Nur ist das genau der Trugschluss, der gefährlich wird. Denn erstens schützt die Bußgeldfreiheit nicht vor dem eigentlichen Schaden — dem Vertrauensverlust der Bürgerinnen und Bürger und der öffentlichen Aufmerksamkeit, die ein Datenschutzvorfall im kommunalen Umfeld zuverlässig erzeugt. Und zweitens gibt es eine Lücke in dieser scheinbaren Sicherheit, die viele übersehen: Der einzelne Beschäftigte ist sehr wohl persönlich angreifbar. Dazu gleich mehr — es ist der wichtigste Punkt dieses Beitrags.
Datenschutz in der Verwaltung folgt eigenen Regeln
Vorweg das Fundament, denn hier liegt der häufigste konzeptionelle Fehler. Kommunen dürfen ihre Verarbeitungen fast nie auf das „berechtigte Interesse" (Art. 6 Abs. 1 lit. f DSGVO) stützen — diese Rechtsgrundlage ist für die Erfüllung öffentlicher Aufgaben ausgeschlossen. Maßgeblich sind stattdessen lit. e (öffentliche Aufgabe) und lit. c (rechtliche Verpflichtung), jeweils in Verbindung mit dem konkreten Fachgesetz und dem Datenschutzgesetz Nordrhein-Westfalen (DSG NRW).
Das klingt nach Formalität, ist aber in der Praxis der Knackpunkt. Wer im Verzeichnis von Verarbeitungstätigkeiten bei einer hoheitlichen Aufgabe „berechtigtes Interesse" einträgt, hat die Verarbeitung auf eine Grundlage gestellt, die es hier nicht gibt. In Audits ist das eine der ersten Stellen, an denen ich genauer hinschaue — und an denen aus der Privatwirtschaft übernommene Vorlagen regelmäßig durchfallen.
Verantwortlich ist die Kommune als öffentliche Stelle nach § 5 DSG NRW, vertreten durch die Verwaltungsspitze. Die Aufsicht führt in Nordrhein-Westfalen die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW), die ihre Zuständigkeit über öffentliche Stellen aus Art. 51, 55, 57 DSGVO, § 40 BDSG und § 26 DSG NRW ableitet.
Der Punkt, den die Bußgeldfreiheit nicht abdeckt: der Beschäftigtenexzess
Jetzt zum entscheidenden Punkt. Die Behörde als Institution mag vor Bußgeldern weitgehend geschützt sein — der einzelne Beschäftigte ist es nicht. Die LDI NRW hat ausdrücklich klargestellt, dass sie Beschäftigte öffentlicher Stellen persönlich mit Geldbußen belegen kann, wenn sie dienstliche Daten zu privaten Zwecken verarbeiten.
Die Behörde nennt selbst zwei anschauliche Beispiele: Eine Polizeibeamtin schlägt in dienstlichen Datenbanken nach, ob ihr neuer Nachbar vorbestraft ist. Ein Kommunalbeschäftigter recherchiert aus Neugier die Adressen von Prominenten im Melderegister und schickt sie an Freunde. In beiden Fällen handelt es sich um Ordnungswidrigkeiten — sogenannte „Exzesse", bei denen der Beschäftigte eigenmächtig für eigene Zwecke handelt. Die Geldbuße kann je nach Einzelfall bis zu 50.000 Euro betragen, und sie trifft die Person, nicht die Behörde.
Das ist die Botschaft, die jede Verwaltung verinnerlichen sollte: Die scheinbare Bußgeldfreiheit der Institution ist kein Schutzschirm für unbedachtes Verhalten der Mitarbeitenden. Wer den Datenschutz in der Kommune ernst nimmt, schützt damit nicht nur die Bürger und die Reputation der Verwaltung — sondern auch die eigenen Beschäftigten vor persönlicher Haftung. Genau das ist ein Argument, das in Schulungen ankommt.
Die Datenschutzbeauftragte ist Pflicht — immer
Anders als in Unternehmen gibt es für Behörden keine Schwelle. Jede Kommune, jede öffentliche Stelle muss eine/n Datenschutzbeauftragte/n benennen (Art. 37 Abs. 1 lit. a DSGVO) — unabhängig von der Einwohner- oder Mitarbeiterzahl. Die 20-Personen-Schwelle des § 38 BDSG, über die in der Privatwirtschaft so viel diskutiert wird, spielt hier keine Rolle.
Die Frage ist also nicht ob, sondern wie: intern oder extern. Der externe DSB hat einen handfesten Vorteil — Unabhängigkeit. Ein interner Beschäftigter, der zugleich Verfahren kontrollieren soll, an denen er selbst beteiligt ist, gerät schnell in einen Interessenkonflikt, der seine Eignung in Frage stellt.
Die Themen, die nur die Kommune hat
Was die kommunale Datenschutzarbeit von der eines Unternehmens unterscheidet, ist die schiere Bandbreite an Spezialthemen, die jeweils ihr eigenes Fachrecht mitbringen:
- Meldewesen: Das Melderegister ist eine hoheitliche Pflichtaufgabe nach dem Bundesmeldegesetz (BMG). Melderegisterauskünfte an Private, Widerspruchsrechte der Einwohner, die korrekte Rechtsgrundlage — hier liegt klassisches kommunales Datenschutzterrain.
- Sozialdaten: In Sozial-, Jugend- und Ordnungsämtern gilt das Sozialgeheimnis (§ 35 SGB I) mit den strengen Übermittlungsregeln der §§ 67 ff. SGB X. Diese gehen der DSGVO als bereichsspezifisches Recht teils vor.
- Informationsfreiheit: Seit Jahren beaufsichtigt die LDI auch das Informationsfreiheitsgesetz NRW. Das schafft ein Spannungsverhältnis: Der Anspruch auf Akteneinsicht trifft auf den Schutz personenbezogener Daten Dritter — und muss im Einzelfall abgewogen werden.
- Ratsinformationssystem: Sitzungsunterlagen, Beschlussvorlagen und Niederschriften enthalten oft personenbezogene Daten. Bei der Veröffentlichung ist zwischen öffentlichem und nichtöffentlichem Teil sauber zu trennen.
- Archivrecht: Eine kommunale Besonderheit, die im Unternehmen so nicht existiert. Vor der Löschung ist zu prüfen, ob Unterlagen dem Archiv anzubieten sind — das Archivrecht geht der datenschutzrechtlichen Löschung vor.
Jedes dieser Themen verlangt, dass Rechtsgrundlage und Fachrecht korrekt zusammengeführt werden. Eine generische Vorlage leistet das nicht.
Die Meldepflicht gilt auch für Behörden
Ein verbreiteter Irrtum: Weil Behörden vor Bußgeldern weitgehend geschützt sind, glauben manche, die Meldepflicht bei Datenpannen gelte für sie nur eingeschränkt. Das Gegenteil ist der Fall. Die LDI NRW stellt klar: Verantwortliche — ausdrücklich auch Behörden — müssen Verletzungen des Schutzes personenbezogener Daten, von denen mehr als nur ein geringes Risiko ausgeht, unverzüglich, möglichst binnen 72 Stunden, an die Aufsicht melden (Art. 33 DSGVO). Bei hohem Risiko sind zusätzlich die Betroffenen zu informieren (Art. 34). Und jede Verletzung ist intern zu dokumentieren — unabhängig davon, ob gemeldet wird.
Für die Kommune heißt das: Sie braucht denselben vorbereiteten Notfallprozess wie jedes Unternehmen. Wer im Ernstfall erst überlegt, wer die Meldung schreibt, verliert wertvolle Stunden.
Ein aktueller Hinweis: Mitarbeitende in sozialen Medien
Ein Thema, das die LDI NRW zuletzt ausdrücklich beobachtet: Der Trend zur Selbstvermarktung in sozialen Medien hat auch Beschäftigte in Gesundheits- und Verwaltungskontexten erreicht — und führt zunehmend zu Datenschutzverstößen, etwa wenn Fotos oder Informationen aus dem dienstlichen Umfeld geteilt werden. Für Kommunen ein guter Anlass, klare Regeln und Schulungen zu etablieren, bevor aus einem gut gemeinten Post ein Datenschutzvorfall wird.
Was Sie konkret mitnehmen sollten
Drei Dinge: Erstens, prüfen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten auf die Rechtsgrundlagen — steht dort bei hoheitlichen Aufgaben tatsächlich lit. e/c mit Fachrecht, und nicht das ausgeschlossene berechtigte Interesse? Zweitens, schulen Sie Ihre Beschäftigten gezielt zum Thema Exzess — denn hier haften sie persönlich. Drittens, sorgen Sie für einen vorbereiteten Meldeprozess, der auch für die Behörde gilt.
Datenschutz in der Kommune ist anspruchsvoll, weil er Datenschutzrecht, Landesrecht und eine Vielzahl von Fachgesetzen zusammenführen muss.
Über den Autor
Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.
Stand: Mai 2026. Angaben zur Sanktionspraxis nach den veröffentlichten Hinweisen der LDI NRW.
