skolbot.KI-Chatbot für Schulen
ProduktPreise
Kostenlose Demo
Kostenlose Demo
DSGVO Verarbeitungsverzeichnis Vorlage für Privatschulen — Ordner, Bewerbungsformulare und KI-Chatbot in isometrischer Illustration
  1. Startseite
  2. /Blog
  3. /Compliance
  4. /Verarbeitungsverzeichnis für Privatschulen: Vorlage nach Art. 30 DSGVO
Zurück zum Blog
Compliance10 min read

Verarbeitungsverzeichnis für Privatschulen: Vorlage nach Art. 30 DSGVO

Ausfüllfertige Vorlage für das Verarbeitungsverzeichnis nach Art. 30 DSGVO für Privatschulen. Bewerbung, Marketing und KI-Chatbot DSGVO-konform dokumentieren.

S

Team Skolbot · 27. Juni 2026

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Inhaltsverzeichnis

  1. 01Was ist das Verarbeitungsverzeichnis und wer muss es führen?
  2. Die Ausnahme für kleine Organisationen greift bei Privatschulen kaum
  3. Was muss ein Eintrag enthalten?
  4. 02Die drei zentralen Verarbeitungskategorien für Privatschulen
  5. 1. Bewerbungsverfahren (inkl. Hochschulstart und NC-Verfahren)
  6. 2. Marketing und Interessentenkommunikation
  7. 3. KI-Chatbot
  8. 03Ausfüllfertige Vorlage: Verarbeitungsverzeichnis für Privatschulen
  9. 04Häufige Fehler im Verarbeitungsverzeichnis bei Privatschulen
  10. Fehlende Einträge für Drittanbieter-Tools
  11. Rechtsgrundlage "Einwilligung" ohne Nachweisbarkeit
  12. Keine Unterscheidung zwischen zugelassenen und abgelehnten Bewerbern
  13. KI-Chatbot komplett absent
  14. Drittlandtransfers ohne Transfer Impact Assessment (TIA)
  15. 05KI-Chatbot als eigenständige Verarbeitungstätigkeit dokumentieren

Was ist das Verarbeitungsverzeichnis und wer muss es führen?

Das Verarbeitungsverzeichnis (auch: Verzeichnis von Verarbeitungstätigkeiten, VVT) ist die interne Bestandsaufnahme aller Prozesse, in denen Ihre Schule oder Hochschule personenbezogene Daten verarbeitet. Artikel 30 der DSGVO (Verordnung EU 2016/679) verpflichtet jeden Verantwortlichen, dieses Verzeichnis schriftlich — auch in elektronischer Form — zu führen und der Aufsichtsbehörde auf Anfrage vorzulegen.

Die Ausnahme für kleine Organisationen greift bei Privatschulen kaum

Art. 30 Abs. 5 DSGVO enthält eine Ausnahme für Organisationen mit weniger als 250 Beschäftigten — aber nur dann, wenn die Verarbeitung kein Risiko für die Rechte der Betroffenen birgt, nicht gelegentlich erfolgt und keine besonderen Datenkategorien nach Art. 9 DSGVO umfasst. Alle drei Voraussetzungen müssen kumulativ erfüllt sein.

Für Privatschulen und private Hochschulen gilt diese Ausnahme in der Praxis nicht:

  • Sie verarbeiten Bewerbungsdaten dauerhaft und strukturiert — nicht gelegentlich.
  • Gesundheitsdaten (Behinderungsausweise, BAföG-Bescheinigungen, ärztliche Atteste) fallen unter Art. 9 DSGVO.
  • NC-Verfahren und Hochschulstart-Daten erzeugen ein Risiko für die Betroffenen, wenn Daten falsch verarbeitet werden.

Das Ergebnis: Nahezu jede Privatschule oder Fachhochschule — unabhängig von der Mitarbeiterzahl — ist zur Führung eines vollständigen Verarbeitungsverzeichnisses verpflichtet. Der BfDI und die Landesdatenschutzbehörden haben dies in Prüfverfahren wiederholt bestätigt.

Was muss ein Eintrag enthalten?

Jeder Eintrag im Verarbeitungsverzeichnis muss nach Art. 30 Abs. 1 DSGVO mindestens folgende Angaben enthalten:

  1. Name und Kontaktdaten des Verantwortlichen (und ggf. des DSB)
  2. Zweck der Verarbeitung
  3. Beschreibung der Kategorien betroffener Personen und der Datenkategorien
  4. Kategorien von Empfängern
  5. Übermittlungen in Drittländer und die Garantien dafür
  6. Geplante Speicherfristen
  7. Beschreibung der technischen und organisatorischen Maßnahmen (TOM) — soweit möglich

Die drei zentralen Verarbeitungskategorien für Privatschulen

Privatschulen und Hochschulen haben drei Datenfluss-Cluster, die im Verarbeitungsverzeichnis nahezu immer fehlen oder unvollständig sind: das Bewerbungsverfahren, die Interessentenkommunikation und der Einsatz von KI-Chatbots.

1. Bewerbungsverfahren (inkl. Hochschulstart und NC-Verfahren)

Das Bewerbungsverfahren erzeugt den größten Datenumfang. Über Bewerbungsportale, E-Mail-Eingänge oder Hochschulstart (früher: Stiftung für Hochschulzulassung) werden Name, Adresse, Abiturnote, NC-Rangplatz, Motivationsschreiben, Zeugnisse und bei internationalen Bewerbungen Sprachzertifikate und Reisepässe erhoben.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen) für den Zeitraum bis zur Entscheidung. Abgelehnte Bewerbungen unterliegen danach Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für die Aufbewahrung zur Nachweissicherung im Falle von Widersprüchen nach dem jeweiligen Hochschulgesetz des Landes.

2. Marketing und Interessentenkommunikation

Newsletter, Tag-der-offenen-Tür-Anmeldungen, Brochürenanfragen, Retargeting-Kampagnen und CRM-Einträge bilden die zweite Kategorie. Hier ist die Rechtsgrundlage in der Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO — mit allen Konsequenzen für das Widerrufsrecht und die Dokumentation der Einwilligungen. Lesen Sie dazu unseren Artikel zu Datenspeicherfristen für Studieninteressierte.

3. KI-Chatbot

Der KI-Chatbot ist die am häufigsten vergessene Verarbeitungstätigkeit. Jedes Gespräch, in dem ein Nutzer seinen Namen, seine E-Mail-Adresse oder spezifische persönliche Umstände nennt, erzeugt personenbezogene Daten. 72 % der Anfragen von Studieninteressierten sind einfache FAQs, die ein KI-Chatbot automatisch beantwortet; nur 7 % erfordern menschliche Intervention (Quelle: Skolbot-Analyse, 12.000 Gespräche 2025–2026). Bei 10.000 Jahresgesprächen bedeutet das über 9.000 automatisierte Datenverarbeitungsvorgänge — jeder davon ist im Verarbeitungsverzeichnis zu dokumentieren.

Ausfüllfertige Vorlage: Verarbeitungsverzeichnis für Privatschulen

Die folgende Tabelle enthält drei ausgefüllte Einträge, die Sie direkt als Ausgangspunkt für Ihr eigenes Verzeichnis verwenden können. Passen Sie die Angaben an Ihre konkrete technische und organisatorische Situation an.

VerarbeitungstätigkeitZweckRechtsgrundlageDatenkategorienEmpfängerSpeicherfristDrittlandtransfer
Bewerbungsverfahren (Online-Portal, E-Mail, Hochschulstart)Prüfung der Zulassungsvoraussetzungen, Erstellung des Ranglistenplatzes, Versand von Zulassungs- oder AblehnungsbescheidArt. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen); Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, Aufbewahrung)Name, Anschrift, Geburtsdatum, E-Mail, Telefon; Schulabschlüsse, Noten, NC-Rangplatz; Motivationsschreiben; Sprachzertifikate; Personalausweis/Pass (internationale Bewerber); ggf. Behinderungsausweis (Art. 9 DSGVO)Zulassungsausschuss (intern); Hochschulstart GmbH (Drittempfänger mit AVV); Landesprüfungsamt (gesetzliche Pflicht); Rechtsanwälte (im Streitfall)Laufendes Semester + 6 Jahre (handelsrechtliche Analogie); ärztliche Atteste: nach Verfahrensabschluss unverzüglich löschenNein (Hochschulstart: Sitz in DE); bei internationalen Bewerber-Portalen prüfen
Interessenten-Marketing (Newsletter, CRM, Tag der offenen Tür, Retargeting)Pflege des Kontakts mit Studieninteressierten, Übermittlung von Informationen zu Studiengängen und Veranstaltungen, Qualifizierung von LeadsArt. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse nur für postalischen Direktversand nach § 7 UWG)Name, E-Mail, Telefon, Studiengangsinteresse, Kontakthistorie im CRM, Newsletter-Öffnungsraten, Cookie-ID (Retargeting), IP-AdresseE-Mail-Dienstleister (AVV erforderlich); CRM-Anbieter (AVV); Meta/Google Ads (Auftragsverarbeiter, ggf. Drittlandtransfer)Bis Widerruf der Einwilligung; CRM-Daten: max. 24 Monate nach letztem Kontakt ohne AktivitätJa: Meta Platforms Ireland Ltd. → USA (Standardvertragsklauseln + TIA); Google Ireland Ltd. → USA (idem)
KI-Chatbot (automatisierte Interessentenanfragen auf der Website)Beantwortung von FAQ zu Studienangebot, Gebühren, Fristen und Bewerbungsverfahren; Qualifizierung und Weiterleitung an StudienfachberatungArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: effiziente Erstkommunikation) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, wenn Chatbot proaktiv personenbezogene Daten erhebt)Gesprächsinhalte, vom Nutzer eingegebene personenbezogene Daten (Name, E-Mail auf Anfrage), IP-Adresse (Verbindungslog), Browser-MetadatenKI-Chatbot-Anbieter (AVV, z. B. Skolbot); ggf. LLM-Anbieter als Sub-Auftragsverarbeiter; CRM bei Lead-ÜbergabeAnonymisierte Chatprotokolle: max. 12 Monate für Qualitätssicherung; personenbezogene Daten: nach Lead-Übergabe gemäß Marketing-SpeicherfristPrüfen: LLM-Modell lokal oder EU-gehostet? Wenn US-Anbieter: Standardvertragsklauseln + Transfer Impact Assessment

Hinweis: Diese Vorlage ersetzt keine Rechtsberatung. Passen Sie Rechtsgrundlagen und Speicherfristen an die Vorgaben Ihres zuständigen Landesdatenschutzbeauftragten und die einschlägigen Hochschulgesetze Ihres Bundeslandes an. Konsultieren Sie Ihren Datenschutzbeauftragten vor der Einführung.

Häufige Fehler im Verarbeitungsverzeichnis bei Privatschulen

Das Verarbeitungsverzeichnis ist kein einmaliges Dokument. Die Datenschutzkonferenz (DSK) empfiehlt eine jährliche Überprüfung sowie eine anlassbezogene Aktualisierung bei jedem neuen Tool oder Prozess. In der Praxis treten bei Privatschulen immer wieder dieselben Lücken auf.

Fehlende Einträge für Drittanbieter-Tools

CRM-Systeme, E-Mail-Marketing-Plattformen und Bewerbungsportale sind Auftragsverarbeiter nach Art. 28 DSGVO. Ohne Auftragsverarbeitungsvertrag (AVV) ist die Verarbeitung rechtswidrig — und ohne Eintrag im Verarbeitungsverzeichnis ist sie unsichtbar. Prüfen Sie für jeden Softwareanbieter: Gibt es einen abgeschlossenen AVV? Ist der Anbieter im Verarbeitungsverzeichnis als Empfänger eingetragen?

Rechtsgrundlage "Einwilligung" ohne Nachweisbarkeit

Eine Einwilligung nach Art. 7 DSGVO ist nur wirksam, wenn Sie deren Erteilung nachweisen können. Das bedeutet: Zeitstempel, Version des Einwilligungstexts und das konkrete Einwilligungsobjekt müssen gespeichert sein. Viele Privatschulen dokumentieren die Einwilligung im Formular, speichern aber nicht, wer wann welche Version des Texts akzeptiert hat.

Keine Unterscheidung zwischen zugelassenen und abgelehnten Bewerbern

Zugelassene Bewerber werden zu Studierenden — ihre Daten wandern in ein anderes Verarbeitungsregime mit anderen Fristen. Abgelehnte Bewerber haben nach Abschluss des Verfahrens nur noch einen eng begrenzten Aufbewahrungsgrund (Nachweissicherung für Widerspruchsfristen, typischerweise 1–3 Monate nach Bestandskraft des Bescheids). Das Verarbeitungsverzeichnis muss beide Pfade abbilden.

KI-Chatbot komplett absent

Der häufigste Fehler überhaupt: Der KI-Chatbot fehlt vollständig im Verarbeitungsverzeichnis. Das ist kein Kavaliersdelikt — ein Chatbot, der personenbezogene Daten an einen US-Anbieter überträgt, ohne im Verzeichnis erfasst zu sein, ist eine dokumentierbare DSGVO-Verletzung. Mehr dazu, wie ein DSGVO-konformer Chatbot für Hochschulen konfiguriert werden sollte.

Drittlandtransfers ohne Transfer Impact Assessment (TIA)

Meta Custom Audiences, Google Analytics und OpenAI-Schnittstellen übertragen Daten in die USA. Seit dem Schrems-II-Urteil des EuGH genügen Standardvertragsklauseln allein nicht — es ist zusätzlich ein Transfer Impact Assessment erforderlich, das die rechtliche Situation im Empfängerland bewertet. Dieses TIA muss im Verarbeitungsverzeichnis referenziert werden. Lesen Sie dazu auch unsere Analyse zu Prospektdaten außerhalb der EU.

KI-Chatbot als eigenständige Verarbeitungstätigkeit dokumentieren

Ein KI-Chatbot ist keine passive Informationsseite — er ist ein aktives Datenerhebungssystem. Jedes Gespräch erzeugt mindestens eine IP-Adresse, einen Zeitstempel und Gesprächsinhalte. Sobald ein Nutzer seinen Namen oder seine E-Mail nennt, liegen eindeutig personenbezogene Daten vor.

72 % der Anfragen von Studieninteressierten sind einfache FAQs, die ein KI-Chatbot automatisch beantwortet werden können — lediglich 7 % erfordern menschliche Intervention (Quelle: Skolbot-Analyse, 12.000 Gespräche 2025–2026). Das bedeutet: Der Chatbot verarbeitet das überwiegende Volumen der Erstkommunikation Ihrer Hochschule. Dieser Datenumfang muss vollständig im Verarbeitungsverzeichnis erfasst sein.

Für den Chatbot-Eintrag brauchen Sie Antworten auf vier Fragen:

  1. Welche Daten werden erhoben? Nur Gesprächsinhalte und technische Logs, oder auch explizit abgefragte Daten wie E-Mail und Name?
  2. Wer ist Auftragsverarbeiter? Der Chatbot-Anbieter, ggf. auch der LLM-Anbieter als Sub-Verarbeiter — beide müssen mit AVV eingebunden sein.
  3. Wo werden Daten gespeichert? EU-Rechenzentrum, US-Server oder hybrides Modell?
  4. Wie lange werden Gesprächsdaten aufbewahrt? Für Qualitätssicherung üblich sind 90–365 Tage für anonymisierte Logs; personenbezogene Daten sollten nach Lead-Übergabe ins CRM auf dem Chatbot-System gelöscht oder anonymisiert werden.

Einen vollständigen Überblick zu Anbieterauswahl und DSGVO-Konformität bietet unser Vergleich DSGVO-konformer Chatbot-Anbieter für Hochschulen.

Zur vollständigen DSGVO-Compliance für Ihre Hochschule empfehlen wir unseren DSGVO-Leitfaden für Studierendendaten als übergreifenden Rahmen.

Häufig gestellte Fragen

Gilt Art. 30 DSGVO für kleine Privatschulen mit weniger als 250 Mitarbeitenden?

Grundsätzlich enthält Art. 30 Abs. 5 DSGVO eine Ausnahme für Organisationen unter 250 Beschäftigte — aber nur bei nicht regelmäßiger, risikoarmer Verarbeitung ohne besondere Datenkategorien. Privatschulen verarbeiten regelmäßig, strukturiert und oft auch Gesundheitsdaten (Atteste, BAföG-Unterlagen, Behinderungsausweise). Die Ausnahme greift daher in der Praxis nicht. Der BfDI und die Datenschutzkonferenz empfehlen, das Verarbeitungsverzeichnis unabhängig von der Mitarbeiterzahl zu führen.

Was ist der Unterschied zwischen dem Verarbeitungsverzeichnis und der Datenschutzerklärung?

Das Verarbeitungsverzeichnis ist ein internes Dokument für die Aufsichtsbehörde — es ist nicht öffentlich zugänglich und wird nicht auf der Website veröffentlicht. Die Datenschutzerklärung nach Art. 13 und 14 DSGVO ist das Gegenstück für die Betroffenen: Sie informiert Bewerber, Studierende und Website-Besucher über ihre Rechte und die Verarbeitungszwecke. Beide Dokumente müssen inhaltlich konsistent sein; das Verarbeitungsverzeichnis ist die detailliertere Grundlage.

Brauchen wir einen Datenschutzbeauftragten?

Für die überwiegende Mehrheit der Privatschulen und privaten Hochschulen in Deutschland: ja. § 38 BDSG verpflichtet zur Bestellung eines DSB, sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind — ein Schwellenwert, den selbst mittelgroße Schulen mit Sekretariat, IT und Marketingabteilung regelmäßig überschreiten. Eine detaillierte Analyse der Pflicht und der Optionen (intern vs. extern) finden Sie in unserem Artikel zum externen Datenschutzbeauftragten für Privatschulen.

Wie lange müssen Bewerberdaten gespeichert werden?

Abgelehnte Bewerber: Die Daten dürfen nur so lange gespeichert werden, wie es für die Abwehr möglicher Rechtsansprüche erforderlich ist — in der Regel bis zum Ablauf der Widerspruchsfrist gegen den Ablehnungsbescheid (typischerweise 1 Monat nach Bestandskraft). Danach sind die Daten zu löschen, soweit keine gesetzliche Aufbewahrungspflicht besteht. Für die steuerrechtlich relevanten Bestandteile (Zahlungsbelege aus dem Bewerbungsprozess) gilt die handelsrechtliche Aufbewahrungsfrist von 10 Jahren (§ 257 HGB). Mehr dazu in unserem Artikel zu Datenspeicherfristen für Studieninteressierte.

Muss ein KI-Chatbot im Verarbeitungsverzeichnis eingetragen sein?

Ja, unbedingt. Ein KI-Chatbot ist eine automatisierte Verarbeitung personenbezogener Daten im Sinne der DSGVO, sobald er Eingaben von Nutzern entgegennimmt und speichert — selbst wenn nur IP-Adressen und technische Logs anfallen. Wenn der Chatbot Daten an einen Anbieter außerhalb der EU überträgt, ist zusätzlich ein Transfer Impact Assessment erforderlich und im Verarbeitungsverzeichnis zu referenzieren. Das Fehlen dieses Eintrags ist eine konkrete DSGVO-Verletzung, die bei einer Prüfung durch die Aufsichtsbehörde beanstandet wird.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine auf Ihre Einrichtung zugeschnittene Prüfung wenden Sie sich an Ihren Datenschutzbeauftragten oder einen auf Bildungsrecht und DSGVO spezialisierten Rechtsanwalt.

Demo anfordern

Ähnliche Artikel

Externer Datenschutzbeauftragter für Privatschule und Hochschule: DSGVO-Schild, Beauftragungsvertrag und Studierendendaten als isometrische Illustration
Compliance

Externer Datenschutzbeauftragter für Privatschulen: Kosten, Aufgaben, Alternativen

Bewerbungsformular mit DSGVO-Schild und Einwilligungs-Checkboxen — isometrische Illustration in Terrakotta
Compliance

DSGVO-Einwilligung im Bewerbungsformular: Was Hochschulen wirklich brauchen

Isometrische Illustration von Datenservern mit DSGVO-Schild und Cloud-Datenflüssen außerhalb der EU
Compliance

Studierenden-Daten außerhalb der EU: Wer ist 2026 konform?

Zurück zum Blog

DSGVO · EU AI Act · EU-Hosting

skolbot.

LösungPreiseBlogFallstudienVergleichAI CheckFAQTeamImpressumDatenschutzerklärung

© 2026 Skolbot