Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Website im öffentlichen Sektor, die personenbezogene Daten erhebt oder verarbeitet. Für Gemeinden, Schulen, Bibliotheken, Museen, Gesundheitseinrichtungen, Behörden und andere öffentliche Stellen reicht es nicht aus, nur eine Datenschutzerklärung zu veröffentlichen. Erforderlich ist das Zusammenspiel aus rechtmäßigen Abläufen, sicherer technischer Umsetzung, klaren Zuständigkeiten und transparenter Kommunikation mit der Öffentlichkeit.
Öffentliche Einrichtungen verarbeiten häufig Daten, die besonders sensibel sind oder weitreichende Folgen haben können. Dazu gehören Identitäts- und Kontaktdaten, fallbezogene Unterlagen, Daten von Kindern, Finanzdaten und in manchen Bereichen auch Gesundheitsdaten. Weil diese Organisationen grundlegende Leistungen bereitstellen, haben Bürgerinnen und Bürger oft keine echte Wahl, ob sie digital mit ihnen in Kontakt treten. Umso wichtiger sind Vertrauen, Transparenz und die Einhaltung der DSGVO.
Für Entscheidungsträger geht es in der Praxis nicht nur darum, ob eine Website ein Cookie-Banner oder eine Datenschutzerklärung hat. Entscheidend ist, ob die Website, ihre Formulare, eingebundenen Dienste und internen Abläufe so gestaltet sind, dass personenbezogene Daten von Anfang an geschützt werden. Dazu gehören auch Barrierefreiheit, Beschaffung, Verträge mit Dienstleistern, Aufbewahrungsfristen und der Umgang mit Sicherheitsvorfällen.
Warum die DSGVO für Behörden-Websites besonders wichtig ist
Websites im öffentlichen Sektor sind oft der erste Zugang zu wichtigen Leistungen. Bürgerinnen und Bürger nutzen sie, um Anfragen zu stellen, Unterstützung zu beantragen, sich für Angebote anzumelden, Termine zu buchen oder Informationen zu Rechten und Pflichten abzurufen. In vielen Fällen ist die Website mit internen Systemen, E-Mail-Abläufen, Dokumentenmanagement oder externen Plattformen verbunden.
Dadurch kann schon ein einfaches Kontaktformular ein DSGVO-Risiko darstellen, wenn Daten ohne klaren Zweck erhoben, unsicher übertragen, zu lange gespeichert oder ohne passende Schutzmaßnahmen an Dienstleister weitergegeben werden. Öffentliche Stellen müssen außerdem weitere rechtliche Pflichten beachten, etwa Rechenschaftspflicht, Aktenführung, Barrierefreiheit nach BITV 2.0 und bereichsspezifische Vorgaben.
In der Praxis trägt DSGVO-Konformität zu besseren digitalen Angeboten bei. Eine sauber gesteuerte Website hilft Einrichtungen, unnötige Datenerhebung zu vermeiden, das Vertrauen der Öffentlichkeit zu stärken und spätere Nacharbeiten zu verhindern.
Zentrale DSGVO-Anforderungen für Websites im öffentlichen Sektor
1. Einwilligungsmanagement für Cookies
Wenn eine Website nicht notwendige Cookies verwendet, etwa für Statistik, Werbung oder eingebundene Tracking-Dienste Dritter, müssen Nutzerinnen und Nutzer vor dem Setzen dieser Cookies klar informiert werden. Die Einwilligung muss konkret, informiert und freiwillig erfolgen. Vorgekreuzte Kästchen oder Banner, die Weitersurfen als Zustimmung werten, reichen nicht aus.
Öffentliche Einrichtungen sollten ein Einwilligungsmanagement bereitstellen, mit dem Besucher Cookie-Kategorien genauso leicht annehmen wie ablehnen können. Nutzerinnen und Nutzer müssen ihre Auswahl außerdem jederzeit erneut aufrufen und ändern können. Ebenso wichtig ist, dass die Website die Einwilligungsentscheidungen dokumentiert, damit die Einrichtung die Einhaltung der DSGVO im Zweifel nachweisen kann.
Ein häufiger Schwachpunkt ist der Einsatz von Statistik-Tools vor der Einwilligung oder die Einbindung externer Dienste wie Karten, Videos oder Social-Media-Elemente, die automatisch Cookies setzen. Diese Inhalte sollten sorgfältig geprüft werden, besonders wenn Daten in Drittländer übertragen werden könnten.
2. Klare und vollständige Datenschutzinformationen
Jede Behörden-Website sollte eine Datenschutzerklärung bereitstellen, die in verständlicher Sprache erklärt, welche personenbezogenen Daten erhoben werden, warum sie benötigt werden, auf welcher Rechtsgrundlage die Verarbeitung erfolgt, wie lange die Daten gespeichert werden und an wen sie gegebenenfalls weitergegeben werden. Diese Informationen müssen leicht auffindbar sein und sich an normale Nutzer richten, nicht nur an Juristinnen und Juristen.
Bei öffentlichen Stellen stützt sich die Verarbeitung häufig auf die Wahrnehmung einer öffentlichen Aufgabe oder auf eine rechtliche Verpflichtung, nicht auf eine Einwilligung. Dieser Unterschied ist wichtig. Wenn eine Einwilligung nicht die Rechtsgrundlage für ein Formular oder einen Dienst ist, sollte die Website dies nicht so darstellen, als könnten Nutzer frei zustimmen oder ablehnen.