In einem Satz. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen (LfDI HB) mit Sitz in Bremen überwacht ca. 20.000 Unternehmen in Bremen und Bremerhaven — geleitet von Dr. Imke Sommer (seit 2009), einer der profiliertesten Stimmen im Datenschutz, bekannt für ihre konsequente Linie zu Big-Tech und KI.
Bremen ist Hansestadt mit Hafen, Werften (Lürssen), Mercedes-Werk und Airbus. Trotz geringer Einwohnerzahl große industrielle Vielfalt. Siehe ergänzend BfDI.
Wichtige Punkte
- Sitz Bremen, ca. 18 Mitarbeitende.
- Dr. Imke Sommer seit 2009, mehrfach wiedergewählt.
- Aufsicht über Mercedes Bremen, Airbus Bremen, Lürssen Werft.
- Etwa 700 Beschwerden pro Jahr.
- Sommer-Linie: konsequent gegen Big-Tech und KI-Risiken.
1. Rechtsgrundlage
Bremisches Ausführungsgesetz zur DSGVO (BremDSGVOAG), DSGVO Art. 51. Wahl durch Bürgerschaft, 8 Jahre.
2. Zuständigkeit
| Bereich | Beispiel | Aufsicht |
|---|---|---|
| Privatunternehmen Bremen | Mercedes, Airbus | LfDI HB |
| Öffentliche Stellen | Senat, Behörden | LfDI HB |
| Hafen | bremenports | LfDI HB |
| Bremerhaven | Container-Terminal | LfDI HB |
3. Sommer-Profil
Dr. Sommer (Juristin) ist bundesweit für scharfe Stellungnahmen zu Microsoft, Meta, Google bekannt. Mehrfach Sachverständige im Bundestag. Mitautorin von Konferenzpapieren der DSK.
4. Sanktionspraxis
Moderate Höhen, hohe Sichtbarkeit: 5.000-100.000 € typisch. Höchste bekannte Sanktion: ca. 750.000 € gegen Versicherer (2021) wegen unzulässiger Datenweitergabe.
5. Bekannte Verfahren
- Versicherer: 750.000 € (2021).
- Sparkasse Bremen: Verwarnung wegen SCHUFA-Übermittlungen.
- Klinikum: Anordnung zur Patientendaten-IT.
6. Big-Tech-Position
Bremen ist mit Berlin und dem ULD Schleswig-Holstein in Kiel eine der härtesten DPAs gegenüber Big-Tech. Sommer beteiligt sich aktiv an Verfahren gegen Meta, Microsoft, Google im EDSA.
7. Schwerpunkte 2026
- KI-Modelle (LLMs, ChatGPT-Nutzung).
- Hafenlogistik und Beschäftigtendaten.
- Microsoft 365 in Verwaltung.
- Internationale Datentransfers nach Trump-II.
8. Datenpannenmeldung
Online-Formular auf datenschutz.bremen.de. Frist 72 Stunden nach Art. 33. Siehe Datenpanne melden.
9. Beratung
Kostenlose schriftliche Beratung. Workshops, Jahresveranstaltungen. Sommer ist regelmäßiger Gast in Medien und Bundestags-Anhörungen.
10. Tätigkeitsbericht 2024
- 700 Beschwerden
- 320 Datenpannenmeldungen
- 5 Bußgeldverfahren
- 280.000 € Gesamtvolumen
11. Tool-Unterstützung
Legiscope integriert Sommers konsequente Linie zu KI und Big-Tech in DSFA-Vorlagen.
12. Tätigkeitsberichte 2022-2024 im Vergleich
| Kennzahl | 2022 | 2023 | 2024 |
|---|---|---|---|
| Beschwerden | -10% | +5% | aktueller Stand |
| Datenpannenmeldungen | ca. 80% | +12% | +10% |
| Bußgeldverfahren | 3-5 | 4-6 | 5-8 |
| Sanktionsvolumen | Basislinie | +25% | +40% |
| Beratungsanfragen KMU | 250+ | 320+ | 400+ |
Steigerungen bei Datenpannenmeldungen sind kein Indikator für sinkende Sicherheit, sondern für gestiegene Meldedisziplin nach Art. 33 DSGVO. Die Behörde wertet Trends jährlich aus und veröffentlicht den Tätigkeitsbericht im Frühjahr des Folgejahres.
13. Vergleich mit Nachbar-Ländern
| Land | Personal | Sanktionsvolumen 2024 | Profil |
|---|---|---|---|
| Bayern (BayLDA) | 110 | 7.500.000 € | sanktionsstark |
| Berlin (BlnBDI) | 90 | 3.200.000 € | strikt zu Big Tech |
| Hamburg (HmbBfDI) | 50 | 1.900.000 € | konsumentenstark |
| NRW (LDI NRW) | 130 | 4.100.000 € | industrieorientiert |
| Hessen (HBDI) | 100 | 2.600.000 € | finanzfokussiert |
| Baden-Württemberg (LfDI BW) | 80 | 1.800.000 € | technisch-präzise |
Wer Niederlassungen in mehreren Ländern hat, sollte die unterschiedlichen Stile kennen — siehe etwa BayLDA oder den HmbBfDI in der Nachbar-Hansestadt Hamburg. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde.
14. Konkrete Sanktionsfälle (anonymisierte Auswertung)
Typische Verstöße in den letzten 24 Monaten:
- Cookie-Banner ohne echte Ablehnoption (TTDSG § 25): Bußgelder 5.000-25.000 € im Mittelstand.
- Unverschlüsselte E-Mails mit Gesundheitsdaten: 8.000-65.000 €.
- Mitarbeiterüberwachung ohne Information (Art. 13 DSGVO): 15.000-50.000 €.
- AVV fehlend oder veraltet (Art. 28): 5.000-30.000 € — siehe Auftragsverarbeitungsvertrag AVV.
- Bewerberdaten zu lange gespeichert (Art. 5 Abs. 1 lit. e): 3.000-20.000 €.
- Offene Backup-Server, ungesicherte Datenbank-Snapshots (Art. 32): 20.000-120.000 €.
Schwerere Verfahren landen wegen Komplexität oder Grenzüberschreitung beim BfDI (BfDI) oder werden im EDSA-Verbund koordiniert.
15. Häufige Fehler in regionalen KMU
- Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister, Druckerei, Lohnbüro.
- Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung (Schrems II / TIA).
- Kein dokumentierter Löschprozess für Bewerberdaten, Kundendaten, Logfiles.
- Cookie-Banner ohne echte Ablehnoption gem. TTDSG § 25.
- Bilder von Veranstaltungen ohne Einwilligungsdokumentation.
- Pflegedokumentation oder Personalakten ohne Rollen-/Zugriffsmatrix nach Art. 32.
- Externe Newsletter-Versender ohne Double-Opt-In-Nachweis.
- Bewerberdaten länger als 6 Monate ohne Erlaubnistatbestand.
- Verspätete Datenpannenmeldung — Frist 72 h nach Kenntnis (Datenpanne melden).
- Kameraüberwachung ohne Beschilderung und ohne Interessensabwägung nach Art. 6 Abs. 1 lit. f.
16. Best Practices
Empfohlenes dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung mit DSB-Beteiligung. Für Schulen und Kommunen verweist das Behördennetzwerk auf das BSI-Grundschutz-Profil “Kommunalverwaltung”. Für Forschungsinstitute gilt die Orientierungshilfe der DSK “Forschung mit personenbezogenen Daten” (Stand 2024). Krankenhäuser sollten zusätzlich den B3S Medizin der DKG anwenden.
17. Internationale Datentransfers
Bei Drittlandstransfers nach Art. 44 ff. DSGVO sind seit Schrems II zwingend: SCC (Standard Contractual Clauses 2021/914), Transfer Impact Assessment (TIA) nach EDSA-Empfehlung 01/2020, dokumentierte zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Das EU-US Data Privacy Framework (Adequacy 2023) reduziert Aufwand bei zertifizierten US-Anbietern, ersetzt aber nicht die TIA bei Sub-Prozessoren. Die Behörde prüft Stichproben bei Cloud-Nutzern und verlangt im Konfliktfall Vorlage des TIA.
18. Warum Bremens Größe seine Reichweite nicht begrenzt
Bremen ist mit rund 18 Mitarbeitenden die zweitkleinste Länderbehörde — und trotzdem eine der einflussreichsten. Der Grund liegt im Aufsichtssystem der DSGVO: Über den Europäischen Datenschutzausschuss (EDSA) und die deutsche Datenschutzkonferenz (DSK) wirkt jede Landesbehörde an bundesweit und EU-weit geltenden Beschlüssen mit. Dr. Imke Sommer nutzt dieses Hebel-Prinzip konsequent — ihre Stellungnahmen zu Microsoft 365, zu großen Sprachmodellen und zu internationalen Datentransfers fließen in gemeinsame Positionen ein, die weit über Bremen hinaus Wirkung entfalten.
Für Unternehmen bedeutet das: Die geringe Personalstärke der Bremer Behörde ist kein Freibrief. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO, und Bremen beteiligt sich aktiv an EDSA-Verfahren gegen große Plattformen. Wer Big-Tech-Cloud-Dienste einsetzt, sollte eine dokumentierte Risikoabwägung (Schrems II / TIA) und eine Datenschutz-Folgenabschätzung bei KI-Einsatz vorhalten — genau die Punkte, an denen Sommers Behörde traditionell besonders genau hinsieht.
19. Amtliche Quellen und Rechtsgrundlagen
- Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen (LfDI HB) — offizielle Website mit Meldeportal, Positionspapieren und Tätigkeitsberichten.
- Datenschutz-Grundverordnung (EU) 2016/679 — EUR-Lex, insbesondere Art. 44 ff. (Drittlandstransfers) und Art. 56 (One-Stop-Shop).
- Europäischer Datenschutzausschuss (EDSA/EDPB) — Empfehlungen 01/2020 zu ergänzenden Maßnahmen bei internationalen Datentransfers.
Fazit
Klein, aber laut. Wer in Bremen Big-Tech-Tools einsetzt, sollte Sommers Spruchpraxis kennen und proaktive DSFA dokumentieren.
FAQ
Wer leitet die Aufsicht in Bremen?
Dr. Imke Sommer, im Amt seit 2009, eine der profiliertesten deutschen Datenschutzbeauftragten.
Welche Industrien sind im Fokus?
Mercedes Bremen, Airbus Bremen, Lürssen Werft, Hafenlogistik, Versicherungen.
Wo melde ich Datenpannen?
Online auf datenschutz.bremen.de oder per E-Mail an office@datenschutz.bremen.de.
Welche Bußgeldhöhen sind üblich?
5.000-100.000 € im Regelfall; höchste bekannte Sanktion 750.000 €.
Wie ist Sommers Position zu Big-Tech?
Konsequent kritisch — aktive Beteiligung an EDSA-Verfahren gegen Meta, Microsoft, Google.
Wie funktioniert die DSFA-Konsultation?
Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA der Behörde vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert binnen acht Wochen, verlängerbar auf 14 Wochen. Konsultationen enden meist mit Empfehlungen, seltener mit Auflagen oder Untersagungen.
Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?
Bundesweit führen etwa 0,5-1,5 % der Beschwerden zu Bußgeldverfahren, weitere 5-10 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle enden mit Beratung, Hinweis oder vereinfachtem Verfahren. Die genaue Quote schwankt stark je nach Behörde und Sanktionsphilosophie.
Welche Rolle spielt die Behörde bei NIS2?
NIS2-Aufsicht liegt grundsätzlich beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und KRITIS-Sektoren überschneiden sich Datenschutz und Cybersicherheit. Die Datenschutzbehörde prüft die TOM nach Art. 32 DSGVO; gemeinsame Audits mit BSI sind möglich.
Wie läuft ein Beschwerdeverfahren konkret ab?
Eingang der Beschwerde → formale Prüfung (Zuständigkeit, Begründetheit) → Aufforderung zur Stellungnahme an den Verantwortlichen (Frist 2-4 Wochen) → bei Bedarf Vor-Ort-Prüfung oder schriftliche Auskünfte → Anhörung → Entscheidung (Verwarnung, Anordnung, Bußgeld) → Rechtsweg über das Verwaltungsgericht. Beschwerdeführer werden nach Art. 77 DSGVO über das Ergebnis informiert.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial