ChatGPT
Claude
Perplexity
Gemini
GrokWarum Hochschulen Daten außerhalb der EU übermitteln — ohne es zu wissen
Die meisten grenzüberschreitenden Datenübermittlungen an Hochschulen entstehen nicht durch bewusste Entscheidungen, sondern sind die direkte Folge des Einsatzes von SaaS-Tools, deren Server oder Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums (EWR) angesiedelt sind. Sobald ein Studieninteressierter ein Webformular ausfüllt, ein Chatbot ein Gespräch aufzeichnet oder das Marketingteam eine Kampagne über ein US-amerikanisches Tool versendet, werden personenbezogene Daten potenziell außerhalb der EU übermittelt.
58 % der Studieninteressierten privater Hochschulen sind nicht deutschsprachig — diese Realität erzwingt massiven grenzüberschreitenden Datenaustausch für CRM, Chatbot und Marketingtools. (Quelle: Automatische Spracherkennung auf Basis von 8.500 Skolbot-Gesprächen, 2025-2026)
Diese hohe Zahl internationaler Studieninteressierter schafft eine komplexe Verarbeitungskette: automatische Übersetzung, CRM-Datenanreicherung, mehrsprachige E-Mail-Kampagnen, Videokonferenzen für Zulassungsgespräche. Jedes Glied dieser Kette kann eine Datenübermittlung außerhalb des EWR darstellen. Den vollständigen DSGVO-Rahmen finden Sie in unserem DSGVO-Leitfaden für Studierendendaten.
Der rechtliche Rahmen: DSGVO Kapitel V und der Einfluss von Schrems II
Kapitel V der DSGVO (Artikel 44 bis 49) ist die maßgebliche Rechtsgrundlage für internationale Datentransfers. Das Grundprinzip ist klar: Personenbezogene Daten von in der EU ansässigen Personen dürfen nur dann in Drittländer übermittelt werden, wenn dort ein gleichwertiges Schutzniveau gewährleistet ist.
Das Schrems-II-Urteil und seine Folgen für Hochschulen
Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Privacy Shield — das bis dahin wichtigste Instrument für Datentransfers in die USA — für ungültig (Rechtssache C-311/18, "Schrems II"). Das Urteil hatte weitreichende Konsequenzen: Allein das Vorhandensein von Standardvertragsklauseln (SCC) reicht seitdem nicht mehr aus. Verantwortliche müssen im Einzelfall prüfen, ob das US-amerikanische Recht — insbesondere Section 702 FISA und Executive Order 12333 — die Wirksamkeit der vertraglich vereinbarten Schutzmaßnahmen untergräbt.
Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) und die deutschen Landesdatenschutzbehörden haben nach Schrems II mehrere Hochschulen und Bildungseinrichtungen auf ihren Einsatz von US-amerikanischen Cloud-Diensten angesprochen. Das Risiko ist real und betrifft auch kleinere private Hochschulen.
Die drei Hauptübermittlungsinstrumente
Angemessenheitsbeschlüsse der EU-Kommission stellen fest, dass ein Drittland ein gleichwertiges Datenschutzniveau bietet. Übermittlungen in angemessene Länder erfordern keine zusätzlichen Garantien. Für die USA gilt seit Juli 2023 das EU-US Data Privacy Framework (DPF) — allerdings nur für zertifizierte Unternehmen.
Standardvertragsklauseln (SCC) sind standardisierte Vertragsklauseln der EU-Kommission und das verbreitetste Übermittlungsinstrument für SaaS-Anbieter. Google, Microsoft, Zoom und die meisten US-amerikanischen SaaS-Unternehmen stützen sich auf die SCC 2021 (Durchführungsbeschluss 2021/914). Seit Schrems II müssen SCC zwingend durch eine Transfer Impact Assessment (TIA) ergänzt werden.
Verbindliche interne Datenschutzvorschriften (BCR) richten sich an multinationale Konzerne, die Daten innerhalb ihrer eigenen Unternehmensgruppe übermitteln. Für eigenständige Privatschulen sind BCR in der Regel keine praktikable Option.
Die EDPB (Europäischer Datenschutzausschuss) hat einen spezifischen Leitfaden für KMU und mittelgroße Einrichtungen veröffentlicht, der direkt auf Hochschulen anwendbar ist. Zusätzlich empfiehlt ein Blick auf die Angemessenheitsbeschlüsse der Europäischen Kommission für eine aktuelle Liste der angemessenen Drittländer.
Die Transfer Impact Assessment (TIA): Pflicht nach Schrems II
Die TIA ist eine dokumentierte Analyse, die nachweist, dass eine Datenübermittlung in ein Drittland die betroffenen Personen keinem geringeren Schutzniveau aussetzt als in der EU. Sie ist bei jeder Übermittlung auf Grundlage von SCC verpflichtend — eine direkte Konsequenz aus Schrems II.
Eine vollständige TIA umfasst vier Schritte. Erstens: den Transfer identifizieren — welches Tool, in welches Land, für welche Datenkategorien. Zweitens: die Rechtslage im Empfängerland bewerten — können Behörden ohne unabhängige richterliche Kontrolle auf die Daten zugreifen? Drittens: die vom Auftragsverarbeiter implementierten vertraglichen und technischen Schutzmaßnahmen bewerten. Viertens: das tatsächliche Schutzniveau beurteilen und die Entscheidung dokumentieren.
Für gängige Unternehmenstools — Google Workspace, Microsoft 365, Zoom — stellen die Anbieter vorgefertigte TIAs in ihren Compliance-Portalen bereit. Diese müssen durch den DSB validiert, können aber erheblichen Aufwand sparen. Das Fehlen einer dokumentierten TIA stellt einen eigenständigen DSGVO-Verstoß dar, unabhängig von anderen Compliance-Maßnahmen.
Kartierung der Datenübermittlungen: Praktische Methode für Hochschulen
Die Kartierung beginnt mit einer vollständigen Liste aller Auftragsverarbeiter. Für jedes Tool sind drei Fragen zu stellen: Werden die Daten in der EU oder außerhalb verarbeitet? Welches Übermittlungsinstrument kommt zum Einsatz (Angemessenheitsbeschluss, SCC, DPF)? Liegt eine TIA vor?
Die folgende Tabelle gibt einen Überblick über die gängigsten Tools an deutschen Privatschulen und Hochschulen:
| Tool | Verarbeitete Daten | Serverstandort | Übermittlungsinstrument | TIA verfügbar |
|---|---|---|---|---|
| Google Workspace for Education | E-Mail, Drive, Meet, Formulare | EU möglich (EU Data Boundary) | SCC 2021 + DPF | Ja (Google Compliance-Portal) |
| Microsoft 365 / Teams | E-Mail, SharePoint, Teams | EU möglich (EU Data Boundary) | SCC 2021 + DPF | Ja (Microsoft Trust Center) |
| Zoom | Videokonferenz, Aufzeichnungen | USA (Standard) | SCC 2021 + DPF | Ja (Zoom Datenschutz-Portal) |
| Salesforce | CRM Interessierte, Bewerbungspipeline | USA / EU (wählbar) | SCC 2021 + DPF | Ja (Salesforce-Portal) |
| HubSpot | Marketing, E-Mail, Analytics | USA / EU (wählbar) | SCC 2021 + DPF | Ja (HubSpot DSGVO-Portal) |
| Mailchimp | E-Mail-Kampagnen | USA | SCC 2021 + DPF | Ja |
| Google Analytics 4 | Verhaltensbasierte Analytics | USA | SCC 2021 + DPF | Ja — aber Einschränkungen |
| Skolbot | Chatbot für Studieninteressierte | EU (EU-Hosting) | Entfällt — Verarbeitung innerhalb der EU | Entfällt |
Zwei wichtige Hinweise zu dieser Tabelle: Bei Google Analytics 4 haben mehrere deutsche Landesdatenschutzbehörden — darunter Bayern und Baden-Württemberg — nach Schrems II Stellungnahmen veröffentlicht, die den Einsatz ohne zusätzliche Maßnahmen als problematisch eingestuft haben. Selbst mit DPF ist eine sorgfältig dokumentierte TIA unerlässlich. Bei Zoom lässt sich die Datenresidenz auf Europa beschränken, was die Übermittlungsrisiken erheblich reduziert.
Zur Konformität Ihrer Cookie-Banner und Webformulare im Zusammenhang mit internationalen Datenflüssen empfehlen wir unseren Leitfaden zur Cookie-Einwilligung für Hochschulen.
Internationale Studierendengewinnung und strukturelle Transferexposition
Eine Hochschule, die aktiv internationale Studierende rekrutiert, betreibt notwendigerweise grenzüberschreitende Datenübermittlungen. Studieninteressierte aus Drittländern, die Ihre Website besuchen, unterliegen selbst nicht dem DSGVO-Schutz — der DSGVO schützt in der EU ansässige Personen. In dem Moment jedoch, in dem Sie ein US-amerikanisches CRM zur Verwaltung von Bewerbungen nutzen oder Zulassungsgespräche über ein US-Tool führen, übermitteln Sie auch Daten europäischer Studieninteressierter außerhalb des EWR.
Der entscheidende Punkt: Der Datenfluss folgt nicht der Staatsangehörigkeit der Studieninteressierten, sondern der technischen Architektur Ihrer Tools. Unsere Empfehlungen zur Gewinnung internationaler Studierender finden Sie in unserem Leitfaden zur internationalen Studierendengewinnung — die DSGVO-konforme Ausgestaltung der zugehörigen Verarbeitungsprozesse ist die untrennbare rechtliche Ergänzung dazu.
Maßnahmenplan: Compliance in 90 Tagen
Ein dreiphasiger Plan ermöglicht die strukturierte Umsetzung ohne Unterbrechung des laufenden Studierendenmarketings und der Zulassungsprozesse.
Phase 1 (Tage 1–30): Inventar und Kartierung
Erstellen Sie eine vollständige Liste aller eingesetzten SaaS-Tools (Zulassung, Marketing, Studienverwaltung, IT). Identifizieren Sie für jedes Tool: Serverstandort, deklariertes Übermittlungsinstrument, Vorhandensein eines unterzeichneten Auftragsverarbeitungsvertrags (AVV). Priorisieren Sie Tools mit hohem Datenvolumen: CRM, E-Mail-Marketing-Plattform, Chatbot, Videokonferenz-Tool.
Erwartetes Ergebnis: eine Übermittlungskartierung im Tabellenformat mit Compliance-Status je Tool.
Phase 2 (Tage 31–60): Dokumentation und Vertragsgestaltung
Prüfen Sie für jedes Tool mit Übermittlung außerhalb der EU, ob die SCC im AVV enthalten sind. Laden Sie die vom Anbieter bereitgestellten TIAs herunter und validieren Sie diese mit dem DSB. Für Tools ohne verfügbare TIA erstellen Sie eine eigene TIA auf Basis des EDPB-Rahmens. Aktualisieren Sie das Verarbeitungsverzeichnis (Artikel 30) um die Übermittlungsangaben für jeden betroffenen Eintrag.
Phase 3 (Tage 61–90): Validierung und kontinuierliche Governance
Lassen Sie die Kartierung und TIAs durch den DSB (intern oder extern) validieren. Etablieren Sie ein systematisches Prüfverfahren für jeden neuen Auftragsverarbeiter. Sensibilisieren Sie die Teams in Zulassung und Marketing: Die Einführung jedes neuen Tools muss vor dem Einsatz durch den DSB freigegeben werden.
Ein häufig unterschätztes Risiko: anlassbezogene Übermittlungen. Ein Zulassungsmitarbeiter, der eine Bewerberdatei per E-Mail an eine Partnerhochschule außerhalb des EWR sendet, führt eine Datenübermittlung im Sinne von Kapitel V durch. Die Sensibilisierung der Teams ist die kostengünstigste und oft wirksamste Compliance-Maßnahme.
FAQ
Ist Google Workspace DSGVO-konform für Schülerdaten?
Google Workspace for Education kann DSGVO-konform eingesetzt werden — unter bestimmten Voraussetzungen. Google bietet eine "EU Data Boundary"-Option an, die Daten für Kernfunktionen (Gmail, Drive, Meet) innerhalb der EU hält. Für Funktionen, die weiterhin in den USA verarbeitet werden (bestimmte Logs, technischer Support), gelten SCC 2021 und DPF. Die Konformität erfordert: Aktivierung der EU Data Boundary, unterzeichneten Google-AVV, und eine dokumentierte TIA für Restübermittlungen. Der BfDI hat bisher keine spezifische Untersagungsverfügung gegen Google Workspace Education nach Einführung des DPF erlassen.
Was ist ein Angemessenheitsbeschluss?
Ein Angemessenheitsbeschluss ist ein formaler Beschluss der EU-Kommission, mit dem sie feststellt, dass ein Drittland ein dem EU-Niveau gleichwertiges Datenschutzniveau bietet. Übermittlungen in ein angemessenes Land erfordern weder SCC noch TIA. Die aktuell relevanten angemessenen Drittländer für Hochschulen sind: das Vereinigte Königreich, Kanada (Privatsektor), Japan, Südkorea und Neuseeland. Für die USA gilt seit Juli 2023 das EU-US Data Privacy Framework — ausschließlich für zertifizierte Unternehmen. Die aktuelle Liste wird von der Europäischen Kommission gepflegt und regelmäßig aktualisiert.
Welche Maßnahmen sind nach Schrems II erforderlich?
Nach dem Schrems-II-Urteil des EuGH reicht das bloße Vorhandensein von SCC nicht mehr aus. Konkret erforderlich sind: erstens eine Transfer Impact Assessment (TIA) für jede Übermittlung auf SCC-Basis, die das Schutzniveau im Empfängerland bewertet; zweitens ergänzende technische Schutzmaßnahmen, wenn die TIA Lücken identifiziert (z. B. Pseudonymisierung, Verschlüsselung mit Schlüsseln, die nur beim Verantwortlichen liegen); drittens laufende Überwachung der Rechtslage im Empfängerland — ein einmal erstelltes TIA-Dokument kann durch Gesetzesänderungen im Drittland überholt werden. Der BfDI und die DSK (Datenschutzkonferenz) haben praxisnahe Empfehlungen zu diesen Anforderungen veröffentlicht.
Welche Strafen drohen bei unzulässigen Datentransfers?
Unzulässige Datenübermittlungen unterliegen dem Bußgeldregime der DSGVO: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. In Deutschland haben Landesdatenschutzbehörden Hochschulen und Universitäten nach Schrems II auf unzulässige US-Transfers hingewiesen und in Einzelfällen formelle Abhilfemaßnahmen angeordnet. Über das Bußgeld hinaus beschädigt eine öffentliche Verwarnung das Vertrauen von Studieninteressierten und deren Eltern — ein Reputationsrisiko, das für private Hochschulen mit direktem Wettbewerb um Studierende besonders schwer wiegt.
Die DSGVO-konforme Gestaltung von Datentransfers außerhalb der EU ist keine theoretische Fußnote für Großunternehmen. Für Privatschulen und Hochschulen, die mehr als 20 % nicht-deutschsprachige Studieninteressierte verzeichnen, ist die Transferexposition strukturell und die Compliance-Pflicht unmittelbar. Der 90-Tage-Plan in diesem Leitfaden ermöglicht ein gegenüber dem BfDI vertretbares Dokumentationsniveau — ohne den laufenden Marketing- und Zulassungsbetrieb zu unterbrechen.
Testen Sie Skolbot für Ihre Hochschule — kostenlos und unverbindlichSiehe auch: DSGVO-Leitfaden für Studierendendaten
