ChatGPT
Claude
Perplexity
Gemini
Grok72 % der Chatbot-Interaktionen auf Hochschulwebsites sind Standard-FAQ-Anfragen — jede davon ein Datenverarbeitungsvorgang, den Ihre Cookie-Richtlinie abdecken muss. (Quelle: Automatische Klassifizierung von 12.000 Skolbot-Gesprächen, 2025)
Wenn ein Studieninteressierter Ihre Website besucht und fragt, wie hoch die Studiengebühren sind, passiert im Hintergrund mehr, als es scheint: Ein Session-Cookie wird gesetzt, Google Analytics zeichnet den Seitenaufruf auf, ein Retargeting-Pixel identifiziert den Browser. Ob dieser Vorgang rechtskonform ist, hängt davon ab, ob Sie — vor all dem — eine gültige Cookie-Einwilligung eingeholt haben.
Für private Hochschulen in Deutschland ist das kein abstrakt-juristisches Problem. Der BfDI und die Landesdatenschutzbehörden prüfen aktiv, ob Bildungseinrichtungen ihrer Pflicht zur vorherigen Einwilligung nachkommen. Dieser Leitfaden erklärt, was konkret verlangt wird — für Cookies, Formulare und den Sonderfall KI-Chatbot.
Den übergeordneten Rahmen finden Sie in unserem DSGVO-Leitfaden für Hochschulen.
Was DSGVO und TTDSG von Ihrer Hochschulwebsite verlangen
Die Cookie-Pflichten einer deutschen Hochschule ergeben sich aus zwei Rechtsquellen, die zusammenwirken.
Die Datenschutz-Grundverordnung (DSGVO — Verordnung 2016/679) regelt die Verarbeitung personenbezogener Daten allgemein. Sobald ein Cookie einen Nutzer über Sitzungen hinweg identifiziert oder Verhaltensdaten an Dritte überträgt, liegt eine Verarbeitung personenbezogener Daten vor. Dafür brauchen Sie eine Rechtsgrundlage nach Artikel 6 DSGVO.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), in Kraft seit Dezember 2021, konkretisiert die Anforderungen für Telemedien-Dienste. § 25 TTDSG verlangt für das Speichern von Informationen auf Endgeräten oder den Zugriff auf dort gespeicherte Informationen eine vorherige, ausdrückliche Einwilligung — unabhängig davon, ob die gespeicherten Daten personenbezogen sind. Das erfasst auch funktionale Cookies, die keine personenbezogenen Daten im engeren Sinne übertragen.
Praktische Konsequenz: In Deutschland reicht es nicht, sich auf das „berechtigte Interesse" nach DSGVO zu berufen, um Analytics-Cookies zu setzen — anders als in einigen anderen EU-Staaten. Das TTDSG setzt die Latte höher. Die Aufsichtsbehörden haben diese Auslegung in mehreren Stellungnahmen bestätigt.
Ausgenommen vom Einwilligungserfordernis sind lediglich Cookies, die technisch unbedingt notwendig sind, um einen ausdrücklich angeforderten Dienst zu erbringen: Session-Cookies für den Login-Bereich, Warenkorbspeicherung, Lastverteilung. Nicht darunter fallen Analytics, Werbung, Social-Media-Plugins und A/B-Tests.
Welche Cookies erfordern eine Einwilligung?
Die folgende Tabelle gibt einen praxisnahen Überblick, wie gängige Cookie-Typen auf Hochschulwebsites einzustufen sind:
| Cookie-Typ | Typische Beispiele | Einwilligung erforderlich? | Rechtsgrundlage |
|---|---|---|---|
| Technisch notwendig | Session-ID, Login-Token, CSRF-Schutz | Nein | § 25 Abs. 2 TTDSG |
| Präferenz / Funktional | Spracheinstellung, Schriftgröße | Nein (sofern zwingend für Dienst) | § 25 Abs. 2 TTDSG |
| Analytics / Statistik | Google Analytics 4, Matomo (mit Tracking), Plausible (cookie-basiert) | Ja | Art. 6 Abs. 1 lit. a DSGVO + § 25 TTDSG |
| Marketing / Retargeting | Google Ads Conversion, Meta Pixel, LinkedIn Insight Tag | Ja | Art. 6 Abs. 1 lit. a DSGVO + § 25 TTDSG |
| Chatbot-Session | Conversation-ID mit Nutzerbindung | Ja (sofern Nutzer über Sitzung hinweg identifiziert wird) | Art. 6 Abs. 1 lit. a DSGVO |
| Social Media Plugins | Facebook Like, Instagram Embed, YouTube-Video | Ja | Art. 6 Abs. 1 lit. a DSGVO + § 25 TTDSG |
| A/B-Testing | Google Optimize (eingestellt), VWO, Optimizely | Ja | Art. 6 Abs. 1 lit. a DSGVO + § 25 TTDSG |
Ein häufiger Irrtum: Matomo oder Plausible Analytics gelten als datenschutzfreundlichere Alternativen zu Google Analytics — das stimmt, befreit aber nicht automatisch von der Einwilligungspflicht, solange diese Tools Cookies setzen, die eine sitzungsübergreifende Nutzererkennung erlauben. Cookie-freie Konfigurationen (cookieless tracking) sind die einzige technische Ausnahme.
Für eine vollständige Bestandsaufnahme der Datenerhebungspunkte Ihrer Hochschule empfehlen wir die DSGVO-Audit-Checkliste für Hochschulen.
Formulare für Infotage, Anfragen und Newsletter: Datenschutzregeln
Formulare sind der sensibelste Datenpunkt einer Hochschulwebsite — nicht weil sie die größte Menge Daten erheben, sondern weil Studieninteressierte dort aktiv personenbezogene Informationen eingeben. Drei Formulartypen verdienen besondere Aufmerksamkeit.
Anmeldeformular für Infotage
Ein Infotag-Anmeldeformular verarbeitet mindestens Namen, E-Mail-Adresse und Studiengangsinteresse. Die Rechtsgrundlage für die Durchführung der Veranstaltung ist die Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) — das deckt die Organisation des Infotags ab. Was es nicht abdeckt: Marketingkommunikation im Nachgang, Weitergabe der Daten an Studiengangsverantwortliche für Akquisezwecke oder Aufnahme in E-Mail-Sequenzen.
Für alles jenseits der reinen Veranstaltungsorganisation benötigen Sie eine separate Einwilligung, mit eigenem Kontrollkästchen — nicht vorausgewählt, nicht mit dem Anmeldebutton verknüpft. Der Datenschutzhinweis muss direkt im Formular sichtbar sein, nicht nur als Fußzeilen-Link.
Anfrage- und Kontaktformulare
Bei Anfragen zum Studiengangsangebot gilt: Die Beantwortung der konkreten Anfrage kann auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f) basieren. Weiterführende Marketingmaßnahmen erfordern Einwilligung. Trennen Sie beides — sowohl rechtlich als auch technisch im Formular.
Das Pflichtinformationsset nach Art. 13 DSGVO muss beim Formular direkt zugänglich sein: Identität des Verantwortlichen, Zwecke der Verarbeitung, anwendbare Rechtsgrundlage, Aufbewahrungsfristen, Empfänger, Betroffenenrechte und Kontakt zum Datenschutzbeauftragten (DSB). Eine Verlinkung auf die Datenschutzerklärung genügt — sofern diese vollständig und auffindbar ist.
Newsletter-Anmeldung
Newsletter fallen unter das „berechtigte Interesse" nur in sehr engen Ausnahmen (z. B. bestehende Kundenbeziehung mit ähnlichem Angebot). Für Studieninteressierte ohne vorherige Vertragsbeziehung gilt: Double-Opt-in-Verfahren, ausdrückliche Einwilligung, granular pro Kommunikationskanal. Kein vorausgefülltes Kontrollkästchen, kein gebündeltes „Ich stimme allem zu".
Die Einwilligungserklärung muss so formuliert sein, dass der Studieninteressierte versteht, was er konkret akzeptiert: Welche Inhalte werden verschickt? In welchem Rhythmus? Kann er sich später abmelden?
Hinweise auf die Rechte beim Datenschutz für Studieninteressierte — einschließlich des Widerspruchsrechts gegen Direktwerbung — finden Sie im Artikel Datenschutz für Studieninteressierte.
Rechtskonforme Cookie-Banner implementieren — was der BfDI verlangt
Der BfDI hat klare Anforderungen an Cookie-Banner veröffentlicht, die über den Mindeststandard vieler Consent-Management-Plattformen hinausgehen. Folgende Kriterien müssen erfüllt sein:
Keine voreingestellte Zustimmung. Analytics- und Marketing-Cookies dürfen vor der Einwilligung nicht gesetzt werden — nicht einmal in anonymisierter Form. Ein Banner, das Cookies bereits beim Laden der Seite setzt und erst im Nachhinein Ablehnung ermöglicht, ist rechtswidrig.
Ablehnung muss gleich einfach sein wie Zustimmung. Ein gut sichtbarer Button „Alle akzeptieren" und ein klein gedruckter Link „Ablehnen" ist kein zulässiges Design. Der BfDI und mehrere Landesdatenschutzbehörden haben dunkle Muster (Dark Patterns) ausdrücklich beanstandet. Die Ablehnoption muss auf derselben Ebene und mit gleicher Prominenz angeboten werden.
Einwilligung muss widerrufbar und nachweisbar sein. Studieninteressierte müssen ihre Einwilligung jederzeit widerrufen können — idealerweise über ein dauerhaft zugängliches Datenschutzsymbol oder einen Footer-Link. Die erteilten Einwilligungen müssen protokolliert werden (Zeitstempel, Umfang, Version des Banners).
Keine Cookie-Walls. Der Zugang zum Studiengangsangebot, zu Bewerbungsinformationen oder zur Infotag-Anmeldung darf nicht von der Annahme von Marketing-Cookies abhängig gemacht werden. Das würde die Freiwilligkeit der Einwilligung aufheben.
Technische Implementierung prüfen. Der häufigste Fehler ist, dass das Banner korrekt aussieht, aber die technische Blockierung fehlt: Google Analytics lädt bereits beim ersten Seitenaufruf, bevor der Nutzer interagiert hat. Testen Sie Ihre Website mit einem frischen Browser-Profil oder einem Tool wie dem Cookiebot Scanner und prüfen Sie die Netzwerkanfragen im Browser-Entwicklertool.
Für eine gängige Hochschulwebsite empfehlen sich Consent-Management-Plattformen (CMPs) wie Usercentrics, Cookiebot oder OneTrust — in Konfigurationen, die das TTDSG berücksichtigen. Achten Sie darauf, dass der Anbieter selbst eine Verarbeitung im EU-Raum garantiert, mit unterzeichnetem Auftragsverarbeitungsvertrag (AVV nach Art. 28 DSGVO).
Sonderfall: KI-Chatbot und Gesprächsdaten
Ein KI-Chatbot auf der Hochschulwebsite ist kein einfaches Cookie-Problem — er ist ein eigenständiger Datenverarbeitungsvorgang, der mehrere Rechtsebenen gleichzeitig berührt.
Zunächst zur Cookie-Ebene: Sofern der Chatbot ein Cookie setzt, das den Nutzer sitzungsübergreifend identifiziert (um z. B. ein früheres Gespräch wieder aufzurufen), gilt § 25 TTDSG. Diese Verarbeitung muss im Cookie-Banner ausgewiesen und separat einwilligungsfähig sein.
Die tiefere Frage betrifft die Gesprächsdaten selbst. Jede Interaktion — auch ohne Name oder E-Mail-Adresse — erzeugt Metadaten: Zeitpunkt, Dauer, Seitenkontext, gestellte Fragen. Sobald diese Daten mit einem Identifikator (IP-Adresse, Session-ID) verknüpft sind, liegen personenbezogene Daten vor.
Für Hochschulen gelten folgende Mindestanforderungen beim Chatbot-Einsatz:
- Transparenzpflicht: Der Chatbot muss sich beim ersten Kontakt als KI-System identifizieren (Art. 52 KI-Verordnung). Eine Bezeichnung wie „Sophia, unser virtueller Assistent" ohne Hinweis auf die KI-Natur ist nicht ausreichend.
- Informationspflicht: Vor oder beim Start des Gesprächs muss über Zweck, Umfang und Dauer der Gesprächsdatenspeicherung informiert werden. Ein sichtbarer Link zur Datenschutzerklärung direkt im Chatbot-Interface genügt.
- Datenminimierung: Der Chatbot darf nicht Name oder E-Mail-Adresse als Pflichtangabe verlangen, um eine Frage zu Studiengebühren oder Zulassungsvoraussetzungen zu beantworten. Die Erhebung von Identifikatoren ist nur gerechtfertigt, wenn der Studieninteressierte ausdrücklich Kontakt wünscht.
- Aufbewahrungsfrist: Gesprächsverläufe sollten nicht unbefristet gespeichert werden. Eine Aufbewahrungsdauer von 12 Monaten mit anschließender Anonymisierung ist gängige Praxis; sensible Informationen (Gesundheitszustand, familiäre Situation), die Studieninteressierte spontan im Chat teilen, sollten nach 30 Tagen automatisch anonymisiert werden.
- AVV mit dem Chatbot-Anbieter: Sofern der Chatbot als SaaS-Dienst betrieben wird, ist ein Auftragsverarbeitungsvertrag verpflichtend. Prüfen Sie, ob das zugrundeliegende Sprachmodell in der EU gehostet wird oder Daten in Drittstaaten überträgt — letzteres erfordert Standardvertragsklauseln (SCCs).
Der Numerus-Clausus-Prozess und die Bewerbungsphase über Hochschulstart treiben Trafficspitzen auf Hochschulwebsites. Gerade in diesen Phasen erhöht sich das Volumen der Chatbot-Interaktionen erheblich. Das macht eine robuste, vorab geprüfte Datenverarbeitungsstruktur umso wichtiger — denn Nachbesserungen unter Last sind fehleranfällig.
FAQ
Braucht meine Hochschule einen Cookie-Banner, wenn sie nur Google Analytics nutzt?
Ja — ohne Ausnahme. Google Analytics 4 setzt Cookies, die eine sitzungsübergreifende Nutzeridentifikation ermöglichen, und überträgt Daten an Google-Server in den USA. Beides — das Setzen des Cookies nach § 25 TTDSG und die internationale Datenübermittlung nach DSGVO Art. 46 — erfordert eine vorherige, ausdrückliche Einwilligung. Weder das TTDSG noch die DSGVO sehen eine Ausnahme für Analytics-Cookies vor, unabhängig davon, wie beliebt das Tool ist. Alternativen wie cookieless Matomo-Konfigurationen können das Einwilligungserfordernis entfallen lassen — prüfen Sie dazu die technische Implementierung im Detail mit Ihrem DSB.
Wie hole ich rechtsgültige Einwilligung im Anmeldeformular für einen Infotag ein?
Das Anmeldeformular für einen Infotag darf zwei Zwecke nicht vermischen. Für die Durchführung des Infotags selbst (Bestätigungsmail, Terminhinweis, Raumzuweisung) ist keine Marketingeinwilligung erforderlich — die Vertragsanbahnung trägt diese Verarbeitung. Für alles darüber hinaus — Follow-up-Mails, Aufnahme in den Newsletter, Weitergabe an Studiengangsverantwortliche für spätere Akquise — fügen Sie ein separates, nicht vorausgewähltes Kontrollkästchen mit präziser Formulierung ein: „Ich bin einverstanden, dass [Name der Hochschule] mir nach dem Infotag weitere Informationen zu [Studiengang / Studienangebot] per E-Mail zusenden darf." Bewahren Sie den Nachweis dieser Einwilligung (Zeitstempel, IP, Formularversion) dauerhaft auf — er ist Ihr Schutz bei einem Widerruf oder einer Beschwerde.
Kann ein Studieninteressierter nach einem Infotag die Löschung seiner Daten verlangen?
Ja. Das Recht auf Löschung (Art. 17 DSGVO) steht dem Studieninteressierten zu — auch wenn er bereits am Infotag teilgenommen hat. Die Hochschule muss innerhalb eines Monats reagieren. Einschränkungen gelten nur dort, wo eine andere Rechtsgrundlage greift: Soweit die Teilnahme am Infotag steuerlich oder buchhalterisch dokumentiert werden muss (HGB § 257: 10 Jahre für Buchungsbelege), kann diese spezifische Datei aufbewahrt werden. Marketingdaten, CRM-Einträge, Chatbot-Gesprächsverläufe und E-Mail-Sequenzinhalte hingegen müssen vollständig gelöscht werden. Dokumentieren Sie schriftlich, welche Daten gelöscht wurden und welche mit welcher Rechtsgrundlage aufbewahrt werden — diese Antwort gehört zur Akte des Betroffenenrechteverfahrens.
Wie lange dürfen Anfragedaten aus Formularen gespeichert werden?
Die Aufsichtsbehörden empfehlen als Orientierungswert 3 Jahre nach dem letzten aktiven Kontakt für Marketingdaten von Studieninteressierten — das ist ein Höchstwert, keine Empfehlung. In der Praxis empfiehlt sich eine differenzierte Aufbewahrungslogik: Daten einer einfachen Kontaktanfrage ohne Bewerbungsfortschritt sollten nach 12 Monaten ohne weitere Interaktion gelöscht werden. Daten einer gestarteten, aber nicht abgeschlossenen Bewerbung können 24 Monate aufbewahrt werden. Anmeldeformalitäten für Infotage, soweit nicht buchhalterisch relevant, können nach 12 Monaten nach der Veranstaltung gelöscht werden. Diese Fristen müssen im Verarbeitungsverzeichnis (Art. 30 DSGVO) dokumentiert und technisch umgesetzt sein — eine Aufbewahrungsrichtlinie, die nur auf dem Papier existiert, erfüllt die DSGVO-Anforderungen nicht.
Cookie-Einwilligung und Formular-Compliance sind keine isolierten IT-Fragen. Sie berühren jeden Kontaktpunkt, den Ihre Hochschule mit Studieninteressierten hat — Website, Chatbot, Infotag, Bewerbungsportal. Eine Hochschule, die diese Punkte sauber implementiert, schützt sich vor Bußgeldern und sendet gleichzeitig ein Professionalisierungssignal an eine Generation, die Datenschutz zunehmend als Qualitätsmerkmal bewertet.
Erfahren Sie, wie Hochschulen Interessentendaten DSGVO-konform schützen
