Standort Mannheim.
Es werden keine Daten an externe Dienstleister oder in Drittländer übermittelt. Alle für Endnutzerinnen und Endnutzer freigegebenen Modelle laufen lokal auf GPU-Infrastruktur der Universität Mannheim. Ein Auftragsverarbeitungsvertrag mit externen Anbietern besteht nicht.
Darüber hinaus müssen entsprechend der archivrechtlichen Vorschriften Unterlagen vor ihrer Löschung dem Universitätsarchiv angeboten werden; dieses entscheidet über die Übernahme von Unterlagen.
Dauer der Speicherung
Abschnitt betitelt „Dauer der Speicherung“| Datenart | Frist |
|---|---|
| Detaillierte Nutzungsdaten | 12 Monate, danach automatische Aggregation zu Monatssummen |
| Monatliche Aggregate | Unbefristet (kein Personenbezug nach Aggregation) |
| API-Schlüssel-Zuordnung | Bis zur Deaktivierung + 12 Monate |
| Zugriffsprotokolle | 7 Tage (automatische Rotation) |
Ihre Rechte als Betroffene der Datenverarbeitung
Abschnitt betitelt „Ihre Rechte als Betroffene der Datenverarbeitung“Sie haben das Recht:
- gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen
- gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen
- gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit keine gesetzliche Aufbewahrungspflicht besteht
- gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen
- gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren
Bitte wenden Sie sich zur Ausübung Ihrer Betroffenenrechte an:
E-Mail: anfrage.datenschutz@uni-mannheim.de
Aufsichtsbehörde:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de
Widerspruchsrecht
Abschnitt betitelt „Widerspruchsrecht“Sofern Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e DSGVO (Datenverarbeitung im öffentlichen Interesse) verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an:
anfrage.datenschutz@uni-mannheim.de
Cookies und externe Dienste
Abschnitt betitelt „Cookies und externe Dienste“maKI ist ein reiner API-Dienst ohne Web-Oberfläche für Endnutzer. Die API setzt keine Cookies. Die Dokumentationsseite unter maki.uni-mannheim.de/docs setzt ebenfalls keine Cookies und bindet keine externen Dienste, CDNs, Tracking- oder Analyse-Tools ein. Alle Ressourcen (Schriftarten, Stylesheets, Skripte) werden von der universitätseigenen Infrastruktur ausgeliefert.
Technische und organisatorische Maßnahmen
Abschnitt betitelt „Technische und organisatorische Maßnahmen“- Verschlüsselung aller Verbindungen (TLS)
- Netzwerksegmentierung (kein direkter Internetzugang der Backend-Systeme)
- Zugang ausschließlich über API-Schlüssel
- Regelmäßige Backups mit Restore-Validierung
- Monitoring und Alerting
Optionale Inhaltsprüfung (Guardrail)
Abschnitt betitelt „Optionale Inhaltsprüfung (Guardrail)“Im Betrieb kann optional ein Guardrail aktiviert werden, der eingehende Anfragen vor dem eigentlichen Modellaufruf durch ein lokal betriebenes Klassifikationsmodell prüft, um Anfragen nach personenbezogenen Daten Dritter zu erkennen. Diese Prüfung erfolgt ausschließlich auf universitätseigener Infrastruktur; Anfrageinhalte werden dabei nicht gespeichert. Der Guardrail ist nicht standardmäßig aktiv und kann pro Schlüssel oder Modell zugeschaltet werden.
Kontakt
Abschnitt betitelt „Kontakt“Bei Fragen zum Datenschutz dieses Dienstes wenden Sie sich an:
Philipp Hematty
E-Mail: philipp.hematty@uni-mannheim.de
Oder an die Servicestelle Datenschutz der Universität Mannheim:
E-Mail: anfrage.datenschutz@uni-mannheim.de