skolbot.KI-Chatbot für Hochschulen
ProduktPreiseBlogVergleichAI Check
Kostenlose Demo
Kostenlose Demo
DSGVO und Datenschutz für österreichische Hochschulen
  1. Startseite
  2. /Blog
  3. /Compliance
  4. /DSGVO und DSB: Pflichten für österreichische Hochschulen
Zurück zum Blog
Compliance9 min read

DSGVO und DSB: Pflichten für österreichische Hochschulen

Datenschutz an österreichischen Hochschulen: DSB, Datenschutzgesetz 2018, Auftragsverarbeitung, AI Act — was Privatuniversitäten und Fachhochschulen wissen müssen.

S

Team Skolbot · 28. März 2026

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Inhaltsverzeichnis

  1. 01Datenschutz in Österreich ist nicht Datenschutz in Deutschland
  2. 02Das österreichische Datenschutzgesetz (DSG) 2018 — was über die DSGVO hinausgeht
  3. Grundrecht auf Datenschutz (§ 1 DSG)
  4. Bildungsspezifische Verarbeitung (§ 2d DSG)
  5. Bußgeldrahmen und Durchsetzung
  6. 03Die 5 zentralen Datenschutzpflichten für österreichische Hochschulen
  7. 1. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  8. 2. Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)
  9. 3. Datenschutzbeauftragter (DSB im Sinne von Art. 37 DSGVO)
  10. 4. Auftragsverarbeitung (Art. 28 DSGVO)
  11. 5. Informationspflichten (Art. 13/14 DSGVO)
  12. 04AI Act: Was sich 2026 für Hochschulen ändert
  13. Begrenztes Risiko (Art. 52) — Informationspflicht
  14. Hohes Risiko (Anhang III) — Vollständige Compliance
  15. 05Datenhosting und Datensouveränität
  16. EU-Hosting als Mindeststandard
  17. Besonderheiten bei Cloud-Diensten
  18. 06Praktische Compliance-Checkliste für den KI-Chatbot-Einsatz
  19. 07Häufige Fehler — und wie Sie sie vermeiden
  20. Fehler 1: Deutsche Datenschutzvorlagen verwenden
  21. Fehler 2: Einwilligung als einzige Rechtsgrundlage
  22. Fehler 3: Keine Löschfristen für Chatbot-Daten
  23. Fehler 4: Unterauftragsverarbeiter nicht prüfen

Datenschutz in Österreich ist nicht Datenschutz in Deutschland

Die DSGVO gilt europaweit, aber die nationale Umsetzung, die Aufsichtsbehörde und die Rechtsprechung sind in jedem Land anders. Österreichische Hochschulen, die sich an deutschen Datenschutzratgebern orientieren, laufen Gefahr, die falschen Stellen zu kontaktieren, die falschen Formulierungen zu verwenden und die falschen Fristen zu kalkulieren.

In Österreich ist die Datenschutzbehörde (DSB) zuständig — nicht der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit), der ausschließlich für Deutschland agiert. Die DSB ist eine unabhängige Behörde mit Sitz in Wien, die Beschwerden entgegennimmt, Prüfungen durchführt und Sanktionen verhängt.

Und das tut sie. Die DSB hat 2025 Bußgelder in Höhe von insgesamt über 3 Millionen EUR verhängt, darunter gegen ein Bildungsunternehmen wegen unzureichender Informationspflichten gegenüber Studieninteressierten (Quelle: DSB Tätigkeitsbericht 2025, öffentlich zugänglich).

Das österreichische Datenschutzgesetz (DSG) 2018 — was über die DSGVO hinausgeht

Das Datenschutzgesetz (DSG) in der Fassung von 2018 setzt die DSGVO in nationales Recht um und ergänzt sie in spezifischen Bereichen:

Grundrecht auf Datenschutz (§ 1 DSG)

Österreich ist eines der wenigen EU-Länder, in denen Datenschutz Verfassungsrang hat. § 1 DSG garantiert jedem Menschen das Grundrecht auf Geheimhaltung personenbezogener Daten. Dieses Grundrecht bestand bereits vor der DSGVO (seit 2000 im Verfassungsrang) und geht in der Schutzintensität über die DSGVO hinaus.

Für Hochschulen bedeutet das: Datenschutzverstöße können in Österreich nicht nur als DSGVO-Verletzung, sondern auch als Grundrechtsverletzung gewertet werden. Die betroffene Person kann sich an den Verfassungsgerichtshof wenden — ein Weg, den es in Deutschland nicht gibt.

Bildungsspezifische Verarbeitung (§ 2d DSG)

Das DSG enthält spezifische Regelungen für die Verarbeitung personenbezogener Daten im Bildungsbereich. Insbesondere:

  • Verarbeitungen für Forschungs- und Statistikzwecke genießen erleichterte Bedingungen (§ 2d Abs. 5), wenn sie im öffentlichen Interesse liegen
  • Studierendendaten unterliegen besonderen Aufbewahrungsfristen, die über die allgemeinen DSGVO-Grundsätze hinausgehen
  • Gesundheitsdaten (relevant für medizinische Fakultäten und Gesundheits-FH) erfordern erhöhte Schutzmaßnahmen

Bußgeldrahmen und Durchsetzung

Die DSGVO sieht Bußgelder von bis zu 20 Millionen EUR oder 4 % des Jahresumsatzes vor. In Österreich ergänzt das DSG:

  • Strafrechtliche Sanktionen (§ 63 DSG): Vorsätzlicher Datenmissbrauch kann zu einer Freiheitsstrafe von bis zu einem Jahr führen
  • Schadenersatz: Betroffene Personen können vor den ordentlichen Gerichten auf Schadenersatz klagen — inklusive immaterieller Schäden
  • Verbandsklagen: NGOs und Verbraucherorganisationen können im Namen Betroffener klagen (umgesetzt nach Art. 80 DSGVO)

Die 5 zentralen Datenschutzpflichten für österreichische Hochschulen

1. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Jede Hochschule muss ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten führen. Für eine typische Privatuniversität umfasst das:

  • Bewerbungs- und Zulassungsverfahren — Name, Kontaktdaten, Vorbildung, Matura-Noten, Motivationsschreiben
  • Studierendenverwaltung — Immatrikulation, Prüfungsergebnisse, Studienfortschritt
  • Marketing und Rekrutierung — Website-Tracking, Chatbot-Konversationen, Newsletter-Abonnements, Kampagnen-Daten
  • Forschungsdaten — Forschungsteilnehmer:innen, Gesundheitsdaten (besondere Kategorie)
  • Personalverwaltung — Mitarbeiter:innendaten, Lehrauftragsdaten

Das Verzeichnis muss auf Anfrage der DSB vorgelegt werden können. Die Erfahrung zeigt: Bei Prüfungen ist das Verarbeitungsverzeichnis das erste Dokument, das die Behörde anfordert. Fehlt es oder ist es unvollständig, wird die Prüfung intensiver.

2. Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)

Eine DSFA ist erforderlich, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko" für die Rechte natürlicher Personen mit sich bringt. Die DSB hat eine Liste von Verarbeitungstätigkeiten veröffentlicht, die eine DSFA erfordern. Für Hochschulen relevant:

  • Systematische Überwachung öffentlich zugänglicher Bereiche (Kameraüberwachung am Campus)
  • Umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten an medizinischen Hochschulen)
  • Scoring und Profiling zu Zulassungszwecken
  • Automatisierte Entscheidungsfindung (z.B. KI-basiertes Vorscreening von Bewerbungen)

Ein informativer KI-Chatbot, der Studieninteressierte berät ohne Entscheidungen zu treffen, fällt in der Regel nicht unter die DSFA-Pflicht. Anders sieht es aus, wenn der Chatbot Bewerbungen scored oder Zulassungsempfehlungen ausspricht.

3. Datenschutzbeauftragter (DSB im Sinne von Art. 37 DSGVO)

Öffentliche Hochschulen müssen einen Datenschutzbeauftragten bestellen. Für Privatuniversitäten gilt die Pflicht, wenn die Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien umfasst oder eine systematische Überwachung darstellt.

In der Praxis bestellen die meisten österreichischen Privatuniversitäten freiwillig einen DSB — aus Reputationsgründen und weil die AQ Austria im Akkreditierungsverfahren zunehmend Datenschutz-Governance prüft.

4. Auftragsverarbeitung (Art. 28 DSGVO)

Jeder Dienstleister, der im Auftrag der Hochschule personenbezogene Daten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag (AVV). Das betrifft:

  • CRM-Anbieter (HubSpot, Salesforce)
  • E-Mail-Marketing-Tools (Mailchimp, Brevo)
  • KI-Chatbot-Anbieter (zentraler Punkt für diesen Artikel)
  • Cloud-Hosting-Provider
  • Learning-Management-Systeme

Der AVV muss die Verarbeitungszwecke, die Datenkategorien, die technischen und organisatorischen Maßnahmen sowie die Unterauftragsverarbeitung regeln. Ein Chatbot-Anbieter ohne AVV ist ein Compliance-Risiko — unabhängig davon, wie gut das Produkt funktioniert.

5. Informationspflichten (Art. 13/14 DSGVO)

Studieninteressierte müssen vor der Datenerhebung informiert werden über:

  • Verantwortliche Stelle und Kontaktdaten
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Empfänger oder Kategorien von Empfängern
  • Speicherdauer oder Kriterien für die Festlegung
  • Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit)
  • Beschwerderecht bei der DSB

Bei einem KI-Chatbot bedeutet das: Bevor die erste Nachricht ausgetauscht wird, muss ein Hinweis erscheinen, dass (a) ein KI-System verwendet wird, (b) welche Daten erhoben werden und (c) wie die Daten verarbeitet werden.

AI Act: Was sich 2026 für Hochschulen ändert

Der AI Act der EU (Verordnung 2024/1689) tritt stufenweise in Kraft. Für österreichische Hochschulen sind zwei Risikoklassen relevant:

Begrenztes Risiko (Art. 52) — Informationspflicht

Ein informativer KI-Chatbot im Rahmen der Studienberatung fällt unter begrenztes Risiko. Die Hauptpflicht: Transparenz. Studieninteressierte müssen wissen, dass sie mit einer KI interagieren — nicht mit einem Menschen. Diese Transparenzpflicht gilt seit Februar 2025.

Konkret bedeutet das:

  • Der Chatbot muss sich als KI identifizieren (z.B. "Ich bin der KI-Assistent von [Hochschulname]")
  • Die Kennzeichnung muss vor der Interaktion erfolgen, nicht erst auf Nachfrage
  • Emotionale Manipulation durch den Chatbot ist untersagt

Hohes Risiko (Anhang III) — Vollständige Compliance

KI-Systeme, die Zulassungsentscheidungen beeinflussen, fallen unter hohes Risiko. Das umfasst:

  • Automatisiertes Scoring von Bewerbungsunterlagen
  • KI-basierte Vorselektion von Kandidat:innen
  • Prognosemodelle für Studienerfolg

Hochrisiko-Systeme erfordern: Risikomanagementsystem, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Genauigkeits- und Robustheitstests. Die vollständige Anwendung der Hochrisiko-Pflichten beginnt im August 2026.

Ein Chatbot, der informiert ohne zu entscheiden, ist kein Hochrisiko-System. Aber: Wenn der Chatbot beginnt, Bewerbungen zu bewerten oder Zulassungsempfehlungen zu generieren, verschiebt sich die Klassifikation.

Datenhosting und Datensouveränität

EU-Hosting als Mindeststandard

Gemäß den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) und der DSB sollten Daten von Studieninteressierten innerhalb der EU gehostet werden. Die Schrems-II-Entscheidung des EuGH (C-311/18) hat den Privacy Shield für ungültig erklärt; der nachfolgende EU-US Data Privacy Framework bietet eine Rechtsgrundlage, bleibt aber umstritten.

Für österreichische Hochschulen ist der sicherste Weg: EU-Hosting bei einem ISO-27001-zertifizierten Anbieter (z.B. Hetzner, IONOS, Exoscale — letzterer mit Rechenzentrum in Wien).

Besonderheiten bei Cloud-Diensten

Das österreichische Bundesrechenzentrum (BRZ) bietet Cloud-Dienste für öffentliche Einrichtungen. Für Privatuniversitäten ist dieser Weg nicht verfügbar, weshalb die Wahl des Cloud-Anbieters eine aktive Compliance-Entscheidung ist.

Ein KI-Chatbot, der auf europäischen Servern hostet und einen vollständigen AVV bietet, eliminiert die Komplexität transatlantischer Datentransfers.

Praktische Compliance-Checkliste für den KI-Chatbot-Einsatz

Bevor Sie einen KI-Chatbot an Ihrer Hochschule einführen, prüfen Sie:

  1. AVV vorhanden? — Auftragsverarbeitungsvertrag mit dem Chatbot-Anbieter, der alle Anforderungen nach Art. 28 DSGVO erfüllt
  2. EU-Hosting bestätigt? — Schriftliche Bestätigung, dass alle Daten innerhalb der EU verarbeitet und gespeichert werden
  3. Datenschutzhinweis aktualisiert? — Ergänzung der Datenschutzerklärung um den Chatbot als Verarbeitungstätigkeit
  4. Einwilligungsbanner konfiguriert? — Opt-in vor der ersten Chatbot-Interaktion (oder Rechtsgrundlage "berechtigtes Interesse" mit Opt-out)
  5. KI-Transparenz gewährleistet? — Der Chatbot identifiziert sich als KI-System (AI-Act-Pflicht)
  6. Löschkonzept definiert? — Automatische Löschung von Konversationsdaten nach festgelegter Frist
  7. Betroffenenrechte implementiert? — Prozess für Auskunfts- und Löschungsanfragen
  8. Verarbeitungsverzeichnis ergänzt? — Chatbot als neue Verarbeitungstätigkeit aufgenommen
  9. DSFA geprüft? — Abwägung, ob eine Datenschutz-Folgenabschätzung erforderlich ist (bei reinem Informations-Chatbot: in der Regel nein)
  10. DSB-Meldung? — Keine Meldepflicht für den Chatbot-Einsatz per se, aber der Datenschutzbeauftragte sollte informiert sein

Häufige Fehler — und wie Sie sie vermeiden

Fehler 1: Deutsche Datenschutzvorlagen verwenden

Deutsche Datenschutzerklärungen verweisen auf den BfDI, deutsche Landesdatenschutzbeauftragte und das BDSG. In Österreich gelten das DSG und die DSB. Die korrekte Aufsichtsbehörde ist die Datenschutzbehörde, Barichgasse 40-42, 1030 Wien — nicht eine deutsche Behörde.

Fehler 2: Einwilligung als einzige Rechtsgrundlage

Für einen informativen Chatbot ist die berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) oft die passendere Rechtsgrundlage als die Einwilligung. Eine Interessenabwägung dokumentieren und ein Opt-out anbieten ist rechtssicherer als ein Consent-Banner, das 40 % der Besuchenden ignorieren.

Fehler 3: Keine Löschfristen für Chatbot-Daten

Chatbot-Konversationen sind personenbezogene Daten, wenn sie einer Person zugeordnet werden können. Ohne definierte Löschfrist verstoßen Sie gegen den Grundsatz der Speicherbegrenzung. Empfehlung: Konversationsdaten nach 12 Monaten automatisch löschen, anonymisierte Nutzungsstatistiken dürfen länger aufbewahrt werden.

Fehler 4: Unterauftragsverarbeiter nicht prüfen

Der Chatbot-Anbieter nutzt möglicherweise LLM-APIs (OpenAI, Anthropic, Google). Diese sind Unterauftragsverarbeiter und müssen im AVV genannt werden — inklusive der Information, ob Daten außerhalb der EU verarbeitet werden.

FAQ

Muss eine Privatuniversität in Österreich einen Datenschutzbeauftragten haben?

Die Pflicht hängt von der Kerntätigkeit ab. Wenn die Hochschule besondere Datenkategorien (Gesundheitsdaten, biometrische Daten) umfangreich verarbeitet oder systematische Überwachung betreibt, ist ein DSB Pflicht. In der Praxis bestellen die meisten Privatuniversitäten freiwillig einen — die AQ Austria prüft zunehmend Datenschutz-Governance im Akkreditierungsverfahren.

Braucht ein KI-Chatbot eine DSFA?

Ein informativer Chatbot, der Fragen beantwortet und Kontaktdaten erfasst, fällt in der Regel nicht unter die DSFA-Pflicht. Anders bei Scoring-Funktionen, automatisierter Entscheidungsfindung oder Verarbeitung besonderer Datenkategorien. Im Zweifel: DSFA durchführen — sie schadet nie und dokumentiert die Sorgfalt.

Können wir einen amerikanischen Chatbot-Anbieter nutzen?

Technisch ja, wenn (a) der Anbieter unter das EU-US Data Privacy Framework fällt und (b) ein vollständiger AVV besteht. Empfehlung: EU-basierte Anbieter bevorzugen. Die Rechtslage bei transatlantischen Transfers bleibt fragil — ein weiteres Schrems-Urteil ist nicht ausgeschlossen.

Was passiert bei einem Datenschutzvorfall mit dem Chatbot?

Meldepflicht an die DSB innerhalb von 72 Stunden (Art. 33 DSGVO), wenn der Vorfall ein Risiko für betroffene Personen darstellt. Bei hohem Risiko: zusätzliche Benachrichtigung der betroffenen Personen (Art. 34 DSGVO). Dokumentation des Vorfalls ist Pflicht — unabhängig von der Meldepflicht.

Wie verhält sich der AI Act zur DSGVO?

Der AI Act und die DSGVO sind komplementär, nicht alternativ. Ein KI-Chatbot muss beide erfüllen: DSGVO für den Datenschutz, AI Act für die KI-Transparenz und Risikobewertung. In der Praxis ergeben sich Synergien: Wer ein gutes Verarbeitungsverzeichnis hat, hat bereits die Basis für die AI-Act-Dokumentation.

Datenschutz ist für österreichische Hochschulen keine bürokratische Pflicht, sondern ein Vertrauensinstrument. Studieninteressierte, die transparent informiert werden, vertrauen der Einrichtung mehr — und bewerben sich eher. Ein KI-Chatbot, der DSGVO-konform und AI-Act-ready ist, demonstriert diese Transparenz bei jedem einzelnen Kontakt.

Testen Sie Skolbot für Ihre Hochschule in 30 Sekunden

Verwandte Artikel: KI-Chatbot für österreichische Hochschulen: Einsatz und Vorteile · Private Hochschulen in Österreich: Vollständiger Leitfaden 2026

Ähnliche Artikel

KI-Sichtbarkeit österreichischer Hochschulen im Vergleich
KI-Sichtbarkeit

KI-Sichtbarkeit österreichischer Hochschulen: Status 2026

Leitfaden zu privaten Hochschulen in Österreich 2026
Studierendengewinnung

Private Hochschulen in Österreich: Vollständiger Leitfaden 2026

Leitfaden zur DSGVO und zum Schutz von Studierendendaten an Hochschulen
Compliance

DSGVO und Studierendendaten: vollständiger Leitfaden für Hochschulen

Zurück zum Blog

DSGVO · EU AI Act · EU-Hosting

skolbot.

LösungPreiseBlogFallstudienVergleichAI CheckFAQTeamImpressumDatenschutzerklärung

© 2026 Skolbot