Datenschutz im Career Center

 Hier entscheidet der Zugangsweg über die Haftung. Nutzen Studierende externe Plattformen eigenständig, schließen sie einen direkten Vertrag mit dem Anbieter ab – die Hochschule ist in diesem Fall meist aus der Verantwortung. Erfolgt die Registrierung jedoch zwingend über das Hochschulportal oder das Career Center, trägt die Hochschule die Verantwortung für die Datensicherheit und muss die rechtlichen Rahmenbedingungen prüfen.

Unternehmen benötigen aus Versicherungs- und Sicherheitsgründen vorab häufig Namenslisten. Um den administrativen Aufwand und das Haftungsrisiko zu minimieren, sollten Hochschulen darauf verzichten, diese Listen selbst zu verwalten und zu übermitteln. Die sicherste Lösung für die Praxis: Die Studierenden melden sich über ein Tool des Unternehmens direkt an. So bleibt die Datenhoheit beim Empfänger und die Hochschule wird entlastet.

Workshops sind datenschutzrechtlich in der Regel unbedenklich. Relevanz erhält der Datenschutz jedoch, sobald Teilnehmende sich unter Angabe von Namen und E-Mail-Adressen anmelden, Teilnehmendenlisten offen ausgelegt werden oder offizielle Teilnahmebescheinigungen ausgestellt werden. Ebenso greifen datenschutzrechtliche Vorgaben, wenn im Rahmen eines Kurses spezifische, personenbezogene Sachverhalte von Teilnehmenden thematisiert werden.

Vor diesem Hintergrund empfiehlt sich ein zurückhaltender Umgang mit Teilnehmerlisten sowie eine transparente Information über die Verarbeitung personenbezogener Daten. Ein klar platzierter Datenschutzhinweis – etwa auf dem Anmeldeformular oder als Aushang – trägt dazu bei, frühzeitig Transparenz zu schaffen und datenschutzrechtliche Anforderungen umzusetzen.

In der individuellen Beratung werden hochsensible Informationen verarbeitet: Ob Lebensläufe, Notenspiegel oder persönliche Karrierewege – diese Daten geben tiefe Einblicke in die Biografie der Studierenden. Da dieses Vertrauensverhältnis das Fundament der Beratung bildet, hat die Datensicherheit hier oberste Priorität. Dies reicht von der geschützten Aufbewahrung der Beratungsnotizen bis hin zur klaren Information über die Speicherdauer.

Die Aufgaben eines Career Centers – insbesondere die individuelle Karriereberatung, die Vermittlung an externe Partner oder das Alumni-Management – gehen oft über diesen im HmbHG definierten Kernauftrag hinaus.

• Bei Studierenden: Während die Verwaltung von Prüfungsdaten beispielsweise gesetzlich klar geregelt ist, lässt sich die Weitergabe eines Lebenslaufs an ein Partnerunternehmen kaum noch unter die „Erfüllung der Hochschulaufgaben“ im engen Sinne fassen.
• Bei Absolvent*innen: Sobald Studierende die Hochschule verlassen, endet in der Regel die gesetzliche Verpflichtung zur Datenverarbeitung nach dem Hochschulgesetz. Für die Betreuung von Alumni fehlt es oft an einer spezifischen gesetzlichen Ermächtigungsgrundlage.

Daher ist eine bloße Berufung auf das HmbHG riskant und kann bei Prüfungen durch die Aufsichtsbehörden zu Problemen führen.

Um sowohl Studierende als auch Absolvent*innen rechtssicher zu begleiten, sollten Hochschulen auf die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) setzen. Das bedeutet: Die betroffene Person entscheidet selbst und aktiv, dass ihre Daten für die Angebote des Career Centers genutzt werden dürfen.

Für die Hochschule bedeutet dies zunächst einen höheren administrativen Aufwand, da Einwilligungen eingeholt, dokumentiert und jederzeit widerrufbar sein müssen. Damit dies nicht zum „Bürokratiemonster“ wird, gibt es durchaus eine praktikable Umsetzung:

1. Digitale Integration: Nutzen Sie die Anmeldung zu Workshops oder Job-Portalen direkt für das Einholen der Einwilligung per Checkbox (Opt-in).
2. Koppelungsverbot beachten: Die Teilnahme an der Lehre darf nicht von der Einwilligung in Career-Center-Angebote abhängen. Die Freiwilligkeit muss gewahrt bleiben.
3. Transparente Information: Kombinieren Sie die Einwilligung mit einem klaren Informationsblatt, das erklärt, welche Daten zu welchem Zweck (z. B. Mentoring-Programm) verarbeitet werden.

Fazit: Werden Einwilligungen konsequent und rechtzeitig eingeholt, wandelt sich die rechtliche Unsicherheit in ein stabiles Fundament für die gesamte Career-Center-Arbeit.

Die Informationspflicht nach Art. 13 DSGVO dient dazu, den „gläsernen Nutzenden“ zu verhindern. Im Alltag von Career Centern bedeutet dies, dass nachvollziehbar sein muss, wer Zugriff auf eingereichte Unterlagen hat, wie lange diese gespeichert werden und ob eine Weitergabe an Kooperationspartner erfolgt.

Niemand liest gerne seitenlange Rechtstexte. Für Hochschulen besteht die Schwierigkeit darin, alle gesetzlich geforderten Inhalte (wie Kontaktdaten des Datenschutzbeauftragten, Speicherdauer, Betroffenenrechte) bereitzustellen, ohne die Nutzer durch „Juristendeutsch“ abzuschrecken.

Um die Informationspflichten nutzerfreundlich und effizient umzusetzen, hat sich in der Praxis das Ebenen-Modell (Layered Privacy Notice) bewährt:

Ebene 1 (Die Kurzinformation): Direkt beim Anmeldeformular oder im Beratungsgespräch geben Sie die wichtigsten Eckpunkte an: Wer verarbeitet die Daten, zu welchem Zweck und wie lange? Das kann in drei bis vier prägnanten Sätzen oder Stichpunkten geschehen.

Ebene 2 (Das ausführliche Dokument): Über einen Link oder einen QR-Code verweisen Sie auf das vollständige Dokument, das alle rechtlichen Details gemäß DSGVO enthält. So bleiben die Anmeldung oder der Handzettel übersichtlich, während die rechtliche Absicherung gewahrt bleibt.

Datenschutzinformationen sollten möglichst dort integriert werden, wo die jeweilige Interaktion stattfindet.

• Bei Workshops: ein kurzer Hinweis auf dem Anmeldeformular oder ein gut sichtbarer Aufsteller im Seminarraum.
• In der Beratung: ein Informationsblatt, das beim ersten Termin ausgehändigt oder vorab mit der Terminbestätigung per E-Mail versendet wird.
• Bei Online-Tools: eine Checkbox zur Bestätigung der Kenntnisnahme der Datenschutzhinweise vor dem Absenden von Formularen.

Eine transparente und nachvollziehbare Kommunikation trägt zur professionellen Ausgestaltung der Angebote bei und signalisiert, dass sensible Karriereschritte verantwortungsvoll und sicher begleitet werden.

Häufig unterstützen externe Honorarkräfte oder Coaches die Career Center bei Workshops und Beratungen. Die Weitergabe von Teilnehmendenlisten oder Lebensläufen stellt eine Datenübermittlung an Dritte dar. Diese muss entweder durch eine explizite Einwilligung der Studierenden gedeckt oder über einen Vertrag zur Auftragsverarbeitung (AVV) abgesichert sein.

Im Sinne der Datensparsamkeit ist jedoch vorab stets zu prüfen, ob die Dozierenden Namen oder Mailadressen für die inhaltliche Vorbereitung tatsächlich benötigen. Oftmals reichen anonymisierte Angaben aus, um das Schutzniveau für die Studierenden hochzuhalten und die Datenweitergabe auf das absolut notwendige Minimum zu begrenzen.

Häufig nutzen Career Center eine Vielzahl digitaler Tools, von Buchungssystemen für Termine bis hin zu spezialisierten Recruiting-Plattformen. Da die Daten der Studierenden dabei oft nicht auf den hochschuleigenen Servern, sondern beim jeweiligen Software-Anbieter liegen (SaaS/Cloud), handelt es sich klassischerweise um eine Auftragsverarbeitung (AVV). In diesem Fall bleibt die Hochschule rechtlich für die Daten verantwortlich, lässt diese aber durch den Dienstleister verarbeiten. Hierbei ist besonders darauf zu achten, wo der Anbieter seine Server betreibt: Bei Dienstleistern aus Drittstaaten (z. B. den USA) gelten zusätzliche, verschärfte Anforderungen an das Datenschutzniveau, die im Vorfeld geprüft und vertraglich abgesichert werden müssen.

Die Vernetzung mit potenziellen Arbeitgebern bildet das Herzstück der Career-Center-Arbeit, stellt jedoch gleichzeitig den sensibelsten Bereich der Datenverarbeitung dar. Fragt ein Unternehmen beispielsweise nach passenden Profilen für eine vakante Stelle an, darf die Weiterleitung von Lebensläufen niemals pauschal erfolgen. Rechtlich ist für jede einzelne Übermittlung eines Profils eine spezifische Einwilligung der Studierenden erforderlich. Ein „Vorratsspeicher“ an Daten, auf den Unternehmen ungefiltert zugreifen können, ist ohne eine sehr detaillierte und freiwillige Zustimmung der Betroffenen kaum rechtssicher haltbar.

Um diesen Prozess praktikabel zu gestalten, empfiehlt sich ein Rollenwechsel: Anstatt Daten ungefragt weiterzugeben, spricht das Career Center die entsprechenden Studierenden direkt an und informiert sie über die Vakanz. Bei Interesse setzen sich die Studierenden selbstständig mit dem Unternehmen in Verbindung. Dieser Weg wahrt die Datenhoheit, vermeidet Haftungsrisiken für die Hochschule und fördert die Eigenverantwortung im Bewerbungsprozess.

Erfolgt diese Vernetzung stattdessen über eine spezialisierte Recruiting-Plattform, verschiebt sich der Fokus auf die vertragliche Gestaltung des Portals. Nutzen Studierende eine lediglich empfohlene, extern betriebene Plattform, schließen sie eigenständige Verträge mit dem Anbieter ab – die Hochschule fungiert hier nur als Wegweiser. Bietet die Hochschule hingegen ein eigenes oder exklusiv lizenziertes Portal an, liegt oft eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) vor.

Ein rechtssicheres Portal zeichnet sich dadurch aus, dass Unternehmen keinen automatischen Zugriff auf alle Datensätze erhalten. Stattdessen entscheiden die Studierenden proaktiv, welche Profilteile sichtbar sind oder ob sie sich für Anfragen manuell freischalten lassen. Achten Sie bei der Auswahl solcher Systeme darauf, dass „Privacy by Design“ gewahrt bleibt: Die Standardeinstellungen sollten Profile zunächst anonymisiert oder verborgen halten, bis eine aktive Freigabe durch die Studierenden erfolgt.

• Verschlüsselung nutzen: Versenden Sie Teilnehmerlisten oder Bewerbungsunterlagen an externe Dozierende niemals unverschlüsselt per E-Mail. Nutzen Sie passwortgeschützte Archive oder sichere Datenaustausch-Plattformen der Hochschule.
• Verträge prüfen: Stellen Sie sicher, dass mit jedem externen Software-Anbieter ein AV-Vertrag nach Art. 28 DSGVO abgeschlossen wurde.
• Transparenz: Informieren Sie die Studierenden bereits bei der Anmeldung zum Service darüber, welche externen Partner (z. B. Coaching-Agenturen oder Plattform-Betreiber) ihre Daten erhalten.

In der individuellen Karriereberatung oder bei der Teilnahme an kostenfreien Workshops endet der Zweck der Datenverarbeitung meist mit dem Abschluss des Angebots. Eine Löschung der Beratungsnotizen oder Teilnehmerlisten sollte daher im Idealfall zeitnah erfolgen.

Praxistipp: Da eine sofortige Löschung im Tagesgeschäft oft schwer umsetzbar ist, empfiehlt es sich, eine semesterweise Löschroutine einzurichten. Jeweils zum Ende oder Beginn eines neuen Semesters werden die Unterlagen des vorangegangenen Zeitraums gesichtet und bereinigt. So behalten Sie den Überblick und erfüllen die Anforderungen der DSGVO ohne täglichen Verwaltungsaufwand.

Sobald für Angebote des Career Centers Gebühren erhoben werden, treten neben den Datenschutz auch gesetzliche Aufbewahrungspflichten aus dem Handels- und Steuerrecht.

• Buchhalterische Belege: Zahlungsbelege und Rechnungen müssen gemäß § 257 HGB (Handelsgesetzbuch) und § 147 AO (Abgabenordnung) für zehn Jahre aufbewahrt werden. Diese Frist dient der Nachprüfbarkeit gegenüber dem Finanzamt oder internen Revisionsabteilungen.
• Wichtig: Diese langen Fristen gelten ausschließlich für die finanzrelevanten Belege (z. B. Buchungsbelege). Die darüber hinausgehenden inhaltlichen Daten (wie z. B. der im Workshop korrigierte Lebenslauf) unterliegen weiterhin der Pflicht zur frühzeitigen Löschung.

1. Trennung der Unterlagen: Inhaltliche Beratungsunterlagen sollten getrennt von buchhalterischen Belegen aufbewahrt werden, um unterschiedliche Aufbewahrungs- und Löschfristen zuverlässig einhalten zu können.
2. Digitale Bereinigung: Im Rahmen von Löschroutinen sind auch E-Mail-Postfächer, Cloud-Speicher und lokale Ordner zu berücksichtigen, in denen sich Kopien von Teilnehmerlisten oder Lebensläufen befinden können.
3. Dokumentation: In einem kurzen Löschkonzept sollte festgehalten werden, zu welchen Zeitpunkten und durch wen eine semesterweise Bereinigung erfolgt. Dies unterstützt die Nachvollziehbarkeit und schafft Sicherheit bei datenschutzrechtlichen Prüfungen.