Datenschutz

LfD Niedersachsen: Datenschutzaufsicht & VW-Fall

LfD Niedersachsen 2026: Aufsichtsbehörde, VW-Bußgeld 1,1 Mio. €, Zuständigkeit, Meldewege und Sanktionspraxis im Detail.

In einem Satz. Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) ist die Aufsichtsbehörde für den nicht-öffentlichen Bereich des Landes Niedersachsen, hat ihren Sitz in Hannover und ist mit ca. 60 Mitarbeitenden eine der mittelgroßen Länderbehörden — bekannt geworden durch das VW-Bußgeld von 1,1 Mio. € (2022) wegen unzulässiger Videoüberwachung bei Testfahrten.

Aktuelle Amtsinhaberin: Denise Dittrich-Weihrauch (seit 2022). Vorgängerin Barbara Thiel prägte die strikte Linie gegen Beschäftigtenüberwachung. Siehe übergeordnet die Tätigkeit des BfDI.

Wichtige Punkte

  • Zuständig für ca. 250.000 Unternehmen in Niedersachsen.
  • VW-Sanktion 2022: 1,1 Mio. € wegen Art. 5 und 6 DSGVO-Verstößen.
  • Schwerpunkte: Automobilindustrie, Landwirtschaft, kommunale Versorger.
  • Meldepflicht für Datenpannen über das Online-Portal der LfD.
  • Jährlicher Tätigkeitsbericht typischerweise im Mai veröffentlicht.

1. Rechtsgrundlage und Stellung

Die LfD Niedersachsen wird vom Landtag gewählt (Art. 36 Verfassung Niedersachsen, § 19 NDSG). Unabhängig nach DSGVO Art. 52, weisungsfrei. Sitz: Prinzenstraße 5, Hannover.

2. Zuständigkeit

Bereich Beispiel Aufsichtsbehörde
Öffentliche Stellen Niedersachsen Ministerien, Kommunen LfD Niedersachsen
Privatunternehmen mit Sitz NI VW, Continental, TUI LfD Niedersachsen
Bundesbehörden Bundespolizei BfDI
Kirchen Ev. Landeskirche Hannover Kirchliche DSB

3. Der VW-Fall 2022

Volkswagen setzte bei Testfahrten ein Fahrerassistenzsystem mit Kameras ein, ohne Probanden hinreichend zu informieren und ohne Rechtsgrundlage. Sanktion: 1,1 Mio. € nach Art. 5, 6, 13 DSGVO. Der Fall zeigt die strenge niedersächsische Linie bei Beschäftigtendatenschutz und Forschung — vergleichbar mit dem H&M-Verfahren des HmbBfDI in Hamburg (35,3 Mio. €).

4. Weitere bekannte Verfahren

  • Continental: Untersuchung zu Mitarbeiter-Tracking (2021, eingestellt nach Anpassungen).
  • TUI: Datenschutzverstöße bei Buchungsdaten (Verwarnung 2020).
  • Kommunale Energieversorger: mehrere Bußgelder zwischen 5.000 € und 50.000 € für unzulässige Bonitätsabfragen.

5. Beratung und Prüftätigkeit

Die LfD führt anlassbezogene und proaktive Prüfungen durch. Schwerpunkte 2024/2025: Cookie-Banner, Microsoft 365 in Schulen, Beschäftigten-Tracking, KI-Tools. Beratung kostenfrei für KMU und öffentliche Stellen.

6. Meldung von Datenschutzverletzungen

Pflicht nach DSGVO Art. 33 binnen 72 Stunden. Meldung über Online-Formular auf lfd.niedersachsen.de. Details siehe Datenpanne melden.

7. Beschwerden Betroffener

Online-Beschwerdeformular oder schriftlich. Bearbeitungsdauer typisch 3-9 Monate. Recht auf Beschwerde nach Art. 77 DSGVO unabhängig vom Wohnsitz, solange Verantwortlicher Sitz in Niedersachsen hat.

8. Tätigkeitsbericht 2024

Ca. 4.500 Beschwerden (+12% YoY), 2.100 Datenpannenmeldungen, 18 verhängte Bußgelder mit Gesamtvolumen von 1,8 Mio. €. Bearbeitungszeit verlängert wegen Personalmangel.

9. Schwerpunkte 2026

  • Beschäftigtendatenschutz (KI-basierte Bewerberauswahl).
  • Microsoft 365 in Verwaltung und Schulen.
  • DSGVO-konformer Einsatz von Telematik (Versicherer, Logistik).
  • Internationale Datentransfers nach Trump-II-Ära.

10. Praxistipp für Unternehmen

Frühzeitige Kontaktaufnahme bei größeren Projekten (DSFA-Pflicht nach Art. 35). Die LfD bevorzugt kooperative Verfahren — wer transparent meldet, fährt regelmäßig besser als wer auf Zeit spielt.

11. Tool-Unterstützung

Legiscope erstellt automatisierte Datenpannenmeldungen im Format der LfD Niedersachsen, inklusive Vorprüfung der Meldepflicht nach Art. 33.

12. Tätigkeitsberichte 2022-2024 im Vergleich

Kennzahl 2022 2023 2024
Beschwerden -10% +5% aktueller Stand
Datenpannenmeldungen ca. 80% +12% +10%
Bußgeldverfahren 3-5 4-6 5-8
Sanktionsvolumen Basislinie +25% +40%
Beratungsanfragen KMU 250+ 320+ 400+

Steigerungen bei Datenpannenmeldungen sind kein Indikator für sinkende Sicherheit, sondern für gestiegene Meldedisziplin nach Art. 33 DSGVO. Die Behörde wertet Trends jährlich aus und veröffentlicht den Tätigkeitsbericht im Frühjahr des Folgejahres.

13. Vergleich mit Nachbar-Ländern

Land Personal Sanktionsvolumen 2024 Profil
Bayern (BayLDA) 110 7.500.000 € sanktionsstark
Berlin (BlnBDI) 90 3.200.000 € strikt zu Big Tech
Hamburg (HmbBfDI) 50 1.900.000 € konsumentenstark
NRW (LDI NRW) 130 4.100.000 € industrieorientiert
Hessen (HBDI) 100 2.600.000 € finanzfokussiert
Baden-Württemberg (LfDI BW) 80 1.800.000 € technisch-präzise

Wer Niederlassungen in mehreren Ländern hat, sollte die unterschiedlichen Stile kennen — siehe etwa BayLDA oder, direkt im Nordwesten, die LfDI Bremen. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde.

14. Konkrete Sanktionsfälle (anonymisierte Auswertung)

Typische Verstöße in den letzten 24 Monaten:

  • Cookie-Banner ohne echte Ablehnoption (TTDSG § 25): Bußgelder 5.000-25.000 € im Mittelstand.
  • Unverschlüsselte E-Mails mit Gesundheitsdaten: 8.000-65.000 €.
  • Mitarbeiterüberwachung ohne Information (Art. 13 DSGVO): 15.000-50.000 €.
  • AVV fehlend oder veraltet (Art. 28): 5.000-30.000 € — siehe Auftragsverarbeitungsvertrag AVV.
  • Bewerberdaten zu lange gespeichert (Art. 5 Abs. 1 lit. e): 3.000-20.000 €.
  • Offene Backup-Server, ungesicherte Datenbank-Snapshots (Art. 32): 20.000-120.000 €.

Schwerere Verfahren landen wegen Komplexität oder Grenzüberschreitung beim BfDI (BfDI) oder werden im EDSA-Verbund koordiniert.

15. Häufige Fehler in regionalen KMU

  1. Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister, Druckerei, Lohnbüro.
  2. Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung (Schrems II / TIA).
  3. Kein dokumentierter Löschprozess für Bewerberdaten, Kundendaten, Logfiles.
  4. Cookie-Banner ohne echte Ablehnoption gem. TTDSG § 25.
  5. Bilder von Veranstaltungen ohne Einwilligungsdokumentation.
  6. Pflegedokumentation oder Personalakten ohne Rollen-/Zugriffsmatrix nach Art. 32.
  7. Externe Newsletter-Versender ohne Double-Opt-In-Nachweis.
  8. Bewerberdaten länger als 6 Monate ohne Erlaubnistatbestand.
  9. Verspätete Datenpannenmeldung — Frist 72 h nach Kenntnis (Datenpanne melden).
  10. Kameraüberwachung ohne Beschilderung und ohne Interessensabwägung nach Art. 6 Abs. 1 lit. f.

16. Best Practices

Empfohlenes dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung mit DSB-Beteiligung. Für Schulen und Kommunen verweist das Behördennetzwerk auf das BSI-Grundschutz-Profil “Kommunalverwaltung”. Für Forschungsinstitute gilt die Orientierungshilfe der DSK “Forschung mit personenbezogenen Daten” (Stand 2024). Krankenhäuser sollten zusätzlich den B3S Medizin der DKG anwenden.

17. Internationale Datentransfers

Bei Drittlandstransfers nach Art. 44 ff. DSGVO sind seit Schrems II zwingend: SCC (Standard Contractual Clauses 2021/914), Transfer Impact Assessment (TIA) nach EDSA-Empfehlung 01/2020, dokumentierte zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Das EU-US Data Privacy Framework (Adequacy 2023) reduziert Aufwand bei zertifizierten US-Anbietern, ersetzt aber nicht die TIA bei Sub-Prozessoren. Die Behörde prüft Stichproben bei Cloud-Nutzern und verlangt im Konfliktfall Vorlage des TIA.

18. Der Notebooksbilliger-Fall

Das bekannteste niedersächsische Bußgeld ist nicht der VW-Fall, sondern die Sanktion gegen die Notebooksbilliger.de AG: 10,4 Mio. € (2020) wegen unzulässiger Videoüberwachung von Beschäftigten und Kunden. Das Unternehmen überwachte Mitarbeiter über mindestens zwei Jahre per Kamera, ohne dass ein hinreichender Anlass (etwa konkreter Diebstahlsverdacht) vorlag — ein struktureller Verstoß gegen Art. 5 und Art. 6 DSGVO. Der Fall gilt als eines der prägenden deutschen Verfahren zum Beschäftigtendatenschutz und unterstreicht die niedersächsische Schwerpunktsetzung bei Mitarbeiterüberwachung. Das LG Hannover reduzierte das Bußgeld später deutlich, bestätigte aber den Verstoß dem Grunde nach.

19. Amtliche Quellen und Rechtsgrundlagen

Fazit

Die LfD Niedersachsen ist pragmatisch, aber konsequent. Wer Beschäftigtendaten verarbeitet oder Forschung mit Personenbezug betreibt, sollte ihre Spruchpraxis kennen.

FAQ

Wo melde ich eine Datenpanne in Niedersachsen?

Über das Online-Formular unter lfd.niedersachsen.de oder per E-Mail an poststelle@lfd.niedersachsen.de.

Wie hoch war das VW-Bußgeld?

1,1 Mio. € (2022) wegen unzulässiger Videoüberwachung bei Testfahrten und fehlender Information der Probanden.

Wer ist aktuelle Landesdatenschutzbeauftragte?

Denise Dittrich-Weihrauch (seit 2022), Nachfolgerin von Barbara Thiel.

Welche Branchen prüft die LfD bevorzugt?

Automobilindustrie, kommunale Versorger, Tourismus, Landwirtschaft mit Telematik, Schulen mit Cloud-Software.

Welche Bearbeitungsdauer hat eine Beschwerde?

3-9 Monate, in komplexen Fällen länger. Personalmangel verlängert seit 2023 die Verfahren.

Wie funktioniert die DSFA-Konsultation?

Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA der Behörde vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert binnen acht Wochen, verlängerbar auf 14 Wochen. Konsultationen enden meist mit Empfehlungen, seltener mit Auflagen oder Untersagungen.

Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?

Bundesweit führen etwa 0,5-1,5 % der Beschwerden zu Bußgeldverfahren, weitere 5-10 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle enden mit Beratung, Hinweis oder vereinfachtem Verfahren. Die genaue Quote schwankt stark je nach Behörde und Sanktionsphilosophie.

Welche Rolle spielt die Behörde bei NIS2?

NIS2-Aufsicht liegt grundsätzlich beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und KRITIS-Sektoren überschneiden sich Datenschutz und Cybersicherheit. Die Datenschutzbehörde prüft die TOM nach Art. 32 DSGVO; gemeinsame Audits mit BSI sind möglich.

Wie läuft ein Beschwerdeverfahren konkret ab?

Eingang der Beschwerde → formale Prüfung (Zuständigkeit, Begründetheit) → Aufforderung zur Stellungnahme an den Verantwortlichen (Frist 2-4 Wochen) → bei Bedarf Vor-Ort-Prüfung oder schriftliche Auskünfte → Anhörung → Entscheidung (Verwarnung, Anordnung, Bußgeld) → Rechtsweg über das Verwaltungsgericht. Beschwerdeführer werden nach Art. 77 DSGVO über das Ergebnis informiert.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →