skolbot.KI-Chatbot für Schulen
ProduktPreise
Kostenlose Demo
Kostenlose Demo
Leitfaden zur DSGVO und zum Schutz von Studierendendaten an österreichischen Hochschulen
  1. Startseite
  2. /Blog
  3. /Compliance
  4. /DSGVO und Studierendendaten: Leitfaden Hochschulen Österreich
Zurück zum Blog
Compliance13 min read

DSGVO und Studierendendaten: Leitfaden Hochschulen Österreich

Alles zu DSGVO und Studierendendaten an österreichischen Hochschulen: DSG, DSB, Rechtsgrundlagen, Einwilligung, AI Act und Pflichten für Uni, FH, Privatuni.

S

Team Skolbot · 16. April 2026

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Inhaltsverzeichnis

  1. 01Die DSGVO gilt für jede Information, die Ihre Hochschule über Studieninteressierte oder Studierende erhebt
  2. 02Kategorien personenbezogener Daten an einer österreichischen Hochschule
  3. Daten von Studieninteressierten (vor der Inskription)
  4. Daten inskribierter Studierender
  5. Alumni-Daten
  6. 03Anwendbare Rechtsgrundlagen im österreichischen Hochschulbereich
  7. Die sechs Rechtsgrundlagen der DSGVO und ihre Anwendung
  8. Öffentlich-rechtliche vs. privatrechtliche Einrichtungen
  9. Häufiger Fehler: Einwilligung als Standard-Rechtsgrundlage
  10. 04Einwilligung im österreichischen Bildungskontext
  11. Einwilligung Minderjähriger
  12. Einwilligung und KI-Chatbot
  13. 05Betroffenenrechte
  14. Die acht Rechte, die Ihre Hochschule gewährleisten muss
  15. Kaskadenlöschung: eine technische Herausforderung
  16. 06Der DSB an österreichischen Hochschulen
  17. Wann ist die Benennung verpflichtend?
  18. Interne oder externe Datenschutzbeauftragte?
  19. DSGVO vs. DSG: österreichische Besonderheiten
  20. 07Die KI-Verordnung und ihre Auswirkungen auf österreichische Hochschulen
  21. Klassifizierung von KI-Systemen in der Bildung
  22. Zeitplan der Inkraftsetzung
  23. 08Österreichspezifische Pflichten
  24. DSB, BMBWF und AQ Austria
  25. Kooperation mit internationalen Rekrutierungspartnern
  26. Pflichten je Hochschulart im Überblick
  27. 09Datensicherheit: technische und organisatorische Maßnahmen
  28. Das Prinzip der Datenminimierung
  29. Unverzichtbare technische Maßnahmen
  30. Datenschutz-Folgenabschätzung (DSFA)

Die DSGVO gilt für jede Information, die Ihre Hochschule über Studieninteressierte oder Studierende erhebt

Seit dem 25. Mai 2018 regelt die Datenschutz-Grundverordnung (DSGVO — Verordnung 2016/679) sämtliche Verarbeitungen personenbezogener Daten in der Europäischen Union. In Österreich wird sie durch das Datenschutzgesetz (DSG, BGBl I 1999/165 idgF) ergänzt, das ausgewählte nationale Spielräume nutzt. Für eine Hochschule umfasst das einen weit größeren Bereich als das Inskriptionsformular: Kontaktformulare, Chatbot-Interaktionen, Website-Analytics, Info-Tag-Anmeldungen, Prüfungsergebnisse, Gesundheitsdaten und selbst Fotografien vom Campus.

Verstöße sind kein theoretisches Risiko. Die Österreichische Datenschutzbehörde (DSB) hat in den vergangenen Jahren mehrfach Bußgelder gegen Bildungseinrichtungen verhängt, unter anderem wegen fehlender Rechtsgrundlage und übermäßiger Datenerhebung. Der Bußgeldrahmen der DSGVO — bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — schärft die Aufmerksamkeit zusätzlich.

Dieser Leitfaden behandelt die konkreten Pflichten für österreichische Hochschulen: Datenkategorien, Rechtsgrundlagen, Einwilligung, Betroffenenrechte, DSB-Meldewesen, Pflichten nach UG 2002 und FHG sowie die Auswirkungen der KI-Verordnung auf Aufnahmeverfahren und Chatbots.

Kategorien personenbezogener Daten an einer österreichischen Hochschule

Daten von Studieninteressierten (vor der Inskription)

Die vor der Inskription erhobenen Daten bilden den ersten DSGVO-Perimeter einer Hochschule:

  • Identifikationsdaten — Name, E-Mail, Telefonnummer, erhoben über Kontaktformulare, Chatbot oder Info-Tag-Anmeldung
  • Navigationsdaten — besuchte Seiten, Verweildauer, Akquisitionsquelle (Analytics)
  • Gesprächsdaten — Chatbot-Fragen, Gesprächsverlauf, Sprache
  • Bewerbungsdaten — Lebenslauf, Motivationsschreiben, Maturazeugnis, ÖSD-Nachweis

84 % der Studieninteressierten an österreichischen Privatuniversitäten fragen in den ersten Chatbot-Gesprächen nach Studienbeiträgen und ECTS-Anrechnung (Skolbot-Analyse von rund 3.800 Gesprächen auf AT-Hochschulwebsites, Okt. 2025 bis März 2026). Diese Austausche sind personenbezogene Daten, sobald ein Identifikator mit dem Gespräch verknüpft ist.

Daten inskribierter Studierender

Nach der Inskription erzeugen Studierende ein deutlich größeres Datenvolumen:

  • Akademische Daten — Noten, ECTS, Anwesenheit, Studienfortschritt, Abschlusszeugnisse
  • Finanzdaten — Studienbeitrag, ÖH-Beitrag, Zahlungspläne, Studienbeihilfe, Stipendien
  • Campus-Daten — Gebäudezugang (Campuskarte), Mensa, Bibliothekskonto
  • Besondere Kategorien — Behinderung, soziale Situation, Gesundheitsdaten (psychologische Beratungsstelle)

Besondere Kategorien (Art. 9 DSGVO) erfordern verstärkte Schutzmaßnahmen: spezifische Rechtsgrundlage, strenge Zugangsbeschränkung und ein grundsätzliches Verbot automatisierter Entscheidungsfindung.

Alumni-Daten

Die Verarbeitung von Alumni-Daten (Verzeichnis, Spenden, Netzwerk-Events) erfordert eine eigene Rechtsgrundlage. Privatuniversitäten in Wien stützen Alumni-Kontakte typischerweise auf eine gesonderte Einwilligung oder auf berechtigtes Interesse mit dokumentierter Abwägung.

Anwendbare Rechtsgrundlagen im österreichischen Hochschulbereich

Die sechs Rechtsgrundlagen der DSGVO und ihre Anwendung

Die DSGVO (Artikel 6) definiert sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Im Hochschulbereich werden vier vorrangig genutzt:

  • Vertragserfüllung (Artikel 6 Abs. 1 lit. b) — Die stärkste Grundlage für Daten im Zusammenhang mit Inskription, Studium und Abrechnung. Der Studienvertrag beziehungsweise das öffentlich-rechtliche Studierendenverhältnis an Universitäten nach UG 2002 rechtfertigt die Verarbeitung der erforderlichen Daten.

  • Berechtigtes Interesse (Artikel 6 Abs. 1 lit. f) — Anwendbar auf Rekrutierungsmarketing (Broschürenversand an Maturant:innen, Nachfassaktionen) und Website-Analytics. Erfordert einen dokumentierten Abwägungstest. Der EDSA empfiehlt eine formale Dokumentation dieser Abwägung für jede Verarbeitung.

  • Einwilligung (Artikel 6 Abs. 1 lit. a) — Erforderlich für Marketing-Newsletter, nicht-essenzielle Cookies und die Weitergabe von Daten an Partner. Die Einwilligung muss freiwillig, bestimmt, informiert und unmissverständlich sein. Ein Kontaktformular mit vorausgefülltem Häkchen „Ich möchte Informationen erhalten" stellt keine gültige Einwilligung dar.

  • Rechtliche Verpflichtung (Artikel 6 Abs. 1 lit. c) — Betrifft die Datenübermittlung an Behörden (BMBWF, Statistik Austria, AQ Austria) und die Aufbewahrung von Abschlusszeugnissen nach UG 2002 und FHG.

Öffentlich-rechtliche vs. privatrechtliche Einrichtungen

Die rechtlichen Unterschiede zwischen öffentlichen Universitäten (UG 2002), Fachhochschulen (FHG) und Privatuniversitäten (PrivHG) wirken direkt auf die Rechtsgrundlage:

EinrichtungstypRechtsrahmenPrimäre Rechtsgrundlage für Studierendendaten
Öffentliche Universität (Uni Wien, TU Graz, BOKU, JKU Linz)UG 2002, DSG § 2aÖffentliches Interesse + gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c und e)
Fachhochschule (FH Campus Wien, MCI, FH Oberösterreich)FHG + AQ-Austria-AkkreditierungVertragserfüllung + rechtliche Verpflichtung
Privatuniversität (Modul, Webster Vienna, Sigmund Freud)PrivHG + AQ-Austria-AkkreditierungVertragserfüllung + berechtigtes Interesse
Private FH (IMC FH Krems)FHG für privatrechtliche TrägerVertragserfüllung

Häufiger Fehler: Einwilligung als Standard-Rechtsgrundlage

Viele Hochschulen verwenden die Einwilligung als alleinige Rechtsgrundlage für alle Verarbeitungen. Das ist ein strategischer Fehler: Einwilligung ist jederzeit widerrufbar (Art. 7 Abs. 3), und beim Widerruf verliert die Hochschule das Recht, die Daten zu verarbeiten — auch die studiennotwendigen. Der richtige Ansatz: Vertragserfüllung für studienbezogene Daten, rechtliche Verpflichtung für BMBWF- und Statistik-Austria-Meldungen, berechtigtes Interesse für Rekrutierung mit dokumentiertem Abwägungstest, Einwilligung ausschließlich für Marketing und Cookies.

Einwilligung im österreichischen Bildungskontext

Einwilligung Minderjähriger

Die DSGVO (Artikel 8) erlaubt den Mitgliedstaaten, die Altersgrenze für die digitale Einwilligung zwischen 13 und 16 Jahren festzulegen. In Österreich gilt nach § 4 Abs. 4 DSG die Schwelle von 14 Jahren — niedriger als in Deutschland (16). Für Hochschul-Studiengänge sind Studieninteressierte in der Regel volljährig, aber Info-Tage für AHS-Oberstufe oder BHS ab der 10. Schulstufe erreichen regelmäßig 14- bis 17-Jährige. Für Personen unter 14 Jahren ist die Zustimmung der Erziehungsberechtigten erforderlich (Double-Opt-in, Eltern-E-Mail).

Einwilligung und KI-Chatbot

Ein KI-Chatbot, der personenbezogene Daten erhebt, muss Studieninteressierte vor Gesprächsbeginn informieren:

  • Dass sie mit einer künstlichen Intelligenz interagieren (Transparenzpflicht KI-Verordnung, Artikel 50)
  • Welche Daten zu welchem Zweck erhoben werden
  • Wie sie ihre Rechte ausüben können (Auskunft, Berichtigung, Löschung)
  • Wie lange Gespräche gespeichert werden

Ein Informationsbanner beim Chatbot-Start mit Link zur Datenschutzerklärung erfüllt diese Pflicht. Der Chatbot darf den Zugang zu Informationen nicht von der Angabe personenbezogener Daten abhängig machen: Studieninteressierte müssen Fragen zu Studiengängen, ECTS-Anrechnung oder Studienbeitrag stellen können, ohne ihren Namen oder ihre E-Mail-Adresse anzugeben. Wer hier ansetzt, findet in unserem Beitrag zum KI-Chatbot-Einsatz an österreichischen Hochschulen den operativen Rahmen.

Betroffenenrechte

Die acht Rechte, die Ihre Hochschule gewährleisten muss

Die DSGVO verleiht betroffenen Personen (Studieninteressierte, Studierende, Alumni) acht Grundrechte. Ihre Hochschule muss über operative Verfahren verfügen, um jedes innerhalb eines Monats zu beantworten:

  • Auskunftsrecht (Artikel 15) — Studierende können eine Kopie aller über sie gespeicherten Daten anfordern.
  • Recht auf Berichtigung (Artikel 16) — Korrektur unrichtiger oder unvollständiger Daten.
  • Recht auf Löschung (Artikel 17) — Das „Recht auf Vergessenwerden". Eingeschränkt durch gesetzliche Aufbewahrungspflichten (Zeugnisse, Buchhaltung nach UGB).
  • Recht auf Einschränkung (Artikel 18) — Sperrung der Verarbeitung bei Anfechtung.
  • Recht auf Datenübertragbarkeit (Artikel 20) — Übertragung der Daten in strukturiertem Format an eine andere Einrichtung.
  • Widerspruchsrecht (Artikel 21) — Ablehnung der Verarbeitung auf Basis berechtigter Interessen, einschließlich Marketing-Profiling.
  • Recht, keiner automatisierten Entscheidung unterworfen zu werden (Artikel 22) — Grundlegend für Aufnahmeverfahren mit KI (Stichwort MedAT-analoge Bewertungssysteme).
  • Recht auf Widerruf der Einwilligung (Artikel 7 Abs. 3) — Jederzeit, ohne Begründung.

Kaskadenlöschung: eine technische Herausforderung

Wenn Studieninteressierte ihr Löschungsrecht ausüben, müssen alle sie betreffenden Daten aus sämtlichen Systemen entfernt werden: CRM, Chatbot, E-Mail-Tool, namentliche Analytics, Backups. Die Akquisitionskosten pro inskribierter Studierender liegen an österreichischen Privatunis und FHs typischerweise zwischen 1.800 und 2.800 EUR (Skolbot-Schätzung auf Basis von FHK-, uniko- und AQ-Austria-Reports). Jeder Löschantrag ist daher auch ein Marketing-Investitionsverlust — umso mehr Grund, Daten von Anfang an zu minimieren. Die Löschung muss innerhalb eines Monats wirksam sein.

Der DSB an österreichischen Hochschulen

Wann ist die Benennung verpflichtend?

Art. 37 DSGVO macht die Benennung einer oder eines Datenschutzbeauftragten (DSB in Funktion, nicht zu verwechseln mit der Behörde) verpflichtend, wenn die Verarbeitung durch eine öffentliche Stelle erfolgt, die Kerntätigkeit eine umfangreiche und systematische Überwachung betroffener Personen erfordert, oder besondere Datenkategorien (Art. 9) umfangreich verarbeitet werden.

Für österreichische Privatuniversitäten und private Fachhochschulen betrachtet die DSB die Verarbeitung von Daten hunderter Studierender regelmäßig als umfangreich. Die Benennung ist daher in der Praxis nahezu ausnahmslos erforderlich. Eine tiefergehende Analyse der DSB-Rolle finden Sie in unserem Beitrag DSGVO und DSB: Pflichten für österreichische Hochschulen.

Interne oder externe Datenschutzbeauftragte?

Beide Optionen sind zulässig. Eine interne Person kennt die Prozesse besser, läuft aber Gefahr eines Interessenkonflikts bei gleichzeitiger Entscheidungsfunktion (IT-Leitung, Rechtsabteilung). Externe DSB — in Österreich oft durch spezialisierte Kanzleien oder die ARGE Daten gestellt — bringen Spezialexpertise und Unabhängigkeit mit, benötigen aber Einarbeitungszeit in die Besonderheiten des UG 2002 und FHG. Die Kontaktdaten sind der DSB zu melden und in der Datenschutzerklärung zu veröffentlichen.

DSGVO vs. DSG: österreichische Besonderheiten

ThemaDSGVO (EU, direkt anwendbar)DSG (österreichische Ergänzung)
Aufsichtsbehördeja, Art. 51DSB (dsb.gv.at), § 18 DSG
Alter digitale Einwilligung13 bis 16 (Spielraum)14 Jahre, § 4 Abs. 4 DSG
Videoüberwachungkeine Spezialregel§§ 12 bis 13 DSG (eigenständiger Rahmen)
Bildverarbeitung CampusArt. 6, Art. 9§ 12 DSG (Bildaufnahmen)
StrafbestimmungenGeldbußen Art. 83gerichtliche Strafen § 62, § 63 DSG
Datenübermittlung an BehördenArt. 6 Abs. 1 lit. cnationale Sektoralgesetze (UG 2002, FHG, BilDokG)
ForschungArt. 89§§ 7 und 8 DSG (Forschungsprivileg)

Die KI-Verordnung und ihre Auswirkungen auf österreichische Hochschulen

Klassifizierung von KI-Systemen in der Bildung

Die KI-Verordnung der EU (Verordnung 2024/1689) klassifiziert Systeme künstlicher Intelligenz nach Risikoniveau. Für den Hochschulbereich sind zwei Kategorien besonders relevant:

Hohes Risiko (Anhang III) — KI-Systeme für Aufnahmeverfahren, Bewerbungsbewertung oder automatisierte Prüfungsbewertung werden als hochriskant eingestuft. Sie erfordern:

  • ein dokumentiertes Risikomanagementsystem
  • qualitativ hochwertige, repräsentative und verzerrungsfreie Trainingsdaten
  • wirksame menschliche Aufsicht (KI empfiehlt, Mensch entscheidet)
  • vollständige Transparenz gegenüber betroffenen Personen
  • Registrierung in der europäischen Datenbank für KI-Hochrisikosysteme

Begrenztes Risiko (Artikel 50) — Informations-Chatbots vor der Inskription fallen unter begrenztes Risiko. Die Hauptpflicht ist Transparenz: Studieninteressierte müssen wissen, dass sie mit einer KI interagieren. Keine Konformitätsbewertung, keine Registrierung, aber eine klare Informationspflicht.

Zeitplan der Inkraftsetzung

Die KI-Verordnung tritt schrittweise in Kraft. Verbote für Systeme mit unannehmbarem Risiko gelten seit Februar 2025. Die Pflichten für Hochrisikosysteme gelten vollständig ab August 2026. Österreichische Hochschulen, die KI-Tools für die Vorauswahl einsetzen — etwa im MedAT-Umfeld oder für die ECTS-Anrechnung internationaler Zeugnisse — müssen sich jetzt vorbereiten. Die nationale Koordination liegt voraussichtlich bei der DSB in Abstimmung mit dem BMBWF.

Österreichspezifische Pflichten

DSB, BMBWF und AQ Austria

Die DSB ist die zentrale Aufsichtsbehörde für Datenschutz in Österreich — anders als in Deutschland gibt es keine Landesdatenschutzbehörden. Sie bearbeitet Beschwerden, führt Prüfverfahren durch und verhängt Geldbußen nach Art. 83 DSGVO. Das BMBWF verantwortet die Hochschulgesetzgebung (UG 2002, FHG, PrivHG). AQ Austria akkreditiert Privatunis und FH-Studiengänge und prüft dabei auch Datenschutzkonzepte.

Zusätzliche Besonderheiten im österreichischen Recht:

  • BilDokG 2020: Meldungen an Statistik Austria, rechtliche Grundlage für Hochschulstatistik.
  • UG 2002 §§ 7, 91, 96: Datenverarbeitung im Studium, Evidenzen, Zeugnisregister.
  • FHG § 2: Aufgabenübertragung und Datenverarbeitung an FHs.
  • HSG 2014: Datenverarbeitung durch die ÖH.

Kooperation mit internationalen Rekrutierungspartnern

Viele österreichische Hochschulen kooperieren mit dem OeAD für internationale Mobilität. Transfers in Drittländer (USA, UK, Schweiz) erfordern einen Angemessenheitsbeschluss oder Standardvertragsklauseln mit Transfer Impact Assessment.

Pflichten je Hochschulart im Überblick

HochschultypDSB-PflichtPrimäre RechtsgrundlageMeldepflichten an Behörden
Öffentliche Universitätja (öffentliche Stelle)UG 2002, öffentliches InteresseBMBWF, Statistik Austria, AQ Austria (bei Akkreditierungen)
Fachhochschule (öffentl./gemeinn.)ja (öffentliche Aufgabe)FHG, VertragBMBWF, AQ Austria, Statistik Austria
Privatuniversitätin der Praxis jaPrivHG, Vertrag, berechtigtes InteresseBMBWF, AQ Austria
Private FH (z. B. IMC Krems)in der Praxis jaFHG, VertragBMBWF, AQ Austria, Statistik Austria

Datensicherheit: technische und organisatorische Maßnahmen

Das Prinzip der Datenminimierung

Artikel 5 Abs. 1 lit. c DSGVO verlangt, nur die für den angegebenen Zweck strikt erforderlichen Daten zu erheben. Für einen Chatbot bedeutet das: Name, E-Mail und Telefonnummer dürfen nicht Voraussetzung sein, um Fragen zu Studiengängen oder Studienbeitrag zu beantworten. Identifikatoren sind nur gerechtfertigt, wenn die Person eine Kontaktaufnahme wünscht oder einen Info-Termin bucht.

Ein zero-party-Data-Ansatz — Informationen, die Studieninteressierte freiwillig teilen, etwa „Ich interessiere mich für ein berufsbegleitendes Masterstudium an einer FH in Wien ab dem WS 2026/27" — ist DSGVO-konform, weil die Person die Kontrolle behält. Skolbot-Hochschulen in Österreich sammeln im Schnitt 3 bis 5 strukturierte zero-party-Signale pro qualifiziertem Gespräch (Studienart, Standortpräferenz, Starttermin, ÖSD-Niveau, Finanzierungsquelle).

Unverzichtbare technische Maßnahmen

  • Verschlüsselung — TLS 1.3 in Transit, AES-256 im Ruhezustand
  • Hosting im EWR — gemäß EDSA-Empfehlungen zu internationalen Transfers
  • Pseudonymisierung — Trennung direkter Identifikatoren von Verhaltensdaten
  • Zugriffsprotokollierung und verschlüsselte Backups mit regelmäßigem Restore-Test
  • Automatisierte Löschung nach Ablauf der definierten Aufbewahrungsfrist

Datenschutz-Folgenabschätzung (DSFA)

Artikel 35 DSGVO verlangt eine DSFA vor jeder Verarbeitung mit voraussichtlich hohem Risiko. Die DSB hat eine Liste verpflichtender DSFA-Fälle veröffentlicht. Für eine österreichische Hochschule betrifft das regelmäßig: KI-Chatbot mit Datenerhebung, KI-Tools für Bewerbungsbewertung oder ECTS-Anrechnung, Videoüberwachung (zusätzlich an §§ 12 f. DSG zu messen), Marketing-Profiling und Proctoring-Software. Die DSFA ist im Verarbeitungsverzeichnis zu dokumentieren.

FAQ

Muss meine FH eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen?

In der Praxis ja. Fachhochschulen erfüllen eine öffentliche Aufgabe im Sinn des FHG, selbst wenn ihr Träger privatrechtlich organisiert ist (z. B. IMC FH Krems, MCI Innsbruck). Schon dadurch greift Art. 37 Abs. 1 lit. a DSGVO. Zusätzlich verarbeiten FH regelmäßig Daten von mehreren hundert bis mehreren tausend Studierenden, was als umfangreiche Verarbeitung gilt. Die DSB empfiehlt allen FH und Privatuniversitäten, eine oder einen DSB zu bestellen und die Kontaktdaten zu melden.

Welche Strafen drohen bei Verletzung der DSGVO?

Zwei Sanktionsspuren laufen parallel. Die DSGVO sieht Geldbußen bis 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes vor (Art. 83) — verhängt durch die DSB. Zusätzlich kennt das österreichische DSG gerichtliche Strafbestimmungen: § 63 DSG stellt die vorsätzliche, rechtswidrige Datenverarbeitung unter Strafe (Freiheitsstrafe bis zu einem Jahr oder Geldstrafe). § 62 DSG sieht Verwaltungsstrafen bis 50.000 EUR für bestimmte nationale Datenschutzverstöße vor, etwa bei unzulässiger Bildverarbeitung nach §§ 12 f. DSG.

Wie lange dürfen Daten nicht inskribierter Studieninteressierter gespeichert werden?

Die DSB empfiehlt eine Höchstdauer von drei Jahren nach dem letzten Kontakt für Marketingdaten. Für Interessent:innen ohne Rückmeldung: Löschung nach drei Jahren. Für abgelehnte Bewerber:innen: Aufbewahrung der Unterlagen für ein Jahr (mögliche Rechtsstreitigkeiten, etwa Beschwerden gegen Aufnahmeverfahren nach UG 2002 oder FHG), danach Löschung. Diese Fristen müssen im Verarbeitungsverzeichnis dokumentiert sein und mit der Datenschutzerklärung übereinstimmen.

Ist ein KI-Chatbot DSGVO-konform?

Ja, sofern vier Pflichten eingehalten werden: Information der Studieninteressierten, dass sie mit einer KI interagieren (Transparenz nach KI-Verordnung), Erhebung nur strikt erforderlicher Daten (Datenminimierung), einfacher Zugang zu Auskunft, Berichtigung und Löschung (Betroffenenrechte) sowie Hosting der Daten innerhalb der EU/des EWR. Ein konformer Chatbot informiert vor der Datenerhebung und macht den Zugang zu Informationen nicht von der Angabe personenbezogener Daten abhängig.

Verbietet die KI-Verordnung den KI-Einsatz im Aufnahmeverfahren?

Nein. Die KI-Verordnung verbietet KI im Aufnahmeverfahren nicht, stuft die Verwendung aber als Hochrisikosystem ein (Anhang III). Das bringt verstärkte Pflichten mit sich: Risikomanagement, Qualität der Trainingsdaten, wirksame menschliche Aufsicht, Transparenz gegenüber Bewerber:innen und Registrierung in der EU-Datenbank. Die KI darf empfehlen, aber die endgültige Zulassungsentscheidung muss beim Menschen liegen — etwa bei der Studiengangsleitung oder dem Aufnahmekomitee.

DSGVO-Konformität ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der Inskription, Studierendenverwaltung, Marketing, IT und Rektorat betrifft. Einrichtungen, die Datenschutz von Anfang an integrieren (Privacy by Design), schützen ihre Studierenden und sich selbst. Zum Jahreswechsel im Jänner sollte jede Hochschule mindestens Verarbeitungsverzeichnis, Aufbewahrungsfristen und Datenschutzerklärung aktualisieren.

Wer die österreichische Hochschullandschaft insgesamt besser verstehen will, findet im Leitfaden zu privaten Hochschulen in Österreich die strukturellen Grundlagen.

Testen Sie Skolbot auf Ihrer Hochschule in 30 Sekunden

Ähnliche Artikel

DSGVO und Datenschutz für österreichische Hochschulen
Compliance

DSGVO und DSB: Pflichten für österreichische Hochschulen

KI-Chatbot DSGVO Datenerhebung Hochschule: Datenschutzübersicht für KI-Chatbots an deutschen Hochschulen und Privatschulen
Compliance

KI-Chatbot und DSGVO: Welche Daten dürfen Hochschulen erheben?

Cookie-Einwilligung DSGVO Hochschule: Banner, Formulare und Consent-Management für private Hochschulen und Universitäten in Deutschland
Compliance

Cookie-Einwilligung für Hochschulen: DSGVO-Leitfaden 2026

Isometrische Illustration eines Globus mit Datenströmen zwischen Europa und der Welt — DSGVO-Rahmen für internationale Hochschulen
Compliance

Datentransfer außerhalb der EU: Leitfaden für internationale Hochschulen

Vollständiger Leitfaden zum KI-Chatbot für die Studierendengewinnung an österreichischen Hochschulen
KI-Chatbot

KI-Chatbot für österreichische Hochschulen: Der vollständige Leitfaden 2026

Zurück zum Blog

DSGVO · EU AI Act · EU-Hosting

skolbot.

LösungPreiseBlogFallstudienVergleichAI CheckFAQTeamImpressumDatenschutzerklärung

© 2026 Skolbot