Ratgeber · für Entscheider

DSGVO & Bürger-App: Was Ihre Kommune beim Datenschutz beachten muss

Datenschutz ist die erste Frage, die im Rathaus fällt, sobald eine Bürger-App im Raum steht – zu Recht. Dieser Leitfaden erklärt verständlich, worauf es rechtlich ankommt, welche Kriterien eine datenschutzkonforme Lösung erfüllen muss und welche Fragen Sie jedem Anbieter stellen sollten. Stand: 2026.

Eine Kommune ist eine öffentliche Stelle – und trägt damit eine besondere Verantwortung für die Daten ihrer Bürger. Wenn Menschen über eine App ein Schlagloch melden, ein Foto hochladen oder ihren Namen hinterlassen, vertrauen sie darauf, dass die Verwaltung sorgsam damit umgeht. Ein Datenschutzvorfall wäre nicht nur ein rechtliches Problem, sondern ein Vertrauensbruch. Die gute Nachricht: Wer die richtigen Kriterien kennt, erkennt eine saubere Lösung schnell – und kann sie im Zweifel gegenüber Datenschutzbeauftragten und Gremium souverän begründen.

Hinweis: Dieser Artikel gibt eine praxisnahe Orientierung und ersetzt keine Rechtsberatung. Bei konkreten Fragen binden Sie Ihre*n behördliche*n Datenschutzbeauftragte*n frühzeitig ein.

Warum Datenschutz bei einer Bürger-App besonders zählt

Anders als ein reines Info-Portal verarbeitet eine Bürger-App in der Regel personenbezogene Daten: Eine Mängelmeldung enthält oft ein Foto, einen Standort und manchmal einen Namen oder eine Rückmelde-Adresse. Push-Nachrichten setzen ein Gerätetoken voraus. Schon daraus ergeben sich Pflichten aus der Datenschutz-Grundverordnung (DSGVO) und den Landesdatenschutzgesetzen. Entscheidend ist deshalb nicht, ob Daten verarbeitet werden, sondern wie sparsam, wie transparent und wie sicher das geschieht.

Die Rechtsgrundlagen – kurz und verständlich

  • Rechtsgrundlage der Verarbeitung: Für Kommunen ist meist Art. 6 Abs. 1 DSGVO einschlägig – bei der Wahrnehmung öffentlicher Aufgaben insbesondere Buchstabe e, ergänzt durch das jeweilige Landesdatenschutzgesetz. Praktisch heißt das: Sie müssen benennen können, wofür Sie welche Daten erheben.
  • Auftragsverarbeitung (Art. 28 DSGVO): Betreibt ein Dienstleister die App und die Server, verarbeitet er die Daten in Ihrem Auftrag. Dafür braucht es einen Auftragsverarbeitungsvertrag (AVV). Verantwortlich im Sinne der DSGVO bleiben Sie als Kommune – der Anbieter muss Sie durch klare Verträge und Technik dabei unterstützen.
  • Technische & organisatorische Maßnahmen (Art. 32): Verschlüsselte Übertragung, Zugriffsschutz, Berechtigungen, Backups – der Stand der Technik muss eingehalten werden.
  • Betroffenenrechte (Art. 15–17): Bürger haben ein Recht auf Auskunft, Berichtigung und Löschung. Die Lösung muss das praktisch ermöglichen.
  • Informationspflichten (Art. 13): Eine verständliche Datenschutzerklärung in der App ist Pflicht – idealerweise pro Kommune anpassbar.

Datensparsamkeit: das beste Datenschutzkonzept

Der wirksamste Schutz ist, Daten gar nicht erst zu erheben. Was nicht gespeichert wird, kann nicht verloren gehen, nicht missbraucht und nicht weiterverkauft werden. Achten Sie deshalb auf Datensparsamkeit („Privacy by Design", Art. 25):

  • Kein Zwang zum Nutzerkonto: Wenn Bürger Informationen lesen und sogar Meldungen absenden können, ohne sich zu registrieren, entstehen erst gar keine Konten-Datenberge. Eine Registrierung sollte höchstens optional sein.
  • Nur nötige Felder: Für eine Mängelmeldung braucht es Foto und Ort – ein Name ist meist freiwillig. Gute Lösungen lassen Sie selbst festlegen, welche Angaben Pflicht sind.
  • Kein Tracking, keine Werbung: Keine Werbe-SDKs, keine Analyse-Dienste, die Nutzerprofile bilden, kein Verkauf von Daten. Eine öffentliche App ist kein Werbekanal.
  • Löschkonzept: Erledigte Vorgänge und alte Daten sollten sich geregelt löschen oder archivieren lassen, statt unbegrenzt liegen zu bleiben.

Server-Standort & Hosting

Wo die Daten liegen, ist für viele Kommunen ein K.-o.-Kriterium. Empfehlenswert ist ein Hosting in Deutschland oder zumindest innerhalb der EU, damit kein datenschutzrechtlich heikler Drittlandtransfer entsteht. Fragen Sie konkret nach: Wo stehen die Server? Wer ist der Hoster? Gibt es Subunternehmer, und sind diese im AVV benannt? Werden Daten in Länder außerhalb der EU übertragen (z. B. durch Cloud- oder Push-Dienste)? Ein seriöser Anbieter beantwortet das ohne Umschweife und schriftlich.

Barrierefreiheit gehört dazu

Für öffentliche Stellen ist digitale Barrierefreiheit nicht optional: Nach der EU-Richtlinie und den darauf aufbauenden Verordnungen (in Deutschland die BITV 2.0) sollen Websites und Apps öffentlicher Stellen für alle nutzbar sein. Eine App, die Screenreader unterstützt, ausreichende Kontraste bietet und sich mit großer Schrift bedienen lässt, erfüllt nicht nur eine Pflicht – sie erreicht auch mehr Bürger. Fragen Sie den Anbieter, wie er Barrierefreiheit umsetzt.

Die richtigen Fragen an den Anbieter

Mit dieser kompakten Liste trennen Sie im Gespräch schnell die Spreu vom Weizen:

  • Stellen Sie uns einen Auftragsverarbeitungsvertrag (AVV) und ein Verzeichnis der Verarbeitungstätigkeiten zur Verfügung?
  • In welchem Land stehen die Server, und wer ist der Hoster?
  • Werden Daten an Dritte weitergegeben, für Werbung genutzt oder verkauft? (Die einzig gute Antwort ist: nein.)
  • Können Bürger die App ohne Konto nutzen?
  • Wie werden Auskunft und Löschung umgesetzt?
  • Welche technischen Sicherheitsmaßnahmen (Verschlüsselung, Zugriffsrechte, Backups) sind vorhanden?
  • Ist die App barrierefrei nach BITV/EN 301 549 gestaltet?
  • Lässt sich die Datenschutzerklärung für unsere Kommune anpassen?

Wie OwnCity und CityHub das handhaben

Unsere Bürger-App ist bewusst datensparsam gebaut: Bürger können Inhalte lesen und Meldungen absenden, ohne ein Konto anzulegen. Es gibt keine Werbung, kein Tracking und keinen Datenhandel. Die Daten werden auf Servern in Deutschland bzw. der EU verarbeitet, die Übertragung ist verschlüsselt, und Zugriffe im Verwaltungsportal sind rollenbasiert geschützt. Einen Auftragsverarbeitungsvertrag stellen wir selbstverständlich bereit. So bleibt Ihre Kommune die Herrin der Daten – und kann das gegenüber Gremium und Datenschutzbeauftragten klar belegen.

Fazit

Datenschutz ist bei einer Bürger-App kein Hindernis, sondern ein Vertrauensvorsprung. Wer auf Datensparsamkeit, einen sauberen AVV, EU-Hosting und den Verzicht auf Werbung und Tracking achtet, führt eine App ein, die Bürger gern nutzen und die vor jeder Prüfung besteht. Nehmen Sie die Fragenliste oben mit ins nächste Anbietergespräch – sie erspart Ihnen später viel Diskussion.

Datenschutz-Fragen zu Ihrer Bürger-App?

Im kostenlosen Erstgespräch zeigen wir Ihnen, wie OwnCity / CityHub Datenschutz, Datensparsamkeit und Barrierefreiheit umsetzt – und stellen Ihnen den AVV bereit. Unverbindlich und auf Ihre Kommune zugeschnitten.

Kostenloses Erstgespräch

Weiterlesen: Mängelmelder einführen

Kostenloses Erstgespräch