skolbot.KI-Chatbot für Schulen
ProduktPreise
Kostenlose Demo
Kostenlose Demo
Operativer Leitfaden zum Datenschutz bei Studieninteressierten
  1. Startseite
  2. /Blog
  3. /Compliance
  4. /Datenschutz bei Studieninteressierten: Operativer DSGVO-Leitfaden fur Hochschulen
Zurück zum Blog
Compliance8 min read

Datenschutz bei Studieninteressierten: Operativer DSGVO-Leitfaden fur Hochschulen

Wie Sie Daten von Studieninteressierten DSGVO-konform erheben, speichern und nutzen. Operative Checkliste fur Zulassungs- und Marketingteams.

S

Team Skolbot · 12. März 2026

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Inhaltsverzeichnis

  1. 01Ihre Studieninteressierten haben Rechte — schon vor der Bewerbung
  2. 02Rechtsgrundlagen fur die Verarbeitung von Daten Studieninteressierter
  3. Einwilligung (Art. 6 Abs. 1 lit. a)
  4. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)
  5. Durchfuhrung vorvertraglicher Massnahmen (Art. 6 Abs. 1 lit. b)
  6. 03Was Sie erheben — und was Sie nicht erheben sollten
  7. Der Grundsatz der Datenminimierung
  8. Vom Chatbot erhobene Daten
  9. 04Aufbewahrungsfristen: die Grauzone
  10. Empfohlene Aufbewahrungsfristen nach Datentyp
  11. Der Fehler „Alles aufbewahren"
  12. 05Betroffenenrechte: Was Ihr Team beantworten konnen muss
  13. 06Der Fall minderjahrige Studieninteressierte
  14. 07Operative Checkliste fur Zulassungsteams
  15. Datenerhebung
  16. Speicherung und Zugang
  17. Aufbewahrung und Loschung
  18. Wahrnehmung von Betroffenenrechten
  19. 08Die funf haufigsten DSGVO-Fehler in der Studierendengewinnung
  20. 09Der Vertrauensbonus: Uber die Pflicht hinaus

Ihre Studieninteressierten haben Rechte — schon vor der Bewerbung

DSGVO-Konformitat beginnt nicht bei der Einschreibung. Sie beginnt beim Erstkontakt. Sobald ein Studieninteressierter seine E-Mail-Adresse, seinen Namen oder seine Telefonnummer mitteilt — uber ein Formular, einen Chatbot, eine Bildungsmesse oder einen Hochschulinformationstag — wird die Hochschule zum Verantwortlichen im Sinne der DSGVO (Quelle: BfDI — Der Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit, Leitfaden Verantwortliche, aktualisiert 2025).

Dieser Punkt ist entscheidend, weil Zulassungs- und Marketingteams Daten von Studieninteressierten lange vor der formellen Bewerbungsphase verarbeiten. Und genau diese Daten sind oft die am wenigsten geschutzten im gesamten Informationssystem: Excel-Dateien, die per E-Mail verschickt werden, Kontaktlisten von Messen ohne dokumentierte Einwilligung, Chatbot-Gesprache ohne Aufbewahrungsrichtlinie.

62 % der befragten Hochschulen haben kein dokumentiertes Verfahren fur die Verarbeitung von Daten Studieninteressierter (Quelle: Skolbot-Umfrage unter 62 Marketing-Verantwortlichen an europaischen Hochschulen, Dezember 2025). Dieser operative Leitfaden schliesst diese Lucke.

Fur einen umfassenden Uberblick uber den DSGVO-konformen Umgang mit Studierendendaten lesen Sie unseren vollstandigen DSGVO-Leitfaden fur Studentendaten.

Rechtsgrundlagen fur die Verarbeitung von Daten Studieninteressierter

Die DSGVO verlangt fur jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Im Kontext der Studierendengewinnung sind drei Rechtsgrundlagen relevant.

Einwilligung (Art. 6 Abs. 1 lit. a)

Die Einwilligung ist die am haufigsten genutzte Grundlage — und die am schlechtesten umgesetzte. Sie muss freiwillig sein (keine Marketingeinwilligung als Voraussetzung fur eine Broschuure), bestimmt (eine Einwilligung pro Zweck, kein pauschales „Ich stimme allem zu"), informiert (Informationen zum Zeitpunkt der Erhebung sichtbar, nicht nur als Link) und eindeutig (aktive Handlung, keine vorausgewahlte Checkbox).

Haufiger Fehler: E-Mails auf einer Bildungsmesse uber ein Tablet mit dem Hinweis „Hinterlassen Sie Ihre E-Mail fur mehr Infos" zu sammeln, stellt keine gultige DSGVO-Einwilligung dar.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)

Das berechtigte Interesse erlaubt eine Verarbeitung ohne ausdruckliche Einwilligung — Nachfassen bei abgebrochenen Formularen, ergangende Informationen zu einem Studiengang. Es rechtfertigt nicht unerwunschte Werbung, die Weitergabe an Partner oder Verhaltensbewertung. Jede Berufung darauf muss in einer Interessenabwagung dokumentiert werden.

Der BfDI und die Landesdatenschutzbehorden stellen ausfuhrliche Orientierungshilfen bereit, die fur jedes Zulassungsteam, das sich auf diese Grundlage stutzt, Pflichtlekture sind.

Durchfuhrung vorvertraglicher Massnahmen (Art. 6 Abs. 1 lit. b)

Wenn ein Studieninteressierter eine formelle Bewerbung einreicht, ist die Bearbeitung seines Dossiers zur Durchfuhrung vorvertraglicher Massnahmen erforderlich. Eine solide Rechtsgrundlage, aber auf die formelle Bewerbungsphase beschrankt.

Was Sie erheben — und was Sie nicht erheben sollten

Der Grundsatz der Datenminimierung

Die DSGVO schreibt vor, dass nur die fur den angegebenen Zweck unbedingt erforderlichen Daten erhoben werden. In der Praxis muss jedes Formularfeld begrunbar sein.

Notwendige Daten fur eine Informationsanfrage: Vorname, Nachname, E-Mail, Studiengang. Vier Felder genugen.

Fragwurdige Daten: Geburtsdatum (wozu vor der Bewerbung?), Postanschrift (verschicken Sie tatsachlich gedruckte Broschuuren?), Telefonnummer (werden Sie wirklich anrufen?).

Problematische Daten: Staatsangehorigkeit (es sei denn, relevant fur internationale Zulassungsbedingungen), familiare Situation, Einkommen der Eltern. Diese werden manchmal „auf Vorrat" erhoben, stellen aber ohne dokumentierte Begrundung ein DSGVO-Risiko dar.

Jedes zusatzliche Formularfeld senkt die Abschlussrate um 5-8 % (Quelle: Skolbot-Analyse von 45 Kontaktformularen von Hochschulen, 2025). Datenminimierung ist nicht nur eine Rechtspflicht — sie ist ein Conversion-Hebel. Unser Artikel uber Konversionsrate-Benchmarks fur Hochschul-Websites bestatigt diesen Zusammenhang.

Vom Chatbot erhobene Daten

Ein Chatbot erhebt mehr Daten als ein Formular. Studieninteressierte teilen spontan sensible Informationen (Behinderung, finanzielle Schwierigkeiten, Gesundheit). Drei Massnahmen sind unerlasslich: vorherige Information, dass das Gesprach aufgezeichnet wird, automatische Loschung sensibler Daten und eingeschrankter Zugang zu Gesprachsprotokollen.

Aufbewahrungsfristen: die Grauzone

Die Aufbewahrung ist der Schwachpunkt der meisten Hochschulen. Die Datenschutzkonferenz empfiehlt eine maximale Aufbewahrungsdauer von 3 Jahren nach dem letzten aktiven Kontakt fur Daten von Studieninteressierten (Quelle: Datenschutzkonferenz-Online, Orientierungshilfe). Doch diese Empfehlung ist ein Hochstwert, kein Ziel.

Empfohlene Aufbewahrungsfristen nach Datentyp

Erstkontaktdaten (Formular, Chat): 12 Monate nach dem letzten Kontakt, wenn keine Bewerbung erfolgte. Danach ist das Studienvorhaben wahrscheinlich aufgegeben.

Daten unvollstandiger Bewerbungen: 24 Monate nach dem letzten Kontakt. Der Interessierte konnte sich im Folgejahr bewerben.

Daten abgelehnter Bewerbungen: 6 Monate nach Mitteilung der Ablehnung. Eine langere Aufbewahrung hat keine operative Begrundung.

Chatbot-Gesprache: 12 Monate, mit automatischer Anonymisierung sensibler Daten nach 30 Tagen.

Veranstaltungsdaten (Informationstage, Messen): 12 Monate nach dem Ereignis, wenn keine weitere Aktion erfolgte.

Der Fehler „Alles aufbewahren"

47 % der Hochschulen bewahren Daten Studieninteressierter unbegrenzt auf (Quelle: Skolbot-Umfrage, Dezember 2025). Doppeltes Risiko: regulatorisch (Bussgelder bis 20 Mio. EUR oder 4 % des Jahresumsatzes laut DSGVO Art. 83) und operativ (verschlechterte E-Mail-Zustellbarkeit, verfalschte Kennzahlen, vergrosserte Angriffsflache).

Betroffenenrechte: Was Ihr Team beantworten konnen muss

Die DSGVO gewahrt acht Rechte. In der Praxis werden vier regelmassig von Studieninteressierten ausgeubt.

Recht auf Auskunft (Art. 15): Der Studieninteressierte kann erfragen, welche Daten Sie speichern. Antwort innerhalb von 30 Tagen, was bedeutet, dass Sie wissen mussen, wo die Daten liegen (CRM, Chatbot, Dateien, E-Mails).

Recht auf Berichtigung (Art. 16): Korrektur fehlerhafter Daten, systemubergreifend umgesetzt.

Recht auf Loschung (Art. 17): Loschung aller Daten. Absolut, wenn die Verarbeitung auf Einwilligung basiert. Die Loschung muss in allen Systemen wirksam sein: CRM, E-Mail-Plattform, Chatbot, geteilte Dateien.

Widerspruchsrecht (Art. 21): Widerspruch gegen Direktwerbung ist absolut und benotigt keine Begrundung. Ein Studieninteressierter, der sagt „Horen Sie auf, mir E-Mails zu schicken", muss sofort abgemeldet werden.

Der Fall minderjahrige Studieninteressierte

In Deutschland liegt das Mindestalter fur die eigenstandige digitale Einwilligung bei 16 Jahren (Quelle: BDSG § 8, Umsetzung Art. 8 DSGVO). Darunter ist die Einwilligung der Eltern erforderlich. Fur Programme vor dem Abitur, Orientierungsveranstaltungen und Social-Media-Kampagnen integrieren Sie eine Altersabfrage in Ihre Formulare und halten Sie einen Workflow fur die elterliche Einwilligung bereit.

Operative Checkliste fur Zulassungsteams

Datenerhebung

  • Jedes Formular zeigt die Pflichtinformationen an (Identitat des Verantwortlichen, Zweck, Aufbewahrungsdauer, Rechte)
  • Einwilligungs-Checkboxen sind nicht vorausgewahlt
  • Einwilligungen sind granular (eine pro Zweck)
  • Der Chatbot identifiziert sich als KI und informiert, dass Gesprache aufgezeichnet werden
  • Messe-Formulare enthalten Datenschutzhinweise
  • Es werden nur notwendige Daten erhoben (Grundsatz der Datenminimierung)

Speicherung und Zugang

  • Daten Studieninteressierter werden in einem CRM mit rollenbasierter Zugriffskontrolle gespeichert
  • Keine Excel-Dateien mit personenbezogenen Daten werden per E-Mail verschickt
  • Datenzugriffe werden protokolliert
  • Sensible Daten (Behinderung, familiare Situation) sind isoliert mit eingeschranktem Zugang
  • CRM-Passworter entsprechen den BSI-Empfehlungen (12+ Zeichen, MFA aktiviert)

Aufbewahrung und Loschung

  • Eine Aufbewahrungsrichtlinie ist dokumentiert und wird angewendet
  • Automatische Loschung ist im CRM konfiguriert
  • Studieninteressierte ohne Interaktion seit 12 Monaten werden geloscht oder durchlaufen eine Reaktivierungssequenz vor der Loschung
  • Daten abgelehnter Bewerbungen werden nach 6 Monaten geloscht

Wahrnehmung von Betroffenenrechten

  • Ein Verfahren fur Auskunfts-, Berichtigungs- und Loschungsanfragen ist dokumentiert
  • Das Zulassungsteam weiss, wen es intern kontaktieren muss
  • Die 30-Tage-Frist wird uberwacht und eingehalten
  • Marketing-Abmeldungen werden sofort umgesetzt

Die funf haufigsten DSGVO-Fehler in der Studierendengewinnung

Fehler 1: Die Messe-Excel-Liste. 200 E-Mails auf einer Bildungsmesse sammeln, sich die Datei per E-Mail schicken, dann ohne dokumentierte Einwilligung ins CRM importieren. Dreifacher Verstoss.

Fehler 2: Opt-in als Standard. Vorausgewahlte Checkbox „Ich stimme dem Erhalt von Mitteilungen zu". Ungultige Einwilligung.

Fehler 3: Unbegrenzte Aufbewahrung. Daten von Studieninteressierten aus 2019 noch im CRM. Verstoss plus verfalschte Kennzahlen durch tote Kontakte.

Fehler 4: Verspatete Antwort. Eine Loschungsanfrage, die drei Wochen lang zwischen drei Abteilungen zirkuliert. 30-Tage-Frist uberschritten.

Fehler 5: Der Chatbot ohne Hinweis. Der Chatbot erhebt Name, E-Mail, Studiengang, ohne uber die Verarbeitung zu informieren. Verstoss gegen den Transparenzgrundsatz.

Der Vertrauensbonus: Uber die Pflicht hinaus

73 % der 18- bis 24-Jahrigen geben an, dass der Datenschutz ihre Wahl der Hochschule beeinflusst (Quelle: Harris Interactive Umfrage fur die CNIL, 2025 — vergleichbare Befunde im CHE Hochschulranking). DSGVO-Konformitat ist nicht nur Pflicht — sie ist ein Professionalitatssignal, das direkt die Studierendengewinnung beeinflusst.

FAQ

Ist eine auf einer Messe eingeholte Einwilligung gultig?

Nur wenn sie dokumentiert, bestimmt und informiert ist. Ein Badge-Scan oder eine Unterschrift auf einem Tablet ohne Angabe der Verarbeitungszwecke stellt keine gultige DSGVO-Einwilligung dar. Bereiten Sie ein Papier- oder Digitalformular mit den Pflichtangaben vor und bewahren Sie den Nachweis der Einwilligung auf.

Darf man eine Nachfass-E-Mail ohne Marketingeinwilligung senden?

Ja, in bestimmten Fallen, auf Grundlage des berechtigten Interesses. Wenn ein Studieninteressierter eine Bewerbung begonnen, aber nicht abgeschlossen hat, ist eine Nachfass-E-Mail zu diesem spezifischen Vorgang begrundbar. Ein Newsletter oder die Bewerbung eines anderen Studiengangs erfordert jedoch eine ausdruckliche Einwilligung.

Was tun bei einer Datenpanne mit Daten Studieninteressierter?

Melden Sie den Vorfall innerhalb von 72 Stunden an die zustandige Landesdatenschutzbehorde, wenn ein Risiko fur die Betroffenen besteht. Informieren Sie die betroffenen Studieninteressierten bei hohem Risiko. Dokumentieren Sie den Vorfall (Art, betroffene Daten, ergriffene Massnahmen). Das Verfahren muss allen Mitarbeitenden mit Datenzugriff bekannt sein.

Haftet ein Auftragsverarbeiter (CRM, Chatbot-Anbieter) bei einem Datenleck?

Die Hochschule bleibt Verantwortliche. Ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) muss mit jedem Dienstleister geschlossen werden und Sicherheitsmassnahmen sowie Verfahren zur Meldung von Vorfallen festlegen.

Wie schult man Teams ohne internen DSB?

Planen Sie eine zweisstundige Sensibilisierungsveranstaltung pro Jahr, fokussiert auf Praxisfalle (Messeerhebung, Formulare, Nachfassaktionen). Benennen Sie einen Datenschutzansprechpartner. Der BfDI und die Landesdatenschutzbehorden stellen kostenlose Leitfaden und Schulungsmaterialien bereit.

Muss die Website unserer Hochschule auch für Menschen mit Behinderung zugänglich sein?

Ja, und seit Juni 2025 ist dies für die meisten privaten Bildungsträger rechtlich verpflichtend. Unser Leitfaden zur digitalen Barrierefreiheit für Hochschul-Websites enthält die BITV 2.0-Anforderungen, mögliche Sanktionen und eine 10-Punkte-Checkliste.

Für spezifische Anforderungen zu Cookie-Bannern und Anmeldeformularen lesen Sie unseren Leitfaden Cookie-Einwilligung für Hochschulen.

Ähnliche Artikel

Leitfaden zur DSGVO und zum Schutz von Studierendendaten an Hochschulen
Compliance

DSGVO und Studierendendaten: vollständiger Leitfaden für Hochschulen

Recht auf Löschung DSGVO Hochschule: Löschverfahren für Daten von Studieninteressierten nach Art. 17 DSGVO
Compliance

Recht auf Löschung DSGVO: Löschanfragen von Studieninteressierten bearbeiten

Isometrische Illustration eines Globus mit Datenströmen zwischen Europa und der Welt — DSGVO-Rahmen für internationale Hochschulen
Compliance

Datentransfer außerhalb der EU: Leitfaden für internationale Hochschulen

Zurück zum Blog

DSGVO · EU AI Act · EU-Hosting

skolbot.

LösungPreiseBlogFallstudienVergleichAI CheckFAQTeamImpressumDatenschutzerklärung

© 2026 Skolbot