DSGVO und Studierendendaten: vollständiger Leitfaden für Hochschulen

Die DSGVO gilt für jede Information, die Ihre Hochschule über Studieninteressierte oder Studierende erhebt

Seit dem 25. Mai 2018 regelt die Datenschutz-Grundverordnung (DSGVO — Verordnung 2016/679) sämtliche Verarbeitungen personenbezogener Daten in der Europäischen Union. Für eine Hochschule umfasst das einen weit größeren Bereich als Einschreibungsunterlagen: Kontaktformulare, Chatbot-Interaktionen, Website-Analytics, Infotag-Anmeldungen, Prüfungsergebnisse, Gesundheitsdaten und selbst Fotografien von Campus-Veranstaltungen.

Verstöße sind kein theoretisches Risiko. 2025 haben der BfDI und mehrere Landesdatenschutzbeauftragte Bußgelder gegen Bildungseinrichtungen wegen fehlender Rechtsgrundlage und übermäßiger Datenerhebung verhängt. Der Bußgeldrahmen — 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — schärft die Aufmerksamkeit.

Dieser Leitfaden behandelt die konkreten Pflichten für private Hochschulen: Datenkategorien, Rechtsgrundlagen, Einwilligung, Betroffenenrechte, DSB-Pflichten und die Auswirkungen der KI-Verordnung auf Zulassungs-Tools und Chatbots.

Kategorien personenbezogener Daten an einer Hochschule

Daten von Studieninteressierten (vor der Einschreibung)

Die vor der Einschreibung erhobenen Daten bilden den ersten DSGVO-Perimeter einer Hochschule:

• Identifikationsdaten — Name, E-Mail-Adresse, Telefonnummer, erhoben über Kontaktformulare, Chatbot oder Infotag-Anmeldung
• Navigationsdaten — besuchte Seiten, Verweildauer, Akquisitionsquelle, erfasst durch Google Analytics oder vergleichbare Tools
• Gesprächsdaten — im Chatbot gestellte Fragen, Gesprächsverlauf, verwendete Sprache
• Bewerbungsdaten — Lebenslauf, Motivationsschreiben, Zeugnisse, Ausweisdokumente

89 % der Studieninteressierten fragen nach Studiengebühren und 78 % erkundigen sich nach dualen Studienmodellen (Quelle: Analyse von 12.000 Skolbot-Chatbot-Gesprächen, Sept. 2025 — Feb. 2026). Diese Austausche gelten als personenbezogene Daten, sobald ein Identifikator (Name, E-Mail) mit dem Gespräch verknüpft ist.

Daten eingeschriebener Studierender

Nach der Einschreibung erzeugen Studierende ein deutlich größeres Datenvolumen:

• Akademische Daten — Noten, Anwesenheit, Studienfortschritt, Abschlusszeugnisse
• Finanzdaten — Studiengebühren, Zahlungspläne, Stipendien
• Campus-Daten — Gebäudezugang (Chipkarte), Mensa, Partnerunterkunft
• Besondere Kategorien — Behinderung, soziale Situation, Gesundheitsdaten (Campus-Gesundheitsdienst)

Besondere Kategorien personenbezogener Daten (Artikel 9 DSGVO) erfordern verstärkte Schutzmaßnahmen: spezifische Rechtsgrundlage, strenge Zugangsbeschränkung und Verbot automatisierter Entscheidungsfindung außer in ausdrücklich vorgesehenen Ausnahmen.

Alumni-Daten

Die Verarbeitung von Alumni-Daten (Verzeichnis, Spenden, Netzwerk-Events) erfordert eine eigene Rechtsgrundlage, die sich von der während des Studiums verwendeten unterscheidet. Die Einwilligung zur Einschreibung deckt nicht automatisch die Nachbetreuung ab.

Anwendbare Rechtsgrundlagen im Hochschulbereich

Die 6 Rechtsgrundlagen der DSGVO und ihre Anwendung auf Hochschulen

Die DSGVO (Artikel 6) definiert sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Im Hochschulbereich werden vier vorrangig genutzt:

• Vertragserfüllung (Artikel 6 Abs. 1 lit. b) — Die stärkste Grundlage für Daten im Zusammenhang mit Einschreibung, Studium und Abrechnung. Der Studienvertrag rechtfertigt die Verarbeitung der für seine Erfüllung erforderlichen Daten.

• Berechtigtes Interesse (Artikel 6 Abs. 1 lit. f) — Anwendbar auf Rekrutierungsmarketing (Broschürenversand, Nachfassaktionen) und Website-Analytics. Erfordert einen dokumentierten Abwägungstest: Das Interesse der Hochschule darf die Rechte der betroffenen Person nicht überwiegen. Der EDPB empfiehlt eine formale Dokumentation dieser Abwägung für jede Verarbeitung.

• Einwilligung (Artikel 6 Abs. 1 lit. a) — Erforderlich für Marketing-Newsletter, nicht-essenzielle Cookies und die Weitergabe von Daten an Partner. Die Einwilligung muss freiwillig, bestimmt, informiert und unmissverständlich sein. Ein Kontaktformular mit vorausgefülltem Häkchen „Ich möchte Informationen erhalten" stellt keine gültige Einwilligung dar.

• Rechtliche Verpflichtung (Artikel 6 Abs. 1 lit. c) — Betrifft die Datenübermittlung an Behörden (Kultusministerien, hochschulstart.de, Akkreditierungsrat) und die Aufbewahrung von Abschlusszeugnissen über gesetzlich vorgeschriebene Fristen.

Häufiger Fehler: Einwilligung als Standard-Rechtsgrundlage

Viele Hochschulen verwenden die Einwilligung als alleinige Rechtsgrundlage für alle Verarbeitungen. Das ist ein strategischer Fehler. Die Einwilligung ist jederzeit widerrufbar (Artikel 7 Abs. 3), sodass die Hochschule bei einem Widerruf das Recht verliert, die Daten zu verarbeiten — einschließlich der für das Studium notwendigen Daten.

Der richtige Ansatz: Vertragserfüllung für studienbezogene Verarbeitungen, rechtliche Verpflichtung für behördliche Meldungen, berechtigtes Interesse für Rekrutierung (mit dokumentiertem Abwägungstest), und Einwilligung ausschließlich für Marketing und Cookies.

Einwilligung im Bildungskontext

Einwilligung Minderjähriger

Die DSGVO (Artikel 8) setzt die Schwelle für die digitale Einwilligung bei 16 Jahren an. In Deutschland gilt ebenfalls 16 Jahre. Für die meisten Hochschul-Studiengänge sind die Studieninteressierten volljährig, aber duale Studiengänge und Berufsakademien nehmen teils Minderjährige auf.

Für minderjährige Studieninteressierte: Die Einwilligung der Eltern oder Erziehungsberechtigten ist für jede einwilligungsbasierte Verarbeitung erforderlich (Marketing-Newsletter, Marketing-Cookies). Formulare müssen einen Verifizierungsmechanismus vorsehen (Eltern-E-Mail, Double-Opt-in).

Einwilligung und KI-Chatbot

Ein KI-Chatbot, der personenbezogene Daten erhebt, muss die Studieninteressierten vor Gesprächsbeginn informieren:

• Dass sie mit einer künstlichen Intelligenz interagieren (Transparenzpflicht KI-Verordnung, Artikel 52)
• Welche Daten zu welchem Zweck erhoben werden
• Wie sie ihre Rechte ausüben können (Auskunft, Berichtigung, Löschung)
• Wie lange Gespräche gespeichert werden

Ein Informationsbanner beim Chatbot-Start mit Link zur Datenschutzerklärung erfüllt diese Pflicht. Der Chatbot darf den Zugang zu Informationen nicht von der Angabe personenbezogener Daten abhängig machen: Studieninteressierte müssen Fragen zu Studiengängen stellen können, ohne ihren Namen oder ihre E-Mail-Adresse anzugeben.

Betroffenenrechte

Die 8 Rechte, die Ihre Hochschule gewährleisten muss

Die DSGVO verleiht betroffenen Personen (Studieninteressierte, Studierende, Alumni) acht Grundrechte. Ihre Hochschule muss über operative Verfahren verfügen, um jedes innerhalb eines Monats zu beantworten:

• Auskunftsrecht (Artikel 15) — Studierende können eine Kopie aller über sie gespeicherten Daten anfordern.
• Recht auf Berichtigung (Artikel 16) — Korrektur unrichtiger oder unvollständiger Daten.
• Recht auf Löschung (Artikel 17) — Das „Recht auf Vergessenwerden". Eingeschränkt durch gesetzliche Aufbewahrungspflichten (Zeugnisse, Buchhaltung).
• Recht auf Einschränkung (Artikel 18) — Sperrung der Verarbeitung bei Anfechtung.
• Recht auf Datenübertragbarkeit (Artikel 20) — Übertragung der Daten in strukturiertem Format an eine andere Einrichtung.
• Widerspruchsrecht (Artikel 21) — Ablehnung der Verarbeitung auf Basis berechtigter Interessen, einschließlich Marketing-Profiling.
• Recht, keiner automatisierten Entscheidung unterworfen zu werden (Artikel 22) — Grundlegend für Zulassungstools mit KI.
• Recht auf Widerruf der Einwilligung (Artikel 7 Abs. 3) — Jederzeit, ohne Begründung.

Kaskadenlöschung: eine technische Herausforderung

Wenn Studieninteressierte ihr Löschungsrecht ausüben, müssen alle sie betreffenden Daten aus sämtlichen Systemen entfernt werden: CRM, Chatbot, E-Mail-Tool, namentliche Analytics, Backups. Die Akquisitionskosten pro eingeschriebener Studierender liegen in Deutschland zwischen 2.200 und 3.000 EUR (Quelle: Schätzungen auf Basis von EAIE, StudyPortals, EAB, DAAD-Daten). Jeder Löschantrag stellt daher einen Marketing-Investitionsverlust dar — umso mehr Grund, die Datenerhebung von Anfang an zu minimieren.

Die Löschung muss innerhalb eines Monats wirksam sein. Ein dokumentierter Kaskadenlöschungsprozess, der regelmäßig getestet wird, ist unerlässlich.

Der DSB: Rolle und Pflichten für Hochschulen

Wann ist die Benennung eines DSB verpflichtend?

Die DSGVO (Artikel 37) macht die Benennung eines Datenschutzbeauftragten (DSB) verpflichtend, wenn die Verarbeitung durch eine öffentliche Stelle erfolgt oder wenn die Kerntätigkeit des Verantwortlichen eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen erfordert.

Für eine private Hochschule betrachten die deutschen Datenschutzaufsichtsbehörden die Verarbeitung von Daten hunderter oder tausender Studierender als umfangreiche Verarbeitung. Die Benennung eines DSB ist daher in der Praxis nahezu ausnahmslos erforderlich. Zusätzlich schreibt das BDSG (§ 38) die Benennung eines DSB vor, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Interner oder externer DSB?

Beide Optionen sind zulässig. Ein interner DSB kennt die Prozesse der Hochschule besser, läuft aber Gefahr eines Interessenkonflikts, wenn er gleichzeitig eine Entscheidungsfunktion ausübt (IT-Leitung, Rechtsabteilung). Ein externer DSB bringt Spezialexpertise und garantierte Unabhängigkeit mit, benötigt aber Einarbeitungszeit in die Besonderheiten des Hochschulbetriebs.

Der DSB muss direkten Zugang zur Hochschulleitung haben, darf wegen seiner Aufgabenerfüllung nicht benachteiligt werden und muss über ausreichende Ressourcen verfügen (Budget, Zeit, Tools).

Die KI-Verordnung und ihre Auswirkungen auf Hochschulen

Klassifizierung von KI-Systemen in der Bildung

Die KI-Verordnung der EU (Verordnung 2024/1689) klassifiziert Systeme künstlicher Intelligenz nach Risikoniveau. Für den Hochschulbereich sind zwei Kategorien relevant:

Hohes Risiko (Anhang III) — KI-Systeme für Zulassung, Bewerbungsbewertung oder automatisierte Prüfungsbewertung werden als hochriskant eingestuft. Sie erfordern:

• Ein dokumentiertes Risikomanagementsystem
• Qualitativ hochwertige, repräsentative und verzerrungsfreie Trainingsdaten
• Wirksame menschliche Aufsicht (KI empfiehlt, Mensch entscheidet)
• Vollständige Transparenz gegenüber betroffenen Personen
• Registrierung in der europäischen Datenbank für KI-Hochrisikosysteme

Begrenztes Risiko (Artikel 52) — Informations-Chatbots vor der Zulassung fallen unter begrenztes Risiko. Die Hauptpflicht ist Transparenz: Studieninteressierte müssen wissen, dass sie mit einer KI interagieren. Keine Konformitätsbewertung, keine Registrierung, aber eine klare Informationspflicht.

Zeitplan der Inkraftsetzung

Die KI-Verordnung tritt schrittweise in Kraft. Die Verbote für Systeme mit unannehmbarem Risiko gelten seit Februar 2025. Die Pflichten für Hochrisikosysteme gelten vollständig ab August 2026. Hochschulen, die KI-Tools für die Vorauswahl von Bewerbungen einsetzen, müssen sich jetzt vorbereiten.

Länderspezifische Pflichten

Deutschland — BfDI und Landesbehörden

Der BfDI überwacht den Datenschutz auf Bundesebene, doch jedes Bundesland verfügt über eine eigene Aufsichtsbehörde für den Bildungsbereich. Die Landesdatenschutzbeauftragten wenden teils divergierende Auslegungen an, was die Compliance für Hochschulen mit mehreren Standorten in verschiedenen Bundesländern erschwert.

Zusätzliche Besonderheiten im deutschen Recht:

• BDSG § 38: DSB-Pflicht ab 20 Personen in automatisierter Datenverarbeitung
• Landeshochschulgesetze enthalten eigene Datenschutzregelungen
• Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) veröffentlicht bildungsspezifische Orientierungshilfen

Frankreich — CNIL

Die CNIL ist die französische Aufsichtsbehörde. Über die DSGVO hinaus sieht das Loi Informatique et Libertés zusätzliche Pflichten vor, darunter die digitale Einwilligung ab 15 Jahren (statt 16 in der DSGVO) und verschärfte Cookie-Anforderungen.

Spanien — AEPD

Die AEPD hat bildungsspezifische Leitfäden veröffentlicht, einschließlich Richtlinien zur Nutzung digitaler Plattformen im Unterricht und zur Bildaufnahme in Bildungseinrichtungen.

Niederlande — AP

Die AP (Autoriteit Persoonsgegevens) widmet dem niederländischen Bildungssektor besondere Aufmerksamkeit. Bußgelder wurden gegen Einrichtungen wegen der Nutzung von Online-Prüfungsüberwachungssoftware (Proctoring) ohne angemessene Rechtsgrundlage verhängt.

Portugal — CNPD

Die CNPD wendet die DSGVO im Rahmen des Gesetzes 58/2019 an. Portugiesische Einrichtungen müssen besonderes Augenmerk auf die Aufbewahrung von Absolventendaten legen, die durch nationale gesetzliche Fristen geregelt ist.

Vereinigtes Königreich — ICO

Das ICO setzt die UK GDPR nach dem Brexit durch. Europäische Hochschulen, die im Vereinigten Königreich rekrutieren, müssen den Datentransfer als internationalen Transfer behandeln, mit den entsprechenden Garantien (Standardvertragsklauseln).

Datensicherheit: technische und organisatorische Maßnahmen

Das Prinzip der Datenminimierung

Artikel 5 Abs. 1 lit. c der DSGVO verlangt, nur die für den angegebenen Zweck strikt erforderlichen Daten zu erheben. Für einen Chatbot bedeutet das: Kein Name, keine E-Mail-Adresse und keine Telefonnummer dürfen für die Beantwortung einer Frage zu Studiengängen verlangt werden. Die Erhebung von Identifikatoren ist nur gerechtfertigt, wenn die Person eine Kontaktaufnahme wünscht.

Unverzichtbare technische Maßnahmen

• Verschlüsselung — Während der Übertragung (TLS 1.3) und im Ruhezustand (AES-256) für alle personenbezogenen Daten
• Europäisches Hosting — Server innerhalb der EU, gemäß den EDPB-Empfehlungen zu internationalen Transfers
• Pseudonymisierung — Trennung direkter Identifikatoren von Verhaltensdaten
• Zugriffsprotokollierung — Nachvollziehbarkeit, wer wann auf welche Daten zugreift
• Verschlüsselte Backups — Mit regelmäßigem Wiederherstellungstest
• Automatisierte Löschung — Bereinigung von Daten nach Ablauf der definierten Aufbewahrungsfrist

Datenschutz-Folgenabschätzung (DSFA)

Artikel 35 der DSGVO verlangt eine DSFA vor jeder Verarbeitung, die voraussichtlich ein hohes Risiko birgt. Für eine Hochschule betrifft das:

• Den Einsatz eines KI-Chatbots, der personenbezogene Daten erhebt
• Die Nutzung von KI-Tools für die Bewerbungsbewertung
• Videoüberwachung des Campus
• Profiling von Studieninteressierten zu Marketingzwecken

Die DSFA muss die Verarbeitung beschreiben, ihre Erforderlichkeit und Verhältnismäßigkeit bewerten, Risiken identifizieren und Abhilfemaßnahmen vorschlagen.

FAQ

Ist ein KI-Chatbot DSGVO-konform?

Ja, sofern vier Pflichten eingehalten werden: Information der Studieninteressierten, dass sie mit einer KI interagieren (Transparenz KI-Verordnung), Erhebung nur strikt erforderlicher Daten (Datenminimierung), einfacher Zugang zu Auskunft, Berichtigung und Löschung (Betroffenenrechte) und Hosting der Daten innerhalb der EU. Ein konformer Chatbot informiert vor der Datenerhebung und macht den Zugang zu Informationen nicht von der Angabe personenbezogener Daten abhängig.

Wie lange dürfen Daten nicht eingeschriebener Studieninteressierter gespeichert werden?

Die Aufsichtsbehörden empfehlen eine Höchstdauer von 3 Jahren nach dem letzten Kontakt für Marketingdaten. Für Studieninteressierte ohne Rückmeldung: Löschung nach 3 Jahren. Für abgelehnte Bewerber: Aufbewahrung der Unterlagen für 1 Jahr (mögliche Rechtsstreitigkeiten), dann Löschung. Diese Fristen müssen im Verarbeitungsverzeichnis dokumentiert werden.

Verbietet die KI-Verordnung den Einsatz von KI bei Zulassungen?

Nein. Die KI-Verordnung verbietet es nicht, stuft es aber als Hochrisikosystem ein (Anhang III). Das bringt verstärkte Pflichten mit sich: Risikomanagement, Qualität der Trainingsdaten, wirksame menschliche Aufsicht, Transparenz gegenüber Bewerbern und Registrierung. Die KI darf empfehlen, aber die endgültige Zulassungsentscheidung muss beim Menschen liegen.

Muss eine Hochschule mit 500 Studierenden einen DSB benennen?

In der Praxis ja. Die deutschen Aufsichtsbehörden betrachten die Verarbeitung von Daten hunderter Studierender als umfangreiche Verarbeitung. Zudem gilt in Deutschland die Pflicht zur DSB-Benennung ab 20 Personen in automatisierter Datenverarbeitung (BDSG § 38). Der DSB kann zwischen mehreren Einrichtungen geteilt oder extern bestellt werden.

Wie geht man mit einem Löschantrag eines Absolventen um?

Die Löschung kann nicht vollständig sein: Die Hochschule hat eine gesetzliche Pflicht zur Aufbewahrung von Abschlusszeugnissen (rechtliche Verpflichtung, Artikel 6 Abs. 1 lit. c). Finanzdaten unterliegen handelsrechtlichen Aufbewahrungsfristen (10 Jahre in Deutschland, HGB § 257). Campus-Daten, Navigationsdaten und Marketingkommunikation hingegen müssen gelöscht werden. Dokumentieren Sie die Antwort schriftlich und listen Sie auf, welche Daten gelöscht und welche mit welcher Rechtsgrundlage aufbewahrt werden.

DSGVO-Konformität ist kein einmaliges Projekt. Es ist ein kontinuierlicher Prozess, der jeden Bereich Ihrer Hochschule betrifft — Zulassung, Studierendenverwaltung, Marketing, IT und Hochschulleitung. Einrichtungen, die Datenschutz von Anfang an in ihre Tools integrieren (Privacy by Design), schützen ihre Studierenden und sich selbst.

Um zu verstehen, wie die KI-Verordnung die Pflichten von Hochschulen im Detail verändert, lesen Sie unseren Beitrag zur KI-Verordnung und Hochschulbildung. Für technische Schutzmaßnahmen lesen Sie unseren Leitfaden zum Schutz von Daten Studieninteressierter.