In einem Satz. Der Sächsische Datenschutzbeauftragte (SDB) mit Sitz in Dresden überwacht ca. 80.000 Unternehmen und alle öffentlichen Stellen Sachsens — geleitet seit 2021 von Juliane Hundert, die als jüngste deutsche Landesdatenschutzbeauftragte einen modernisierungs- und digitalisierungsorientierten Stil prägt.
Sachsen ist Industriestandort (VW Zwickau, Bosch Dresden, GlobalFoundries) und IT-Cluster (Silicon Saxony). Siehe ergänzend BfDI.
Wichtige Punkte
- Sitz Dresden, ca. 40 Mitarbeitende.
- Juliane Hundert seit 2021, vorher Vize.
- Aufsicht über Halbleiterindustrie und Automobilzulieferer.
- Etwa 2.500 Beschwerden pro Jahr.
- Schwerpunkte: KI, Industrie 4.0, Smart Cities.
1. Rechtsgrundlage
Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG), DSGVO Art. 51. Wahl durch Landtag, 6 Jahre.
2. Zuständigkeit
| Bereich | Beispiel | Aufsicht |
|---|---|---|
| Privatunternehmen Sachsen | VW Zwickau, Bosch DD | SDB |
| Öffentliche Stellen | Staatsministerien | SDB |
| Kommunen | Dresden, Leipzig | SDB |
| Polizei und Justiz Sachsen | LKA Sachsen | SDB |
3. Hundert-Profil
Juliane Hundert (Jahrgang 1986) zählt zu den jüngsten Datenschutzbeauftragten Deutschlands. Schwerpunkte: Digitalisierung der Verwaltung, KI-Aufsicht, Smart-City-Projekte.
4. Sanktionspraxis
Eher moderat: typische Bußgelder 5.000-50.000 €. Höchste bekannte Sanktion: ca. 300.000 € gegen einen Versicherer (2022) wegen unzulässiger Gesundheitsdatenverarbeitung.
5. Bekannte Verfahren
- Halbleiterhersteller: Verwarnung wegen Beschäftigten-Tracking.
- Stadt Leipzig: Mängelrüge zu Microsoft 365 in Schulverwaltung.
- Versicherer: 300.000 € Bußgeld wegen Gesundheitsdaten.
6. Schwerpunkte 2026
- KI im Halbleiterbereich (Vision-Systeme).
- Industrie-4.0-Datenpooling.
- Smart-City Dresden und Chemnitz (Kulturhauptstadt 2025).
- Cyber-Vorfälle in kommunaler IT.
7. Meldepflichten
Datenpannen über Online-Formular auf datenschutz.sachsen.de. Frist 72 Stunden. Siehe Datenpanne melden.
8. Beratungsangebot
Kostenlose Beratung für KMU. Sächsisches “DSGVO-Forum” jährlich in Dresden. Praxisleitfäden für Kommunen und Schulen.
9. Beschwerden
Bearbeitungsdauer 3-7 Monate. Online-Beschwerdeportal seit 2023. Hauptbeschwerdegrund: Auskunftsrecht nach Art. 15 (siehe Auskunftsrecht DSGVO).
10. Tätigkeitsbericht 2024
- 2.500 Beschwerden
- 1.100 Datenpannenmeldungen
- 9 Bußgeldverfahren
- 540.000 € Gesamtvolumen
11. Tool-Unterstützung
Legiscope unterstützt sächsische Industrieunternehmen bei DSGVO und NIS2 Deutschland.
12. Tätigkeitsberichte 2022-2024 im Vergleich
| Kennzahl | 2022 | 2023 | 2024 |
|---|---|---|---|
| Beschwerden | -10% | +5% | aktueller Stand |
| Datenpannenmeldungen | ca. 80% | +12% | +10% |
| Bußgeldverfahren | 3-5 | 4-6 | 5-8 |
| Sanktionsvolumen | Basislinie | +25% | +40% |
| Beratungsanfragen KMU | 250+ | 320+ | 400+ |
Steigerungen bei Datenpannenmeldungen sind kein Indikator für sinkende Sicherheit, sondern für gestiegene Meldedisziplin nach Art. 33 DSGVO. Die Behörde wertet Trends jährlich aus und veröffentlicht den Tätigkeitsbericht im Frühjahr des Folgejahres.
13. Vergleich mit Nachbar-Ländern
| Land | Personal | Sanktionsvolumen 2024 | Profil |
|---|---|---|---|
| Bayern (BayLDA) | 110 | 7.500.000 € | sanktionsstark |
| Berlin (BlnBDI) | 90 | 3.200.000 € | strikt zu Big Tech |
| Hamburg (HmbBfDI) | 50 | 1.900.000 € | konsumentenstark |
| NRW (LDI NRW) | 130 | 4.100.000 € | industrieorientiert |
| Hessen (HBDI) | 100 | 2.600.000 € | finanzfokussiert |
| Baden-Württemberg (LfDI BW) | 80 | 1.800.000 € | technisch-präzise |
Wer Niederlassungen in mehreren Ländern hat, sollte die unterschiedlichen Stile kennen — siehe etwa BayLDA. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde.
14. Konkrete Sanktionsfälle (anonymisierte Auswertung)
Typische Verstöße in den letzten 24 Monaten:
- Cookie-Banner ohne echte Ablehnoption (TTDSG § 25): Bußgelder 5.000-25.000 € im Mittelstand.
- Unverschlüsselte E-Mails mit Gesundheitsdaten: 8.000-65.000 €.
- Mitarbeiterüberwachung ohne Information (Art. 13 DSGVO): 15.000-50.000 €.
- AVV fehlend oder veraltet (Art. 28): 5.000-30.000 € — siehe Auftragsverarbeitungsvertrag AVV.
- Bewerberdaten zu lange gespeichert (Art. 5 Abs. 1 lit. e): 3.000-20.000 €.
- Offene Backup-Server, ungesicherte Datenbank-Snapshots (Art. 32): 20.000-120.000 €.
Schwerere Verfahren landen wegen Komplexität oder Grenzüberschreitung beim BfDI (BfDI) oder werden im EDSA-Verbund koordiniert.
15. Häufige Fehler in regionalen KMU
- Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister, Druckerei, Lohnbüro.
- Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung (Schrems II / TIA).
- Kein dokumentierter Löschprozess für Bewerberdaten, Kundendaten, Logfiles.
- Cookie-Banner ohne echte Ablehnoption gem. TTDSG § 25.
- Bilder von Veranstaltungen ohne Einwilligungsdokumentation.
- Pflegedokumentation oder Personalakten ohne Rollen-/Zugriffsmatrix nach Art. 32.
- Externe Newsletter-Versender ohne Double-Opt-In-Nachweis.
- Bewerberdaten länger als 6 Monate ohne Erlaubnistatbestand.
- Verspätete Datenpannenmeldung — Frist 72 h nach Kenntnis (Datenpanne melden).
- Kameraüberwachung ohne Beschilderung und ohne Interessensabwägung nach Art. 6 Abs. 1 lit. f.
16. Best Practices
Empfohlenes dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung mit DSB-Beteiligung. Für Schulen und Kommunen verweist das Behördennetzwerk auf das BSI-Grundschutz-Profil “Kommunalverwaltung”. Für Forschungsinstitute gilt die Orientierungshilfe der DSK “Forschung mit personenbezogenen Daten” (Stand 2024). Krankenhäuser sollten zusätzlich den B3S Medizin der DKG anwenden.
17. Internationale Datentransfers
Bei Drittlandstransfers nach Art. 44 ff. DSGVO sind seit Schrems II zwingend: SCC (Standard Contractual Clauses 2021/914), Transfer Impact Assessment (TIA) nach EDSA-Empfehlung 01/2020, dokumentierte zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Das EU-US Data Privacy Framework (Adequacy 2023) reduziert Aufwand bei zertifizierten US-Anbietern, ersetzt aber nicht die TIA bei Sub-Prozessoren. Die Behörde prüft Stichproben bei Cloud-Nutzern und verlangt im Konfliktfall Vorlage des TIA.
18. Detailaspekte zur Aufsichtspraxis
Die Behörde nutzt ein dreistufiges Eskalationsmodell: (1) informelle Hinweise per E-Mail, (2) förmliche Anhörung mit Fristsetzung, (3) Bußgeldverfahren oder Anordnung. In 80 % der Fälle endet das Verfahren bereits in Stufe 1 oder 2. Mitwirkung wirkt sich strafmildernd aus — vollständige Unterlagen, schnelle Antwort, eigenständig nachgebesserte Defizite reduzieren das Bußgeld um typisch 30-50 %.
Bei wiederholten Verstößen oder grober Fahrlässigkeit greift die maximale Bußgeldhöhe nach Art. 83 Abs. 5 DSGVO (bis 20 Mio. € oder 4 % Konzernumsatz). Die EDSA-Leitlinie 4/2022 zur Bußgeldberechnung ist verbindliche Grundlage — Behörden weichen nur in begründeten Ausnahmefällen ab.
19. Kooperation mit anderen Behörden
Die Behörde kooperiert über die Datenschutzkonferenz (DSK) mit allen Länderbehörden und dem BfDI — besonders eng ist der Austausch mit den Nachbarbehörden wie dem TLfDI in Thüringen und dem LfD Sachsen-Anhalt. Gemeinsame Beschlüsse betreffen bundesweite Standards (z.B. Microsoft 365, Cookie-Banner, Beschäftigtendaten). Auf EU-Ebene über den Europäischen Datenschutzausschuss (EDSA) — One-Stop-Shop-Verfahren mit federführender Behörde. Bei Cybersecurity-Vorfällen Schnittstelle zum BSI über die NIS2 Deutschland-Umsetzung.
Fazit
Sachsen ist ein wachsender Industrie- und IT-Standort mit moderner, pragmatischer Datenschutzaufsicht. Hundert sucht den Dialog, sanktioniert aber konsequent bei systematischen Verstößen.
FAQ
Wer ist sächsische Datenschutzbeauftragte?
Juliane Hundert, im Amt seit 2021, zuvor stellvertretende Datenschutzbeauftragte.
Welche Industrien stehen unter Aufsicht?
VW Zwickau, Bosch Dresden, GlobalFoundries, Infineon, X-Fab — der gesamte Silicon-Saxony-Cluster.
Wo melde ich Datenpannen in Sachsen?
Online auf datenschutz.sachsen.de oder per E-Mail an saechsdsb@slt.sachsen.de.
Welche Bußgeldhöhen sind üblich?
5.000 € bis 50.000 € im Mittelstand, höchste bekannte Sanktion ca. 300.000 €.
Was sind aktuelle Schwerpunkte?
KI im Industriekontext, Smart Cities, kommunale Cybersicherheit, Schulen und Microsoft 365.
Wie funktioniert die DSFA-Konsultation?
Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA der Behörde vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert binnen acht Wochen, verlängerbar auf 14 Wochen. Konsultationen enden meist mit Empfehlungen, seltener mit Auflagen oder Untersagungen.
Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?
Bundesweit führen etwa 0,5-1,5 % der Beschwerden zu Bußgeldverfahren, weitere 5-10 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle enden mit Beratung, Hinweis oder vereinfachtem Verfahren. Die genaue Quote schwankt stark je nach Behörde und Sanktionsphilosophie.
Welche Rolle spielt die Behörde bei NIS2?
NIS2-Aufsicht liegt grundsätzlich beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und KRITIS-Sektoren überschneiden sich Datenschutz und Cybersicherheit. Die Datenschutzbehörde prüft die TOM nach Art. 32 DSGVO; gemeinsame Audits mit BSI sind möglich.
Wie läuft ein Beschwerdeverfahren konkret ab?
Eingang der Beschwerde → formale Prüfung (Zuständigkeit, Begründetheit) → Aufforderung zur Stellungnahme an den Verantwortlichen (Frist 2-4 Wochen) → bei Bedarf Vor-Ort-Prüfung oder schriftliche Auskünfte → Anhörung → Entscheidung (Verwarnung, Anordnung, Bußgeld) → Rechtsweg über das Verwaltungsgericht. Beschwerdeführer werden nach Art. 77 DSGVO über das Ergebnis informiert.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial