Niederländische Gemeinden müssen 250.000 Euro Bußgeld zahlen

Die niederländische Datenschutzaufsichtsbehörde Autoriteit Persoonsgegevens (AP) hat am 3. Februar 2026 gegen zehn Gemeinden Bußgelder von jeweils 25.000 Euro verhängt. Anlass war die rechtswidrige Verarbeitung besonders sensibler personenbezogener Daten von Mitgliedern islamischer Gemeinschaften.

gdprworkcontract Dürfen Behörden ohne Ihr Wissen Daten über Ihre Religion sammeln? Ihr externer Datenschutzbeauftragter in Berlin | sofortdatenschutz.de

Kraftfeldanalysen im Kontext der Radikalisierungsprävention

Im Mittelpunkt der Entscheidungen stehen sogenannte Krachtenveldanalysen (dt. „Kraftfeldanalysen“) bzw. Quickscans, die von einem externen Forschungsbüro im Auftrag der betroffenen Gemeinden erstellt wurden. Betroffen sind die Gemeinden Delft, Ede, Eindhoven, Gooise Meren, Haarlemmermeer, Hilversum, Huizen, Tilburg, Veenendaal und Zoetermeer.

Ziel der Analysen war es, soziale Strukturen sowie einflussreiche Akteure innerhalb der lokalen islamischen Gemeinschaften zu identifizieren. Hintergrund waren gesellschaftliche und politische Sorgen über Radikalisierung sowie über sogenannte „Ausreisende“ in Richtung Syrien und Irak in den Jahren 2011 bis 2016.

Die Gemeinden handelten dabei teilweise unter politischem Druck und nach Anleitung des nationalen Koordinators für Terrorismusbekämpfung und Sicherheit (NCTV) sowie der niederländischen Zentralregierung. Die Finanzierung erfolgte vielfach über staatliche Fördermittel, die nach Genehmigung durch die NCTV bereitgestellt wurden.

Die Inhalte der Berichte variierten im Einzelnen, enthielten jedoch regelmäßig:

  • Namen, Geburtsjahre und Fotos identifizierbarer Personen;
  • Informationen über religiöse Überzeugungen und Strömungen innerhalb des Islam;
  • Familiäre Beziehungen sowie Machtstrukturen innerhalb von Moscheegemeinden;
  • Teilweise politische Präferenzen, Arbeitgeber, Wohnort, strafrechtliche Informationen sowie Angaben zu Reisen in IS-Gebiete;
  • In Einzelfällen umfangreiche Persönlichkeitsprofile.

Je nach Gemeinde umfassten die Berichte zwischen 16 (Delft) und 266 (Tilburg) betroffene Personen.

Zwei klare DSGVO-Verstöße

Die Datenschutzaufsichtsbehörde stellte bei allen zehn Gemeinden identische Verstöße gegen die DSGVO fest, die von den Gemeinden allesamt anerkannt wurden.

Fehlende datenschutzrechtliche Rechtsgrundlage

Obwohl die Gemeinden im Bereich der Radikalisierungsprävention tätig wurden, konnten sie die konkrete Datenverarbeitung weder auf eine gesetzliche Verpflichtung noch auf die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe im Sinne der DSGVO stützen. Eine tragfähige Rechtsgrundlage lag damit nicht vor.

Unzulässige Verarbeitung besonderer Kategorien personenbezogener Daten

Die Kraftfeldanalysen enthielten auch Angaben zur Religion der Betroffenen, etwa zur Zugehörigkeit zu bestimmten religiösen Strömungen innerhalb des Islam. Solche Informationen zählen nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten, deren Verarbeitung grundsätzlich verboten ist.

Eine Ausnahme erkannte die Aufsichtsbehörde lediglich für solche Informationen an, die von den Betroffenen selbst öffentlich im Internet geteilt wurden. Für alle übrigen Daten fehlte ein einschlägiger Ausnahmetatbestand.

Dauer der Verstöße und Verjährungsfragen

Ein datenschutzrechtlich bemerkenswerter Aspekt der Bescheide betrifft die zeitliche Eingrenzung der sanktionierten Verstöße. Die Aufsichtsbehörde konnte das der Datenerhebung zugrunde liegende Forschungsprojekt selbst nicht mehr ahnden, weil die fünfjährige Verjährungsfrist für Bußgelder bereits abgelaufen war.

Geahndet wurde ausschließlich das Vorhalten und Nutzen der Analysen durch die Gemeinden, also insbesondere das Speichern, Einsehen und Verwenden der Dokumente.

Der Beginn des Verstoßes variierte je nach Gemeinde. Ede erhielt die Analyse bereits im März 2017, Delft und Eindhoven hingegen erst im Jahr 2018. Alle Gemeinden bewahrten die Dokumente jedoch bis in das Jahr 2021 auf.

Nach den Feststellungen der Aufsichtsbehörde endete der Verstoß am 15. Oktober 2021. An diesem Tag veröffentlichte die niederländische Tageszeitung NRC Handelsblad einen Hintergrundbericht über das beauftragte Forschungsbüro, wodurch die Thematik erstmals öffentlich bekannt wurde.

Eine Ausnahme bildet Tilburg: Dort wurden die Dokumente bereits zwei Wochen nach Erhalt vernichtet. Dies wurde von der Aufsichtsbehörde ausdrücklich berücksichtigt.

Berücksichtigung mildernder Umstände

Die Aufsichtsbehörde wich in allen zehn Bescheiden bewusst von ihren regulären Bußgeldleitlinien nach unten ab. Die verhängten Bußgelder von jeweils 25.000 Euro liegen deutlich unterhalb des nach der DSGVO möglichen Bußgeldrahmens.

Als strafmildernde Faktoren berücksichtigte die Behörde insbesondere:

  • das komplexe politisch-administrative Umfeld, das durch gesellschaftliche Unruhe und massiven Druck von Zentralregierung und NCTV geprägt war;
  • den begrenzten Informationsstand der Gemeinden sowie ihre fehlende praktische Erfahrung im Umgang mit solchen Maßnahmen;
  • die vergleichsweise kurze Dauer der Verstöße;
  • die begrenzte Zahl betroffener Personen;
  • die umfassende Kooperation der Gemeinden mit der Aufsichtsbehörde sowie
  • bereits eingeleitete Maßnahmen zur Aufarbeitung gegenüber der muslimischen Gemeinschaft (z.B. Entschuldigungen, Akteneinsicht, Dialogformate).

Erschwerend bewertete die Behörde demgegenüber die besondere Sensibilität der verarbeiteten Daten sowie den Umstand, dass die Gemeinden die Rechtswidrigkeit ihrer Maßnahmen hätten erkennen müssen.

Verarbeitungsbeschränkung

Für diejenigen Gemeinden, die die Kraftfeldanalysen noch nicht vernichtet haben, erließ die Aufsichtsbehörde mit Bescheid vom 3. Februar 2026 zusätzlich eine Verarbeitungsbeschränkung.

Die Dokumente dürfen künftig ausschließlich dazu genutzt werden, den Betroffenen auf Anfrage Auskunft über die zu ihrer Person gespeicherten Daten zu erteilen oder die Dokumente in einem etwaigen Gerichtsverfahren vorzulegen.

Jede darüber hinausgehende Nutzung ist untersagt und kann mit einem Bußgeld von bis zu 20 Millionen Euro geahndet werden.

Einordnung und Lehren für die Praxis

Die Entscheidungen der Autoriteit Persoonsgegevens verdeutlichen, dass sicherheitspolitische Ziele nicht losgelöst von den datenschutzrechtlichen Vorgaben verfolgt werden dürfen. Auch wenn Maßnahmen der Prävention oder Gefahrenabwehr politisch gewünscht oder gesellschaftlich nachvollziehbar erscheinen, bleibt ihre Umsetzung an klare rechtliche Grenzen gebunden.

Positiv hervorzuheben ist, dass alle Gemeinden die Verstöße anerkannt und aktiv an der Aufarbeitung mitgewirkt haben. Die deutlichen Bußgeldreduktionen unterstreichen, dass kooperatives Verhalten und die Bereitschaft zur Aufarbeitung im Aufsichtsverfahren positiv berücksichtigt werden.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Einwilligungserklärung und Datenschutzinformation
Mit Absenden des Formulars erkläre ich mich damit einverstanden, dass die im Rahmen dieser Nachricht angegebenen personenbezogenen Daten in einer unter der Verantwortung der mip Consult GmbH geführten Datenbank ausschließlich für die Bearbeitung und Beantwortung dieser Anfrage verarbeitet werden und die mip Consult GmbH mir entsprechende, anfragebezogene Informationen per Post, E-Mail oder telefonisch zukommen lassen kann. Die Einverständniserklärung kann jederzeit z.B. schriftlich an mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin oder per E-Mail an sofortdatenschutz@mip-consult.de mit Wirkung für die Zukunft widerrufen werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben. Die Datenübertragung erfolgt verschlüsselt. Weitere Informationen zum Datenschutz finden Sie unter https://www.sofortdatenschutz.de/datenschutzinformation.

Inhalt