Datenschutzhinweis
Datenschutzerklärung für Image-AI | Privacy Notice
Our binding Privacy Notice is in German. A non-binding English translation might be published soon for your convenience.
I. Verantwortlich für die Datenverarbeitung
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Burckhardtweg 4
37077 Göttingen
Deutschland
Tel: +49 (0) 551 39-30001
E-Mail: support@gwdg.de
Website: www.gwdg.de
II. Ansprechpartner / Datenschutzbeauftragter
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Datenschutzbeauftragter
Burckhardtweg 4
37077 Göttingen
Deutschland
Tel: +49 (0) 551 39-30001
E-Mail: support@gwdg.de
III. Beschreibung und Umfang der Datenverarbeitung
Geltungsbereich im Falle individueller Vereinbarungen
Im Falle eines Konflikts zwischen diesen Datenschutzbestimmungen und den Bedingungen einer bzw. mehrerer Vereinbarung(en), z.B. einem mit der GWDG geschlossenem Auftragsverarbeitungsvertrags, zwischen sind stets die Bedingungen dieser Vereinbarung(en) ausschlaggebend. Kardinalpflichten genießen stets Vorrang vor diesen allgemeinen Bestimmungen. Sie können im Zweifelsfall bei Ihrem Institut in Erfahrung bringen, welche Datenschutzrichtlinien für Sie gelten.
Übersicht über den Service
ImageAI ist ein KI-basierter Bild Generierungsdienst. Die HPC-Architektur (High Performance Computing) wird durch den ImageAI-Dienst genutzt, der das FLUX.1 [schnell] Modell, um Bilder aus Benutzerdaten zu generieren. Die Benutzerdaten bleiben sicher. Die benutzerfreundliche Weboberfläche ermöglicht es den Nutzern, den Dienst sehr intuitiv zu nutzen und das gewünschte Bild sehr schnell zu erstellen.
Die Hauptkomponente dieses Dienstes ist die Bilderzeugung, auf die über die Weboberfläche zugegriffen werden kann.
Benutzerauthentifizierung erfolgt über SSO. Der Datenschutz und die Sicherheit Aspekte dieses internen Dienstes sind entscheidend, da sie die GWDG Clusters für Inferenz nutzen.
Nutzung der Image-AI Webseite
Bei jedem Aufruf von https://image-ai.academiccloud.de/ erfasst das System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.
Folgende Daten werden hierbei in jedem Fall erhoben:
- Datum des Zugriffs
- Name des auf dem zugreifenden Gerät installierten Betriebssystems
- Name des verwendeten Browsers
- Quellsystem, über welches der Zugriff erfolgt ist
- Die IP-Adresse des zugreifenden Geräts
Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.
Sämtliche im Browser angezeigten Daten von Image-AI werden nur Clientseitig im Browser der Nutzenden vorgehalten und nur bei der Benutzer-gewünschten Anfrage für die notwendige Verarbeitung an die Server übermittelt, d.h. während die Daten von den Backend-Modellen verarbeitet werden. Nach dem Ende einer Session im Browser sind keine Eingaben des Nutzers mehr vorhanden.
Einrichten von Accounts
Beim Erstellen eines Kontos wird das so genannte „Double-Opt-In“-Verfahren verwendet. Das bedeutet, dass wir Ihnen nach Ihrer Anmeldung eine E-Mail an die von Ihnen angegebene E-Mail-Adresse senden, die einen Link enthält, den Sie aufrufen müssen, um die Einrichtung dieses Kontos zu bestätigen.
Bei der Einrichtung eines Kontos werden neben den oben genannten Daten auch folgende Daten gespeichert:
- E-Mail Adresse
- Name und Vorname
- Mobiltelefonnummer (falls angegeben)
- Datum und Uhrzeit der Anmeldung und Bestätigung
Die folgenden Daten können optional von Ihnen nach Erstellung des Kontos angegeben werden:
- Zusätzliche E-Mail Adresse(n)
- Anrede und Titel
- Geburtsdatum
- Zusätzliche Telefonnummer(n)
- Postanschrift(en)
- Sicherheitsspezifische Einstellungen (Sicherheitsfragen und -antworten; Zwei-Faktor-Authentifizierung)
Bei jedem Einloggen mit einem bestehenden Konto auf unserer Website erhebt unser System automatisch weitere Daten auf der Grundlage der zuvor genannten Informationen. Die folgenden Daten werden bei Aktionen im eingeloggten Zustand erhoben:
- Datum des Zugriffs
- Zweck oder Aktion auf der Website (z.B. Ändern/Neusetzen von Passwörtern; fehlgeschlagene Anmeldeversuche usw.)
- Name des auf dem zugreifenden Gerät installierten Betriebssystems
- Name des verwendeten Browsers
- Quellsystem, über das der Zugriff erfolgt ist
- Die IP-Adresse des zugreifenden Geräts, wobei die letzten beiden Bytes vor dem ersten Speicherplatz maskiert werden (Beispiel: 192.168.xxx.xxx). Die abgekürzte IP-Adresse kann nicht mit dem zugreifenden Computer in Verbindung gebracht werden.
- Eine Schätzung des Standorts des zugreifenden Clients auf der Grundlage der IP-Adresse
IV. Zweck der Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist.
Die Aufnahme von Nutzereingaben über unsere Website und die Verarbeitung von User-Inputs auf unserem HPC- System ist notwendig, um mit dem gewählten Image AI Service eine Antwort generieren zu können.
Die Speicherung in Logfiles erfolgt, um die Funktionalität der Website zu gewährleisten. Darüber hinaus helfen uns die Daten, die Website zu optimieren und die Sicherheit unserer IT-Systeme zu gewährleisten. Eine Nutzung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.
Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
V. Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.
VI. Aufbewahrungzeitraum und Unbedingt erforderliche Daten
Die Eingaben werden nur während des eigentlichen Inferenzprozesses auf dem GWDG-Server gespeichert. Nach Beendigung einer Sitzung im Browser sind die Eingaben des Nutzers nicht mehr verfügbar. Darüber hinaus wird ein Log angelegt, das die Anzahl der Anfragen pro Nutzer und die jeweiligen Zeitstempel enthält. Die Logs werden nach den Richtlinien der GWDG für ein Jahr gespeichert.
Die Sammlung von Daten für die Bereitstellung der Website und die Speicherung der Daten in Log-Files ist für den Betrieb der Website unbedingt erforderlich. Folglich gibt es keine Möglichkeit für den Nutzer zu widersprechen.
VII. Rechte der betroffenen Personen
Ihnen stehen verschiedene Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu. Nachfolgend sind diese aufgeführt, zusätzlich sind Verweise auf die Artikel (DSGVO) bzw. Paragraphen (BDSG (2018)) mit detaillierteren Informationen angegeben.
Auskunftsrecht (DSGVO Art. 15, BDSG §34)
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden. Dies schließt das Recht ein, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden.
Recht auf Berichtigung (DSGVO Art. 16)
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
Recht auf Löschung / „Recht auf Vergessen werden“ / Recht auf Einschränkung der Verarbeitung (DSGVO Art. 17, 18, BDSG §35)
Sie haben das Recht, die unverzügliche Löschung ihrer personenbezogenen Daten vom Verantwortlichen zu verlangen. Alternativ können Sie die Einschränkung der Verarbeitung vom Verantwortlichen verlangen. Einschränkungen sind in der DSGVO und dem BDSG unter den genannten Artikeln bzw. Paragraphen genannt.
Recht auf Unterrichtung (DSGVO Art. 19)
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
Recht auf Datenübertragbarkeit (DSGVO Art. 20)
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Ergänzend zur DSGVO ist festzustellen, dass sich die Datenübertragbarkeit bei Massendaten / Nutzerdaten ausschließlich auf die technische Lesbarkeit beschränkt. Das Recht auf Datenübertragbarkeit umfasst nicht, dass die vom Nutzer in einem proprietären Format erstellen Daten vom Verantwortlichen in ein “gängiges”, d.h. standardisiertes Format konvertiert werden.
Widerspruchsrecht (DSGVO Art. 21, BDSG §36)
Sie haben das Recht, Widerspruch gegen die Verarbeitung einzulegen, wenn diese ausschließlich auf Basis einer Abwägung des Verantwortlichen geschieht (vgl. DSGVO Art. 6 Abs. 1 lit f).
Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (DSGVO Art. 7 Abs. 3)
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Recht auf Beschwerde bei einer Aufsichtsbehörde (DSGVO Art. 77)
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Landesbeauftragte für den Datenschutz Niedersachsen
Postfach 221, 30002 Hannover
E-Mail: poststelle@lfd.niedersachsen