ChatGPT
Claude
Perplexity
Gemini
GrokHinweis: Dieser Artikel dient der Information. Für spezifische Rechtsfragen wenden Sie sich an Ihren Datenschutzbeauftragten oder einen Fachanwalt für Datenschutzrecht.
Jede private Hochschule in Deutschland, die Google Workspace, Meta Ads oder einen KI-Chatbot auf Basis von US-Modellen einsetzt, überträgt Daten von Studieninteressierten auf Server außerhalb der EU. Das ist kein Vorwurf — es ist die technische Realität von SaaS-Infrastrukturen. Die entscheidende Frage lautet: Welche dieser Transfers sind 2026 DSGVO-konform, und wo bleibt Ihre Hochschule rechtlich exponiert?
Den übergeordneten Rahmen zum Datenschutz an Hochschulen finden Sie in unserem DSGVO-Leitfaden für Studierendendaten. Dieser Artikel geht tiefer: Er bewertet konkret die drei Anbieter, die im Hochschulmarketing am häufigsten eingesetzt werden, und zeigt, was Ihre Compliance-Pflicht 2026 bedeutet.
Welche Daten Ihrer Bewerbenden die EU verlassen
Jeder digitale Kontaktpunkt eines Studieninteressierten erzeugt Daten, die in der Regel sofort außerhalb der EU übermittelt werden.
Das Ausmaß überrascht viele Hochschulen, sobald sie eine vollständige Datenfluss-Kartierung durchführen. Folgende Kategorien sind typischerweise betroffen:
- Formulardaten — Name, E-Mail-Adresse, Telefonnummer, Studienwunsch, Nationalität; erhoben über Kontaktformulare, die auf US-amerikanischen SaaS-Plattformen laufen oder über Meta Ads-Leadformulare
- Pixel- und Tracking-Daten — IP-Adresse, Browsertyp, besuchte Seiten, Klickpfade; durch den Meta Pixel und Google Analytics im Moment des Seitenbesuchs an US-Server gesendet
- Chatbot-Interaktionen — Gesprächsverlauf, gestellte Fragen, verwendete Sprache, Zeitstempel; verarbeitet durch das zugrundeliegende Sprachmodell, das in der Regel auf US-Infrastruktur läuft
- Bewerbungsunterlagen — Zeugnisse, Lebenslauf, Motivationsschreiben; in kollaborativen Arbeitsumgebungen wie Google Drive gespeichert
58 % der Interessenten, die mit Hochschulen in Kontakt treten, sind nicht-muttersprachlich — die meisten Konversationen laufen über mehrsprachige KI-Tools, häufig von US-Anbietern. (Quelle: Automatische Spracherkennung in 8.500 Skolbot-Gesprächen, 2025–2026) Das bedeutet: Internationale Bewerber sind in der Datenfluss-Gleichung nicht die Ausnahme, sondern die Mehrheit.
Der kritische Punkt aus DSGVO-Sicht: Eine Übermittlung liegt bereits vor, wenn ein US-Anbieter Zugang zu den Daten erlangen kann — unabhängig davon, ob ein Mitarbeiter des Anbieters die Daten tatsächlich abruft. Die deutschen Datenschutzbehörden, allen voran der BfDI und das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), haben diese weite Auslegung in mehreren Stellungnahmen bestätigt.
DSGVO-Anforderungen für internationale Datentransfers
DSGVO Kapitel V (Art. 44–49) erlaubt internationale Datentransfers nur unter definierten Bedingungen — und Deutschland legt diese Bedingungen strenger aus als die meisten anderen EU-Mitgliedstaaten.
Die drei Transferinstrumente im Überblick
Angemessenheitsbeschlüsse der EU-Kommission erklären das Datenschutzniveau eines Drittlandes für gleichwertig. Für die USA gilt seit Juli 2023 das EU-US-Datenschutzrahmen (Data Privacy Framework, DPF). Das DPF ersetzt den für ungültig erklärten Privacy Shield und ist das Ergebnis von Verhandlungen nach dem EuGH-Urteil Schrems II (C-311/18). Es gilt jedoch ausschließlich für Unternehmen, die sich beim US-Handelsministerium zertifiziert haben — eine Prüfung, die für jeden Anbieter individuell durchzuführen ist.
Standardvertragsklauseln (SCC 2021) sind die Rückversicherung für Transfers, die nicht (nur) auf dem DPF basieren. Die Europäische Kommission hat 2021 aktualisierte SCCs verabschiedet (Durchführungsbeschluss 2021/914), die spezifische Klauseln für das Verhältnis Verantwortlicher — Auftragsverarbeiter enthalten. Wichtig: Nach Schrems II reichen SCCs allein nicht aus. Sie müssen durch eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) ergänzt werden, die dokumentiert, dass das US-Recht die Schutzwirkung der SCCs nicht untergräbt — insbesondere Section 702 FISA und Executive Order 12333.
Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO für jede Weitergabe von Daten an einen Dienstleister verpflichtend — unabhängig vom Serverstandort. Ohne AVV ist bereits der inländische Datentransfer an einen Cloud-Anbieter rechtswidrig. Bei grenzüberschreitenden Transfers enthält der AVV zusätzlich die SCCs als Bestandteil oder Anlage.
Warum Deutschland besonders aktiv vorgeht
Der EDPB (Europäischer Datenschutzausschuss) koordiniert die Aufsicht über internationale Transfers auf EU-Ebene. Deutsche Behörden handeln jedoch eigenständig und haben einen Ruf für besonders sorgfältige Prüfung: Die Datenschutzkonferenz (DSK) hat wiederholt Empfehlungen zu US-Tools herausgegeben, und Landesdatenschutzbehörden wie die LfDI Baden-Württemberg oder das BayLDA prüfen Bildungseinrichtungen aktiv auf Transfer-Compliance. Hochschulen, die keine TIA und keinen AVV vorweisen können, sind damit nicht nur theoretisch gefährdet.
Bei hohem Risiko für die Rechte betroffener Personen — z. B. bei Verarbeitung besonderer Datenkategorien oder großflächigem Profiling — ist zusätzlich eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich. Im Hochschulkontext trifft das auf den Einsatz von KI-Systemen zu, die Bewerbungsprofile auswerten oder Konversionschancen berechnen.
Google Workspace, Meta Ads, OpenAI — DSGVO-Konformitäts-Übersicht 2026
Alle drei Anbieter haben 2026 Transfermechanismen implementiert — die Konformität hängt aber entscheidend davon ab, wie Ihre Hochschule sie konfiguriert und vertraglich einbindet.
| Anbieter | Transfermechanismus | Datenresidenz EU | DVV/AVV verfügbar | Risikoebene |
|---|---|---|---|---|
| Google Workspace für Bildung | DPF + SCCs 2021 | Ja — EU-Datenverarbeitung konfigurierbar | Ja — als Auftragsverarbeitungsvertrag (DVV) im Admin-Bereich | Niedrig bei korrekter Konfiguration |
| Meta Ads (inkl. Pixel) | DPF + SCCs 2021 | Nein — Pixel-Daten fließen auf US-Server | Ja — DPA im Meta Business Center | Mittel bis Hoch — KI-Training auf EU-Nutzerdaten; Pixel ohne Consent-Management kritisch |
| OpenAI (API / Enterprise) | DPF + SCCs 2021 | Ja — EU-Datenresidenz verfügbar; Zero Data Retention für API | Ja — Data Processing Agreement (DPA) für API und Enterprise | Niedrig mit Enterprise-Controls; Hoch mit ChatGPT-Konsumentenversion |
Google Workspace für Bildung
Google ist DPF-zertifiziert und bietet SCCs 2021 als Bestandteil des Datenverarbeitungsvertrags (DVV) an. Für Bildungseinrichtungen gibt es die spezifische Variante Google Workspace for Education, die erweiterte Datenschutz-Controls enthält. Entscheidend: Sie müssen im Google Admin-Bereich aktiv die EU-Datenverarbeitung aktivieren — der Standard-Modus garantiert keine europäische Serververarbeitung. Ohne diese Konfiguration und ohne abgeschlossenen DVV ist der Einsatz nicht DSGVO-konform, auch wenn Google grundsätzlich alle Voraussetzungen bietet.
Meta Ads und Pixel
Meta ist ebenfalls DPF-zertifiziert und stellt SCCs und ein DPA bereit. Das Konformitätsproblem liegt an anderer Stelle: Der Meta Pixel überträgt Daten — einschließlich IP-Adresse — im Moment des Seitenladens auf US-Server, bevor eine Einwilligung des Nutzers eingeholt werden konnte. Das verstößt gegen Art. 5 Abs. 1 lit. a DSGVO (Rechtmäßigkeit der Verarbeitung) sowie gegen die ePrivacy-Richtlinie. Hinzu kommt: Meta hat angekündigt, EU-Nutzerdaten für das Training von KI-Modellen zu verwenden — dagegen können Nutzer Widerspruch einlegen, aber Hochschulen als Verantwortliche müssen dies in ihrer Datenschutzerklärung transparent machen. Ein Consent-Management-System, das den Pixel erst nach aktiver Einwilligung lädt, ist keine Option, sondern gesetzliche Pflicht.
OpenAI
OpenAI ist seit 2023 DPF-zertifiziert und bietet für die API-Nutzung Zero Data Retention — d. h. keine Speicherung von Anfragen für Trainings- oder andere Zwecke. Für Enterprise-Kunden steht eine EU-Datenresidenz zur Verfügung. Entscheidend ist die Unterscheidung: Wer die ChatGPT-Konsumentenoberfläche (chatgpt.com) nutzt, hat keinerlei AVV und kein Zero Data Retention — diese Nutzung ist für die professionelle Hochschulanwendung nicht DSGVO-konform. Die API mit Data Processing Agreement und aktiviertem Zero Data Retention hingegen erfüllt die Anforderungen, sofern eine TIA dokumentiert ist.
Was Ihre Hochschule jetzt konkret tun muss
Compliance entsteht nicht durch den Abschluss eines AVV allein — sie erfordert fünf konkrete Schritte, die ineinandergreifen.
Schritt 1: Vollständige Transfer-Kartierung erstellen. Listen Sie alle Dienstleister auf, die personenbezogene Daten von Studieninteressierten verarbeiten: CRM, E-Mail-Marketing, Chatbot, Analytics, Werbeplattformen, Videokonferenz-Tools. Für jeden Anbieter dokumentieren Sie: Serverstandort, Transfermechanismus (DPF / SCCs / beides), ob ein AVV abgeschlossen ist und ob eine TIA vorliegt.
Schritt 2: AVV mit jedem Auftragsverarbeiter abschließen. Ein fehlender AVV ist ein eigenständiger DSGVO-Verstoß — unabhängig von allen anderen Maßnahmen. Für US-Anbieter muss der AVV die SCCs 2021 (Modul 2: Verantwortlicher an Auftragsverarbeiter) enthalten oder als Anlage beifügen. Prüfen Sie bei Google, Meta und OpenAI, ob der AVV im jeweiligen Verwaltungsportal aktiviert und unterschrieben ist.
Schritt 3: Transfer-Folgenabschätzung (TIA) dokumentieren. Für jeden Transfer auf Basis von SCCs ist eine TIA erforderlich. Die meisten Großanbieter stellen vorgefertigte TIA-Dokumente in ihren Compliance-Portalen bereit. Ihr Datenschutzbeauftragter muss diese validieren und die Entscheidung dokumentieren. Ein nicht dokumentierter Transfer ist aus Aufsichtsperspektive identisch mit einem unzulässigen Transfer.
Schritt 4: Consent-Management für Pixel und Tracking implementieren. Kein Tracking-Pixel — weder Google Analytics noch Meta Pixel — darf vor aktiver Nutzereinwilligung aktiviert werden. Nutzen Sie eine Consent-Management-Plattform (CMP), die für jede Cookie-Kategorie eine separate Einwilligung einholt und den Aktivierungsstatus protokolliert. Ohne funktionierendes Consent-Management sind alle anderen Transfer-Compliance-Maßnahmen für den Bereich Werbung wertlos.
Schritt 5: Datenschutz-Folgenabschätzung (DSFA) prüfen und ggf. durchführen. Wenn Ihre Hochschule KI-Systeme einsetzt, die Bewerbungsprofile auswerten, Konversionschancen berechnen oder Studieninteressierte segmentieren, ist eine DSFA nach Art. 35 DSGVO erforderlich. Das gilt auch für Chatbots, die Gesprächsdaten speichern und auswerten. Die DSFA muss vor dem Produktivbetrieb abgeschlossen sein — nicht erst nach einem Vorfall. Zur Auswahl eines DSGVO-konformen Chatbot-Anbieters lesen Sie unseren Anbieter-Guide für DSGVO-konforme Chatbots an Hochschulen.
Welche Speicherfristen für die erhobenen Interessentendaten gelten und wie Sie diese dokumentieren, erklärt unser Artikel zu Datenspeicherfristen für Studieninteressierte.
Häufige Fragen
Macht das EU-US-Datenschutzrahmen (DPF) weitere Maßnahmen überflüssig?
Nein. Das DPF vereinfacht Transfers zu zertifizierten US-Unternehmen erheblich, ersetzt aber nicht den AVV. Für Transfers zu nicht-zertifizierten Unternehmen — oder für Daten, die unter US-Behördenzugriff besonders sensibel sind — bleiben SCCs und TIA weiterhin erforderlich. Prüfen Sie die Zertifizierung jedes Anbieters auf der offiziellen DPF-Liste des US-Handelsministeriums, da Zertifizierungen ablaufen können.
Darf ich den Meta Pixel ohne Einwilligung einsetzen, wenn ich SCCs abgeschlossen habe?
Nein. SCCs regeln den Datentransfer-Aspekt, nicht die Rechtmäßigkeit der Ersterhebung. Ohne vorherige Einwilligung ist die Datenerhebung durch den Pixel bereits nach Art. 6 DSGVO und der ePrivacy-Richtlinie rechtswidrig — unabhängig davon, ob Meta DPF-zertifiziert ist oder SCCs anbietet.
Reicht es, wenn unser Chatbot-Anbieter auf EU-Servern hostet?
Ein europäischer Serverstandort ist ein positiver Faktor, aber kein hinreichendes Kriterium. Entscheidend ist, ob das zugrundeliegende Sprachmodell Anfragen an US-Infrastruktur sendet, ob Unterauftragsverarbeiter in Drittländern tätig sind und ob der Anbieter einen AVV mit vollständigen SCCs anbietet. Fordern Sie vom Anbieter eine vollständige Liste der Unterauftragsverarbeiter und ihrer Serverstandorte an.
Wann ist eine DSFA für den Chatbot-Einsatz Pflicht?
Eine DSFA ist nach Art. 35 DSGVO immer dann erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der betroffenen Personen zur Folge hat. Im Hochschulkontext trifft das regelmäßig zu bei: systematischer Auswertung von Gesprächsdaten, automatisierter Bewertung von Bewerbereignung, umfangreicher Profilbildung von Studieninteressierten. Die deutschen Datenschutzbehörden haben entsprechende Positivlisten veröffentlicht, die als Orientierung dienen.
Müssen wir unsere Datenschutzerklärung anpassen?
Ja. Art. 13 DSGVO verpflichtet Sie, Betroffene über jeden Auftragsverarbeiter und jeden Drittlandtransfer zu informieren — einschließlich der verwendeten Transfermechanismen (DPF, SCCs). Wenn Sie Google Workspace, Meta Ads und OpenAI einsetzen, müssen diese Anbieter mit ihren Transfermechanismen in Ihrer Datenschutzerklärung aufgeführt sein. Eine veraltete Datenschutzerklärung ist ebenso ein Verstoß wie ein fehlender AVV.
Für rechtliche Grundlagen konsultieren Sie die DSGVO-Volltext-Fassung auf EUR-Lex sowie die Orientierungshilfen des BfDI zu internationalen Datentransfers und den EDPB-Leitfaden zu internationalen Transfers für KMU und mittelgroße Einrichtungen.
Testen Sie Skolbot an Ihrer Hochschule in 30 Sekunden
