Datenschutz

LDA Brandenburg: Datenschutzaufsicht & Tesla

LDA Brandenburg 2026: Aufsicht unter Dagmar Hartge, Tesla Grünheide, Sanktionspraxis und aktuelle Schwerpunkte erklärt.

In einem Satz. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) mit Sitz in Kleinmachnow überwacht ca. 35.000 Unternehmen — geleitet seit 2010 von Dagmar Hartge, die durch die Aufsicht über Tesla Grünheide und das geplante BASF-Werk Schwarzheide in den Fokus gerückt ist.

Brandenburg hat sich vom strukturschwachen Land zur Industrieregion gewandelt — eine ähnliche Industrialisierungsdynamik begleitet der Sächsische Datenschutzbeauftragte im Silicon-Saxony-Cluster. Siehe ergänzend BfDI.

Wichtige Punkte

  • Sitz Kleinmachnow (südlich Berlin), ca. 35 Mitarbeitende.
  • Dagmar Hartge seit 2010, dienstältere Amtsinhaberin.
  • Aufsicht über Tesla Grünheide, BASF Schwarzheide.
  • Etwa 1.800 Beschwerden pro Jahr.
  • Schwerpunkte: Industrie, Logistik, Bahn.

1. Rechtsgrundlage

Brandenburgisches Datenschutzgesetz (BbgDSG), DSGVO Art. 51. Wahl durch Landtag, 6 Jahre.

2. Tesla-Aufsicht

Tesla Grünheide (seit 2022 in Betrieb) erzeugt Mass-Verarbeitung von Beschäftigtendaten, Werkschutz-Videoüberwachung, Lieferantendaten. Die LDA prüft seit 2021 mehrfach. Bislang keine veröffentlichten Bußgelder, aber laufende Beratungs- und Prüfverfahren.

3. Zuständigkeit

Bereich Beispiel Aufsicht
Privatunternehmen BB Tesla, BASF Schwarzheide LDA BB
Öffentliche Stellen Landesregierung LDA BB
Kommunen Potsdam, Cottbus LDA BB
Flughafen BER Eigengesellschaft LDA BB

4. Hartge-Profil

Dagmar Hartge (seit 2010) gilt als sachorientiert und dialogbereit. Schwerpunkte: Beschäftigtendatenschutz, kommunale IT, Schulen.

5. Sanktionspraxis

Moderate Linie: 5.000-50.000 € typisch. Höchste bekannte Sanktion: ca. 130.000 € gegen Logistikunternehmen (2023) wegen Beschäftigten-Tracking.

6. Bekannte Verfahren

  • Logistikunternehmen: 130.000 € wegen Geolokation Fahrer.
  • Tesla: laufende Beratungsverfahren (keine veröffentlichten Sanktionen).
  • Stadt Potsdam: Verwarnung wegen Cookie-Banner.

7. Schwerpunkte 2026

  • Tesla und Folge-Industrieansiedlungen.
  • BASF Schwarzheide (Chemie + Batterieproduktion).
  • Logistik und Bahn (Beschäftigten-Tracking).
  • Flughafen BER (Reisendendaten).

8. Datenpannenmeldung

Online-Formular auf lda.brandenburg.de. Frist 72 Stunden nach Art. 33. Siehe Datenpanne melden.

9. Beratung

Kostenlose schriftliche Beratung. Workshops für kommunale DSB. Veröffentlichung von Hinweisen zu Schulen, Cloud, KI.

10. Tätigkeitsbericht 2024

  • 1.800 Beschwerden
  • 850 Datenpannenmeldungen
  • 8 Bußgeldverfahren
  • 320.000 € Gesamtvolumen

11. Tool-Unterstützung

Legiscope liefert Industriestandort-Vorlagen für Beschäftigtendatenschutz und Werkschutz, kompatibel mit LDA-Anforderungen.

12. Tätigkeitsberichte 2022-2024 im Vergleich

Kennzahl 2022 2023 2024
Beschwerden -10% +5% aktueller Stand
Datenpannenmeldungen ca. 80% +12% +10%
Bußgeldverfahren 3-5 4-6 5-8
Sanktionsvolumen Basislinie +25% +40%
Beratungsanfragen KMU 250+ 320+ 400+

Steigerungen bei Datenpannenmeldungen sind kein Indikator für sinkende Sicherheit, sondern für gestiegene Meldedisziplin nach Art. 33 DSGVO. Die Behörde wertet Trends jährlich aus und veröffentlicht den Tätigkeitsbericht im Frühjahr des Folgejahres.

13. Vergleich mit Nachbar-Ländern

Land Personal Sanktionsvolumen 2024 Profil
Bayern (BayLDA) 110 7.500.000 € sanktionsstark
Berlin (BlnBDI) 90 3.200.000 € strikt zu Big Tech
Hamburg (HmbBfDI) 50 1.900.000 € konsumentenstark
NRW (LDI NRW) 130 4.100.000 € industrieorientiert
Hessen (HBDI) 100 2.600.000 € finanzfokussiert
Baden-Württemberg (LfDI BW) 80 1.800.000 € technisch-präzise

Wer Niederlassungen in mehreren Ländern hat, sollte die unterschiedlichen Stile kennen — siehe etwa BayLDA oder die Datenschutzaufsicht in Thüringen. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde.

14. Konkrete Sanktionsfälle (anonymisierte Auswertung)

Typische Verstöße in den letzten 24 Monaten:

  • Cookie-Banner ohne echte Ablehnoption (TTDSG § 25): Bußgelder 5.000-25.000 € im Mittelstand.
  • Unverschlüsselte E-Mails mit Gesundheitsdaten: 8.000-65.000 €.
  • Mitarbeiterüberwachung ohne Information (Art. 13 DSGVO): 15.000-50.000 €.
  • AVV fehlend oder veraltet (Art. 28): 5.000-30.000 € — siehe Auftragsverarbeitungsvertrag AVV.
  • Bewerberdaten zu lange gespeichert (Art. 5 Abs. 1 lit. e): 3.000-20.000 €.
  • Offene Backup-Server, ungesicherte Datenbank-Snapshots (Art. 32): 20.000-120.000 €.

Schwerere Verfahren landen wegen Komplexität oder Grenzüberschreitung beim BfDI (BfDI) oder werden im EDSA-Verbund koordiniert.

15. Häufige Fehler in regionalen KMU

  1. Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister, Druckerei, Lohnbüro.
  2. Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung (Schrems II / TIA).
  3. Kein dokumentierter Löschprozess für Bewerberdaten, Kundendaten, Logfiles.
  4. Cookie-Banner ohne echte Ablehnoption gem. TTDSG § 25.
  5. Bilder von Veranstaltungen ohne Einwilligungsdokumentation.
  6. Pflegedokumentation oder Personalakten ohne Rollen-/Zugriffsmatrix nach Art. 32.
  7. Externe Newsletter-Versender ohne Double-Opt-In-Nachweis.
  8. Bewerberdaten länger als 6 Monate ohne Erlaubnistatbestand.
  9. Verspätete Datenpannenmeldung — Frist 72 h nach Kenntnis (Datenpanne melden).
  10. Kameraüberwachung ohne Beschilderung und ohne Interessensabwägung nach Art. 6 Abs. 1 lit. f.

16. Best Practices

Empfohlenes dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung mit DSB-Beteiligung. Für Schulen und Kommunen verweist das Behördennetzwerk auf das BSI-Grundschutz-Profil “Kommunalverwaltung”. Für Forschungsinstitute gilt die Orientierungshilfe der DSK “Forschung mit personenbezogenen Daten” (Stand 2024). Krankenhäuser sollten zusätzlich den B3S Medizin der DKG anwenden.

17. Internationale Datentransfers

Bei Drittlandstransfers nach Art. 44 ff. DSGVO sind seit Schrems II zwingend: SCC (Standard Contractual Clauses 2021/914), Transfer Impact Assessment (TIA) nach EDSA-Empfehlung 01/2020, dokumentierte zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Das EU-US Data Privacy Framework (Adequacy 2023) reduziert Aufwand bei zertifizierten US-Anbietern, ersetzt aber nicht die TIA bei Sub-Prozessoren. Die Behörde prüft Stichproben bei Cloud-Nutzern und verlangt im Konfliktfall Vorlage des TIA.

Fazit

Brandenburg ist im Wandel — von Strukturschwäche zur Industrieregion. Die LDA unter Hartge ist auf Großprojekte vorbereitet und sucht den Dialog mit Unternehmen.

FAQ

Wer leitet die Aufsicht in Brandenburg?

Dagmar Hartge, im Amt seit 2010, eine der dienstältesten Landesdatenschutzbeauftragten Deutschlands.

Welche Großindustrien stehen unter Aufsicht?

Tesla Grünheide, BASF Schwarzheide, Flughafen BER, Logistikzentren rund um Berlin.

Wo melde ich Datenpannen?

Online auf lda.brandenburg.de oder per E-Mail an poststelle@lda.brandenburg.de.

Welche Bußgeldhöhen sind üblich?

5.000-50.000 € im Mittelstand; höchste bekannte Sanktion 130.000 €.

Gibt es bereits Tesla-Bußgelder?

Bislang keine veröffentlichten Sanktionen, aber laufende Prüf- und Beratungsverfahren seit Werksstart 2022.

Wie funktioniert die DSFA-Konsultation?

Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA der Behörde vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert binnen acht Wochen, verlängerbar auf 14 Wochen. Konsultationen enden meist mit Empfehlungen, seltener mit Auflagen oder Untersagungen.

Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?

Bundesweit führen etwa 0,5-1,5 % der Beschwerden zu Bußgeldverfahren, weitere 5-10 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle enden mit Beratung, Hinweis oder vereinfachtem Verfahren. Die genaue Quote schwankt stark je nach Behörde und Sanktionsphilosophie.

Welche Rolle spielt die Behörde bei NIS2?

NIS2-Aufsicht liegt grundsätzlich beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und KRITIS-Sektoren überschneiden sich Datenschutz und Cybersicherheit. Die Datenschutzbehörde prüft die TOM nach Art. 32 DSGVO; gemeinsame Audits mit BSI sind möglich.

Wie läuft ein Beschwerdeverfahren konkret ab?

Eingang der Beschwerde → formale Prüfung (Zuständigkeit, Begründetheit) → Aufforderung zur Stellungnahme an den Verantwortlichen (Frist 2-4 Wochen) → bei Bedarf Vor-Ort-Prüfung oder schriftliche Auskünfte → Anhörung → Entscheidung (Verwarnung, Anordnung, Bußgeld) → Rechtsweg über das Verwaltungsgericht. Beschwerdeführer werden nach Art. 77 DSGVO über das Ergebnis informiert.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →