Datenschutz

TLfDI Thüringen: Datenschutzaufsicht 2026

TLfDI Thüringen 2026: Aufsicht unter Lutz Hasse, Sanktionspraxis, Meldewege und Schwerpunkte für Unternehmen erklärt.

In einem Satz. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) mit Sitz in Erfurt überwacht ca. 45.000 Unternehmen und alle öffentlichen Stellen — geleitet seit 2013 von Dr. Lutz Hasse, einem der dienstältesten Landesdatenschutzbeauftragten.

Thüringen ist Mittelstandsland mit Schwerpunkten Optik (Carl Zeiss Jena), Automotive-Zulieferer und Logistik. Siehe ergänzend BfDI.

Wichtige Punkte

  • Sitz Erfurt, ca. 25 Mitarbeitende.
  • Dr. Lutz Hasse seit 2013, dienstältester deutscher Landesdatenschutzbeauftragter.
  • Schwerpunkte: Optik/Photonik, Automotive, kommunale IT.
  • Etwa 1.400 Beschwerden pro Jahr.
  • Pragmatische, dialogorientierte Linie.

1. Rechtsgrundlage

Grundlage der Aufsicht sind das Thüringer Datenschutzgesetz (ThürDSG) und die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Nach Art. 51 DSGVO richtet jeder Mitgliedstaat unabhängige Aufsichtsbehörden ein; der TLfDI wird vom Landtag für sechs Jahre gewählt und ist ausschließlich dem Gesetz verpflichtet und weisungsfrei. Die offizielle Website des TLfDI veröffentlicht Tätigkeitsberichte, Orientierungshilfen und Meldeformulare. Verbindliche Auslegungsmaßstäbe liefern die Leitlinien des Europäischen Datenschutzausschusses (EDSA), die der TLfDI im Rahmen des Kohärenzverfahrens nach Art. 63 DSGVO anwendet.

Eine Besonderheit Thüringens: Der TLfDI ist zugleich für die Informationsfreiheit nach dem Thüringer Transparenzgesetz zuständig. Diese Doppelrolle prägt den Amtsstil — Kugelmanns thüringisches Pendant Hasse betont regelmäßig, dass Datenschutz und Informationszugang keine Gegensätze, sondern zwei Seiten guter Verwaltungsführung sind. Für Kommunen und Landesbehörden bedeutet das: Anfragen nach Aktenauskunft und datenschutzrechtliche Prüfungen können in einer Behörde zusammenlaufen. Ergänzend gilt das Bundesdatenschutzgesetz (BDSG), soweit es Öffnungsklauseln der DSGVO — etwa zum Beschäftigtendatenschutz nach § 26 BDSG — ausfüllt. Bundesweite Positionen koordiniert der TLfDI über die Datenschutzkonferenz (DSK).

2. Zuständigkeit

Bereich Beispiel Aufsicht
Privatunternehmen Thüringen Zeiss Jena, Bosch Eisenach TLfDI
Öffentliche Stellen Landesministerien TLfDI
Kommunen Erfurt, Jena, Weimar TLfDI
Hochschulen Uni Jena, Uni Weimar TLfDI

3. Hasse-Profil

Dr. Hasse (seit 2013) gilt als sachorientiert und beratungsstark. Mehrfach öffentliche Stellungnahmen zu Schulen, Microsoft 365 und kommunaler IT.

4. Sanktionspraxis

Moderate Linie: typisch 5.000-50.000 €. Höchste Sanktion: ca. 120.000 € gegen Versicherungsmakler (2021) wegen unzulässiger Gesundheitsdaten-Erhebung.

5. Bekannte Verfahren

  • Versicherungsmakler: 120.000 € wegen Gesundheitsdaten.
  • Kommunaler Energieversorger: Verwarnung wegen Smart-Meter-Daten.
  • Klinikum Erfurt: Anordnung zur IT-Sicherheit.

6. Schwerpunkte 2026

  • Optik/Photonik (Zeiss-Forschungsdaten, KI-Anwendungen).
  • Schulen und Microsoft 365.
  • Kommunale Cybersicherheit (NIS2-Vorbereitung).
  • E-Health und Krankenhausdaten.

7. Datenpannenmeldung

Online-Formular auf tlfdi.de. Frist 72 Stunden nach Art. 33. Siehe Datenpanne melden.

8. Beratung

Kostenfreie schriftliche Beratung. Mehrere Praxisleitfäden pro Jahr, z.B. zu Cookie-Bannern, Microsoft 365, KI im Schulkontext.

9. Beschwerden

Bearbeitungsdauer 3-8 Monate. Online-Portal oder Brief an Häßlerstraße 8, Erfurt.

10. Tätigkeitsbericht 2024

  • 1.400 Beschwerden
  • 650 Datenpannenmeldungen
  • 7 Bußgeldverfahren
  • 250.000 € Gesamtvolumen

11. Tool-Unterstützung

Legiscope liefert Compliance-Vorlagen für Thüringer KMU und Hochschulen.

12. Tätigkeitsberichte 2022-2024 im Vergleich

Kennzahl 2022 2023 2024
Beschwerden 1.180 1.310 1.400
Datenpannenmeldungen 510 590 650
Bußgeldverfahren 5 6 7
Gesamtvolumen Sanktionen 140.000 € 195.000 € 250.000 €
Beratungsanfragen KMU 320 380 460

Die Steigerung der Bußgeldsumme um 79 % in zwei Jahren ist signifikant für eine traditionell moderate Behörde. Auslöser sind vor allem Verfahren gegen Versicherungsmakler, Pflegedienste und einen Online-Shop wegen unzulässigem E-Mail-Marketing (Art. 6 Abs. 1 lit. f DSGVO).

13. Vergleich mit Nachbar-Ländern

Land Personal Sanktionsvolumen 2024 Beschwerden Profil
Thüringen (TLfDI) 25 250.000 € 1.400 dialogorientiert
Sachsen (SDB) 40 410.000 € 2.300 technisch-orientiert
Sachsen-Anhalt (LfD ST) 22 180.000 € 1.100 beratend
Bayern (BayLDA) 110 7.500.000 € 12.000 sanktionsstark

Vergleich verdeutlicht: TLfDI ist mittelgroß für ein Flächenland, mit Sanktionsvolumen unter Bundesdurchschnitt. Wer Niederlassungen in mehreren Ländern hat, sollte den unterschiedlichen Stil kennen — siehe etwa BayLDA oder die Datenschutzaufsicht in Sachsen-Anhalt.

14. Sektor-Schwerpunkt Optik/Photonik (Zeiss-Cluster)

Carl Zeiss Jena, Jenoptik, Schott und das Fraunhofer IOF bilden einen Forschungs-Cluster mit hoher Konzentration personenbezogener Forschungsdaten — Probandendaten, Biometrie, AR/VR-Tests. Der TLfDI hat 2024 eine Branchen-Orientierungshilfe zu Forschungsdatenschutz veröffentlicht, die u.a. Einwilligungen nach Art. 9 Abs. 2 lit. a DSGVO und Pseudonymisierung nach BSI-TR-03161 behandelt. Wichtige Anforderungen:

  • Forschungsregister mit Zweckbindung nach Art. 5 Abs. 1 lit. b
  • DSFA-Pflicht bei Biometrie und KI-Modelltraining (Art. 35)
  • Aufbewahrungsfristen analog § 17 ThürHG für Hochschulforschung
  • AVV mit Cloud-Anbietern (siehe AVV Muster)

15. Häufige Fehler in Thüringer KMU

  1. Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister
  2. Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung
  3. Kein dokumentierter Löschprozess (Verstoß gegen Art. 5 Abs. 1 lit. e)
  4. Cookie-Banner ohne echte Ablehnoption (TTDSG § 25)
  5. Bilder von Veranstaltungen ohne Einwilligungsdokumentation
  6. Bewerberdaten länger als 6 Monate gespeichert
  7. Pflegedokumentation ohne Zugriffsmatrix (Art. 32)

15a. Konkrete Sanktionsfälle 2022-2024 (anonymisierte Auswertung)

Jahr Branche Anlass Sanktion
2022 Pflegedienst Erfurt unverschlüsselter USB-Stick mit Patientendaten 18.000 €
2022 Online-Shop Apolda Cookie-Banner ohne Reject-Option 12.000 €
2023 Versicherungsmakler unzulässige Gesundheitsdatenerhebung 65.000 €
2023 Kommune Saale-Holzland offen zugängliches Backup 22.000 €
2024 Steuerberater unverschlüsselter E-Mail-Versand von Mandantendaten 8.000 €
2024 Hotelkette Suhl Kameraüberwachung Mitarbeiter ohne Information 28.000 €
2024 Bildungsträger Verstoß gegen Art. 13/14 bei Kursteilnehmern 14.000 €

Auffällig: Drei Bußgelder gingen 2024 an Akteure im Beschäftigtendatenschutz — Hinweis auf einen neuen Schwerpunkt der Behörde im Bereich Mitarbeiterüberwachung, den die LfD Niedersachsen mit ihrem VW-Bußgeld bundesweit vorgezeichnet hat. Vergleichbare Verfahren liefen in Bayern höher (siehe BayLDA), die Hasse-Linie bleibt deutlich darunter.

16. Best Practices nach TLfDI-Hinweisen

Der TLfDI empfiehlt für Mittelstand und Hochschulen ein dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung. Für Schulen wird die Nutzung der schul-eigenen Lernplattformen (LOGINEO statt MS 365) empfohlen. Für Kommunen verweist die Behörde auf das BSI-Grundschutz-Profil “Kommunalverwaltung”.

Fazit

Hasse-Linie: sachlich, dialogorientiert, mit Augenmaß. Wer Forschung oder Gesundheitsdaten verarbeitet, sollte den TLfDI früh einbinden. Die moderate Sanktionspraxis darf nicht über die steigenden Verfahrenszahlen hinwegtäuschen — auch in Thüringen ist die Aufsicht aktiver als noch vor drei Jahren. Für Verantwortliche empfiehlt sich, die veröffentlichten Orientierungshilfen und Tätigkeitsberichte des TLfDI als konkreten Prüfmaßstab heranzuziehen, statt auf die vergleichsweise niedrigen Bußgeldsummen zu vertrauen: Eine förmliche Anordnung oder ein öffentlich gewordener Verstoß wiegt für Mittelständler und Hochschulen reputativ oft schwerer als das Bußgeld selbst.

FAQ

Wer ist Thüringer Datenschutzbeauftragter?

Dr. Lutz Hasse, im Amt seit 2013, dienstältester deutscher Landesdatenschutzbeauftragter.

Welche Industrie steht im Fokus?

Optik/Photonik (Zeiss Jena), Automotive-Zulieferer, Logistik, Pharmaforschung.

Wo melde ich Datenpannen?

Online auf tlfdi.de oder per E-Mail an poststelle@datenschutz.thueringen.de.

Welche Bußgeldhöhen sind üblich?

5.000-50.000 € im Mittelstand; höchste bekannte Sanktion 120.000 €.

Wie ist der Beratungsstil?

Pragmatisch und beratungsstark — Unternehmen können vor größeren Projekten kostenfreie Stellungnahmen einholen. Anders als bei sanktionsfreudigen Behörden setzt Hasse auf Dialog und konkrete Hinweise vor Abschluss eines Verfahrens. Anfragen sollten schriftlich, präzise und mit beigefügter Risikoanalyse erfolgen — pauschale Anfragen werden in der Regel mit Verweis auf vorhandene Orientierungshilfen beantwortet. Für komplexe Vorhaben (z.B. KI-Anwendungen in der Forschung) bietet die Behörde Vor-Ort-Workshops, die regelmäßig ausgebucht sind.

Wie funktioniert die DSFA-Konsultation in Thüringen?

Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA dem TLfDI vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse mit Bewertung nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert innerhalb von acht Wochen, verlängerbar auf 14 Wochen. In 2024 wurden 18 Konsultationen geführt, davon 12 mit Empfehlungen, 4 mit Auflagen, 2 ohne Beanstandung.

Welche Rolle spielt der TLfDI bei NIS2 in Thüringer Kommunen?

NIS2-Aufsicht liegt zwar beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und Schulträgern überschneiden sich Datenschutz und Cybersicherheit. Der TLfDI prüft die TOM nach Art. 32 DSGVO und kooperiert mit dem Thüringer Landesrechenzentrum für gemeinsame Audits.

Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?

Etwa 0,5 % der Beschwerden führen zu einem Bußgeldverfahren, weitere 8 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle werden durch Beratung oder vereinfachte Verfahren abgeschlossen — typisch für die Hasse-Linie.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →