Datenschutz in der Gemeinde

Eine Besonderheit der Datenschutzgrundverordnung ist, dass sie sowohl private wie auch öffentliche Stellen datenschutzrechtlich verpflichtet. Dies geschieht zwar nicht gleichermaßen, aber die Eckpfeiler der DSGVO gelten für sämtliche Akteure. Bezeichnend ist insofern, dass die Verordnung i.d.R. nur von Verantwortlichen spricht und sich dieser Begriff allein aus Aspekten der Datenverarbeitung konstituiert. Daher gilt die DSGVO auch für Gemeinden als öffentlich-rechtliche Gebietskörperschaften sowie für deren Organe. In vielen Fällen werden die Vorschriften der DSGVO durch nationales und länderspezifisches Recht modifiziert oder konkretisiert. Dies ergibt einen recht komplexen und undurchsichtigen Regelungsdschungel, von dem gerade kleinere Gemeinden schnell überfordert sein können. Aus diesem Grund hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg – Dr. Stefan Brink – ein Leitfaden für Gemeinden herausgegeben. Dieser soll im Folgenden Blog-Beitrag im Hinblick auf einige besonders relevante Aspekte besprochen werden. Oft wird dabei auf identische oder leicht abweichende Regelungen des brandenburgischen Kommunalrechts verwiesen. Der Beitrag dient der Möglichkeit, sich über kommunalrechtliche Besonderheiten des weitreichend europäisierten Datenschutzrechts einen ersten Überblick zu verschaffen.

Anwendbares Recht

Im Hinblick auf öffentliche Stellen wird die DSGVO in vielen Aspekten durch nationalstaatliches Recht überformt. Insofern stellt sich die Frage nach dem anwendbaren Recht im besonderen Maße.  Zunächst gilt die Verordnung von Vornherein nicht für repressiv-polizeiliches Handeln (vgl. Art. 2 Abs. 2 lit. d) DSGVO oder § 1 Abs. 2 BbgDSG). Daneben regeln das Bundesdatenschutzgesetz sowie die jeweiligen Landesdatenschutzgesetze diverse Besonderheiten für öffentliche Stellen. Für Gemeinden gilt dabei grundsätzlich das Landesdatenschutzgesetz. Hingegen ist das BDSG anwendbar, wenn öffentliche Stellen am Wettbewerb teilnehmen (z.B. § 2 Abs. 3 BbgDSG). Ist ein Fall durch die nationalstaatlichen Datenschutzgesetze nicht geregelt, greift die DSGVO als unmittelbar geltendes Recht auf die Verarbeitungsprozesse der Gemeinde durch und zwar auch dann, wenn es um die Durchsetzung nationalen Rechts geht (§ 2 Abs. 6 BbgDSG). Insbesondere im Rahmen der Rechtsgrundlagen, die nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt im Datenschutzrecht eine hervorragende Rolle spielen ist Art. 6 DSGVO auch für die gemeindliche Arbeit von zentraler Wichtigkeit.

Neben dem allgemeinen Datenschutzrecht, dass im Wesentlichen durch die DSGVO, das BDSG und die Datenschutzgesetze der Länder geregelt ist, kann das besondere Datenschutzrecht im Hinblick auf die Verhütung, Aufdeckung oder Verfolgung von Straftaten sowie hinsichtlich der Abwehr von Gefahren eine Rolle spielen. Nach Art. 2 Abs. 2 lit. d) DSGVO gilt hier die Richtlinie (EU) 2016/680, die erst durch die Transformation in nationalstaatliches Recht unmittelbare Geltung für die Gemeinden erlangt hat. Die maßgeblichen Bestimmungen sind enthalten in Teil 3 des BDSG sowie in speziellen Landesgesetzen, in Brandenburg beispielsweise das Brandenburgisches Polizei-, Justizvollzugs- und Maßregelvollzugsdatenschutzgesetz (BbgPJMDSG). Dies kann insbesondere für Ordnungsbehörden von Bedeutung sein.

Rechtsgrundlagen der Datenverarbeitung

Dass die Ausübung öffentlicher Gewalt an Recht und Gesetz gebunden ist, der Rechtsstaat der Bundesrepublik mithin einen umfangreichen Vorbehalt des Gesetzes anordnet, ergibt sich bereits aus dem Grundgesetz. Zwar gelten im Rahmen der Leistungsverwaltung einige Ausnahmen vom Vorbehalt des Gesetzes. Werden dabei jedoch personenbezogene Daten verarbeitet, liegt immer auch ein Eingriff in die informationelle Selbstbestimmung des Einzelnen vor. Dieser muss datenschutzrechtlich gerechtfertigt werden, was sich unter anderem aus Art. 6 Abs. 1 DSGVO ergibt, der den Grundsatz des Verbots mit Erlaubnisvorbehalt statuiert.

Für Datenverarbeitungen in der gemeindlichen Praxis bedeutet das, sobald die DSGVO für den konkreten Fall anwendbar ist, ist Art. 6 DSGVO als Ermächtigungsgrundlage immer Ausgangspunkt der Überlegung, ob eine Datenverarbeitung rechtmäßig ist.

Einwilligung

Eine gesetzliche Ermächtigungsgrundlage ist dann nicht erforderlich, wenn die betroffene Person in die Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO eingewilligt hat.

Zentrale Voraussetzung der Einwilligung ist jedoch ihre Freiwilligkeit (vgl. Art. 7 Abs. 4, EG 42 DSGVO). Diese muss im Verhältnis zwischen Staat und Bürger regelmäßig bezweifelt werden. Grund hierfür ist das strukturelle Ungleichgewicht zwischen dem Einzelnen auf der einen und der öffentlichen Gewalt auf der anderen Seite.

Es ist Gemeinden daher regelmäßig zu empfehlen, von dem Rückgriff auf die Einwilligung abzusehen. Ist ein solcher im Einzelfall unumgänglich, sind auch hier die weiteren Anforderungen an die Einwilligung zu beachten.

Rechtliche Verpflichtung oder öffentliche Gewalt?

Zwei weitere Rechtsgrundlagen sind für die Gemeinden von zentraler Bedeutung: die rechtliche Verpflichtung zur Datenverarbeitung und die Verarbeitung in Ausübung öffentlicher Gewalt.

Dabei stellt Art. 6 Abs. 3 DSGVO fest, dass es sich jeweils um Verweise auf spezielle Rechtsgrundlagen des Unionsrechts bzw. des Rechts der Mitgliedstaaten handelt. Die eigentliche Rechtsgrundlage ist dann in nationalstaatlichen Datenschutzgesetzen oder Spezialgesetzen zu suchen. Neben den informationellen Standardmaßnahmen der Polizeigesetze kommen grundsätzliche alle Gesetze im materiellen Sinne als Grundlage in Frage; so auch gemeindliche Satzungen. Grundsätzlich keine taugliche Rechtgrundlage sind Verwaltungsvorschriften, denen im Verhältnis zum Bürger lediglich eine normkonkretisierende Wirkung zukommt. Ob eine Verwaltungsvorschrift verwaltungsinterne Datenverarbeitungen rechtfertigen kann, hängt vom Einzelfall ab.

Schließlich stellt sich die Frage nach der Abgrenzung: wann ist die Behörde rechtlich verpflichtet Daten zu erheben und wann dient die Datenverarbeitung der Ausübung öffentlicher Gewalt. Im Ergebnis handelt es sich dabei eher um eine theoretische Frage, da beide Fälle gleichermaßen zur Datenverarbeitung rechtfertigen. Als zumindest ein Kriterium kann die Unterscheidung zwischen Ermessen und gebundenen Entscheidungen der Verwaltung dienen.

Das berechtigte Interesse

Art. 6 Abs. 1 S. 1 lit. f) DSGVO erlaubt eine Datenverarbeitung, wenn der Verantwortliche ein berechtigtes Interesse Vorbringen kann, welches das Interesse des Betroffenen überwiegt. Jedoch stellt Art. 6 Abs. 1 S. 2 DSGVO ausdrücklich klar, dass Behörden sich bei der Erfüllung ihrer Aufgaben nicht auf ein berechtigtes Interesse berufen können. Dies ist insofern einleuchtend, als dadurch die über Art. 6 Abs. 1 S. 1 lit. c) oder e) DSGVO einbezogenen Spezialermächtigungen unterlaufen würden. Zudem fehlt es dem Begriff des berechtigten Interesses an der für staatliches Handeln erforderlichen rechtsstaatlichen Bestimmtheit, die beim Handeln durch Private nicht unbedingt vorausgesetzt werden muss. Im Ergebnis eignen sich nämlich nur inhaltlich bestimmte Interessen, um die Datenverarbeitung durch staatliche Stellen zu rechtfertigen:

Im Landesrecht (z.B. § 5 Abs. 1 BbgDSG) existiert hingegen eine mit dem berechtigten Interesse vergleichbare Vorschrift. Hiernach ist die Verarbeitung personenbezogener Daten generell erlaubt, wenn diese für die Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt erforderlich ist. Als Auffangtatbestand greift diese Norm insbesondere dann, wenn eine spezielle Rechtsgrundlage nicht vorliegt, es sich um eine Verarbeitung handelt, die nicht so wesentlich in die Rechte und Freiheiten der Betroffenen eingreifen, dass eine spezialgesetzliche Regelung erforderlich wäre und die zu rechtfertigende Datenverarbeitung in engem Zusammenhang mit den Aufgaben einer Gemeinde fällt. Insofern ist das Bedürfnis der Datenverarbeitung inhaltlich hinreichend konkretisiert. Zu denken ist insbesondere an Datenverarbeitungen im Zusammenhang mit der politischen Tätigkeit des Bürgermeisters oder im Rahmen einer öffentlichen Veranstaltung, die von der Gemeinde oder einem Ortsteil organisiert wird. Hier handelt es sich inhaltlich um schlichtes Verwaltungshandeln, das keiner gesetzlichen Grundlage bedarf. Die Befugnis ergibt sich insofern aus der sachlichen Zuständigkeit des Handelnden. An solch ein Handeln angelehnte Datenverarbeitungen rechtfertigen sich dann durch § 5 Abs. 1 BbgDSG.

Immer muss die Datenverarbeitung aber erforderlich und verhältnismäßig sein, sodass zumindest in Brandenburg § 5 Abs. 1 BbgDSG als Art. 6 Abs. 1 S. 1. lit. f) DSGVO (berechtigtes Interesse) der öffentlichen Stellen in Brandenburg betrachtet werden kann, denen so ausdrücklich eine Datenverarbeitung als Annex schlicht hoheitlichen Handelns erlaubt wird.

Verantwortliche Stellen auf kommunaler Ebene

Vor allen anderen stellt sich die Frage nach der datenschutzrechtlichen Verantwortlichkeit im Rahmen der Gemeinde. Während im privaten Bereich die Verantwortlichkeit i.d.R. mit der rechtlichen Selbstständigkeit eines Unternehmens einhergeht, liegt der Fall in der Organisation der Gemeinde komplizierter.

So geht der Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Brinks, davon aus, dass grundsätzlich die Gemeinde selbst als rechtsfähige Gebietskörperschaft verantwortliche Stelle iSd. Art. 4 Nr. 7 DSGVO ist (Broschüre: Datenschutz bei Gemeinden, Seite 6 ). Neben gesetzlichen Regelungen über die Verantwortlichkeit (z.B. § 67 Abs. 4 SGB X), könne man nur ausnahmsweise davon ausgehen, dass unselbständige Organisationseinheiten selbst verantwortlich sind. Dies sei v.a. bei privatrechtlichen Eigenbetrieben der Gemeinde der Fall.

Die Auffassung Herr Dr. Brinks ist insofern problematisch, als die DSGVO in Bezug auf die Verantwortlichenstellung einen funktionalen Ansatz dergestalt festsetzt, dass es nicht auf die formelle Rechtsfähigkeit ankommt, sondern inhaltlich auf die Festlegung der Zwecke und Mittel der Datenerhebung. Insbesondere Behörden werden explizit als verantwortliche Stellen in Art. 4 Nr. 7 DSGVO genannt. Dennoch ist zu beachten, dass der Behördenbegriff sowohl innerhalb des deutschen Rechts uneinheitlich und umstritten verstanden wird als auch im europäischen Vergleich nicht unbedingt dem deutschen Verständnis entsprechen muss. So ist nach der verwaltungsrechtlichen Legaldefinition eine Behörde jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 1 Abs. 4 VwVfG Bund). Doch auch diese Definition ist letztlich nur systematisch vor dem Hintergrund und Zweck des Verwaltungsverfahrensgesetzes zu verstehen. Im Ergebnis muss sich der Begriff der Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO also originär aus dem europäischen Datenschutzrecht ergeben, sodass allein eine funktionale Betrachtungsweise maßgeblich ist.

Auch öffentlich-rechtliche Einrichtungen gestalten die Datenverarbeitung mitunter eigenverantwortlich, wenn es beispielweise um die Einstellung von Personal geht. Aus diesem Grund kann der Grundsatz, dass allein die Gemeinde als verantwortliche Stelle anzusehen ist meines Erachtens nur für sehr kleine Gemeinden gelten.

Verarbeitungsverzeichnis und Informationsanspruch

Alle Gemeinden haben die Pflicht, ein Verzeichnis über die Verarbeitungstätigkeiten (VVT) zu führen. Art. 30 Abs. 5 DSGVO gilt nicht.

Inhaltlich unterscheidet sich das Verzeichnis nicht von denen privater Verantwortlicher. Allerdings dient es im öffentlichen Bereich nicht nur der Selbstkontrolle, sondern zugleich der Transparenz öffentlich-rechtlichen Handelns. Dies ergibt sich aus § 4 Abs. 3 BbgDSG, der es dem einzelnen, abgesehen von wenigen Ausnahmen, erlaubt, in das VVT einer öffentlichen Stelle Einsicht zu nehmen. Die Norm vermittelt dem Einzelnen sonach ein subjektiv-öffentliches Recht, das gegenüber dem allgemeinen Informationszugangsanspruch nach §§ 1, 7 (Akteneinsichts- und Informationszugangsgesetz) die speziellere Anspruchsgrundlage darstellt. Damit steht die Verarbeitung personenbezogener Daten durch öffentliche Stellen jedenfalls teilweise unter der Kontrolle durch die Öffentlichkeit.

Besonderheiten bei der Auftragsverarbeitung

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO, wer personenbezogene Daten im Auftrag der Gemeinde verarbeitet. Voraussetzung ist – wie im privaten Bereich auch – das Vorliegen eines Vertrages oder eines anderen Rechtsinstituts über die Auftragsverarbeitung.

Besonderheiten können sich aber aus dem nationalen Recht ergeben. So schränkt beispielsweise § 80 SGB X eine Auftragsverarbeitung über Sozialdaten und § 30 Abs. 9 AO eine solche über Steuerdaten ein. Während Sozialdaten nur dann durch einen Auftragnehmer verarbeitet werden dürfen, wenn der Verantwortliche zuvor seine Rechts- und Fachaufsichtsbehörde über datenschutzrelevante Aspekte des Auftragnehmers informiert, ordnet § 30 Abs. 9 AO an, dass Steuerdaten im Auftrag nur solcher Personen verarbeitet werden dürfen, die ebenfalls dem Steuergeheimnis unterliegen.
Neben dem nationalen Recht existieren auch landesrechtliche Bestimmungen wie § 85a Landesbeamtengesetz BW, der ebenfalls eine Informationspflicht statuiert, wenn es um die Auftragsverarbeitung von beamtenrechtlichen Personalaktdaten geht (anders z.B. in Brandenburg, vgl. § 94 Abs. 6 LBG Bbg).

Auch hier zeigt sich mithin wieder die für den öffentlichen Bereich typische Verstrickung von europäischen, nationalen und landesrechtlichen Vorschriften, die den Datenschutz in der Gemeinde zu einer komplexen Angelegenheit macht. Insofern erscheint es sachgerecht, dass die Möglichkeit, eine Datenverarbeitung in Auftrag zu geben für eine öffentliche Stelle an besondere Voraussetzungen geknüpft ist.

Beschränkungen der Betroffenenrechte

Eine Entlastung bieten da die diversen Einschränkungen der Rechte von Betroffenen, die grundsätzlich in den Art. 12-23 DSGVO geregelt sind. Auch hier gibt es landesrechtliche Unterschiede.

So normiert § 9 Abs. 2 LDSG Baden-Württemberg, dass eine Datenauskunft bei unzumutbarem Aufwand verweigert werden darf, während sich in § 11 des brandenburgischen Datenschutzgesetzes keine entsprechende Regelung findet.

Dennoch ist bei der Bearbeitung von Betroffenenrechten stets darauf zu achten, dass öffentliche Stellen in vielerlei Hinsicht von den Pflichten des Kapitel III der DSGVO (Rechte der Betroffenen) befreit sind. Neben § 11 BbgDSG schränken auch die §§ 10, 12 und 13 BbgDSG die Rechte von Betroffenen ein. Oft ergibt sich dies aus Gründen der öffentlichen Sicherheit oder dem Geheimhaltungsinteresse Dritter, sodass die Beantwortung eines nicht vorhandenen Betroffenenrechts selbst ein Datenschutzverstoß darstellen kann. Es gilt hier im besonderen Maße, auf nationalstaatliche und landesrechtliche Besonderheiten zu achten.

Datenschutz im politischen Gefüge der Gemeinde

Die gemeinde ist nach Art. 28 Abs. 2 eigenverantwortliche politische Einheiten im Gesamtstaat. Kommt ihnen auch keine eigene Staatlichkeit zu, ist das politische Gefüge (die Kommunalpolitik) doch ein selbstständiger Handlungsbereich der Gemeinde. Neben dem Bürgermeister handelt insbesondere auch der Gemeinderat politisch. Dabei ist er ebenfalls an das Datenschutzrecht und sonach an die DSGVO gebunden. Hierbei ergeben sich vielzählige Besonderheiten, da das politische Agieren rechtlich weniger reglementiert ist, als das verwaltungsrechtliche Handeln.

Erneut: wer ist Verantwortlicher?

Die politische Aktionsfähigkeit der Gemeinde wird im Wesentlichen durch den Gemeinderat sichergestellt (z.B. §§ 27 ff. BbgKVerf). Er ist Repräsentant der Bürgerschaft und weist trotz seiner Zuordnung zur Exekutive parlamentarische Züge auf. So können sich die einzelnen Gemeindevertreter zu Fraktionen zusammenschließen, sind an Aufträge nicht gebunden und üben gegenüber der Verwaltung eine kontrollierende Funktion aus.

Bereits aus dieser rechtlich wie politisch selbstständigen Stellung des Gemeinderats gegenüber der Verwaltung, ergibt sich m.E. zwingend, dass auch datenschutzrechtlich von einem eigenständigen Verantwortlichen gesprochen werden muss. Insbesondere im Rahmen der Kontrollrechte des Rates oder bei einer Datenverarbeitung im Kontext einer Gemeinderatssitzung legt dieser Zwecke und Mittel der Datenverarbeitung ganz unabhängig von den verwaltungsrechtlichen Organen der Gemeinde fest.

Die Eigenständigkeit des Gemeinderats nimmt – v.a. im Kontext der Kontrollrechte gegenüber der Verwaltung – ein Ausmaß an, dass es rechtfertigt von einer quasiparlamentarischen Funktion zu sprechen. Da aber Kontrollrechte naturgemäß in engen Zusammenhang mit Informationsansprüchen und folglich auch mit datenschutzrechtlichen Fragestellungen stehen, ist darüber hinaus auch ein eigenständiger Datenschutzbeauftragter des Rates erforderlich.

Anders als innerhalb der Behördenstruktur der Verwaltung, die es regelmäßig erlaubt einen gemeinsamen Datenschutzbeauftragten nach Art. 37 Abs. 3 DSGVO zu bestellen, kann das Spannungsverhältnis zwischen Rat und Verwaltung nur dadurch abgebaut werden, dass ein von der Verwaltung verschiedener Datenschutzbeauftragter benannt wird. Zudem handelt es sich auch um einen in der Praxis häufig auftretender Konflikt, wie der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg feststellte (vgl. Broschüre: Datenschutz bei Gemeinden S. 89). Daher wundert es umso mehr, dass seiner Auffassung zufolge Verwaltung und Gemeinderat in Form der Gemeinde als Gebietskörperschaft eine verantwortliche Stelle im Sinne der DSGVO sein soll (vgl. Broschüre: Datenschutz bei Gemeinden S. 85).

Datenschutzrechtliche Einzelprobleme des Gemeinde- und Ortsbeirats

Die Mitglieder des Gemeinderats sind zur Verschwiegenheit verpflichtet (vgl. § 32 Abs. 2 BbgKVerf); eine darüberhinausgehende Verpflichtung auf Vertraulichkeit ist mithin nicht erforderlich.

Das Informationsrecht des Gemeinderats (vgl. § 29 Abs. 1 BbgKVerf) ist bereits zur Begründung der Stellung als Verantwortlicher herangezogen worden. Besteht ein informationsrechtlicher Anspruch, stellt dieser regelmäßig zugleich die Rechtsgrundlage für die Datenverarbeitung im Rahmen des Datenschutzrechts dar, also bspw. eine Rechtsgrundlage nach Art. 6 Abs. 1 S. 1 lit. c) DSGVO. Dennoch ist im Einzelfall auf die damit einhergehenden Betroffenenrechte zu achten. So muss die Behörde, welche dem Informationsanspruch des Gemeinderats entspricht, den Betroffenen ggf. über die Zweckänderung der Datenverarbeitung nach Art. 13 Abs. 3 DSGVO informieren.

Die Sitzungen des Gemeinderats sind grundsätzlich öffentlich durchzuführen. Transparenz ist ein wesentlicher Eckpfeiler demokratischer Entscheidungsfindung und entbindet dennoch nicht von den Anforderungen des Datenschutzes. Nach § 36 Abs. 2 S. 2 Alt. 2 BbgKVerf ist die Öffentlichkeit auszuschließen, wenn dies wegen eines berechtigten Interesses des Einzelnen erforderlich ist. Hier fließen die Wertungen des Datenschutzes unmittelbar ein, sodass bei besonders sensiblen Themen, die einen Personenbezug enthalten entsprechende Vorkehrungen getroffen werden müssen. Doch auch im Rahmen einer gewöhnlichen Sitzung ist stets darauf zu achten, ob der Diskurs der Sitzungen einen Personenbezug erforderlich macht. Ist dies nicht der Fall, sollte beim Reden auf die Nennung von Einzelpersonen verzichtet werden. Rechtsgrundlage kann wiederum nur § 5 BbgKVerf sein (s.o.).

Schließlich sind auch Gemeinderatsmitglieder selbst natürliche Personen und durch die DSGVO geschützt, können mithin selbst Betroffene einer Datenverarbeitung sein. Exemplarisch ist die Gewährleistung der Saalöffentlichkeit durch Bild- und Tonaufnahmen, die neben den Bürgern auch die Ratsmitglieder datenschutzrechtlich berührt. Da solche Aufnahmen kaum erforderlich sein dürften, wäre eine solche Praxis nur über eine Einwilligung möglich, die aber – wie oben gezeigt – im öffentlichen Bereich eher zu meiden ist. Als datenschutzgerechte Alternative schlägt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg vor, über die Gemeinderatssitzung einen Podcast zu erstellen, der nachträglich noch bearbeitet werden kann (S. 99). Eine sinnvolle und moderne Lösung.

Je nach Größe und organisatorischer Selbstständigkeit können sich dieselben Probleme ebenso im Rahmen einer Ortbeiratssitzung stellen.

Fazit

Auch öffentliche Stellen stehen vor der Herausforderung, die DSGVO umzusetzen. Je kleiner die organisatorische Funktionseinheit ist, umso schwerer wird es die Mittel und Ressourcen aufbringen zu können, die ein angemessener Datenschutz erfordert. Gerade in Gemeinden oder noch kleiner: in Ortsbeiräten, wird der Datenschutz eher stiefmütterlich behandelt. Ein guter Leitfaden und datenschutzrechtlicher Beistand durch einen externen Datenschutzbeauftragten sind ressourcen- und nervenschonende Mittel, um auch in diesem Bereich ein angemessenes Niveau täglichen Handeln mit Bürgerdaten zu erreichen. Dabei gilt es stets, die Besonderheiten öffentlicher Stellen zu beachten, sodass Gemeinden auch externe Datenschutzbeauftragte vor eine besondere Herausforderung stellen. Anders als nicht-öffentliche Stellen sind hier die verwaltungsrechtlichen, aber auch politischen Besonderheiten einer Gemeinde zu berücksichtigen. Spezielle Anpassungen datenschutzrechtlicher Materialen wie Vorlagen oder Mustererklärungen sind daher ebenso erforderlich wie Grundlagenkenntnisse im Kommunal- und Verwaltungsrecht.