ChatGPT
Claude
Perplexity
Gemini
GrokWenn ein Studieninteressierter die Löschung seiner Daten verlangt, haben Sie 1 Monat Zeit, um zu antworten — und in den meisten Fällen sind Sie verpflichtet, diesem Wunsch nachzukommen. Das Recht auf Löschung nach Art. 17 DSGVO gehört zu den meistgenutzten Betroffenenrechten im Hochschulmarketing, und es ist gleichzeitig das Recht, bei dessen Umsetzung die meisten Fehler passieren.
Dieser Leitfaden erläutert die rechtlichen Anforderungen, das operative Verfahren, die zulässigen Ausnahmen — und was das konkret für Ihren KI-Chatbot und Ihr CRM bedeutet. Den übergeordneten Rahmen zur DSGVO-Konformität im Hochschulbereich finden Sie in unserem vollständigen DSGVO-Leitfaden für Studierendendaten.
Was das Recht auf Löschung nach Art. 17 DSGVO bedeutet
Das Recht auf Löschung verpflichtet jeden Verantwortlichen, personenbezogene Daten einer betroffenen Person zu löschen, sobald die gesetzlichen Voraussetzungen erfüllt sind. Der BfDI und die zuständigen Landesdatenschutzbehörden — die für öffentliche Hochschulen aufgrund der Kultushoheit der Länder zuständig sind — betonen, dass dieses Recht unverzüglich und vollständig umgesetzt werden muss.
Für eine Hochschule bedeutet das: alle Daten des Studieninteressierten in allen Systemen löschen, in denen sie gespeichert sind — CRM, E-Mail-Marketing-Tool, Chatbot-Datenbank, geteilte Dateien und aktive Backups. Die gesetzliche Antwortfrist beträgt 1 Monat ab Eingang des Antrags (Art. 12 Abs. 3 DSGVO). Bei komplexen oder umfangreichen Anfragen kann die Frist auf 3 Monate verlängert werden, sofern der Antragsteller im ersten Monat über die Verlängerung informiert wird.
Eine Besonderheit im deutschen Recht: Wenn eine vollständige Löschung technisch nicht sofort möglich ist — etwa weil Daten in Backup-Systemen vorliegen — müssen diese Daten gesperrt werden (§ 35 BDSG analog). Gesperrte Daten dürfen bis zur nächsten planmäßigen Löschung nicht weiterverarbeitet werden. Diese Sperrung ist gegenüber dem Betroffenen zu dokumentieren.
Wann gilt das Recht auf Löschung für Interessentendaten?
Art. 17 DSGVO nennt sechs Löschgründe. Im Kontext der Studierendengewinnung sind drei davon regelmäßig relevant.
| Auslöser | Ursprüngliche Rechtsgrundlage | Löschung verpflichtend |
|---|---|---|
| Widerruf der Einwilligung | Einwilligung (Art. 6 Abs. 1 lit. a) | Ja — unverzüglich, ohne Bedingung |
| Daten nicht mehr erforderlich (Frist abgelaufen) | Berechtigtes Interesse oder Einwilligung | Ja — 3-Jahres-Frist nach Rechtsprechung und DSK |
| Ausübung des Widerspruchsrechts | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | Ja — außer bei zwingenden schutzwürdigen Gründen |
Widerruf der Einwilligung. Sobald ein Studieninteressierter seine Einwilligung widerruft — durch Klick auf "Abmelden", per E-Mail oder über ein Kontaktformular — entfällt die Rechtsgrundlage für die auf dieser Einwilligung basierende Verarbeitung. Es reicht nicht, den Versand von Marketingmails zu stoppen; die Daten müssen gelöscht werden.
Daten nicht mehr erforderlich. Die Datenschutzkonferenz (DSK) und die Rechtsprechung orientieren sich bei Marketingdaten an einer Höchstfrist von 3 Jahren nach dem letzten aktiven Kontakt — in Analogie zu handelsrechtlichen Aufbewahrungsfristen (HGB). Danach fehlt dem Verarbeitungszweck die Grundlage, und die Daten sind zu löschen — auch ohne Antrag des Studieninteressierten.
Widerspruchsrecht. Ein Studieninteressierter kann der auf berechtigtem Interesse gestützten Verarbeitung widersprechen (Nachfassaktionen, Behavioral Scoring, Segmentierung). Ohne zwingende schutzwürdige Gründe müssen Sie die Verarbeitung einstellen und die Daten löschen.
Zur Verwaltung von Einwilligungen und Cookie-Consent lesen Sie unseren Leitfaden zur Cookie-Einwilligung für Hochschulen nach DSGVO.
Wann Sie (rechtmäßig) ablehnen können
Art. 17 Abs. 3 DSGVO regelt die Ausnahmen abschließend. Sie können sich nicht auf einen allgemeinen "Hochschulinteresse"-Vorbehalt berufen.
Gesetzliche Aufbewahrungspflicht. Wenn eine gesetzliche oder behördliche Pflicht zur Datenspeicherung besteht — Buchführungspflichten nach HGB (10 Jahre), steuerrechtliche Aufbewahrungsfristen, Akkreditierungsnachweise — dürfen diese spezifischen Daten nicht gelöscht werden. Entscheidend: Die Ausnahme gilt nur für die konkret aufbewahrungspflichtigen Daten, nicht für das gesamte Profil des Studieninteressierten.
Geltendmachung von Rechtsansprüchen. Hat der Studieninteressierte ein Verfahren gegen die Hochschule eingeleitet oder droht ein solches, dürfen Sie die für die Rechtsverteidigung relevanten Daten bis zum Abschluss des Verfahrens aufbewahren. Der Akkreditierungsrat und anerkannte Bildungsträger unterliegen hierbei keinen Sonderregeln — die allgemeinen DSGVO-Ausnahmen gelten.
Öffentliches Interesse und wissenschaftliche Forschung. Universitäten und Fachhochschulen, die im Rahmen anerkannter Forschungsvorhaben Daten verarbeiten, können unter engen Voraussetzungen eine Ausnahme geltend machen. Für Marketingdaten von Studieninteressierten greift diese Ausnahme in der Praxis nicht.
Wichtige Nuance: Teillöschung. Eine Ablehnung kann partial sein. Beispiel: Ein Studieninteressierter verlangt vollständige Löschung. Sie löschen alle Marketingdaten und Chatbot-Protokolle, behalten aber die formelle Bewerbungsakte für 24 Monate, um etwaige Widersprüche bearbeiten zu können. Diese Teillöschung muss dem Antragsteller innerhalb der Monatsfrist schriftlich begründet werden.
Verfahren zur Bearbeitung in 5 Schritten
Ein strukturiertes Verfahren ist unerlässlich, um die 30-Tage-Frist einzuhalten und jeden Antrag nachvollziehbar zu dokumentieren.
Tag 0 — Eingang und Eingangsbestätigung. Bei Eingang des Antrags (E-Mail, Formular, Brief) senden Sie unverzüglich eine Eingangsbestätigung mit Zeitstempel. Prüfen Sie die Identität des Antragstellers bei begründeten Zweifeln (Anforderung eines Identitätsnachweises). Erfassen Sie den Antrag im Verzeichnis der Betroffenenrechtsausübungen und notieren Sie das Eingangsdatum — es setzt die Frist in Gang.
Tag 2 bis 5 — Prüfung des Antrags. Identifizieren Sie alle Systeme, in denen Daten des Studieninteressierten vorhanden sind: CRM, E-Mail-Tool, Chatbot, gemeinsam genutzte Tabellen, Backup-Systeme, interne E-Mails. Prüfen Sie, ob gesetzliche Ausnahmen greifen. Bei Unklarheiten konsultieren Sie den Datenschutzbeauftragten (DSB) der Hochschule.
Tag 5 bis 15 — Durchführung der Löschung. Führen Sie die Löschung in jedem identifizierten System durch. Bei Auftragsverarbeitern (CRM-Anbieter, Chatbot-Dienstleister) übermitteln Sie den Antrag schriftlich und fordern Sie eine Bestätigung der Löschung an. Ist eine sofortige Löschung technisch nicht möglich (z. B. Backups), sperren Sie die Daten gemäß § 35 BDSG bis zur nächsten planmäßigen Löschung. Dokumentieren Sie jede Maßnahme mit Datum, System und Verantwortlichem.
Tag 15 bis 25 — Prüfung und Nachverfolgung. Vergewissern Sie sich, dass die Löschung in allen Systemen wirksam ist. Bewahren Sie ausschließlich den Nachweis der Rechtsausübung auf (Datum des Antrags, Identität des Antragstellers, durchgeführte Maßnahmen) — nicht die gelöschten Daten selbst.
Spätestens Tag 30 — Antwort an den Antragsteller. Bestätigen Sie schriftlich die erfolgte Löschung unter Angabe der betroffenen Systeme. Bei Teillöschung erläutern Sie präzise, welche Daten aus welchem Grund aufbewahrt werden. Bewahren Sie eine Kopie dieser Antwort auf.
Aufbewahrungsfristen für Daten von Studieninteressierten
Die Datenschutzkonferenz empfiehlt in Anlehnung an die handelsrechtliche Rechtsprechung eine Höchstfrist von 3 Jahren nach dem letzten aktiven Kontakt für Marketingdaten von Studieninteressierten. Diese Frist ist eine Obergrenze, kein Zielwert.
Was gilt als "aktiver Kontakt"? Ein aktiver Kontakt setzt eine freiwillige Interaktion des Studieninteressierten voraus: Öffnen einer E-Mail, Besuch der Website über einen zugesandten Link, Teilnahme an einem Hochschulinformationstag, Antwort auf eine Nachricht, neue Informationsanfrage. Der bloße Empfang einer E-Mail ohne Öffnung verlängert die Frist nicht. CRM-Systeme, die jeden nicht abgemeldeten Kontakt automatisch als "aktiv" markieren, erzeugen eine falsche Sicherheit.
Empfohlene Fristen nach Datentyp:
- Erstkontaktdaten (Formular, Chatbot, Messe): 12 Monate nach letztem aktivem Kontakt ohne Bewerbung
- Daten einer nicht abgeschlossenen Bewerbung: 24 Monate nach letztem aktivem Kontakt
- Daten abgelehnter Bewerber (Zulassungsablehnung): 2 Jahre nach Ablehnung — ausreichend für ein etwaiges Widerspruchsverfahren
- Chatbot-Gespräche: 12 Monate, mit automatischer Anonymisierung sensibler Daten nach 30 Tagen
Besonderheit bei staatlichen Hochschulen. Öffentlich-rechtliche Hochschulen unterliegen zusätzlich den jeweiligen Landesdatenschutzgesetzen (z. B. HDSIG in Hessen, DSG NRW). Private Hochschulen folgen ausschließlich DSGVO und BDSG, können aber von Akkreditierungsauflagen zur Dokumentation betroffen sein. In beiden Fällen ist eine Teillöschung mit Sperrvermerk der praktikable Weg, wenn Aufbewahrungspflichten und Löschpflichten kollidieren.
Wie Sie Ihren gesamten Datenschutz-Prozess für Studieninteressierte strukturieren, beschreibt unser Leitfaden zum Datenschutz bei Studieninteressierten.
Auswirkungen auf Ihren KI-Chatbot und Ihr CRM
Die Hochschulen im Skolbot-Partnernetzwerk verarbeiten im Median 195 qualifizierte Leads pro Monat (Quelle: Benchmark Skolbot 2024-2025, Panel 18 Hochschulen). Bei diesem Volumen ist eine rein manuelle Bearbeitung von Löschanfragen nicht tragfähig — ohne Automatisierung ist das Risiko, die 30-Tage-Frist zu überschreiten, erheblich.
Technische Anforderungen an den KI-Chatbot. Ihr KI-Chatbot muss in der Lage sein, Daten eines Studieninteressierten anhand seiner E-Mail-Adresse oder einer internen Kennung zu identifizieren und die Löschung in seiner eigenen Datenbasis auszulösen. Das setzt voraus: eine Datenarchitektur, die Identifikatoren bis zur Löschanfrage nicht anonymisiert; eine Lösch-API, die Ihrem DSB oder Compliance-Team zugänglich ist; zeitgestempelte Löschprotokolle als Nachweis. Überträgt Ihr Chatbot Daten an ein CRM, reicht die Löschung im Chatbot allein nicht — sie muss per Webhook oder dokumentiertem manuellen Prozess ins CRM propagiert werden.
CRM-Workflows und Fristenmanagement. Richten Sie in Ihrem CRM einen Workflow für Betroffenenrechtsanfragen ein: Bei Eingang einer mit "Löschantrag" getaggten Anfrage wird automatisch eine Aufgabe mit Fälligkeit Tag 25 (5 Tage Puffer vor der gesetzlichen Frist) erstellt und einem benannten Verantwortlichen zugewiesen. Gängige CRM-Plattformen wie HubSpot, Salesforce oder Brevo unterstützen diese Automatisierung nativ. Für jeden bearbeiteten Antrag ist ein Audit-Datensatz im CRM anzulegen: Eingangsdatum, Ausführungsdatum, betroffene Systeme, Ergebnis (vollständige oder teilweise Löschung mit Begründung).
Backups und Restdaten. Automatische Backups von CRM und Chatbot können bereits "gelöschte" Daten enthalten. Sie sind nicht verpflichtet, diese Daten in Backups sofort zu löschen, aber sie müssen bis zur nächsten planmäßigen Backup-Bereinigung gesperrt werden (§ 35 BDSG). Dokumentieren Sie diese Richtlinie in Ihrem Verarbeitungsverzeichnis nach Art. 30 DSGVO.
Für ein vollständiges DSGVO-Audit Ihrer Hochschule — einschließlich Chatbot, CRM und Auftragsverarbeitungsverträgen — nutzen Sie unsere DSGVO-Audit-Checkliste für Hochschulen.
Entdecken Sie, wie Hochschulen ihr Recruiting mit Skolbot verbessernFAQ
Kann ein Studieninteressierter Löschung verlangen, obwohl er eine formelle Bewerbung eingereicht hat?
Ja, aber Sie können eine Teillöschung geltend machen. Daten, die zur Bearbeitung des Bewerbungsvorgangs erforderlich sind — bei Widerspruch, Beschwerde oder aufgrund regulatorischer Aufbewahrungspflichten — dürfen für den notwendigen Zeitraum aufbewahrt werden. Rein marketingbezogene Daten, E-Mail-Verlauf, Behavioral Scoring und Chatbot-Protokolle sind dagegen bedingungslos zu löschen.
Beginnt die 1-Monats-Frist ab Absendung oder Eingang des Antrags?
Ab Eingang des Antrags. Geht der Antrag an einem Freitagabend ein, beginnt die Frist an diesem Freitag, nicht am darauffolgenden Montag. Ein automatisch versendeter, zeitgestempelter Eingangsnachweis schützt Sie im Zweifelsfall.
Was tun, wenn nicht alle Daten des Studieninteressierten auffindbar sind?
Antworten Sie innerhalb der Frist und dokumentieren Sie, in welchen Systemen Sie gesucht haben und welche Daten Sie gefunden und gelöscht haben. Sind Daten bei Auftragsverarbeitern zu vermuten, leiten Sie den Antrag schriftlich weiter und halten Sie das Ergebnis fest. Das Ausbleiben einer Antwort innerhalb von 30 Tagen ist eine Verletzung von Art. 12 Abs. 3 DSGVO — auch wenn keine Daten gefunden wurden.
Ist die Löschung endgültig oder darf eine Spur erhalten bleiben?
Sie dürfen und sollten einen Nachweis über den Antrag und das Verfahren aufbewahren (Datum, Identität des Antragstellers, betroffene Systeme, durchgeführte Maßnahmen) — ohne die gelöschten personenbezogenen Daten selbst zu konservieren. Dieser Verfahrensnachweis ist bei einer Prüfung durch den zuständigen Landesdatenschutzbeauftragten unerlässlich. Er enthält ausschließlich Verfahrensmetadaten, nicht die gelöschten Inhalte.
Welche Konsequenzen drohen bei Nichterfüllung?
Der BfDI und die Landesdatenschutzbehörden können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 DSGVO). In der Praxis beginnen Verfahren gegen Hochschulen häufig mit einer öffentlichen Beanstandung — was den Ruf der Einrichtung erheblich schädigen kann. Das EUR-Lex-Dokument zur DSGVO sowie der Kommentar auf eRecht24 bieten weiterführende rechtliche Einordnungen.
