ChatGPT
Claude
Perplexity
Gemini
GrokEin KI-Chatbot auf Ihrer Hochschulwebsite ist kein passives Auskunftsformular — er ist ein kontinuierlicher Datenverarbeitungsvorgang. Jede Frage, die ein Studieninteressierter stellt, erzeugt personenbezogene Daten, für die Ihre Hochschule als Verantwortliche im Sinne des Artikels 4 Nr. 7 DSGVO haftet. Welche Daten Sie erheben dürfen, auf welcher Rechtsgrundlage und wie lange Sie diese aufbewahren dürfen, regelt die Datenschutz-Grundverordnung (DSGVO — Verordnung 2016/679) — ergänzt seit August 2026 durch die Transparenzpflichten der KI-Verordnung.
Den übergeordneten Rahmen zum Datenschutz an Ihrer Hochschule finden Sie in unserem vollständigen DSGVO-Leitfaden für Studierendendaten. Zur Cookie-Ebene des Chatbots empfehlen wir den Leitfaden zur Cookie-Einwilligung für Hochschulen.
Welche Daten erhebt ein KI-Chatbot an einer Hochschule typischerweise?
Ein KI-Chatbot auf einer Hochschulwebsite erhebt zwei Typen von Daten gleichzeitig: aktiv bereitgestellte Daten (was der Studieninteressierte eingibt) und passiv generierte Metadaten (wann, wo, über welches Gerät das Gespräch stattfindet).
Aktiv bereitgestellte Daten entstehen, sobald der Studieninteressierte tippt. Typisch sind: Vorname oder Nickname, E-Mail-Adresse (wenn der Chatbot eine Kontaktaufnahme anbietet), Telefonnummer, gewünschter Studiengang, Staatsangehörigkeit oder Herkunftsland, Geburtsjahr oder Altersangabe sowie der gesamte Gesprächsverlauf als Freitext. Letzterer ist besonders heikel, weil Studieninteressierte darin spontan sensible Informationen teilen — Erkrankungen, familiäre Situation, finanzielle Lage.
Passiv generierte Metadaten umfassen: IP-Adresse, Zeitstempel jeder Nachricht, Seitenkontext (welche Programmseite war geöffnet), Session-Identifier, Browser-Typ und Gerätetyp. Auch wenn kein Name genannt wird: Die Kombination aus IP-Adresse und Zeitstempel ist nach Auffassung des BfDI und des EuGH ein personenbezogenes Datum.
Die Kennzahl hinter dem Volumen: 72 % der Fragen von Studieninteressierten sind durch einen Chatbot automatisierbar (einfache FAQ), 21 % erfordern Schulkontext, 7 % menschliche Eingriffe. (Quelle: Automatische Klassifikation von 12.000 Skolbot-Gesprächen, 2025.) Das bedeutet: Pro 100 Chatbot-Interaktionen entstehen mindestens 100 separate Datenverarbeitungsvorgänge, die alle einer Rechtsgrundlage bedürfen.
Rechtsgrundlagen für jede Datenkategorie
Die DSGVO kennt für nicht-sensible Daten sechs Rechtsgrundlagen (Art. 6). Für den Hochschul-Chatbot sind drei relevant:
Einwilligung (Art. 6 Abs. 1 lit. a): Die stärkste und klarste Grundlage. Der Studieninteressierte erklärt ausdrücklich, dass er mit der Verarbeitung einverstanden ist. Voraussetzung: freiwillig, spezifisch, informiert, unmissverständlich. Ein vorausgefülltes Kontrollkästchen oder die bloße Nutzung des Chatbots als stillschweigende Einwilligung genügen nicht.
Vertragsanbahnung (Art. 6 Abs. 1 lit. b): Wenn der Studieninteressierte aktiv eine Bewerbung oder Infotag-Anmeldung über den Chatbot vorbereitet, kann die Verarbeitung der dafür notwendigen Daten (Name, E-Mail, gewünschter Studiengang) auf Vertragsanbahnung gestützt werden. Das deckt jedoch nur das Nötigste ab — nicht die Speicherung des gesamten Gesprächsverlaufs zu Marketingzwecken.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Technische Metadaten (Session-ID, IP für Sicherheitszwecke) können auf berechtigtes Interesse gestützt werden, sofern eine Interessenabwägung ergibt, dass die Verarbeitung die Rechte der Studieninteressierten nicht unverhältnismäßig beeinträchtigt. Marketingauswertungen des Gesprächsverlaufs können hierauf in der Regel nicht gestützt werden.
Besondere Kategorien personenbezogener Daten — Artikel 9 DSGVO
Artikel 9 DSGVO gilt für Daten, die besonders schützenswert sind: Gesundheitsdaten, ethnische Herkunft, Religionszugehörigkeit, politische Überzeugungen, biometrische und genetische Daten.
Im Hochschulkontext ist das Problem häufig kein explizites, sondern ein inzidentelles: Ein Studieninteressierter schreibt im Chatbot, dass er wegen einer Erkrankung das Studium verschieben muss. Oder er nennt seine Staatsangehörigkeit, aus der in Verbindung mit anderen Merkmalen auf ethnische Herkunft geschlossen werden kann. Für diese Daten gilt ein verschärftes Regime:
- Die Verarbeitung ist grundsätzlich verboten, außer eine der abschließend in Art. 9 Abs. 2 aufgezählten Ausnahmen greift.
- Für Hochschulen kommt in der Praxis fast ausschließlich die ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a) in Frage.
- Diese Einwilligung muss separat, granular und in Kenntnis der Sensibilität erteilt werden — sie kann nicht in die allgemeine Chatbot-Nutzungserklärung eingebettet werden.
Praktische Konsequenz: Konfigurieren Sie Ihren Chatbot so, dass er keine Fragen stellt, die Daten nach Art. 9 provozieren (z. B. „Haben Sie eine Behinderung, die wir berücksichtigen sollen?"). Werden solche Informationen spontan geteilt, müssen sie nach 30 Tagen automatisch anonymisiert werden.
Datentabelle: Datentyp, Rechtsgrundlage, Aufbewahrungsfrist
| Datentyp | Rechtsgrundlage | Aufbewahrungsfrist | Hinweise |
|---|---|---|---|
| Name, E-Mail (kontaktlos, reine FAQ-Anfrage) | Einwilligung Art. 6(1)(a) | 12 Monate nach letztem Kontakt | Nur erheben, wenn Nutzer Kontakt wünscht |
| Name, E-Mail (Bewerbungsanbahnung) | Vertragsanbahnung Art. 6(1)(b) | Bis Abschluss oder Ablehnung + 24 Monate | Nur studiengangsbezogene Daten |
| Telefonnummer | Einwilligung Art. 6(1)(a) | 12 Monate | Kein Pflichtfeld für FAQ |
| Studiengangsinteresse | Berechtigtes Interesse Art. 6(1)(f) | 12 Monate | Aggregiert für QM-Zwecke erlaubt |
| IP-Adresse, Session-ID | Berechtigtes Interesse Art. 6(1)(f) | 7–30 Tage (Sicherheit) | Nach Ablauf pseudonymisieren |
| Gesprächsverlauf (Freitext) | Einwilligung Art. 6(1)(a) | 12 Monate, dann Anonymisierung | Sensible Passagen nach 30 Tagen anonymisieren |
| Gesundheitsdaten, ethnische Herkunft | Ausdrückliche Einwilligung Art. 9(2)(a) | 30 Tage, dann Anonymisierung | Nicht aktiv erheben; automatisch löschen |
| Staatsangehörigkeit / Herkunftsland | Einwilligung Art. 6(1)(a) | 12 Monate | Vorsicht: kann Art. 9 berühren |
| Geburtsjahr / Altersangabe | Vertragsanbahnung Art. 6(1)(b) oder Einwilligung | 24 Monate (Bewerbungsakte) | Minderjährige: besondere Regeln (BDSG) |
Datenschutz-Folgenabschätzung (DSFA) — Wann wird sie zur Pflicht?
Artikel 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Für KI-Chatbots an Hochschulen greifen typischerweise mehrere der in Art. 35 Abs. 3 genannten Kriterien:
Systematische und umfassende Bewertung durch automatisierte Verarbeitung: Wenn der Chatbot Fragen auswertet, um Studieninteressierte nach Programm, Abschlusswahrscheinlichkeit oder Kreditwürdigkeit zu kategorisieren, liegt eine automatisierte Profilerstellung vor.
Umfangreiche Verarbeitung besonderer Datenkategorien: Sobald der Chatbot — auch unbeabsichtigt — Daten nach Art. 9 verarbeitet und dabei viele Personen betroffen sind, ist Art. 35 einschlägig.
Systematische Überwachung öffentlich zugänglicher Bereiche: Ein Chatbot, der Website-Verhalten mit Gesprächsinhalten verknüpft und nutzerindividuelle Profile erstellt, kann dieses Kriterium erfüllen.
Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe „KI und Datenschutz" (2024) klargestellt, dass KI-Systeme mit Personenbezug in der Regel einer DSFA bedürfen, wenn sie großmaßstäbig eingesetzt werden. Für eine Hochschule, die ihren Chatbot auf allen Seiten einbettet und mehrere Tausend Gespräche pro Jahr führt, ist das Schwellenwert regelmäßig erreicht.
Was die DSFA enthalten muss:
- Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken für die Rechte der Betroffenen
- Geplante Maßnahmen zur Risikominimierung
Die DSFA muss vor dem Einsatz des Chatbots durchgeführt und bei wesentlichen Änderungen aktualisiert werden. Ihr Datenschutzbeauftragter (DSB) ist gemäß Art. 35 Abs. 2 DSGVO hinzuzuziehen.
Praktische Anforderungen: Datenschutzhinweis, Einwilligung und Opt-out im Chatbot
Transparenzpflicht und KI-Kennzeichnung: Seit August 2026 schreibt die KI-Verordnung (AI Act, Art. 52) vor, dass Nutzer darüber informiert werden müssen, dass sie mit einem KI-System interagieren. Der Hinweis muss beim ersten Kontakt, spätestens zu Beginn des ersten Gesprächs, erfolgen. Eine Bezeichnung wie „Maximilian, Ihr Studienberater" ohne Hinweis auf die KI-Natur ist nicht mehr zulässig.
Datenschutzhinweis im Chatbot-Interface: Vor oder zu Beginn des ersten Gesprächs muss der Studieninteressierte über folgende Punkte informiert werden (Art. 13 DSGVO):
- Identität und Kontaktdaten des Verantwortlichen sowie des DSB
- Zwecke der Datenverarbeitung (Beantwortung von Anfragen, ggf. Qualitätssicherung, ggf. Retargeting)
- Anwendbare Rechtsgrundlage
- Aufbewahrungsfristen
- Empfänger (insbesondere: wird das Sprachmodell bei einem Drittanbieter betrieben?)
- Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch)
- Recht auf Widerruf der Einwilligung
Ein sichtbarer Link auf die Datenschutzerklärung direkt im Chatbot-Widget reicht aus, sofern die Erklärung vollständig und aktuell ist. Empfehlenswert ist zusätzlich ein kurzer einleitender Hinweis direkt im Chat: „Ich bin Skolbot, ein KI-Chatbot. [Name der Hochschule] verarbeitet Ihre Gesprächsdaten gemäß unserer [Datenschutzerklärung]. Sie können das Gespräch jederzeit beenden."
Einwilligungsmechanismus: Wenn der Chatbot über die reine Beantwortung anonymer FAQ-Fragen hinausgeht — d. h. wenn er Name, E-Mail oder Telefonnummer erfragt — muss eine aktive, dokumentierte Einwilligung vorliegen. Dies kann als Checkbox unmittelbar vor dem ersten Datenerfassungsschritt realisiert werden. Die Einwilligung muss mit Zeitstempel, Gesprächs-ID und Formulierungsversion protokolliert werden.
Opt-out und Löschung: Der Studieninteressierte muss jederzeit die Möglichkeit haben, das Gespräch zu beenden, ohne identifiziert zu werden. Zusätzlich muss ein klarer Weg zur Ausübung der Betroffenenrechte bestehen — idealerweise ein direkter Link oder eine E-Mail-Adresse im Chatbot-Interface.
Auftragsverarbeitungsvertrag (AVV): Wenn der Chatbot als SaaS-Dienst betrieben wird, bei dem Gesprächsdaten an den Anbieter übertragen werden, ist ein AVV nach Art. 28 DSGVO zwingend. Prüfen Sie, ob das zugrundeliegende Sprachmodell in der EU gehostet wird. Verarbeitungen außerhalb des EWR erfordern geeignete Garantien (Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c).
Reaktionszeit als Argument für Compliance: Ein KI-Chatbot antwortet in 3 Sekunden, rund um die Uhr. Eine E-Mail braucht im Schnitt 47 Stunden, ein Kontaktformular 72 Stunden. (Quelle: Skolbot Mystery Shopping Audit, 2025, 80 Hochschulen.) Diese Zahlen zeigen: Der Chatbot ist ein ernsthafter Kommunikationskanal — und muss auch datenschutzrechtlich genauso ernst genommen werden wie E-Mail oder CRM.
Eine strukturierte Bestandsaufnahme Ihrer gesamten DSGVO-Lage bietet die DSGVO-Audit-Checkliste für Hochschulen.
Bundesdatenschutzgesetz (BDSG) — nationale Ergänzungen
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO im deutschen Recht. Für den Hochschul-Chatbot sind zwei Punkte besonders relevant:
Minderjährige: § 8 BDSG setzt das Mindestalter für eine eigenständig wirksame Einwilligung auf 16 Jahre fest. Richtet Ihr Chatbot sich auch an Schülerinnen und Schüler (z. B. Abiturientenmessen, Schnupperstudium), müssen Sie sicherstellen, dass Unter-16-Jährige keine personenbezogenen Daten eingeben, bevor eine elterliche Einwilligung vorliegt. Eine technische Altersverifikation ist zwar nicht zwingend, aber der Chatbot sollte zumindest aktiv nachfragen und keine Daten erfassen, wenn Minderjährigkeit erkennbar ist.
DSB-Pflicht: Gemäß § 38 BDSG i. V. m. Art. 37 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für die meisten privaten Hochschulen mit eigenem IT-Team und Marketingabteilung ist diese Schwelle überschritten.
Beschäftigtendatenschutz: § 26 BDSG regelt die Datenverarbeitung im Beschäftigungsverhältnis. Wenn Ihre Hochschulmitarbeitenden den Chatbot für interne Anfragen nutzen, ist dies datenschutzrechtlich gesondert zu betrachten.
FAQ
Welche Rechtsgrundlage gilt für Chatbot-Gesprächsprotokolle zu Qualitätssicherungszwecken?
Wenn Gespräche gespeichert werden, um die Qualität der Chatbot-Antworten zu verbessern oder Mitarbeitende zu schulen, ist die Rechtsgrundlage das berechtigte Interesse (Art. 6 Abs. 1 lit. f) — jedoch nur, wenn die Daten vor der Auswertung pseudonymisiert oder anonymisiert werden. Erkennbare Klarnamen oder E-Mail-Adressen in QS-Auswertungen können nicht auf berechtigtes Interesse gestützt werden; hier ist eine vorherige Einwilligung oder eine technische Anonymisierung erforderlich. Dokumentieren Sie Ihre Interessenabwägung schriftlich im Verarbeitungsverzeichnis.
Muss ich eine DSFA durchführen, bevor ich einen KI-Chatbot einführe?
Wenn Ihr Chatbot mehrere Tausend Gespräche pro Jahr führt, Gesprächsdaten an einen externen KI-Anbieter überträgt oder auch nur potenziell Daten nach Art. 9 verarbeitet, lautet die Antwort in der Regel: ja. Die DSK empfiehlt in ihrer Orientierungshilfe KI und Datenschutz (2024), dass KI-Systeme mit Personenbezug bei großmaßstäbigem Einsatz grundsätzlich einer DSFA unterzogen werden. Auch wenn kein formales DSFA-Obligatorium greift, empfiehlt sich eine dokumentierte Risikoabwägung als Nachweis für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Was muss der KI-Chatbot beim ersten Kontakt offenlegen?
Seit August 2026 verlangt Art. 52 KI-Verordnung, dass Nutzer zu Beginn jedes Gesprächs darüber informiert werden, dass sie mit einem KI-System interagieren. Darüber hinaus verlangt Art. 13 DSGVO die Mitteilung von Identität des Verantwortlichen, Verarbeitungszwecken, Rechtsgrundlagen, Aufbewahrungsfristen, Empfängern und Betroffenenrechten — entweder direkt im Chatbot oder über einen gut sichtbaren Link zur aktuellen Datenschutzerklärung.
Darf der Chatbot die Staatsangehörigkeit eines Studieninteressierten erfragen?
Grundsätzlich ja, wenn ein legitimer Grund besteht (z. B. Prüfung der Zulassungsvoraussetzungen für internationale Studierende). Die Staatsangehörigkeit ist kein Datum nach Art. 9 DSGVO. Problematisch wird es, wenn die Staatsangehörigkeit mit weiteren Merkmalen kombiniert wird und daraus Rückschlüsse auf ethnische Herkunft gezogen werden — dann greift Art. 9. Beschränken Sie die Erhebung auf das für den jeweiligen Gesprächszweck Notwendige (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).
Wie lange dürfen Chatbot-Gespräche aufbewahrt werden?
Die DSGVO gibt keine starre Frist vor, verlangt aber das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Daten dürfen nur so lange aufbewahrt werden, wie es für den Zweck der Verarbeitung erforderlich ist. In der Praxis gilt für Gesprächsprotokolle von Studieninteressierten eine Frist von 12 Monaten nach dem letzten aktiven Kontakt als vertretbar, sofern kein konkreter Bewerbungsvorgang entstanden ist. Sensible Gesprächsinhalte (Gesundheit, familiäre Lage) sollten nach spätestens 30 Tagen automatisch anonymisiert werden. Diese Fristen müssen im Verarbeitungsverzeichnis dokumentiert und technisch umgesetzt sein.
Ein KI-Chatbot ist einer der sichtbarsten Berührungspunkte zwischen Ihrer Hochschule und Studieninteressierten — und gleichzeitig ein Datenverarbeitungssystem, das sämtliche DSGVO-Grundsätze erfüllen muss: Zweckbindung, Datenminimierung, Speicherbegrenzung, Transparenz und Rechenschaftspflicht. Hochschulen, die diese Anforderungen von Anfang an in die technische Konfiguration ihres Chatbots einbauen, vermeiden nicht nur Bußgelder, sondern signalisieren Studieninteressierten eine Professionalität, die Vertrauen schafft.
Testen Sie Skolbot für Ihre Hochschule in 30 SekundenFür eine vollständige Bestandsaufnahme Ihrer DSGVO-Compliance empfehlen wir die DSGVO-Audit-Checkliste für Hochschulen sowie den vollständigen Leitfaden zum KI-Chatbot für die Studierendengewinnung.
