ChatGPT
Claude
Perplexity
Gemini
GrokIst ein Datenschutzbeauftragter für Privatschulen Pflicht? Die direkte Antwort
Ja — für die überwiegende Mehrheit der privaten Hochschulen und Schulen in Deutschland ist die Bestellung eines Datenschutzbeauftragten (DSB) Pflicht. Die Pflicht ergibt sich aus zwei Rechtsquellen, die zusammenwirken: Artikel 37 der Datenschutz-Grundverordnung (DSGVO — Verordnung EU 2016/679) und § 38 des Bundesdatenschutzgesetzes (BDSG), der für nichtöffentliche Stellen in Deutschland eine nationale Verschärfung enthält.
§ 38 BDSG bestimmt: Beschäftigen Sie in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, müssen Sie einen DSB bestellen — unabhängig davon, ob die Voraussetzungen des Artikels 37 DSGVO erfüllt sind. Für eine Privatschule mit einem Sekretariat, einer IT-Abteilung, einer Marketingabteilung und einem Zulassungsteam ist dieser Schwellenwert regelmäßig überschritten. Hinzu kommen die DSGVO-Kriterien, die zusätzlich einschlägig sein können.
Der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) sowie die DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) haben klargestellt, dass Bildungseinrichtungen, die Bewerbungs- und Immatrikulationsdaten in großem Umfang verarbeiten, unter die Bestellpflicht fallen. Private Hochschulen, die durch den Akkreditierungsrat akkreditiert sind, unterliegen zudem einer erhöhten Sorgfaltspflicht bei der Governance — der fehlende DSB wird bei Akkreditierungsverfahren als Compliance-Mangel gewertet.
Wer muss einen DSB bestellen? Die Kriterien aus Artikel 37 DSGVO und § 38 BDSG
Für Privatschulen und private Hochschulen in Deutschland sind drei Bestellgründe relevant, die häufig kumulativ zutreffen.
§ 38 BDSG — 20-Personen-Schwelle bei automatisierter Verarbeitung: Sobald mindestens 20 Mitarbeitende regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, besteht Bestellpflicht. Dazu zählen alle Mitarbeitenden, die Zugang zu CRM-Systemen, Bewerbungsportalen, E-Mail-Marketing-Tools, Chatbots oder der Studierendenverwaltung haben — also praktisch alle Verwaltungs- und Marketingstellen. Eine private Fachhochschule mit 30 Verwaltungsmitarbeitenden erfüllt diesen Schwellenwert typischerweise bereits.
Artikel 37 Abs. 1 lit. b DSGVO — umfangreiche systematische Überwachung: Die systematische Erfassung von Interessentendaten im CRM, das Scoring von Bewerbungsprofilen, die Auswertung von Chatbot-Gesprächen und das Retargeting über digitale Kanäle stellen eine systematische Verarbeitung im Sinne der DSGVO dar. Ab einem Interessentenvolumen von mehreren Tausend Personen pro Jahr ist das Kriterium „umfangreich" erfüllt.
Artikel 37 Abs. 1 lit. c DSGVO — umfangreiche Verarbeitung besonderer Datenkategorien: Gesundheitsdaten (Nachteilsausgleiche, Behinderungsnachweise), Daten zur religiösen Überzeugung (konfessionelle Schulen) und bei internationalen Bewerbungen gelegentlich ethnische Herkunft fallen unter Artikel 9 DSGVO. Der Europäische Datenschutzausschuss (EDPB) wertet bereits die Verarbeitung solcher Daten für mehrere Hundert Personen als „umfangreich".
| Bestellgrund | Anwendung Privatschule/Hochschule | DSB-Pflicht |
|---|---|---|
| § 38 BDSG — ≥20 Personen mit automatisierter Verarbeitung | Verwaltung, Marketing, IT, Zulassung | Ja |
| Art. 37 Abs. 1 lit. b DSGVO — systematische Überwachung | CRM-Bewerbungsmanagement >1.000 Interessenten/Jahr | Ja |
| Art. 37 Abs. 1 lit. c DSGVO — besondere Datenkategorien | Gesundheitsdaten (Nachteilsausgleich), Religionszugehörigkeit | Ja |
| Kombiniertes Kriterium | KI-Chatbot + CRM + Bewerbungsportal + E-Mail-Sequenzen | Ja |
Was macht ein externer Datenschutzbeauftragter konkret? Aufgabenumfang
Der externe DSB nimmt dieselben Aufgaben wahr wie ein interner DSB — auf der Grundlage eines Dienstleistungsvertrags. Sein Aufgabenumfang ergibt sich aus den Artikeln 38 und 39 DSGVO und kann durch den Vertrag nicht eingeschränkt werden.
Unterrichtung und Beratung: Der DSB informiert die Hochschulleitung und die operativen Abteilungen — Zulassung, IT, Marketing — über ihre Pflichten aus der DSGVO. Er ist die Anlaufstelle für alle datenschutzrechtlichen Fragen im laufenden Betrieb. Kein neues Datenverarbeitungsprojekt darf ohne vorherige Einbeziehung des DSB in Betrieb genommen werden.
Überwachung der Compliance: Der externe DSB prüft, ob die bestehenden Verarbeitungen mit der DSGVO vereinbar sind — Rechtsgrundlagen, Informationspflichten, Aufbewahrungsfristen, Sicherheitsmaßnahmen. Er führt oder begleitet regelmäßige DSGVO-Audits; die strukturierte Vorgehensweise dafür enthält die DSGVO-Audit-Checkliste für Hochschulen.
Datenschutz-Folgenabschätzung (DSFA): Bei jedem neuen Verarbeitungsvorgang mit hohem Risiko — Einführung eines KI-Chatbots, neues CRM-System, KI-gestütztes Zulassungsscoring — muss der DSB in die DSFA nach Artikel 35 DSGVO einbezogen werden. Diese Einbeziehung ist nicht delegierbar; der Vertrag mit dem externen DSB muss sie explizit vorsehen.
Zusammenarbeit mit der Aufsichtsbehörde: Der externe DSB ist die offizielle Kontaktstelle gegenüber dem zuständigen Landesdatenschutzbeauftragten und, soweit einschlägig, dem BfDI. Seine Kontaktdaten müssen der Aufsichtsbehörde mitgeteilt werden (Artikel 37 Abs. 7 DSGVO). Bei einer Prüfung oder Beschwerde koordiniert er die Kommunikation und die Abhilfemaßnahmen.
Bearbeitung von Betroffenenrechten: Der DSB überwacht die fristgerechte Bearbeitung von Auskunfts-, Berichtigungs- und Löschungsanfragen. Die gesetzliche Frist beträgt einen Monat. Ein KI-Chatbot bearbeitet 72 % der Interessentenanfragen automatisch (Quelle: Automatische Klassifizierung von 12.000 Skolbot-Gesprächen, 2025) — Anträge auf Ausübung von Betroffenenrechten erfordern jedoch eine menschliche Bearbeitung unter Aufsicht des DSB.
Kosten: Was kostet ein externer Datenschutzbeauftragter für eine Privatschule?
Die Kosten für einen externen DSB richten sich nach dem Leistungsumfang, der Größe der Einrichtung und dem Anbieter. Die folgende Tabelle zeigt die marktüblichen Spannen für den deutschen Markt 2026.
| Leistungsmodell | Zielgruppe | Monatliche Kosten | Enthaltene Leistungen |
|---|---|---|---|
| DSB-as-a-Service Basis | Kleine Privatschule <300 Studierende, geringes Datenvolumen | 200–500 € | Verarbeitungsverzeichnis, Betroffenenanfragen, Kurzberatung |
| Externer DSB Standard | Mittlere Hochschule 300–2.000 Studierende | 700–1.400 € | Verzeichnis, Jahresaudit, DSFA, Behördenkorrespondenz, Schulungen |
| Externer DSB Premium | Große Hochschule >2.000 Studierende, Akkreditierung | 1.400–2.500 € | Quartalsaudit, vollständige DSFA, Vorfallmanagement, juristische Unterstützung |
| Interner DSB (Vollzeit) | Hochschule mit Dauerbedarf und hohem Datenvolumen | 4.000–7.000 €/Monat | Präsenz vor Ort, sofortige Reaktion, Vertiefungskenntnisse aller Prozesse |
Hinweis zur Kostenstruktur: Achten Sie darauf, welche Leistungen im Grundpreis enthalten sind und welche gesondert abgerechnet werden. Einzelne DSFA-Erstellungen, die Begleitung einer Behördenprüfung oder die Bearbeitung einer Datenschutzverletzung werden von vielen Anbietern als Zusatzleistung fakturiert. Lassen Sie sich eine vollständige Leistungsbeschreibung und einen Stundenverrechnungssatz für Zusatzleistungen geben.
Die Kosten eines externen DSB sind im Verhältnis zum Bußgeldrisiko überschaubar: nach DSGVO können Verstöße mit bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Der BfDI und die Landesdatenschutzbehörden haben in den vergangenen Jahren mehrfach Bildungseinrichtungen wegen fehlender Rechtsgrundlagen und unzureichender technischer Schutzmaßnahmen sanktioniert.
Alternativen zum externen Datenschutzbeauftragten: Was tatsächlich möglich ist
Die DSGVO und das BDSG lassen unterschiedliche Organisationsformen zu — allerdings mit klaren Einschränkungen.
Interner Datenschutzbeauftragter: Ein Beschäftigter der Hochschule wird zum DSB bestellt. Der Vorteil liegt in der Verfügbarkeit und der institutionellen Kenntnis. Die Anforderungen sind hoch: Der interne DSB darf keine Aufgaben übernehmen, die Interessenkonflikte erzeugen — die Funktion des IT-Leiters, der Rechtsabteilung oder der Personalleitung ist mit dem DSB-Amt nach herrschender Auffassung unvereinbar. Fachliche Qualifikation und laufende Fortbildung sind Pflicht. Bei einem typischen Verwaltungspersonalwechsel an privaten Hochschulen entsteht zudem ein Kontinuitätsrisiko.
Gemeinsamer DSB für mehrere Einrichtungen: Mehrere Schulen oder Hochschulen eines Trägers können gemäß Artikel 37 Abs. 2 DSGVO einen gemeinsamen DSB bestellen. Dies reduziert die Kosten pro Einrichtung erheblich. Voraussetzung ist, dass der DSB für jede Einrichtung leicht erreichbar ist und keine Interessenkonflikte zwischen den Trägern bestehen.
Datenschutzkoordinator ohne formale DSB-Funktion: Für Einrichtungen, die unterhalb der Bestellschwellen liegen, ist ein interner Datenschutzkoordinator eine pragmatische Lösung. Dieser führt das Verarbeitungsverzeichnis, sensibilisiert die Mitarbeitenden und stellt die Verbindung zu einem externen Berater her. Diese Lösung entbindet nicht von der Einhaltung der übrigen DSGVO-Pflichten — Rechtsgrundlagen, Informationspflichten, Sicherheitsmaßnahmen müssen unabhängig von der DSB-Bestellung gewährleistet sein.
Punktuelle anwaltliche Beratung: Einzelne Projekte — Einführung eines CRM, Deployment eines KI-Chatbots, Abschluss neuer Auftragsverarbeitungsverträge — können von einer auf Datenschutzrecht spezialisierten Kanzlei begleitet werden. Diese Lösung ist als dauerhafter Ersatz für den DSB ungeeignet: Sie bildet die kontinuierliche Überwachungs- und Beratungsfunktion nicht ab, die Artikel 38 und 39 DSGVO verlangen.
Für die datenschutzrechtliche Behandlung von Interessentendaten, Tracking-Tools und Cookie-Einwilligung auf Ihrer Hochschulwebsite sind die Spezifika in unserem Leitfaden zum Datenschutz für Studieninteressierte und im Artikel zur Cookie-Einwilligung für Hochschulen detailliert beschrieben.
Externen Datenschutzbeauftragten auswählen: 5 nicht verhandelbare Kriterien
1. Sektorkenntnisse im Hochschul- und Privatschulbereich: Die DSGVO im Bildungsbereich hat eigene Besonderheiten — Hochschulzulassung, Nachteilsausgleiche, Daten Minderjähriger in Oberstufenprogrammen, Akkreditierungspflichten des Akkreditierungsrates, internationale Studierende. Fordern Sie Referenzen aus dem privaten Hochschulumfeld an, nicht nur allgemeine Bildungseinrichtungen oder andere Branchen.
2. Vertraglich gesicherte Unabhängigkeit: Artikel 38 Abs. 3 DSGVO verbietet es dem Verantwortlichen, dem DSB bei der Ausübung seiner Aufgaben Weisungen zu erteilen. Ein Vertrag, der eine sofortige Kündigung ohne Angabe von Gründen erlaubt, gefährdet diese Unabhängigkeit strukturell. Der Vertrag sollte eine Mindestlaufzeit und Kündigungsschutzklauseln enthalten, die verhindern, dass der DSB bei einem kritischen Audit abberufen wird.
3. Erreichbarkeit und Reaktionszeiten vertraglich festgelegt: Artikel 38 Abs. 4 DSGVO schreibt vor, dass der DSB für Betroffene und interne Mitarbeitende leicht erreichbar ist. Vereinbaren Sie Reaktionszeiten vertraglich: 24 Stunden für dringende Anfragen (Datenpannen, Behördenanfragen), 48 Stunden für Standardanfragen. Ein externer DSB, der sich erst nach einer Woche meldet, erfüllt die gesetzlichen Anforderungen nicht.
4. Kompetenz im digitalen und KI-Bereich: Eine moderne Hochschule betreibt CRM, Marketing-Automation, KI-Chatbot, Bewerbungsportal und Analytics-Tools. 72 % der Fragen sind einfache FAQ, 21 % kontextabhängig, 7 % erfordern einen Menschen (Quelle: Automatische Klassifizierung von 12.000 Skolbot-Gesprächen, 2025) — jede dieser Kategorien erzeugt Daten mit spezifischen Verarbeitungsanforderungen. Der externe DSB muss die datenschutzrechtlichen Implikationen von KI-Systemen (DSFA-Pflicht, KI-Verordnungsrisiken), Standardvertragsklauseln für US-Dienstleister und das TTDSG für Cookie-Pflichten beherrschen.
5. Berufshaftpflichtversicherung mit ausreichender Deckung: Der externe DSB übernimmt rechtlich relevante Aufgaben. Prüfen Sie, ob er über eine Berufshaftpflichtversicherung verfügt, die explizit die Tätigkeit als Datenschutzbeauftragter abdeckt, und ob die Deckungssumme zur Größe Ihrer Einrichtung passt. Bei einer Hochschule mit mehreren Tausend Studierenden sind Mindestdeckungen von 500.000 Euro üblich.
FAQ
Kann ein externer DSB mehrere konkurrierende Hochschulen betreuen?
Grundsätzlich ja — Artikel 37 Abs. 2 DSGVO erlaubt die Bestellung eines DSB für mehrere Organisationen. Allerdings darf kein Interessenkonflikt entstehen. Betreut ein DSB zwei Hochschulen, die um dieselben Studieninteressierten in derselben Stadt konkurrieren, und hat er Zugang zu den Bewerbungsdaten beider Einrichtungen, liegt ein potenzieller Interessenkonflikt vor. Fragen Sie den Anbieter nach seiner Interessenkonflikt-Policy und der vollständigen Liste seiner Kunden im Bildungsbereich.
Haftet der externe DSB bei einer Aufsichtsbehörde-Prüfung?
Verantwortlicher im Sinne der DSGVO bleibt die Hochschule — sie ist primäre Adressatin von Bußgeldbescheiden. Eine Eigenhaftung des externen DSB kann entstehen, wenn er seine Beratungs- und Informationspflichten nachweislich vernachlässigt hat. Der Dienstleistungsvertrag sollte die jeweiligen Verantwortungssphären klar abgrenzen: Was schuldet der externe DSB als Leistung, und was verbleibt als operative Verantwortung bei der Hochschule?
Was passiert, wenn eine Privatschule keinen DSB bestellt, obwohl sie es muss?
Das Fehlen eines DSB trotz gesetzlicher Bestellpflicht ist ein eigenständiger Verstoß gegen Artikel 37 DSGVO bzw. § 38 BDSG, der von den Aufsichtsbehörden unabhängig von einer Datenpanne geahndet werden kann. Aufsichtsbehörden werden auf fehlende DSB-Bestellung typischerweise durch Beschwerden von Betroffenen aufmerksam — was bedeutet, dass zu diesem Zeitpunkt häufig weitere Mängel vorliegen. Eine förmliche Bestellungsurkunde, die Meldung des DSB an die Aufsichtsbehörde und die Veröffentlichung der Kontaktdaten des DSB auf der Hochschulwebsite sind die unmittelbar umzusetzenden Erstmaßnahmen.
Braucht es für einen KI-Chatbot zwingend eine DSFA, und wer führt sie durch?
Ja. Der Einsatz eines KI-Chatbots auf der Hochschulwebsite erfüllt nach den Leitlinien des EDPB typischerweise die Kriterien für eine datenschutzrechtlich risikoreiche Verarbeitung: neue Technologie, systematische Verarbeitung personenbezogener Daten, potenziell umfangreiche Nutzergruppe. Eine DSFA nach Artikel 35 DSGVO ist damit Pflicht, bevor der Chatbot live geht. Der DSB muss in die DSFA einbezogen werden (Artikel 35 Abs. 2 DSGVO); er ist der Verfasser des Beratungsprotokolls, das dem DSFA-Dokument beizufügen ist. Wird die DSFA ohne den DSB durchgeführt, ist das Verfahren formell fehlerhaft.
Gilt die DSB-Pflicht auch für kleine Privatschulen mit weniger als 20 Mitarbeitenden?
Unterhalb der Schwelle des § 38 BDSG (20 Personen mit automatisierter Datenverarbeitung) entfällt die nationale Bestellpflicht. Die DSGVO-Kriterien des Artikels 37 gelten jedoch weiterhin unabhängig von der Mitarbeitendenzahl: Eine kleine Schule, die systematisch Gesundheitsdaten verarbeitet oder eine umfangreiche CRM-gestützte Interessentendatenbank betreibt, kann trotzdem bestellpflichtig sein. Für sehr kleine Einrichtungen empfiehlt die DSK die freiwillige Bestellung eines DSB oder zumindest die Einrichtung einer dokumentierten Datenschutzverantwortung.
Dieser Artikel dient allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen zu Ihren spezifischen DSGVO-Pflichten wenden Sie sich an einen Datenschutzfachmann oder Ihren bestellten Datenschutzbeauftragten.
Zur Vertiefung Ihrer Compliance-Grundlagen empfehlen wir unsere DSGVO-Audit-Checkliste für Hochschulen sowie den Leitfaden zum Datenschutz für Studieninteressierte.
Fordern Sie eine persönliche Demo an
