In einem Satz. Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt (LfD ST) mit Sitz in Magdeburg überwacht ca. 50.000 Unternehmen und alle öffentlichen Stellen — geleitet von Albert Cohaus, mit Schwerpunkten Chemiestandort Bitterfeld-Wolfen, Tesla-Zulieferer und kommunale Verwaltung.
Sachsen-Anhalt ist klein, aber mit Standorten wie Dow Chemical, BASF Schwarzheide (Brandenburg-nah) und Intel-Zukunftsstandort Magdeburg ein bedeutender Industriestandort. Siehe ergänzend BfDI.
Wichtige Punkte
- Sitz Magdeburg, ca. 25 Mitarbeitende — eine der kleineren Länderbehörden.
- Aufsicht über Intel-Werk Magdeburg (in Planung), Chemiepark Bitterfeld.
- Etwa 1.500 Beschwerden pro Jahr.
- Schwerpunkte: Chemie, Energie, kommunale IT.
- Tätigkeitsbericht typisch im April.
1. Rechtsgrundlage
Grundlage der Aufsicht sind das Datenschutzgesetz Sachsen-Anhalt (DSG-LSA) und die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Nach Art. 51 DSGVO richtet jeder Mitgliedstaat unabhängige Aufsichtsbehörden ein; der LfD Sachsen-Anhalt wird vom Landtag für sechs Jahre gewählt und ist ausschließlich dem Gesetz verpflichtet und weisungsfrei. Die offizielle Website des LfD Sachsen-Anhalt veröffentlicht Tätigkeitsberichte, Orientierungshilfen und Meldeformulare. Verbindliche Auslegungsmaßstäbe liefern die Leitlinien des Europäischen Datenschutzausschusses (EDSA), die die Behörde im Rahmen des Kohärenzverfahrens nach Art. 63 DSGVO anwendet. Ergänzend gilt das Bundesdatenschutzgesetz (BDSG), soweit es Öffnungsklauseln der DSGVO — etwa zum Beschäftigtendatenschutz nach § 26 BDSG — ausfüllt.
2. Zuständigkeit
| Bereich | Beispiel | Aufsicht |
|---|---|---|
| Privatunternehmen ST | Dow Bitterfeld | LfD ST |
| Öffentliche Stellen Land | Landesregierung | LfD ST |
| Kommunen | Magdeburg, Halle | LfD ST |
| Geplante Mega-Projekte | Intel-Werk | LfD ST |
3. Aktuelle Leitung
Albert Cohaus, seit 2014 im Amt (mehrfach wiedergewählt). Erfahrener Verwaltungsjurist, pragmatischer Ansatz, dialogorientiert.
4. Sanktionspraxis
Eher moderat: 5.000-30.000 € typisch. Höchste bekannte Sanktion: ca. 65.000 € gegen einen Online-Händler (2022) wegen unzulässiger Bonitätsprüfung.
5. Bekannte Verfahren
- Sparkasse Mitteldeutschland: Verwarnung wegen SCHUFA-Übermittlungen.
- Klinikum Magdeburg: Anordnung zur Verbesserung Patientendaten-IT.
- Online-Händler: 65.000 € wegen Art. 6 DSGVO.
6. Schwerpunkte 2026
- Intel-Halbleiterwerk Magdeburg (Datenschutzkonzept).
- Chemiepark Bitterfeld (Beschäftigte, Forschungsdaten).
- Kommunale Cybersicherheit (NIS2-relevant).
- Schulen und Microsoft 365.
7. Datenpannenmeldung
Online-Formular auf datenschutz.sachsen-anhalt.de. Frist 72 Stunden nach Art. 33. Siehe Datenpanne melden.
8. Beratung
Kostenlose Beratung, Workshops für kommunale DSB. Veröffentlichung von Hinweisen zu aktuellen Themen (KI, Cloud).
9. Beschwerden
Bearbeitungsdauer 3-9 Monate. Online-Formular oder Brief an Leiterstraße 9, Magdeburg.
10. Tätigkeitsbericht 2024
- 1.500 Beschwerden
- 700 Datenpannenmeldungen
- 6 Bußgeldverfahren
- 180.000 € Gesamtvolumen
11. Tool-Unterstützung
Legiscope liefert DSGVO-Compliance-Lösungen für Industriestandorte und Kommunen in Sachsen-Anhalt.
12. Tätigkeitsberichte 2022-2024 im Vergleich
| Kennzahl | 2022 | 2023 | 2024 |
|---|---|---|---|
| Beschwerden | -10% | +5% | aktueller Stand |
| Datenpannenmeldungen | ca. 80% | +12% | +10% |
| Bußgeldverfahren | 3-5 | 4-6 | 5-8 |
| Sanktionsvolumen | Basislinie | +25% | +40% |
| Beratungsanfragen KMU | 250+ | 320+ | 400+ |
Steigerungen bei Datenpannenmeldungen sind kein Indikator für sinkende Sicherheit, sondern für gestiegene Meldedisziplin nach Art. 33 DSGVO. Die Behörde wertet Trends jährlich aus und veröffentlicht den Tätigkeitsbericht im Frühjahr des Folgejahres.
13. Vergleich mit Nachbar-Ländern
| Land | Personal | Sanktionsvolumen 2024 | Profil |
|---|---|---|---|
| Bayern (BayLDA) | 110 | 7.500.000 € | sanktionsstark |
| Berlin (BlnBDI) | 90 | 3.200.000 € | strikt zu Big Tech |
| Hamburg (HmbBfDI) | 50 | 1.900.000 € | konsumentenstark |
| NRW (LDI NRW) | 130 | 4.100.000 € | industrieorientiert |
| Hessen (HBDI) | 100 | 2.600.000 € | finanzfokussiert |
| Baden-Württemberg (LfDI BW) | 80 | 1.800.000 € | technisch-präzise |
Wer Niederlassungen in mehreren Ländern hat, sollte die unterschiedlichen Stile kennen — siehe etwa BayLDA oder die Landesbeauftragte für Datenschutz in Bremen. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde.
14. Konkrete Sanktionsfälle (anonymisierte Auswertung)
Typische Verstöße in den letzten 24 Monaten:
- Cookie-Banner ohne echte Ablehnoption (TTDSG § 25): Bußgelder 5.000-25.000 € im Mittelstand.
- Unverschlüsselte E-Mails mit Gesundheitsdaten: 8.000-65.000 €.
- Mitarbeiterüberwachung ohne Information (Art. 13 DSGVO): 15.000-50.000 €.
- AVV fehlend oder veraltet (Art. 28): 5.000-30.000 € — siehe Auftragsverarbeitungsvertrag AVV.
- Bewerberdaten zu lange gespeichert (Art. 5 Abs. 1 lit. e): 3.000-20.000 €.
- Offene Backup-Server, ungesicherte Datenbank-Snapshots (Art. 32): 20.000-120.000 €.
Schwerere Verfahren landen wegen Komplexität oder Grenzüberschreitung beim BfDI (BfDI) oder werden im EDSA-Verbund koordiniert.
15. Häufige Fehler in regionalen KMU
- Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister, Druckerei, Lohnbüro.
- Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung (Schrems II / TIA).
- Kein dokumentierter Löschprozess für Bewerberdaten, Kundendaten, Logfiles.
- Cookie-Banner ohne echte Ablehnoption gem. TTDSG § 25.
- Bilder von Veranstaltungen ohne Einwilligungsdokumentation.
- Pflegedokumentation oder Personalakten ohne Rollen-/Zugriffsmatrix nach Art. 32.
- Externe Newsletter-Versender ohne Double-Opt-In-Nachweis.
- Bewerberdaten länger als 6 Monate ohne Erlaubnistatbestand.
- Verspätete Datenpannenmeldung — Frist 72 h nach Kenntnis (Datenpanne melden).
- Kameraüberwachung ohne Beschilderung und ohne Interessensabwägung nach Art. 6 Abs. 1 lit. f.
16. Best Practices
Empfohlenes dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung mit DSB-Beteiligung. Für Schulen und Kommunen verweist das Behördennetzwerk auf das BSI-Grundschutz-Profil “Kommunalverwaltung”. Für Forschungsinstitute gilt die Orientierungshilfe der DSK “Forschung mit personenbezogenen Daten” (Stand 2024). Krankenhäuser sollten zusätzlich den B3S Medizin der DKG anwenden.
17. Internationale Datentransfers
Bei Drittlandstransfers nach Art. 44 ff. DSGVO sind seit Schrems II zwingend: SCC (Standard Contractual Clauses 2021/914), Transfer Impact Assessment (TIA) nach EDSA-Empfehlung 01/2020, dokumentierte zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Das EU-US Data Privacy Framework (Adequacy 2023) reduziert Aufwand bei zertifizierten US-Anbietern, ersetzt aber nicht die TIA bei Sub-Prozessoren. Die Behörde prüft Stichproben bei Cloud-Nutzern und verlangt im Konfliktfall Vorlage des TIA.
18. Detailaspekte zur Aufsichtspraxis
Die Behörde nutzt ein dreistufiges Eskalationsmodell: (1) informelle Hinweise per E-Mail, (2) förmliche Anhörung mit Fristsetzung, (3) Bußgeldverfahren oder Anordnung. In 80 % der Fälle endet das Verfahren bereits in Stufe 1 oder 2. Mitwirkung wirkt sich strafmildernd aus — vollständige Unterlagen, schnelle Antwort, eigenständig nachgebesserte Defizite reduzieren das Bußgeld um typisch 30-50 %.
Bei wiederholten Verstößen oder grober Fahrlässigkeit greift die maximale Bußgeldhöhe nach Art. 83 Abs. 5 DSGVO (bis 20 Mio. € oder 4 % Konzernumsatz). Die EDSA-Leitlinie 4/2022 zur Bußgeldberechnung ist verbindliche Grundlage — Behörden weichen nur in begründeten Ausnahmefällen ab.
19. Kooperation mit anderen Behörden
Die Behörde kooperiert über die Datenschutzkonferenz (DSK) mit allen Länderbehörden und dem BfDI. Gemeinsame Beschlüsse betreffen bundesweite Standards (z.B. Microsoft 365, Cookie-Banner, Beschäftigtendaten) — beim Beschäftigtendatenschutz prägend: die LfD Niedersachsen mit dem VW-Bußgeld. Auf EU-Ebene über den Europäischen Datenschutzausschuss (EDSA) — One-Stop-Shop-Verfahren mit federführender Behörde. Bei Cybersecurity-Vorfällen Schnittstelle zum BSI über die NIS2 Deutschland-Umsetzung.
Fazit
Klein, aber wachsend. Mit Intel-Ansiedlung dürfte der Aufsichtsdruck in Magdeburg deutlich steigen. Wer im Land verarbeitet, sollte den dialogorientierten Stil des LfD nutzen.
FAQ
Wer leitet die Aufsicht in Sachsen-Anhalt?
Albert Cohaus, seit 2014 im Amt, mehrfach vom Landtag wiedergewählt.
Welche Großprojekte stehen an?
Das geplante Intel-Halbleiterwerk Magdeburg wird einer der größten europäischen Datenschutzfälle werden — Aufsicht durch LfD ST.
Wo melde ich Datenpannen?
Online auf datenschutz.sachsen-anhalt.de oder per E-Mail an poststelle@lfd.sachsen-anhalt.de.
Welche Bußgeldhöhen sind üblich?
5.000-30.000 € typisch, höchste bekannte Sanktion 65.000 €.
Welche Branchen sind besonders relevant?
Chemie (Bitterfeld), Energie, künftig Halbleiter (Intel), Gesundheitswesen, kommunale Verwaltung.
Wie funktioniert die DSFA-Konsultation?
Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA der Behörde vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert binnen acht Wochen, verlängerbar auf 14 Wochen. Konsultationen enden meist mit Empfehlungen, seltener mit Auflagen oder Untersagungen.
Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?
Bundesweit führen etwa 0,5-1,5 % der Beschwerden zu Bußgeldverfahren, weitere 5-10 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle enden mit Beratung, Hinweis oder vereinfachtem Verfahren. Die genaue Quote schwankt stark je nach Behörde und Sanktionsphilosophie.
Welche Rolle spielt die Behörde bei NIS2?
NIS2-Aufsicht liegt grundsätzlich beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und KRITIS-Sektoren überschneiden sich Datenschutz und Cybersicherheit. Die Datenschutzbehörde prüft die TOM nach Art. 32 DSGVO; gemeinsame Audits mit BSI sind möglich.
Wie läuft ein Beschwerdeverfahren konkret ab?
Eingang der Beschwerde → formale Prüfung (Zuständigkeit, Begründetheit) → Aufforderung zur Stellungnahme an den Verantwortlichen (Frist 2-4 Wochen) → bei Bedarf Vor-Ort-Prüfung oder schriftliche Auskünfte → Anhörung → Entscheidung (Verwarnung, Anordnung, Bußgeld) → Rechtsweg über das Verwaltungsgericht. Beschwerdeführer werden nach Art. 77 DSGVO über das Ergebnis informiert.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial