Datenspeicherfristen für Studieninteressierte: Was Hochschulen beachten müssen

Die Kernanforderung: 3 Jahre Speicherfrist für Interessentendaten

Drei Jahre ab dem letzten aktiven Kontakt — das ist die maßgebliche Frist, die für Marketingdaten von Studieninteressierten gilt, die keine Einschreibung abgeschlossen haben. Diese Frist ergibt sich aus dem Grundsatz der Speicherbegrenzung nach Artikel 5 Abs. 1 lit. e DSGVO: Personenbezogene Daten dürfen nur so lange in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbeauftragten konkretisieren diese Anforderung für den deutschen Hochschulbereich. Private Hochschulen — ob staatlich anerkannt durch den Akkreditierungsrat oder im Genehmigungsverfahren — unterliegen dabei denselben Regeln wie öffentliche Einrichtungen. Das Sanktionspotenzial bei Verstößen — bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — macht diese Fristen zu einer Priorität für jede Leitungsebene.

Einen vollständigen Überblick über alle DSGVO-Pflichten im Hochschulbereich bietet unser DSGVO-Leitfaden für Studierendendaten.

Speicherfristen im Überblick: Tabelle nach Datenkategorie

Die Speicherdauer ist nicht einheitlich. Sie richtet sich nach der Datenkategorie, dem Verarbeitungszweck und — bei bestimmten Kategorien — nach handels- oder steuerrechtlichen Aufbewahrungspflichten, die der DSGVO vorrangig sind:

Wichtig für deutsche Hochschulen: Das Allgemeine Gleichbehandlungsgesetz (AGG) verpflichtet Arbeitgeber, Unterlagen im Zusammenhang mit Bewerbungsverfahren mindestens zwei Monate lang aufzubewahren — für Studienbewerber gilt eine Anlehnung an diese Frist, kombiniert mit der potentiellen Verjährungsfrist bei Diskriminierungsvorwürfen. Diese 2-Jahres-Frist für abgelehnte Bewerber ist daher sowohl eine Mindest- als auch eine Maximaldauer.

Aktive Speicherung und Zwischenarchivierung: der kritische Unterschied

Die DSGVO kennt zwei Phasen im Lebenszyklus personenbezogener Daten, die viele Hochschulen vermischen:

Aktive Speicherung bezeichnet den Zeitraum, in dem die Daten für ihren ursprünglichen Zweck genutzt werden — die Betreuung von Studieninteressierten, die Verwaltung von Bewerbungen, die Durchführung des Studienbetriebs. Die Daten sind für die operativen Teams zugänglich: Studienberatung, Marketing, Studierendensekretariat.

Zwischenarchivierung greift, wenn die Daten für den ursprünglichen Zweck nicht mehr benötigt werden, aber aus rechtlichen Gründen noch nicht gelöscht werden dürfen — laufende oder mögliche Rechtsstreitigkeiten, handelsrechtliche Aufbewahrungspflichten, Akkreditierungsunterlagen. In dieser Phase ist der Zugriff auf wenige Personen beschränkt (Datenschutzbeauftragte/r, Rechtsabteilung) und die Daten sind von den operativen Systemen getrennt.

Der Fehler, den viele private Hochschulen machen: Interessentenprofile verbleiben jahrelang im aktiven CRM, weil man hofft, dass diese Person "irgendwann doch noch anfängt". Ohne aktiven Kontakt innerhalb von drei Jahren fehlt die Rechtsgrundlage für diese Speicherung vollständig.

Rechtsgrundlage für die Interessentenansprache: Berechtigtes Interesse oder Einwilligung?

Für die Ansprache von Studieninteressierten kommen zwei Rechtsgrundlagen in Betracht:

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) ist die geeignete Grundlage, wenn die Person ein aktives Interesse gezeigt hat — Ausfüllen eines Kontaktformulars, Teilnahme am Tag der offenen Tür, Download einer Studiengangsbroschüre. Die bestehende Beziehung rechtfertigt die Weiterbetreuung, sofern ein dokumentierter Interessensabwägungstest vorliegt und jede Kommunikation eine einfache Abmeldemöglichkeit bietet.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ist für Cold-Emailing zwingend — also für den Erstkontakt mit Personen, die über gekaufte Listen oder ohne vorherige Interaktion angesprochen werden. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein: keine vorausgefüllten Checkboxen, kein Koppelungsverbot verletzen.

Für die Speicherdauer relevant: Auch bei gültiger Rechtsgrundlage dürfen Daten nach Ablauf der 3-Jahres-Frist ohne aktiven Kontakt nicht weiter für Werbezwecke genutzt werden. Die Rechtsgrundlage "heilt" keine abgelaufene Speicherdauer.

Artikel-30-DSGVO-Register: Speicherfristen dokumentieren

Artikel 30 DSGVO verpflichtet jeden Verantwortlichen, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Für Studieninteressiertendaten müssen darin mindestens enthalten sein:

• Die aktive Speicherdauer (3 Jahre ab letztem aktivem Kontakt)
• Das auslösende Ereignis für Löschung oder Überführung in die Zwischenarchivierung
• Der Verantwortliche für die Durchführung (Datenschutzbeauftragte/r, CRM-Verantwortliche/r)
• Die betroffenen Systeme (CRM, E-Mail-Marketing-Tool, Chatbot-Plattform, Analytics)

Wie Sie diesen Nachweis strukturiert aufbauen, zeigt unser Artikel zum Datenschutz für Studieninteressierte mit Musterformulierungen für das Verzeichnis.

Chatbot-Daten: der blinde Fleck in der DSGVO-Compliance vieler Hochschulen

72 % der Fragen von Studieninteressierten an Hochschul-Chatbots sind einfache FAQ, die automatisch beantwortet werden können — 7 % erfordern menschliche Bearbeitung (Quelle: Automatische Klassifikation auf Basis von 12.000 Skolbot-Gesprächen, 2025 — content/zpd-bank.json#question-complexity-distribution). Jedes dieser Gespräche erzeugt Daten, deren Speicherdauer in den meisten Verzeichnissen der Verarbeitungstätigkeiten nicht dokumentiert ist. Das bedeutet: Eine Hochschule, die seit zwei Jahren einen Chatbot betreibt, hat potenziell tausende Gesprächsprotokolle ohne definierte Löschroutine angesammelt — ein stilles Compliance-Risiko, das erst bei einer Prüfung sichtbar wird.

Die anzuwendende Frist richtet sich danach, ob der Interessent sich im Gespräch identifiziert:

• Ohne Personenidentifikator: Gesprächsprotokolle können für 30 Tage zu Qualitätssicherungszwecken gespeichert werden, danach Löschung oder Anonymisierung.
• Mit Personenidentifikator (E-Mail oder Telefonnummer für Rückruf angegeben): Die Gesprächsdaten gehören zum Interessentenprofil und folgen der 3-Jahres-Frist.

Automatisierte Löschroutinen sind hier nicht optional — manuelle Bereinigungsprozesse scheitern regelmäßig an Personalwechsel und Prioritätensetzung. Wie Sie die Einwilligungsinfrastruktur für den Chatbot-Einsatz aufbauen, beschreibt unser Leitfaden zu Cookie-Einwilligung nach DSGVO.

Fünf Systeme, die synchron gelöscht werden müssen

Wenn ein Interessent die Löschung seiner Daten verlangt oder die Speicherfrist abgelaufen ist, muss die Löschung in allen Systemen gleichzeitig — und nachweisbar — erfolgen:

1. CRM — Kontaktdatensatz löschen oder pseudonymisieren; Interaktionshistorie entfernen
2. E-Mail-Marketing-Tool — Abmeldung registrieren; Versandprotokolle mit E-Mail-Adresse löschen
3. Chatbot-Plattform — Gesprächsdaten mit Personenidentifikator entfernen
4. Analytics-Tool — Nutzungsdaten mit identifizierbaren Merkmalen löschen oder anonymisieren
5. Backups und Archivdateien — Löschprozedur im Backup-Zyklus verankern (typischerweise bei der nächsten Rotation)

Dieser Löschpfad muss schriftlich dokumentiert, einem Verantwortlichen zugewiesen und regelmäßig — mindestens einmal jährlich — getestet werden. Typischer Schwachpunkt in der Praxis: Backups. Die meisten Hochschulen löschen Daten aus dem CRM, vergessen aber, dass dieselben Daten in automatisierten Tages- oder Wochensicherungen noch Monate oder Jahre fortbestehen. Das Löschkonzept muss den Backup-Zyklus explizit einschließen und festlegen, nach welcher Anzahl von Rotationen ein gelöschter Datensatz auch aus den Sicherungen verschwunden ist. Unser Beitrag zum Recht auf Löschung für Studieninteressierte liefert dazu eine schrittweise Anleitung mit den gesetzlichen Antwortfristen (maximal ein Monat).

Für Hochschulen, die KI-Tools zur Bewerberqualifizierung oder personalisierten Ansprache einsetzen, lohnt zusätzlich ein Blick auf die Risiken algorithmischer Verzerrungen im Studierendengewinnungsprozess.

Löschung automatisieren: konkrete Umsetzung im Hochschul-CRM

Manuelle Bereinigungen sind strukturell unzuverlässig. Eine praxistaugliche Automatisierung setzt vier Kernelemente voraus:

Feld "Datum des letzten aktiven Kontakts" als Pflichtfeld im CRM. Dieses Feld wird bei jeder eingehenden oder ausgehenden Interaktion aktualisiert: Antwort auf eine E-Mail, Klick auf einen Call-to-Action, persönlicher Termin, neue Chatbot-Anfrage. Passives Tracking wie E-Mail-Öffnungen ohne Klick zählt in der Regel nicht als aktiver Kontakt.

Automatisierte Archivierungsregel ab 36 Monaten ohne aktiven Kontakt: Der Datensatz wechselt aus dem aktiven CRM in einen gesperrten Archivbereich. Zugriff nur noch für Datenschutzbeauftragte und Rechtsabteilung.

Automatisierte Löschregel ab dem Ende der Zwischenarchivierungsfrist oder sofort, wenn keine rechtliche Aufbewahrungspflicht greift.

Halbjährliches Monitoring-Dashboard: Anzahl der Datensätze nach Altersklassen (0–1 Jahr, 1–2 Jahre, 2–3 Jahre, >3 Jahre) gibt der Hochschulleitung einen sofortigen Überblick über das Compliance-Risiko im Interessentendatenbestand. Eine wachsende Gruppe von Einträgen, die älter als drei Jahre ist, ist ein direktes Signal für ein Bußgeldrisiko bei einer Prüfung durch die Aufsichtsbehörde.

Klare Definition des "aktiven Kontakts": Nicht jedes Ereignis setzt die Frist neu. Eine E-Mail-Öffnung ohne Klick gilt üblicherweise nicht als aktiver Kontakt. Eine Antwort auf eine E-Mail, ein Klick auf einen Link, der Besuch eines Tags der offenen Tür, eine neue Chatbot-Anfrage oder die Einreichung neuer Bewerbungsunterlagen hingegen schon. Diese Definition muss intern dokumentiert und im CRM technisch abgebildet sein — sonst entstehen Inkonsistenzen zwischen verschiedenen Systemen, die im Falle einer Prüfung nicht mehr nachvollziehbar sind.

FAQ — DSGVO-Speicherfristen für Studieninteressiertendaten

Gilt die 3-Jahres-Frist auch für Interessenten, die sich in einer anderen Hochschule eingeschrieben haben? Ja. Der Status der Person in einer anderen Einrichtung hat keinen Einfluss auf Ihre Verarbeitungspflichten. Die Person bleibt in Ihrer Datenbank ein nicht konvertierter Interessent. Die Frist läuft ab dem letzten aktiven Kontakt mit Ihrer Hochschule.

Kann man Daten unbegrenzt speichern, wenn man sie anonymisiert? Wirklich anonymisierte Daten — bei denen eine Reidentifizierung mit verhältnismäßigem Aufwand ausgeschlossen ist — fallen nicht mehr unter die DSGVO und können ohne zeitliche Begrenzung für statistische Zwecke verwendet werden. Pseudonymisierung (z. B. Austausch der E-Mail-Adresse durch eine ID) reicht nicht aus, wenn die Reidentifizierung über andere Datenfelder möglich bleibt.

Wie verhält sich die DSGVO-Speicherfrist zu den AGG-Aufbewahrungsfristen bei Bewerbungsunterlagen? Beide Fristen gelten parallel, aber für unterschiedliche Zwecke. Die 2-Jahres-Frist nach AGG schützt die Hochschule vor Diskriminierungsklagen — sie ist eine Mindestfrist, kein Grundlage für unbegrenzte Speicherung. Nach Ablauf der AGG-Frist endet auch die Rechtfertigung für die weitere Speicherung der Bewerbungsunterlagen, sofern kein Rechtsstreit anhängig ist.

Müssen Papierdokumente aus Hochschulmessen genauso behandelt werden wie digitale Daten? Ja. Die DSGVO unterscheidet nicht zwischen physischen und digitalen Trägern. Papierformulare von Hochschulmessen sind personenbezogene Daten und unterliegen denselben Speicherfristen. Sie sollten digitalisiert, in das CRM überführt und der gleichen Löschpolitik unterworfen werden.

Welche Aufsichtsbehörde ist für meine Hochschule zuständig? In Deutschland gilt das föderale Datenschutzrecht: Staatlich anerkannte private Hochschulen fallen unter die Zuständigkeit des jeweiligen Landesdatenschutzbeauftragten ihres Bundeslandes. Der BfDI ist für Bundesbehörden und Unternehmen mit Telekommunikations- oder Postdienstleistungen zuständig. Für grenzüberschreitende Verarbeitungen innerhalb der EU gilt das One-Stop-Shop-Verfahren des EDPB.