Datenschutz in Smart-City-Projekten ist kein Hemmschuh. Er ist der Unterschied zwischen einem Pilotprojekt, das Vertrauen aufbaut, und einem, das Schlagzeilen erzeugt.

Zweckbindung vor dem ersten Sensor

Jede Datenerhebung braucht eine Zweckbeschreibung. Nicht für Juristen — für die Sachbearbeiterin im Bürgerbüro, die erklären soll, warum eine Kamera zählt, wer den Marktplatz betritt.

Formulieren Sie Zweck, Datenkategorien, Speicherdauer und Löschkonzept in einem Absatz. Wenn das nicht gelingt, ist der Erhebungsgrund noch nicht klar genug.

Datenminimierung ist kein ideologisches Prinzip. Sie reduziert Haftung und Betriebsaufwand. Jede Variable, die nicht gebraucht wird, ist eine Baustelle in drei Jahren.

Sensorprojekte zu Mobilität, Umwelt oder Aufenthaltsqualität sind politisch sensibel. Eine öffentliche Karte, die zeigt, was wo misst und warum, verhindert mehr Konflikte als zehn Pressemitteilungen.

Datenschutz in Ausschreibungen verankern

Externe Dienstleister brauchen Auftragsverarbeitungsverträge mit klaren Subprozessor-Regeln. Technisch-organisatorische Maßnahmen müssen benannt sein — nicht nur abgeheftet.

Datenschutz gehört in funktionale Anforderungen. Nicht als Anhang, sondern als messbare Kriterien: rollenbasierte Zugriffe, Export- und Löschfunktionen, Audit-Log, benannte Cloud-Standorte.

Ein Export-Test vor Vertragsunterzeichnung kostet zwei Stunden. Nachverhandlungen nach Zuschlag kosten Wochen und politische Nerven.

Penetrationstests und regelmäßige Updates sind keine Kür. Wer sie nicht vertraglich sichert, stellt fest, dass der Dienstleister sie „auf Nachfrage“ anbietet — gegen Aufpreis.

Betrieb statt Ablageordner

Datenschutzdokumentation veraltet im Schrank. Was zählt, sind Routinen: Wer beantwortet Auskunftsersuchen? Welches Ticket-Template gibt es dafür? Wer löscht Logs nach welcher Frist?

Für KI-Einsätze in der Verwaltung gilt: menschliche Freigabe als Standard, nicht als Ausnahme. Das ist keine technische Einschränkung — es ist der Unterschied zwischen einem Verfahren, das Bürgerrechte schützt, und einem, das irgendwann vor Gericht erklärt werden muss.

Videoanalytics im öffentlichen Raum braucht politische Legitimation. Die IT-Abteilung kann das nicht allein entscheiden.

Anonymisierung ist kein Freifahrtschein. Re-Identifikation durch Datenkombination ist technisch möglich. Deshalb gilt: Datenminimierung zuerst, Anonymisierung danach.

Wenn Projekte wachsen oder sich ändern

Neue Features brauchen einen erneuten Datenschutz-Review. Nicht weil es Vorschrift ist, sondern weil sich der Zweck erweitert haben kann. Zweckkreep ist die häufigste Ursache für spätere Aufsichtsverfahren.

Beim Dienstleisterwechsel: Datenübernahme und Löschbescheinigung müssen vertraglich geregelt sein — bevor die Kündigung ausgesprochen wird.

Mitarbeitende, die Projekte wechseln, brauchen Zugriffsanpassungen am selben Tag. Nicht eine Woche später.

Lessons Learned aus Datenschutzvorfällen sind kein Schuldfeststellungsverfahren. Sie sind Trainingsmaterial für das nächste Projekt.

Konkret anfangen

Prüfen Sie für jedes laufende Smart-City-Vorhaben: Gibt es einen Ein-Pager mit Zweck, Speicherdauer und Löschkonzept, der vom Fachamt und der datenschutzbeauftragten Person freigegeben wurde?

Wenn nicht: Das ist der erste Schritt. Nicht ein neues Sensor-Dashboard.

Weiterführende Quellen

• Datenschutzkonferenz (DSK) — Orientierungshilfen für Verantwortliche
• KGSt — Datenschutz in Smart-City-Projekten
• Interoperable Europe — Europäischer Rahmen für interoperable Verwaltungen