Datenschutz

ULD Schleswig-Holstein: Marit Hansen & Pionierarbeit

ULD Schleswig-Holstein 2026: Marit Hansen, Datenschutzgütesiegel, US-Cloud-Verbote — eine der progressivsten DPAs Deutschlands.

In einem Satz. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mit Sitz in Kiel ist eine der technisch und konzeptionell fortschrittlichsten Datenschutzbehörden Europas — geleitet von Dr. Marit Hansen (seit 2015), bekannt für Pionierarbeit zu Datenschutzgütesiegel, Privacy-by-Design und kritischer Microsoft/US-Cloud-Position.

Das ULD ist klein (ca. 50 Mitarbeitende), aber überdurchschnittlich einflussreich — Forschungsprojekte mit ENISA, EDPS, ICO. An der Ostseeküste grenzt der Zuständigkeitsbereich an die Datenschutzaufsicht in Mecklenburg-Vorpommern, die kleinste deutsche Länderbehörde. Siehe ergänzend BfDI.

Wichtige Punkte

  • Sitz Kiel, ca. 50 Mitarbeitende.
  • Dr. Marit Hansen seit 2015, Pionierin Privacy-by-Design.
  • 2022: faktisches Verbot Microsoft 365 in Schulen Schleswig-Holsteins.
  • Datenschutzgütesiegel seit 2001 (eines der ersten weltweit).
  • Stark in Forschung und EU-Kooperationen.

1. Rechtsgrundlage

Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH), DSGVO Art. 51. Wahl durch Landtag, 6 Jahre.

2. Hansen-Profil

Dr. Marit Hansen (Informatikerin, vorher Vize-Datenschutzbeauftragte) bringt technische Tiefe ins Amt. Mitbegründerin internationaler Standards zu Privacy-Engineering. Mehrfach Sachverständige bei Bundestag und EU.

3. Microsoft-365-Position

ULD-Stellungnahme 2022: Microsoft 365 in Schulen rechtswidrig — nicht DSFA-fähig wegen Telemetriedaten und US-Transfers. Wegweisende Position, später teilweise vom EuGH (Schrems-II-Folgen) bestätigt.

4. Datenschutzgütesiegel

Seit 2001 vergeben — eines der ersten zertifizierten Datenschutzsiegel weltweit. Verfahren: Begutachtung durch akkreditierte Sachverständige, Prüfung durch ULD, Vergabe für 2 Jahre.

5. Sanktionspraxis

Moderat in Höhe, hoch in Sichtbarkeit. Typisch 5.000-100.000 €. Höchste bekannte Sanktion: ca. 145.000 € gegen Versandhändler (2020) wegen Datenpanne.

6. Bekannte Verfahren

  • Microsoft 365 Schulen: Untersagungsverfügung (2022).
  • Online-Händler: 145.000 € (2020).
  • Krankenkasse: Verwarnung wegen Gesundheitsdaten.

7. Forschungstätigkeit

ULD wirkt aktiv an EU-Projekten mit:

  • Privacy-Enhancing Technologies (PETs).
  • Standards für Privacy-by-Design (ISO 31700).
  • KI-Datenschutz und AI Act-Begleitung.

8. Datenpannenmeldung

Online-Portal auf datenschutzzentrum.de. Frist 72 Stunden. Siehe Datenpanne melden.

9. Beratung

Sehr aktiv: Praxisleitfäden zu Cloud, KI, Smart-City. Workshops, Veröffentlichungen, Sommerakademie jährlich in Kiel — eines der wichtigsten Datenschutz-Events Deutschlands.

10. Schwerpunkte 2026

  • Microsoft 365 und Google Workspace (Spruchpraxis-Festigung).
  • KI-Modelle und Trainingsdaten (AI Act).
  • Smart-City Kiel (Forschungsprojekt mit Kommune).
  • Internationale Datentransfers nach Trump-II.

11. Tool-Unterstützung

Legiscope integriert ULD-Empfehlungen in Privacy-by-Design-Checklisten und DSFA-Vorlagen. Siehe Privacy by Design.

12. Tätigkeitsberichte 2022-2024 im Vergleich

Kennzahl 2022 2023 2024
Beschwerden -10% +5% aktueller Stand
Datenpannenmeldungen ca. 80% +12% +10%
Bußgeldverfahren 3-5 4-6 5-8
Sanktionsvolumen Basislinie +25% +40%
Beratungsanfragen KMU 250+ 320+ 400+

Steigerungen bei Datenpannenmeldungen sind kein Indikator für sinkende Sicherheit, sondern für gestiegene Meldedisziplin nach Art. 33 DSGVO. Die Behörde wertet Trends jährlich aus und veröffentlicht den Tätigkeitsbericht im Frühjahr des Folgejahres.

13. Vergleich mit Nachbar-Ländern

Land Personal Sanktionsvolumen 2024 Profil
Bayern (BayLDA) 110 7.500.000 € sanktionsstark
Berlin (BlnBDI) 90 3.200.000 € strikt zu Big Tech
Hamburg (HmbBfDI) 50 1.900.000 € konsumentenstark
NRW (LDI NRW) 130 4.100.000 € industrieorientiert
Hessen (HBDI) 100 2.600.000 € finanzfokussiert
Baden-Württemberg (LfDI BW) 80 1.800.000 € technisch-präzise

Wer Niederlassungen in mehreren Ländern hat, sollte die unterschiedlichen Stile kennen — siehe etwa BayLDA oder die BlnBDI mit ihrem Deutsche-Wohnen-Fall. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde.

14. Konkrete Sanktionsfälle (anonymisierte Auswertung)

Typische Verstöße in den letzten 24 Monaten:

  • Cookie-Banner ohne echte Ablehnoption (TTDSG § 25): Bußgelder 5.000-25.000 € im Mittelstand.
  • Unverschlüsselte E-Mails mit Gesundheitsdaten: 8.000-65.000 €.
  • Mitarbeiterüberwachung ohne Information (Art. 13 DSGVO): 15.000-50.000 €.
  • AVV fehlend oder veraltet (Art. 28): 5.000-30.000 € — siehe Auftragsverarbeitungsvertrag AVV.
  • Bewerberdaten zu lange gespeichert (Art. 5 Abs. 1 lit. e): 3.000-20.000 €.
  • Offene Backup-Server, ungesicherte Datenbank-Snapshots (Art. 32): 20.000-120.000 €.

Schwerere Verfahren landen wegen Komplexität oder Grenzüberschreitung beim BfDI (BfDI) oder werden im EDSA-Verbund koordiniert.

15. Häufige Fehler in regionalen KMU

  1. Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister, Druckerei, Lohnbüro.
  2. Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung (Schrems II / TIA).
  3. Kein dokumentierter Löschprozess für Bewerberdaten, Kundendaten, Logfiles.
  4. Cookie-Banner ohne echte Ablehnoption gem. TTDSG § 25.
  5. Bilder von Veranstaltungen ohne Einwilligungsdokumentation.
  6. Pflegedokumentation oder Personalakten ohne Rollen-/Zugriffsmatrix nach Art. 32.
  7. Externe Newsletter-Versender ohne Double-Opt-In-Nachweis.
  8. Bewerberdaten länger als 6 Monate ohne Erlaubnistatbestand.
  9. Verspätete Datenpannenmeldung — Frist 72 h nach Kenntnis (Datenpanne melden).
  10. Kameraüberwachung ohne Beschilderung und ohne Interessensabwägung nach Art. 6 Abs. 1 lit. f.

16. Best Practices

Empfohlenes dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung mit DSB-Beteiligung. Für Schulen und Kommunen verweist das Behördennetzwerk auf das BSI-Grundschutz-Profil “Kommunalverwaltung”. Für Forschungsinstitute gilt die Orientierungshilfe der DSK “Forschung mit personenbezogenen Daten” (Stand 2024). Krankenhäuser sollten zusätzlich den B3S Medizin der DKG anwenden.

17. Internationale Datentransfers

Bei Drittlandstransfers nach Art. 44 ff. DSGVO sind seit Schrems II zwingend: SCC (Standard Contractual Clauses 2021/914), Transfer Impact Assessment (TIA) nach EDSA-Empfehlung 01/2020, dokumentierte zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Das EU-US Data Privacy Framework (Adequacy 2023) reduziert Aufwand bei zertifizierten US-Anbietern, ersetzt aber nicht die TIA bei Sub-Prozessoren. Die Behörde prüft Stichproben bei Cloud-Nutzern und verlangt im Konfliktfall Vorlage des TIA.

Fazit

Wer Datenschutz technisch ernst nimmt, kommt am ULD nicht vorbei. Hansens Linie ist anspruchsvoll, aber rechtlich und technisch fundiert — Vorbild für viele europäische DPAs.

FAQ

Wer leitet das ULD?

Dr. Marit Hansen, im Amt seit 2015, eine der renommiertesten Datenschutz-Expertinnen Europas.

Was ist das Datenschutzgütesiegel?

ULD-Siegel seit 2001 — zertifiziert Produkte und Verfahren nach Datenschutzanforderungen. Eines der ersten weltweit.

Welche Position hat das ULD zu Microsoft 365?

2022 faktisches Verbot in Schulen Schleswig-Holsteins wegen nicht-konformer Telemetriedaten und US-Transfers.

Was ist die Sommerakademie?

Jährliches Datenschutzforum in Kiel mit hunderten Teilnehmern aus Verwaltung, Wirtschaft, Forschung — eines der wichtigsten Events der Branche.

Wo melde ich Datenpannen?

Online auf datenschutzzentrum.de oder per E-Mail an mail@datenschutzzentrum.de.

Wie funktioniert die DSFA-Konsultation?

Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA der Behörde vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert binnen acht Wochen, verlängerbar auf 14 Wochen. Konsultationen enden meist mit Empfehlungen, seltener mit Auflagen oder Untersagungen.

Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?

Bundesweit führen etwa 0,5-1,5 % der Beschwerden zu Bußgeldverfahren, weitere 5-10 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle enden mit Beratung, Hinweis oder vereinfachtem Verfahren. Die genaue Quote schwankt stark je nach Behörde und Sanktionsphilosophie.

Welche Rolle spielt die Behörde bei NIS2?

NIS2-Aufsicht liegt grundsätzlich beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und KRITIS-Sektoren überschneiden sich Datenschutz und Cybersicherheit. Die Datenschutzbehörde prüft die TOM nach Art. 32 DSGVO; gemeinsame Audits mit BSI sind möglich.

Wie läuft ein Beschwerdeverfahren konkret ab?

Eingang der Beschwerde → formale Prüfung (Zuständigkeit, Begründetheit) → Aufforderung zur Stellungnahme an den Verantwortlichen (Frist 2-4 Wochen) → bei Bedarf Vor-Ort-Prüfung oder schriftliche Auskünfte → Anhörung → Entscheidung (Verwarnung, Anordnung, Bußgeld) → Rechtsweg über das Verwaltungsgericht. Beschwerdeführer werden nach Art. 77 DSGVO über das Ergebnis informiert.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →