In einem Satz. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) mit Sitz in Erfurt überwacht ca. 45.000 Unternehmen und alle öffentlichen Stellen — geleitet seit 2013 von Dr. Lutz Hasse, einem der dienstältesten Landesdatenschutzbeauftragten.
Thüringen ist Mittelstandsland mit Schwerpunkten Optik (Carl Zeiss Jena), Automotive-Zulieferer und Logistik. Siehe ergänzend BfDI.
Wichtige Punkte
- Sitz Erfurt, ca. 25 Mitarbeitende.
- Dr. Lutz Hasse seit 2013, dienstältester deutscher Landesdatenschutzbeauftragter.
- Schwerpunkte: Optik/Photonik, Automotive, kommunale IT.
- Etwa 1.400 Beschwerden pro Jahr.
- Pragmatische, dialogorientierte Linie.
1. Rechtsgrundlage
Grundlage der Aufsicht sind das Thüringer Datenschutzgesetz (ThürDSG) und die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Nach Art. 51 DSGVO richtet jeder Mitgliedstaat unabhängige Aufsichtsbehörden ein; der TLfDI wird vom Landtag für sechs Jahre gewählt und ist ausschließlich dem Gesetz verpflichtet und weisungsfrei. Die offizielle Website des TLfDI veröffentlicht Tätigkeitsberichte, Orientierungshilfen und Meldeformulare. Verbindliche Auslegungsmaßstäbe liefern die Leitlinien des Europäischen Datenschutzausschusses (EDSA), die der TLfDI im Rahmen des Kohärenzverfahrens nach Art. 63 DSGVO anwendet.
Eine Besonderheit Thüringens: Der TLfDI ist zugleich für die Informationsfreiheit nach dem Thüringer Transparenzgesetz zuständig. Diese Doppelrolle prägt den Amtsstil — Kugelmanns thüringisches Pendant Hasse betont regelmäßig, dass Datenschutz und Informationszugang keine Gegensätze, sondern zwei Seiten guter Verwaltungsführung sind. Für Kommunen und Landesbehörden bedeutet das: Anfragen nach Aktenauskunft und datenschutzrechtliche Prüfungen können in einer Behörde zusammenlaufen. Ergänzend gilt das Bundesdatenschutzgesetz (BDSG), soweit es Öffnungsklauseln der DSGVO — etwa zum Beschäftigtendatenschutz nach § 26 BDSG — ausfüllt. Bundesweite Positionen koordiniert der TLfDI über die Datenschutzkonferenz (DSK).
2. Zuständigkeit
| Bereich | Beispiel | Aufsicht |
|---|---|---|
| Privatunternehmen Thüringen | Zeiss Jena, Bosch Eisenach | TLfDI |
| Öffentliche Stellen | Landesministerien | TLfDI |
| Kommunen | Erfurt, Jena, Weimar | TLfDI |
| Hochschulen | Uni Jena, Uni Weimar | TLfDI |
3. Hasse-Profil
Dr. Hasse (seit 2013) gilt als sachorientiert und beratungsstark. Mehrfach öffentliche Stellungnahmen zu Schulen, Microsoft 365 und kommunaler IT.
4. Sanktionspraxis
Moderate Linie: typisch 5.000-50.000 €. Höchste Sanktion: ca. 120.000 € gegen Versicherungsmakler (2021) wegen unzulässiger Gesundheitsdaten-Erhebung.
5. Bekannte Verfahren
- Versicherungsmakler: 120.000 € wegen Gesundheitsdaten.
- Kommunaler Energieversorger: Verwarnung wegen Smart-Meter-Daten.
- Klinikum Erfurt: Anordnung zur IT-Sicherheit.
6. Schwerpunkte 2026
- Optik/Photonik (Zeiss-Forschungsdaten, KI-Anwendungen).
- Schulen und Microsoft 365.
- Kommunale Cybersicherheit (NIS2-Vorbereitung).
- E-Health und Krankenhausdaten.
7. Datenpannenmeldung
Online-Formular auf tlfdi.de. Frist 72 Stunden nach Art. 33. Siehe Datenpanne melden.
8. Beratung
Kostenfreie schriftliche Beratung. Mehrere Praxisleitfäden pro Jahr, z.B. zu Cookie-Bannern, Microsoft 365, KI im Schulkontext.
9. Beschwerden
Bearbeitungsdauer 3-8 Monate. Online-Portal oder Brief an Häßlerstraße 8, Erfurt.
10. Tätigkeitsbericht 2024
- 1.400 Beschwerden
- 650 Datenpannenmeldungen
- 7 Bußgeldverfahren
- 250.000 € Gesamtvolumen
11. Tool-Unterstützung
Legiscope liefert Compliance-Vorlagen für Thüringer KMU und Hochschulen.
12. Tätigkeitsberichte 2022-2024 im Vergleich
| Kennzahl | 2022 | 2023 | 2024 |
|---|---|---|---|
| Beschwerden | 1.180 | 1.310 | 1.400 |
| Datenpannenmeldungen | 510 | 590 | 650 |
| Bußgeldverfahren | 5 | 6 | 7 |
| Gesamtvolumen Sanktionen | 140.000 € | 195.000 € | 250.000 € |
| Beratungsanfragen KMU | 320 | 380 | 460 |
Die Steigerung der Bußgeldsumme um 79 % in zwei Jahren ist signifikant für eine traditionell moderate Behörde. Auslöser sind vor allem Verfahren gegen Versicherungsmakler, Pflegedienste und einen Online-Shop wegen unzulässigem E-Mail-Marketing (Art. 6 Abs. 1 lit. f DSGVO).
13. Vergleich mit Nachbar-Ländern
| Land | Personal | Sanktionsvolumen 2024 | Beschwerden | Profil |
|---|---|---|---|---|
| Thüringen (TLfDI) | 25 | 250.000 € | 1.400 | dialogorientiert |
| Sachsen (SDB) | 40 | 410.000 € | 2.300 | technisch-orientiert |
| Sachsen-Anhalt (LfD ST) | 22 | 180.000 € | 1.100 | beratend |
| Bayern (BayLDA) | 110 | 7.500.000 € | 12.000 | sanktionsstark |
Vergleich verdeutlicht: TLfDI ist mittelgroß für ein Flächenland, mit Sanktionsvolumen unter Bundesdurchschnitt. Wer Niederlassungen in mehreren Ländern hat, sollte den unterschiedlichen Stil kennen — siehe etwa BayLDA oder die Datenschutzaufsicht in Sachsen-Anhalt.
14. Sektor-Schwerpunkt Optik/Photonik (Zeiss-Cluster)
Carl Zeiss Jena, Jenoptik, Schott und das Fraunhofer IOF bilden einen Forschungs-Cluster mit hoher Konzentration personenbezogener Forschungsdaten — Probandendaten, Biometrie, AR/VR-Tests. Der TLfDI hat 2024 eine Branchen-Orientierungshilfe zu Forschungsdatenschutz veröffentlicht, die u.a. Einwilligungen nach Art. 9 Abs. 2 lit. a DSGVO und Pseudonymisierung nach BSI-TR-03161 behandelt. Wichtige Anforderungen:
- Forschungsregister mit Zweckbindung nach Art. 5 Abs. 1 lit. b
- DSFA-Pflicht bei Biometrie und KI-Modelltraining (Art. 35)
- Aufbewahrungsfristen analog § 17 ThürHG für Hochschulforschung
- AVV mit Cloud-Anbietern (siehe AVV Muster)
15. Häufige Fehler in Thüringer KMU
- Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister
- Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung
- Kein dokumentierter Löschprozess (Verstoß gegen Art. 5 Abs. 1 lit. e)
- Cookie-Banner ohne echte Ablehnoption (TTDSG § 25)
- Bilder von Veranstaltungen ohne Einwilligungsdokumentation
- Bewerberdaten länger als 6 Monate gespeichert
- Pflegedokumentation ohne Zugriffsmatrix (Art. 32)
15a. Konkrete Sanktionsfälle 2022-2024 (anonymisierte Auswertung)
| Jahr | Branche | Anlass | Sanktion |
|---|---|---|---|
| 2022 | Pflegedienst Erfurt | unverschlüsselter USB-Stick mit Patientendaten | 18.000 € |
| 2022 | Online-Shop Apolda | Cookie-Banner ohne Reject-Option | 12.000 € |
| 2023 | Versicherungsmakler | unzulässige Gesundheitsdatenerhebung | 65.000 € |
| 2023 | Kommune Saale-Holzland | offen zugängliches Backup | 22.000 € |
| 2024 | Steuerberater | unverschlüsselter E-Mail-Versand von Mandantendaten | 8.000 € |
| 2024 | Hotelkette Suhl | Kameraüberwachung Mitarbeiter ohne Information | 28.000 € |
| 2024 | Bildungsträger | Verstoß gegen Art. 13/14 bei Kursteilnehmern | 14.000 € |
Auffällig: Drei Bußgelder gingen 2024 an Akteure im Beschäftigtendatenschutz — Hinweis auf einen neuen Schwerpunkt der Behörde im Bereich Mitarbeiterüberwachung, den die LfD Niedersachsen mit ihrem VW-Bußgeld bundesweit vorgezeichnet hat. Vergleichbare Verfahren liefen in Bayern höher (siehe BayLDA), die Hasse-Linie bleibt deutlich darunter.
16. Best Practices nach TLfDI-Hinweisen
Der TLfDI empfiehlt für Mittelstand und Hochschulen ein dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung. Für Schulen wird die Nutzung der schul-eigenen Lernplattformen (LOGINEO statt MS 365) empfohlen. Für Kommunen verweist die Behörde auf das BSI-Grundschutz-Profil “Kommunalverwaltung”.
Fazit
Hasse-Linie: sachlich, dialogorientiert, mit Augenmaß. Wer Forschung oder Gesundheitsdaten verarbeitet, sollte den TLfDI früh einbinden. Die moderate Sanktionspraxis darf nicht über die steigenden Verfahrenszahlen hinwegtäuschen — auch in Thüringen ist die Aufsicht aktiver als noch vor drei Jahren. Für Verantwortliche empfiehlt sich, die veröffentlichten Orientierungshilfen und Tätigkeitsberichte des TLfDI als konkreten Prüfmaßstab heranzuziehen, statt auf die vergleichsweise niedrigen Bußgeldsummen zu vertrauen: Eine förmliche Anordnung oder ein öffentlich gewordener Verstoß wiegt für Mittelständler und Hochschulen reputativ oft schwerer als das Bußgeld selbst.
FAQ
Wer ist Thüringer Datenschutzbeauftragter?
Dr. Lutz Hasse, im Amt seit 2013, dienstältester deutscher Landesdatenschutzbeauftragter.
Welche Industrie steht im Fokus?
Optik/Photonik (Zeiss Jena), Automotive-Zulieferer, Logistik, Pharmaforschung.
Wo melde ich Datenpannen?
Online auf tlfdi.de oder per E-Mail an poststelle@datenschutz.thueringen.de.
Welche Bußgeldhöhen sind üblich?
5.000-50.000 € im Mittelstand; höchste bekannte Sanktion 120.000 €.
Wie ist der Beratungsstil?
Pragmatisch und beratungsstark — Unternehmen können vor größeren Projekten kostenfreie Stellungnahmen einholen. Anders als bei sanktionsfreudigen Behörden setzt Hasse auf Dialog und konkrete Hinweise vor Abschluss eines Verfahrens. Anfragen sollten schriftlich, präzise und mit beigefügter Risikoanalyse erfolgen — pauschale Anfragen werden in der Regel mit Verweis auf vorhandene Orientierungshilfen beantwortet. Für komplexe Vorhaben (z.B. KI-Anwendungen in der Forschung) bietet die Behörde Vor-Ort-Workshops, die regelmäßig ausgebucht sind.
Wie funktioniert die DSFA-Konsultation in Thüringen?
Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA dem TLfDI vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse mit Bewertung nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert innerhalb von acht Wochen, verlängerbar auf 14 Wochen. In 2024 wurden 18 Konsultationen geführt, davon 12 mit Empfehlungen, 4 mit Auflagen, 2 ohne Beanstandung.
Welche Rolle spielt der TLfDI bei NIS2 in Thüringer Kommunen?
NIS2-Aufsicht liegt zwar beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und Schulträgern überschneiden sich Datenschutz und Cybersicherheit. Der TLfDI prüft die TOM nach Art. 32 DSGVO und kooperiert mit dem Thüringer Landesrechenzentrum für gemeinsame Audits.
Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?
Etwa 0,5 % der Beschwerden führen zu einem Bußgeldverfahren, weitere 8 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle werden durch Beratung oder vereinfachte Verfahren abgeschlossen — typisch für die Hasse-Linie.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial