Datenschutz

DSGVO in Kommunen und öffentlicher Verwaltung

DSGVO in Kommunen und öffentlicher Verwaltung 2026: behördlicher DSB, Landesdatenschutzgesetze, OZG-Digitalisierung und Aufsicht durch die Landesbeauftragten.

Welche DSGVO-Pflichten treffen Kommunen und öffentliche Verwaltungen? Kurzantwort: Behörden müssen nach Art. 37 Abs. 1 lit. a DSGVO zwingend einen Datenschutzbeauftragten bestellen, sie unterliegen neben der DSGVO den jeweiligen Landesdatenschutzgesetzen statt dem BDSG, und sie werden von den Landesbeauftragten für den Datenschutz beaufsichtigt — nicht von der Behörde für die Privatwirtschaft. Bußgelder gegen Behörden sind in den meisten Ländern ausgeschlossen oder eingeschränkt; an ihre Stelle treten aufsichtliche Anordnungen und die persönliche Verantwortung der Amtsträger. Dieser Beitrag ordnet die Besonderheiten des öffentlichen Sektors und zeigt, was Verzeichnis, Löschkonzept und OZG-Digitalisierung praktisch bedeuten.

Die operative Basis ist bei Kommunen dieselbe wie in der Wirtschaft — nur der Rechtsrahmen und die Aufsicht unterscheiden sich.

Wichtige Punkte

  • Behördlicher DSB ist Pflicht — unabhängig von Größe (Art. 37 Abs. 1 lit. a DSGVO).
  • Statt BDSG gelten die Landesdatenschutzgesetze (LDSG) des jeweiligen Bundeslandes.
  • Aufsicht führen die Landesbeauftragten, nicht die Behörde für die Privatwirtschaft.
  • Bußgelder gegen Behörden sind in den meisten Ländern ausgeschlossen; stattdessen Anordnungen und Beanstandungen.
  • OZG-Digitalisierung erfordert Datenschutz durch Technikgestaltung von Anfang an (Art. 25 DSGVO).

Behördlicher Datenschutzbeauftragter: immer Pflicht

Anders als in der Privatwirtschaft, wo die DSB-Pflicht an Kriterien oder — in Deutschland — an den 20-Personen-Schwellenwert des § 38 BDSG anknüpft, ist für Behörden und öffentliche Stellen jeder ein Datenschutzbeauftragter zu bestellen: Art. 37 Abs. 1 lit. a DSGVO verpflichtet dazu ausnahmslos. Die kleinste Gemeinde braucht damit ebenso einen Datenschutzbeauftragten wie eine Landesbehörde.

Der behördliche DSB kann intern bestellt oder — bei kleineren Kommunen üblich — als gemeinsamer DSB mehrerer Kommunen oder extern beauftragt werden. Er muss die Fachkunde für den öffentlichen Bereich mitbringen, insbesondere die Kenntnis des einschlägigen Landesdatenschutzgesetzes und der Fachverfahren (Melde-, Sozial-, Ordnungswesen).

Landesdatenschutzgesetze statt BDSG

Für öffentliche Stellen der Länder und Kommunen gilt nicht das Bundesdatenschutzgesetz, sondern das jeweilige Landesdatenschutzgesetz (LDSG). Jedes Bundesland hat ein eigenes — mit teils erheblichen Unterschieden bei Videoüberwachung, Datenübermittlung zwischen Behörden und Beschäftigtendatenschutz. Nur öffentliche Stellen des Bundes unterliegen dem BDSG und der Aufsicht des BfDI.

Die Aufsicht über Landes- und Kommunalbehörden führen die Landesbeauftragten für den Datenschutz — etwa der LfDI Baden-Württemberg. In einigen Ländern ist dieselbe Behörde für öffentlichen und privaten Bereich zuständig, in anderen — wie Bayern — gibt es getrennte Behörden (BayLfD für den öffentlichen Bereich). Für die Praxis heißt das: Die zuständige Aufsicht und das anwendbare Recht bestimmen sich nach dem Bundesland der Behörde.

Merkmal Kommune/Landesbehörde Privatwirtschaft
Anwendbares nationales Recht Landesdatenschutzgesetz BDSG
DSB-Pflicht immer (Art. 37 Abs. 1 lit. a) nach Kriterien / § 38 BDSG
Aufsicht Landesbeauftragter (öff. Bereich) Behörde für Privatwirtschaft
Bußgelder meist ausgeschlossen/begrenzt bis 20 Mio. € / 4 %
Durchsetzung Anordnung, Beanstandung Bußgeld, Anordnung

Bußgelder gegen Behörden: begrenzt, aber nicht folgenlos

Art. 83 Abs. 7 DSGVO überlässt es den Mitgliedstaaten, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Bußgelder verhängt werden können. Deutschland hat davon Gebrauch gemacht: Nach § 43 Abs. 3 BDSG und den entsprechenden Landesregelungen sind Bußgelder gegen Behörden in den meisten Fällen ausgeschlossen.

Das bedeutet aber keine Sanktionsfreiheit. An die Stelle des Bußgelds treten:

  • Anordnungen der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO — bis hin zur Anweisung, eine bestimmte Verarbeitung einzustellen.
  • Beanstandungen durch den Landesbeauftragten, die öffentlich in dessen Tätigkeitsbericht erscheinen — mit erheblicher politischer Wirkung.
  • Persönliche Verantwortung der Amtsträger und, bei vorsätzlichen Verstößen einzelner, disziplinar- und ggf. strafrechtliche Folgen.
  • Zivilrechtlicher Schadenersatz nach Art. 82 DSGVO — der auch gegen Behörden geltend gemacht werden kann.

Für die Praxis ist die Anordnung oft einschneidender als ein Bußgeld: Wird einer Kommune die Einstellung eines Fachverfahrens angeordnet, ist die Verwaltungsarbeit unmittelbar betroffen.

Verzeichnis, Löschkonzept und OZG

Operativ steht die Kommune vor denselben Kernaufgaben wie ein Unternehmen — mit einigen Verschärfungen:

  • Verzeichnis von Verarbeitungstätigkeiten: Behörden verarbeiten eine große Zahl gesetzlich vorgegebener Verfahren (Melderegister, Sozialleistungen, Gewerbeamt). Jedes gehört ins Verzeichnis nach Art. 30, mit der jeweiligen fachgesetzlichen Rechtsgrundlage.
  • Löschkonzept: Fachgesetzliche Aufbewahrungs- und Löschfristen sind vielfältig und teils lang. Ein strukturiertes Löschkonzept, das die landes- und fachrechtlichen Fristen abbildet, ist Pflicht.
  • OZG-Digitalisierung: Die Digitalisierung von Verwaltungsleistungen bringt neue Online-Verfahren mit sich, die von Anfang an Datenschutz durch Technikgestaltung nach Art. 25 DSGVO umsetzen müssen — Datensparsamkeit, sichere Authentifizierung, klare Löschregeln. Datenschutz nachträglich in ein Online-Portal einzubauen ist teurer und fehleranfälliger als die richtige Gestaltung zu Beginn.

Für den Bildungsbereich, der eng mit Kommunen verzahnt ist, gelten zusätzliche Besonderheiten — siehe unseren Beitrag zum Datenschutz in Schulen und Bildungseinrichtungen.

Datenübermittlung zwischen Behörden

Ein Alltagsthema mit hohem Fehlerpotenzial ist die Weitergabe von Daten zwischen Behörden. Anders als im Konzern gibt es kein „Behördenprivileg", das den Austausch pauschal erlaubt. Jede Übermittlung — vom Einwohnermeldeamt an die Ausländerbehörde, vom Jugendamt an das Gericht — braucht eine eigene Rechtsgrundlage, in der Regel aus dem jeweiligen Fachgesetz. Die Landesdatenschutzgesetze regeln die Voraussetzungen im Detail, und sie unterscheiden sich zwischen den Ländern. Für die Praxis bedeutet das: Der Sachbearbeiter muss für jede Übermittlung die konkrete Befugnisnorm kennen, und die Verarbeitung gehört mit dieser Norm ins Verzeichnis. Ein pauschales „wir sind alle Behörden" trägt nicht.

Auftragsverarbeitung und kommunale IT-Dienstleister

Kommunen betreiben ihre Fachverfahren fast nie allein — kommunale Rechenzentren, Software-Anbieter und Cloud-Dienstleister sind eingebunden. Sobald ein externer Dienstleister personenbezogene Daten weisungsgebunden verarbeitet, liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor, und es braucht einen Auftragsverarbeitungsvertrag. Bei kommunalen Rechenzentren, die im gemeinsamen Auftrag mehrerer Kommunen arbeiten, ist zusätzlich zu prüfen, ob eine gemeinsame Verantwortlichkeit nach Art. 26 vorliegt. Besondere Vorsicht gilt bei Cloud-Diensten mit Drittlandbezug: Der Einsatz US-basierter Software in der Verwaltung erfordert eine Prüfung geeigneter Garantien und ist bei besonders sensiblen Verfahren — Sozial-, Gesundheits-, Sicherheitsdaten — kritisch zu bewerten. Die Landesbeauftragten prüfen diesen Punkt in Kommunen zunehmend systematisch. Wer die AV-Verträge, die fachgesetzlichen Rechtsgrundlagen und die Löschfristen zentral im Verzeichnis führt, hält die kommunale Verwaltung auch bei knappen Personalressourcen prüfungsfähig — und verlagert den Aufwand vom rückwirkenden Rekonstruieren zur laufenden Pflege.

FAQ

Braucht jede Kommune einen Datenschutzbeauftragten?

Ja, ausnahmslos. Art. 37 Abs. 1 lit. a DSGVO verpflichtet alle Behörden und öffentlichen Stellen zur Bestellung eines Datenschutzbeauftragten — unabhängig von Größe oder Mitarbeiterzahl. Kleinere Kommunen bestellen häufig einen gemeinsamen oder externen DSB, um die erforderliche Fachkunde für den öffentlichen Bereich sicherzustellen.

Gilt für Kommunen das BDSG?

Nein. Für Kommunen und Landesbehörden gilt das jeweilige Landesdatenschutzgesetz, nicht das BDSG. Nur öffentliche Stellen des Bundes unterliegen dem BDSG. Die Aufsicht führen die Landesbeauftragten für den Datenschutz, in einigen Ländern getrennt nach öffentlichem und privatem Bereich.

Können gegen Behörden DSGVO-Bußgelder verhängt werden?

In Deutschland in den meisten Fällen nicht — § 43 Abs. 3 BDSG und die Landesregelungen schließen Bußgelder gegen Behörden weitgehend aus. An ihre Stelle treten aufsichtliche Anordnungen, öffentliche Beanstandungen im Tätigkeitsbericht des Landesbeauftragten und die persönliche Verantwortung der Amtsträger. Zivilrechtlicher Schadenersatz nach Art. 82 bleibt möglich.

Was bedeutet die OZG-Digitalisierung für den Datenschutz?

Neue Online-Verwaltungsleistungen müssen Datenschutz durch Technikgestaltung nach Art. 25 DSGVO von Beginn an umsetzen — Datensparsamkeit, sichere Authentifizierung, klare Löschregeln und dokumentierte Rechtsgrundlagen. Datenschutz nachträglich in ein bestehendes Portal einzubauen ist aufwendiger und riskanter als die datenschutzgerechte Gestaltung im Entwurf.

Fazit

Kommunen und Behörden erfüllen dieselben operativen Kernaufgaben wie Unternehmen — Verzeichnis, Löschkonzept, Betroffenenrechte —, unterliegen aber einem eigenen Rechtsrahmen: Landesdatenschutzgesetze, zwingende DSB-Pflicht und Aufsicht durch die Landesbeauftragten. Bußgelder sind meist ausgeschlossen, doch Anordnungen, öffentliche Beanstandungen und die persönliche Verantwortung der Amtsträger wirken oft einschneidender. Den DSGVO-Volltext finden Sie bei EUR-Lex, Orientierungshilfen für den öffentlichen Bereich bei den Landesbeauftragten und beim Europäischen Datenschutzausschuss.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →