ChatGPT
Claude
Perplexity
Gemini
GrokDie Auswahl eines Chatbots für Ihre Hochschule ist längst keine rein technische oder budgetäre Entscheidung mehr. Seit die Datenschutzkonferenz (DSK) im Jahr 2023 explizite Orientierungshilfen zu KI-Systemen veröffentlicht hat und der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) aktiv prüft, ob Hochschulen ihre KI-gestützten Dienste rechtskonform betreiben, ist DSGVO-Konformität zum Kaufkriterium Nummer eins geworden.
72 % der Chatbot-Anfragen von Studieninteressierten sind automatisierbar — von Zulassungsfristen über Studiengebühren bis hin zur Akkreditierungslage beim Akkreditierungsrat. (Quelle: Automatische Klassifizierung von 12.000 Skolbot-Gesprächen, 2025.) Doch jede dieser Interaktionen ist auch ein Datenereignis, das einer Rechtsgrundlage nach Art. 6 DSGVO bedarf. Hochschulen, die einen nicht DSGVO-konformen Anbieter einsetzen, riskieren Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes sowie Reputationsschäden, die ihre Studierendenakquise unmittelbar treffen.
Dieser Leitfaden gibt Ihnen als Datenschutzbeauftragten, IT-Leitung oder Hochschulmarketing-Verantwortlichen konkrete Prüfkriterien an die Hand — keine theoretischen Grundsätze, sondern umsetzbare Mindestanforderungen für den deutschen Hochschulkontext.
Den übergreifenden datenschutzrechtlichen Rahmen finden Sie in unserem DSGVO-Leitfaden für Studierendendaten. Zur DSGVO-konformen Erhebungspraxis eines Chatbots lesen Sie außerdem KI-Chatbot und DSGVO: Datenerhebung an Hochschulen.
Warum DSGVO-Konformität ein zentrales Kriterium bei der Chatbot-Auswahl ist
DSGVO-Konformität ist bei einem Hochschul-Chatbot kein optionales Feature, sondern eine gesetzliche Pflicht — und der BfDI prüft aktiv, ob sie eingehalten wird. Sobald ein Chatbot personenbezogene Daten von Studieninteressierten erhebt — Name, E-Mail, Nationalität, Studienwunsch — ist Ihre Hochschule Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, ergänzt durch die spezifischen Anforderungen des BDSG (Bundesdatenschutzgesetz). Die Pflichten entstehen nicht erst bei der Datenpanne, sondern bereits mit dem ersten Byte, das der Chatbot von einem Nutzer empfängt.
Deutsche Hochschulen stehen dabei vor einer Besonderheit: Neben der DSGVO gilt das BDSG als nationales Ausführungsgesetz, und zusätzlich sind die Landeshochschulgesetze sowie die Orientierungshilfen der jeweils zuständigen Landesdatenschutzbehörde zu berücksichtigen. Wer als Fachhochschule in Bayern operiert, richtet sich an den Bayerischen Landesbeauftragten für den Datenschutz; wer in NRW tätig ist, an die LDI NRW. Diese Zweigleisigkeit macht die Auswahl eines falschen Anbieters besonders riskant.
Hinzu kommt: +62 % qualifizierte Leads bei gleichzeitig −38 % Kosten pro Lead sind die messbaren Ergebnisse, die Hochschulen mit einem rechtskonform eingesetzten Chatbot erzielen. (Quelle: Median-Ergebnisse aus 18 Hochschulen, 2024–2025.) Ein Datenschutzvorfall, der den Chatbot abschalten lässt, kostet nicht nur das Bußgeld — er vernichtet auch diesen Wettbewerbsvorteil.
Die 8 technischen DSGVO-Kriterien für jeden Chatbot-Anbieter
1. Serverstandort: Deutschland oder mindestens EWR mit Nachweis
Viele deutsche Hochschulen — insbesondere öffentliche und kirchliche Träger — verlangen vertraglich, dass Daten ausschließlich auf Servern in Deutschland verarbeitet werden. Selbst für private Fachhochschulen empfiehlt die DSK eine restriktive Handhabung: Datenverarbeitung außerhalb des Europäischen Wirtschaftsraums (EWR) setzt nach Art. 44 ff. DSGVO entweder einen Angemessenheitsbeschluss der EU-Kommission oder geeignete Garantien (etwa Standardvertragsklauseln) voraus. Ein Anbieter, der seine Infrastruktur nicht transparent offenlegt oder auf reine US-Cloud-Dienste setzt, fällt bei deutschen Hochschulen in der Ausschreibung durch.
Fragen Sie explizit: In welchem Rechenzentrum werden Gesprächsdaten gespeichert? Wo werden Backlogs und Trainingsdaten gehalten? Gibt es eine schriftliche Zusage zur Datenlokalisierung in Deutschland oder der EU?
2. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
Jeder Chatbot-Anbieter, der für Sie personenbezogene Daten verarbeitet, ist Auftragsverarbeiter und muss mit Ihnen einen AVV abschließen. Ein AVV, der lediglich auf die AGB des Anbieters verweist, genügt nicht. Der AVV muss mindestens umfassen: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Datenkategorie und betroffene Personen, Pflichten und Rechte des Verantwortlichen, Unterauftragsverhältnisse, technische und organisatorische Maßnahmen (TOM) sowie das Rückgabe- und Löschungsverfahren nach Vertragsende.
Prüfen Sie: Bietet der Anbieter einen deutschen oder deutsch-rechtlich geprüften AVV? Werden Unterauftragsverarbeiter namentlich benannt, und wird Ihre Zustimmung bei Änderungen eingeholt?
3. Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO
Der Einsatz eines KI-Chatbots für die Studierendengewinnung ist in der Regel ein „umfangreiches Profiling" natürlicher Personen — damit gehört er zu den Verarbeitungsarten, für die die DSK eine DSFA für obligatorisch hält. Eine DSFA beschreibt systematisch die Risiken für die Rechte und Freiheiten betroffener Personen und die Maßnahmen zu ihrer Minderung. Ein seriöser Anbieter stellt Ihnen eine Muster-DSFA bereit, die Sie auf Ihre institutionellen Besonderheiten anpassen können.
Warnsignal: Anbieter, die keine DSFA-Vorlage liefern oder behaupten, für ihren Chatbot sei keine DSFA erforderlich.
4. Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO
Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau. Für einen Hochschul-Chatbot bedeutet das konkret: TLS 1.3-Verschlüsselung für alle Übertragungen, Verschlüsselung der gespeicherten Gesprächsdaten (AES-256 oder vergleichbar), Pseudonymisierung oder Anonymisierung nach definierten Fristen, Zugriffskontrolle mit Rollentrennung (nur autorisiertes Personal sieht Gesprächsinhalte), Protokollierung aller Zugriffe, und ein Penetrationstest-Zertifikat nicht älter als 12 Monate. Verlangen Sie das TOM-Dokument als Anlage zum AVV.
5. Einwilligungsmanagement und Transparenzpflicht
Art. 13 DSGVO verpflichtet Sie, Nutzer zu Beginn der Datenerhebung über Zweck, Rechtsgrundlage, Aufbewahrungsfrist und Betroffenenrechte zu informieren. Beim Chatbot geschieht das typischerweise über einen kurzen Hinweis im Chatfenster vor dem ersten Austausch. Dieser Hinweis muss bei einem deutschen Chatbot außerdem klarstellen, dass es sich um ein KI-System handelt — ein Erfordernis, das sich aus Art. 50 des EU-KI-Gesetzes (KI-VO) ergibt, das seit August 2026 für Hochrisiko-KI-Systeme vollständig gilt.
Technisch muss der Chatbot in der Lage sein, Einwilligungen zu protokollieren (Zeitstempel, Version der Datenschutzerklärung), sie granular zu verwalten (Nutzung der Daten für Marketing vs. reine Beratung) und Widerrufe systemweit zu propagieren.
6. Aufbewahrungsfristen und automatisierte Löschung
Gesprächsprotokolle sind keine Dauerdaten. Die DSK empfiehlt für Chatbot-Logs im Beratungskontext eine Aufbewahrungsfrist von maximal 12 Monaten nach dem letzten Kontakt, sofern keine Immatrikulation erfolgt. Der Anbieter muss eine automatisierte Löschroutine nachweisen können — keine manuelle Löschung auf Anfrage, die de facto nie ausgeführt wird.
Prüfpunkt: Können Sie Löschfristen selbst konfigurieren? Gibt es ein Audit-Log, das beweist, dass die Löschung tatsächlich durchgeführt wurde?
7. Betroffenenrechte: Auskunft, Löschung und Datenübertragbarkeit
Art. 15–20 DSGVO gewähren Studieninteressierten das Recht auf Auskunft über ihre gespeicherten Daten, auf Löschung (Recht auf Vergessenwerden, Art. 17), auf Einschränkung der Verarbeitung, auf Widerspruch (Art. 21) und auf Datenübertragbarkeit. Ihr Chatbot-Anbieter muss eine technische Schnittstelle bereitstellen, über die Sie diese Rechte fristgerecht — innerhalb eines Monats (Art. 12 Abs. 3) — erfüllen können. Der Chatbot darf keine Datensilos bilden, die Sie nicht kontrollieren.
8. Datenpannenmeldung innerhalb von 72 Stunden
Art. 33 DSGVO schreibt eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Datenpanne vor. Der Anbieter muss vertraglich verpflichtet sein, Sie unverzüglich — idealerweise innerhalb von 24 Stunden — über jeden Sicherheitsvorfall zu informieren, der Ihre Nutzerdaten betrifft, damit Sie die 72-Stunden-Frist einhalten können. Der Chatbot antwortet in 3 Sekunden, rund um die Uhr — vs. 47 Stunden bei E-Mail-Anfragen. (Quelle: Skolbot Mystery-Shopping-Studie, 2025, 80 Einrichtungen FR.) Ein Sicherheitsvorfall bei einem Anbieter mit unklarem Incident-Response-Prozess kann dazu führen, dass Sie diese Meldefrist nicht einhalten können.
Bewertungsmatrix: Fragen, die Sie jedem Anbieter stellen müssen
| Kriterium | Mindestanforderung | Fragen an den Anbieter |
|---|---|---|
| Serverstandort | Deutschland oder EWR, schriftlich bestätigt | „Bitte nennen Sie Rechenzentrum, Land und Betreiber. Gilt das auch für Backups und KI-Trainingsinfrastruktur?" |
| AVV | Art. 28-konformer AVV mit TOM-Anlage, Unterauftragsverarbeiter namentlich genannt | „Stellen Sie einen deutschen AVV bereit? Wie werden Änderungen bei Unterauftragsverarbeitern kommuniziert?" |
| DSFA-Unterstützung | Muster-DSFA bereitgestellt, regelmäßig aktualisiert | „Haben Sie eine DSFA für den Einsatz Ihres Chatbots an deutschen Hochschulen? Seit wann wurde sie zuletzt aktualisiert?" |
| TOM-Dokumentation | Verschlüsselung (TLS 1.3 + AES-256), Pentestnachweis <12 Monate | „Kann ich Ihr aktuelles TOM-Dokument und das jüngste Penetrationstest-Zertifikat als PDF erhalten?" |
| Einwilligungsmanagement | Granulares Opt-in, protokollierter Zeitstempel, Widerruf systemweit | „Wie wird die Einwilligung technisch gespeichert und bei Widerruf in allen Systemen gelöscht?" |
| Löschfristen | Konfigurierbare Fristen, automatisierte Löschroutine mit Audit-Log | „Kann ich Aufbewahrungsfristen pro Datenkategorie selbst konfigurieren? Wie belegen Sie die erfolgte Löschung?" |
| Betroffenenrechte | Exportfunktion (DSAR), Löschung auf Knopfdruck, 1-Monat-SLA | „Wie lange dauert es technisch, eine vollständige Datenauskunft für einen Studieninteressierten zu erstellen?" |
| Incident Response | Benachrichtigung des Kunden innerhalb von 24h, dokumentierter Prozess | „Wie lautet Ihr Incident-Response-Prozess? In welchem Zeitraum informieren Sie mich bei einer Datenpanne?" |
5 Vertragsklauseln, die Sie im AVV durchsetzen müssen
1. Datenlokalisierungsklausel: Der Anbieter verpflichtet sich schriftlich, alle personenbezogenen Daten ausschließlich auf Servern in Deutschland (oder alternativ im EWR mit namentlicher Benennung des Landes) zu verarbeiten und zu speichern. Jede Verlagerung erfordert Ihre vorherige schriftliche Zustimmung.
2. Unterauftragsverarbeiter-Transparenz: Alle Unterauftragsverarbeiter sind im AVV oder einer Anlage namentlich aufgeführt. Neue Unterauftragsverarbeiter dürfen erst nach schriftlicher Information und Einräumung einer Einspruchsfrist von mindestens 14 Tagen eingesetzt werden.
3. 24-Stunden-Incident-Notification: Bei jedem Sicherheitsvorfall, der möglicherweise personenbezogene Daten Ihrer Hochschule betrifft, hat der Anbieter Sie spätestens 24 Stunden nach Erkennung zu benachrichtigen — mit Art des Vorfalls, betroffenen Datenkategorien und ergriffenen Sofortmaßnahmen.
4. Vollständige Datenlöschung bei Vertragsende: Innerhalb von 30 Tagen nach Vertragsende werden alle personenbezogenen Daten Ihrer Hochschule vom Anbieter gelöscht oder zurückgegeben, inklusive Backups und KI-Trainingsdaten, die aus Ihren Gesprächsdaten abgeleitet wurden. Der Anbieter stellt eine schriftliche Löschbestätigung aus.
5. Prüfungsrecht nach Art. 28 Abs. 3 lit. h DSGVO: Ihre Hochschule hat das Recht, die Einhaltung der Datenschutzpflichten durch eigene Prüfungen oder durch vom Anbieter autorisierte Auditoren zu überprüfen — mindestens einmal jährlich und anlassbezogen bei Sicherheitsvorfällen.
Warnsignale: 5 Red Flags bei Chatbot-Anbietern
Red Flag 1 — Kein AVV oder AVV auf englischer AGB-Basis: Ein Anbieter, der keinen eigenständigen deutschsprachigen AVV nach Art. 28 DSGVO bereitstellt oder der auf seine allgemeinen Nutzungsbedingungen verweist, ist für deutsche Hochschulen nicht einsetzbar. Dies ist kein Verhandlungspunkt, sondern eine gesetzliche Mindestvoraussetzung.
Red Flag 2 — Unklarer Serverstandort oder „EU-Cloud" ohne Präzisierung: Die Angabe „EU-Cloud" ist rechtlich wertlos. Fragen Sie nach dem konkreten Rechenzentrum und dem Land. Viele US-amerikanische Anbieter nutzen europäische Serverstandorte, unterliegen aber weiterhin dem US CLOUD Act, was einen Interessenkonflikt mit der DSGVO begründet.
Red Flag 3 — Kein Audit-Log und keine Löschprotokolle: Anbieter, die keine technischen Nachweise für die Löschung von Gesprächsdaten bereitstellen können, ermöglichen Ihnen keine DSGVO-konforme Dokumentation. Im Falle einer BfDI-Prüfung stehen Sie ohne Nachweis da.
Red Flag 4 — KI-Training auf Kundendaten als Standard: Einige Anbieter nutzen die Gesprächsdaten ihrer Kunden standardmäßig für das Training ihrer KI-Modelle. Das ist ohne ausdrückliche Einwilligung der betroffenen Studieninteressierten eine unzulässige Zweckänderung (Art. 5 Abs. 1 lit. b DSGVO). Prüfen Sie explizit, ob Ihre Daten für Modelltraining genutzt werden, und bestehen Sie auf einem vertraglichen Opt-out.
Red Flag 5 — Kein DSB erreichbar: Ein Anbieter, der keinen benannten Datenschutzbeauftragten oder keinen direkt erreichbaren Datenschutz-Ansprechpartner hat, signalisiert eine unreife Datenschutzkultur. Für Ihre eigene Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) ist es essenziell, dass Sie nachweisen können, Ihren Anbieter sorgfältig ausgewählt zu haben.
Für eine vollständige Prüfmethodik lesen Sie unsere DSGVO-Audit-Checkliste für Hochschulen und für einen Vergleich konkreter Anbieter unsere Vergleichsstudie der besten KI-Chatbots für Hochschulen.
Wenn Sie bereit sind, einen DSGVO-konformen Chatbot in Betrieb zu nehmen, zeigen wir Ihnen in einer personalisierten Demo, wie Skolbot die Anforderungen des deutschen Datenschutzrechts erfüllt.
FAQ
Kann ein US-amerikanischer Chatbot DSGVO-konform sein?
Theoretisch ja, praktisch nur unter sehr strengen Bedingungen. Seit dem Schrems-II-Urteil des EuGH (2020) und dem Ende des Privacy Shield müssen US-Anbieter für Datentransfers in die USA Standardvertragsklauseln (SCC) nach Art. 46 DSGVO und ergänzende Schutzmaßnahmen nachweisen. Dazu kommt das Risiko, dass US-Anbieter dem CLOUD Act unterliegen, der US-Behörden potenziell Zugriff auf in Europa gespeicherte Daten gewährt. Viele Landesbeauftragte in Deutschland empfehlen deshalb explizit, auf Anbieter mit ausschließlichem EU/DE-Serverstandort zu setzen.
Was muss eine DSFA für einen Studierenden-Chatbot abdecken?
Eine DSFA nach Art. 35 DSGVO für einen Hochschul-Chatbot muss mindestens abdecken: (1) systematische Beschreibung der Verarbeitung und ihrer Zwecke; (2) Bewertung der Notwendigkeit und Verhältnismäßigkeit; (3) Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen — insbesondere Risiken durch unbeabsichtigte Erhebung sensibler Daten (Art. 9 DSGVO) in Freitext-Konversationen; (4) geplante Maßnahmen zur Risikobeherrschung (Pseudonymisierung, Fristen, Zugriffskontrollen); (5) Restrisikobewertung. Wenn das Restrisiko hoch bleibt, ist nach Art. 36 DSGVO vor dem Einsatz die zuständige Datenschutzaufsichtsbehörde zu konsultieren.
Muss der Chatbot zu Beginn jedes Gesprächs auf seinen KI-Charakter hinweisen?
Ja. Art. 50 Abs. 1 der EU-KI-Verordnung (KI-VO), die seit August 2025 für KI-Systeme mit Nutzerkontakt gilt, verpflichtet Anbieter von KI-Systemen, die mit natürlichen Personen interagieren, diese zu Beginn auf den KI-Charakter hinzuweisen — außer wenn der KI-Charakter offensichtlich erkennbar ist. Im Hochschulkontext, wo Studieninteressierte einen menschlichen Berater erwarten könnten, ist der explizite Hinweis Pflicht. Ein Chatbot-Name wie „Sophia" ohne weiteren Hinweis reicht nicht aus.
Welche Aufbewahrungsfristen gelten für Gesprächsprotokolle?
Die DSGVO legt keine einheitliche Frist fest, verlangt aber das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e). Für Gesprächsdaten von Studieninteressierten, die nicht immatrikuliert wurden, empfehlen sich maximal 12 Monate nach dem letzten Kontakt. Für Daten immatrikulierter Studierender richten sich die Fristen nach dem Landeshochschulgesetz und den steuerrechtlichen Aufbewahrungspflichten (in der Regel 10 Jahre für Zahlungsbelege). Ihr Chatbot-Anbieter muss diese Fristen technisch konfigurierbar machen.
Was ist die Meldefrist bei einer Datenpanne?
Art. 33 DSGVO schreibt eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (BfDI oder zuständiger Landesbeauftragter) innerhalb von 72 Stunden nach Bekanntwerden vor — gerechnet ab dem Moment, in dem Ihre Hochschule von der Panne erfährt, nicht ab dem Zeitpunkt des Vorfalls. Wenn die Panne voraussichtlich ein hohes Risiko für betroffene Personen darstellt, müssen diese nach Art. 34 DSGVO unverzüglich benachrichtigt werden. Deshalb ist es essenziell, dass Ihr Anbieter Sie innerhalb von 24 Stunden informiert, damit Ihnen die restlichen 48 Stunden für interne Prüfung und Behördenmeldung bleiben.
