ChatGPT
Claude
Perplexity
Gemini
Grok91 % der Besucher verlassen eine Hochschulwebsite, ohne irgendeinen Erstkontakt aufzunehmen. (Quelle: Skolbot Trichteranalyse, 30 Schulen, 2025–2026.) Jedes zusätzliche Pflichtfeld, jede unnötige Checkbox, jeder Rechtstext-Block im Bewerbungsformular verstärkt diesen Wert. Das Paradox vieler privater Hochschulen: Im Versuch, datenschutzrechtlich auf der sicheren Seite zu stehen, bauen sie Hürden auf, die potenzielle Studieninteressierte abschrecken — dabei wäre das gar nicht nötig. Die DSGVO verlangt weit weniger Einwilligungen im Bewerbungsprozess, als die meisten Hochschulmarketingteams glauben.
DSGVO-Einwilligung im Bewerbungsformular — der häufigste Irrtum
Private Hochschulen neigen dazu, im Bewerbungsformular eine Einwilligungs-Checkbox für die Verarbeitung der Bewerbungsdaten einzubauen. Der Gedanke dahinter ist verständlich: Man will auf Nummer sicher gehen. Das Ergebnis ist ein Formular, das länger wirkt als nötig, und eine Rechtsgrundlage, die nach Datenschutzrecht weder erforderlich noch optimal ist.
Der entscheidende Irrtum: Für die Bearbeitung einer Hochschulbewerbung brauchen Sie keine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Zwei andere Rechtsgrundlagen tragen diesen Verarbeitungsvorgang:
-
Art. 6 Abs. 1 lit. b DSGVO erfasst die Verarbeitung, die zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich ist. Eine Bewerbung ist per definitionem eine solche vorvertragliche Maßnahme — der Studieninteressierte möchte einen Studienvertrag abschließen, und die Hochschule muss seine Unterlagen prüfen, um darüber zu entscheiden.
-
Art. 6 Abs. 1 lit. f DSGVO — das berechtigte Interesse — kommt ergänzend in Betracht, etwa für die Archivierung abgeschlossener Verfahren oder die Nachverfolgung durch die zuständige Studienberatung.
Der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) weist ausdrücklich darauf hin, dass eine Einwilligung dort nicht herangezogen werden soll, wo eine andere Rechtsgrundlage die Verarbeitung trägt — insbesondere nicht im Kontext von Beschäftigungs- oder Vertragsverhältnissen, zu denen Bildungsverträge strukturell vergleichbar sind.
Die Einwilligung ist im Bewerbungskontext nur dort angebracht, wo kein anderer Artikel 6 greift: für die Zusendung von Marketingmaterialien, die Aufnahme in Newsletter-Verteiler oder spätere Retargeting-Maßnahmen. Das sind separate Zwecke — und sie verlangen separate Checkboxen, nicht eine Sammeleinwilligung für alles.
Was die DSGVO für Bewerbungsformulare wirklich vorschreibt
Art. 13 DSGVO regelt die Informationspflichten bei der Erhebung personenbezogener Daten direkt bei der betroffenen Person. Das bedeutet: Wer ein Online-Bewerbungsformular ausfüllt, muss zum Zeitpunkt des Ausfüllens über bestimmte Punkte informiert werden. Das kann durch einen Kurztext direkt im Formular, durch einen sichtbaren Link zur vollständigen Datenschutzerklärung oder durch eine Kombination aus beidem geschehen.
Die folgende Tabelle zeigt, was im oder am Bewerbungsformular verpflichtend ist — und was nicht:
| Element | Pflicht | Empfohlenes Format | Beispiel |
|---|---|---|---|
| Identität des Verantwortlichen | Ja | Text oder Link | „XYZ Hochschule, Musterstraße 1, 10115 Berlin" |
| Verarbeitungszwecke | Ja | Kurztext | „Bearbeitung Ihrer Bewerbung und Mitteilung der Entscheidung" |
| Rechtsgrundlage | Ja | Klarer Text | „Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)" |
| Speicherdauer | Ja | Konkret angeben | „3 Jahre nach Abschluss des Bewerbungsverfahrens" |
| Betroffenenrechte | Ja | Link zur Datenschutzerklärung | Link „Ihre Datenschutzrechte" |
| Datenschutzbeauftragter | Wenn benannt | E-Mail oder Formular | dsb@hochschule.de |
| Checkbox für Bewerbungsbearbeitung | NEIN | — | Überflüssig und kontraproduktiv |
| Checkbox für Marketing-Newsletter | Ja, wenn geplant | Separates Opt-in, nicht vorausgefüllt | „Ich möchte Informationen zu Studiengängen erhalten" |
Die Pflicht, über Empfänger der Daten zu informieren, entsteht dann, wenn Daten an Dritte weitergegeben werden — etwa an externe Bewerbungsplattformen oder Studiengangsverantwortliche in nachgelagerten Einrichtungen. Auch das kann über die verlinkte Datenschutzerklärung abgedeckt werden, solange der Link auffindbar und die Erklärung vollständig ist.
Ein Aspekt, der in der Praxis häufig vergessen wird: Wenn Ihre Hochschule einen Datenschutzbeauftragten (DSB) benannt hat — was für viele private Hochschulen Pflicht ist —, muss dessen Kontaktdaten im Formular oder unmittelbar zugänglich sein. Mehr dazu finden Sie im Artikel Externer Datenschutzbeauftragter für Privatschulen.
Drei Einwilligungsfehler, die Studieninteressierte abschrecken
Fehler 1: Über-Einwilligung. Das Bewerbungsformular enthält eine Checkbox, deren Text lautet: „Ich stimme der Verarbeitung meiner personenbezogenen Daten zur Bearbeitung meiner Bewerbung zu." Diese Checkbox ist nach deutschem Datenschutzrecht nicht nur überflüssig — sie ist potenziell irreführend. Sie suggeriert, dass die Bearbeitung der Bewerbung von der Einwilligung abhängt, obwohl Art. 6 Abs. 1 lit. b DSGVO diese Verarbeitung bereits trägt. Ein Bewerber, der die Checkbox überliest oder bewusst nicht ankreuzt, gibt keine ungültige Bewerbung ab. Das Formular behandelt ihn aber so.
Fehler 2: Rechtstext-Wände. Lange Datenschutzhinweise direkt im Formular — oft kopiert aus der vollständigen Datenschutzerklärung — erzeugen den Eindruck bürokratischer Schwerfälligkeit. Studieninteressierte, die mitten in der Bewerbungsrecherche sind, wollen den Prozess abschließen, nicht einen juristischen Text lesen. Der Hinweis im Formular muss kurz, klar und verlinkt sein. Alles andere gehört auf eine eigene Datenschutzseite.
Fehler 3: Kopplungsverbot-Verstoß. Art. 7 Abs. 4 DSGVO verbietet es, die Inanspruchnahme einer Leistung von einer Einwilligung abhängig zu machen, die für die Leistungserbringung nicht erforderlich ist. Ein Formulartext wie „Ohne Ihre Einwilligung können wir Ihren Antrag nicht bearbeiten" ist rechtswidrig, wenn sich die Einwilligung auf Marketingzwecke bezieht — weil die Bewerbungsbearbeitung Art. 6 Abs. 1 lit. b bereits rechtfertigt. Solche Formulierungen haben in Beschwerden beim BfDI als Grundlage für formelle Beanstandungen gedient.
91 % der Besucher verlassen eine Hochschulwebsite ohne Erstkontakt (Quelle: Skolbot Trichteranalyse, 30 Schulen, 2025–2026). Jede unnötige Hürde im Formular verstärkt diesen Wert. Drei überflüssige Checkboxen sind drei Abbruchrisiken — ohne jeden datenschutzrechtlichen Mehrwert.
Die datenschutzkonforme Mindestlösung für Ihr Bewerbungsformular
Das Ziel ist ein Formular, das die Informationspflichten nach Art. 13 DSGVO vollständig erfüllt und gleichzeitig so wenig Reibungsfläche wie möglich bietet. Das ist kein Widerspruch, sondern datenschutzrechtlich korrekte Gestaltung.
Was das Formular braucht:
Einen sichtbaren Kurztext unterhalb der Schaltfläche „Bewerbung abschicken" oder direkt über ihr. Dieser Text kann so aussehen:
Mit dem Absenden dieser Bewerbung verarbeiten wir Ihre Daten zur Prüfung und Entscheidung über Ihre Bewerbung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden 3 Jahre nach Abschluss des Verfahrens gelöscht. Verantwortlich: XYZ Hochschule, Musterstraße 1, 10115 Berlin. DSB: dsb@hochschule.de. Mehr zu Ihren Rechten: Datenschutzerklärung.
Was das Formular nicht braucht:
- Eine Pflicht-Checkbox für die Bewerbungsbearbeitung
- Eine vorausgefüllte Checkbox für irgendeinen Zweck
- Einen vollständigen Datenschutztext im Formularfenster
- Eine Sammeleinwilligung, die Bewerbungsbearbeitung und Marketing vermischt
Was das Formular optional enthalten kann:
Falls Ihre Hochschule nach der Bewerbungsentscheidung Marketingkommunikation versenden möchte — etwa Einladungen zu weiteren Infotagen, Nachrichten zu ähnlichen Studiengängen oder allgemeine Hochschulinformationen —, ist eine separate freiwillige Checkbox zulässig und sinnvoll:
☐ Ich möchte nach Abschluss des Bewerbungsverfahrens weitere Informationen zu Studiengängen und Veranstaltungen der XYZ Hochschule per E-Mail erhalten. Diese Einwilligung kann ich jederzeit widerrufen.
Diese Checkbox darf nicht vorausgefüllt sein. Sie darf nicht Voraussetzung für die Absendung des Formulars sein. Und ihr Fehlen darf keinen Einfluss auf die Bewerbungsentscheidung haben.
Für den übergreifenden datenschutzrechtlichen Rahmen Ihrer Hochschule lesen Sie den DSGVO-Leitfaden für Studierendendaten sowie die Datenspeicherfristen für Studieninteressierte.
Chatbot-Anfragen vs. klassisches Bewerbungsformular — unterschiedliche Einwilligungslogik
Ein KI-Chatbot, der Studieninteressierte durch den Bewerbungsprozess begleitet, unterliegt denselben DSGVO-Anforderungen wie ein klassisches Formular — aber er löst das Compliance-Problem strukturell anders. Statt einer statischen Seite mit Formularfeldern und einem Datenschutzhinweis am Ende verarbeitet ein Chatbot Daten in mehreren kleinen Schritten und kann die relevante Information kontextuell an der passenden Stelle einblenden: kurz vor dem Moment, in dem der Nutzer eine E-Mail-Adresse eingibt, nicht davor in einem Block, den niemand liest.
Die Zahlen zeigen, dass das funktioniert: 18,4 % der Interessenten melden sich über den Chatbot zum Tag der offenen Tür an, gegenüber 6,2 % über das klassische Formular (Quelle: Skolbot UTM-Tracking, 35 Schulen, 2025–2026). Diese Differenz entsteht nicht allein durch die Interaktionsform — sie entsteht auch dadurch, dass Reibungspunkte wie Pflichtfelder und Rechtstextwände wegfallen, ohne dass die rechtliche Grundlage schwächer wäre.
Aus datenschutzrechtlicher Sicht gelten für den Chatbot dieselben Grundsätze:
- Für die Begleitung durch den Bewerbungsprozess — Fragen zu Zulassungsvoraussetzungen, Studiengebühren, NC-Werten, Akkreditierungsstatus — ist keine Einwilligung erforderlich. Die Auskunft ist eine vorvertragliche Maßnahme oder fällt unter das berechtigte Interesse.
- Für die Erhebung personenbezogener Kontaktdaten (Name, E-Mail) im Chatgespräch gilt Art. 6 Abs. 1 lit. b DSGVO, sofern der Interessent ausdrücklich Kontakt wünscht.
- Für Marketing-Follow-ups braucht der Chatbot eine separate freiwillige Einwilligung — idealerweise eine einfache Ja/Nein-Frage im Gesprächsverlauf: „Möchten Sie über weitere Veranstaltungen und Neuigkeiten zu [Studiengang] informiert werden?"
Was sich unterscheidet: Der Chatbot muss sich zu Beginn des Gesprächs als KI-System zu erkennen geben (Art. 50 KI-VO) und einen kurzen Verweis auf die Datenschutzerklärung bereitstellen. Beides lässt sich in die erste Chatbot-Nachricht integrieren, ohne den Gesprächsfluss zu unterbrechen.
Wie ein DSGVO-konformer Chatbot für Hochschulen technisch aufgebaut sein sollte, erläutert der Artikel DSGVO-konformer Chatbot für Hochschulen.
FAQ — DSGVO-Einwilligung im Bewerbungsformular
Brauche ich für die Bewerbungsbearbeitung eine Einwilligung?
Nein. Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder die Anbahnung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) ist die passende Rechtsgrundlage für die Bearbeitung von Bewerbungen. Eine Einwilligung ist nur für spezifische Verarbeitungen wie die Zusendung von Werbe-E-Mails erforderlich. Eine Checkbox, die „Einwilligung zur Bewerbungsbearbeitung" abfragt, schafft eine unnötige Hürde, ohne einen rechtlichen Mehrwert zu erzeugen — und kann bei Studieninteressierten den falschen Eindruck erwecken, dass ihre Bewerbung ohne Ankreuzen nicht bearbeitet wird.
Welchen Datenschutztext muss ich ins Bewerbungsformular aufnehmen?
Sie benötigen keinen vollständigen Datenschutztext im Formular selbst. Ein prägnanter Hinweis — zwei bis vier Sätze — direkt am Absende-Button genügt, sofern er die wesentlichen Punkte nach Art. 13 DSGVO abdeckt und auf die vollständige Datenschutzerklärung verlinkt. Ein Beispieltext: „Mit dem Absenden verarbeiten wir Ihre Daten zur Prüfung Ihrer Bewerbung (Art. 6 Abs. 1 lit. b DSGVO, Vertragsanbahnung). Ihre Daten werden 3 Jahre nach Verfahrensabschluss gelöscht. Verantwortlich: [Name der Hochschule]. Weitere Informationen und Ihre Rechte: [Link zur Datenschutzerklärung]."
Darf ich Follow-up-E-Mails ohne explizite Einwilligung versenden?
Ja, unter bestimmten Bedingungen — gemäß § 7 Abs. 3 UWG für Bestandsinteressenten, sofern eine einfache Möglichkeit zum Widerspruch besteht und sich das Angebot auf ähnliche Produkte oder Leistungen bezieht. Konkret: Wer eine Bewerbung eingereicht hat, kann nachfolgend E-Mails zu ähnlichen Studiengängen oder zur Bewerbungsstatusabfrage erhalten, ohne dass eine gesonderte Marketingeinwilligung vorliegen muss — vorausgesetzt, in jeder E-Mail ist ein funktionierender Abmeldelink enthalten und der Interessent hat dem Erstkontakt nicht widersprochen. Für den Versand an Personen, die lediglich eine Broschüre heruntergeladen haben, ohne eine Bewerbung eingeleitet zu haben, gilt diese Ausnahme nicht.
Wie lange darf ich Daten abgelehnter Bewerber aufbewahren?
Üblicherweise werden 3 Jahre nach Ablehnung empfohlen, um potenzielle Klageansprüche gemäß § 195 BGB (allgemeine Verjährungsfrist) zu berücksichtigen. Diese Frist läuft ab dem Ende des Bewerbungsverfahrens — nicht ab dem Datum der Bewerbung. Lesen Sie dazu unseren Artikel zu den Datenspeicherfristen für Studieninteressierte. Die gewählte Frist muss im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert und technisch umgesetzt sein.
Welche Strafen drohen bei Nicht-Konformität?
Der BfDI kann Bußgelder von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist. Für akkreditierte Hochschulen birgt eine öffentliche Beanstandung des BfDI zudem ein erhebliches Reputationsrisiko beim Akkreditierungsrat: Eine Datenschutzbehörde, die eine Einrichtung formell beanstandet, kann im Akkreditierungsverfahren oder beim Qualitätssicherungsreport als relevanter Befund auftauchen. Gerade für private Hochschulen, die auf ihre Zulassung zum Hochschulbetrieb angewiesen sind, ist das ein Risiko jenseits des Bußgelds.
DSGVO-Konformität im Bewerbungsformular ist keine Frage von mehr oder weniger Text, mehr oder weniger Checkboxen. Sie ist eine Frage der richtigen Rechtsgrundlage — und die erfordert deutlich weniger Einwilligungen, als viele Hochschulen annehmen. Ein Formular, das Art. 6 Abs. 1 lit. b konsequent nutzt, einen klaren Kurz-Datenschutzhinweis enthält und Marketing-Opt-ins sauber trennt, ist rechtssicherer und konversionsfreundlicher als eines, das mit Sammeleinwilligungen und Rechtstext-Blöcken überladen ist.
Weiterführende Informationen zu datenschutzrechtlichen Fragen rund um studentische Daten finden Sie im DSGVO-Leitfaden für Studierendendaten, in unserem Artikel zum Recht auf Löschung für Hochschulinteressenten sowie in der vollständigen DSGVO-Grundlagenverordnung im Amtsblatt der EU.
Testen Sie Skolbot an Ihrer Hochschule in 30 Sekunden
