Das Datenschutz- und KI-Team von BMC berät Unternehmen zur DSGVO-Compliance, zum Management von Risiken aus KI-Systemen und zur Anpassung an die EU-KI-Verordnung. Wir decken das gesamte Spektrum ab — vom ausgelagerten Datenschutzbeauftragten bis zur Compliance mit der KI-Verordnung, einschließlich Datenschutz-Folgenabschätzungen und Reaktion auf Datenpannen.
Datenschutz und Privatsphäre: der DSGVO-Rahmen in Spanien
Die Datenschutz-Grundverordnung (DSGVO, EU-Verordnung 2016/679), ergänzt in Spanien durch die LOPDGDD (Organgesetz 3/2018), schafft einen umfassenden Rahmen von Rechten und Pflichten, der für jede Organisation gilt, die personenbezogene Daten verarbeitet. Die AEPD ist die nationale Aufsichtsbehörde Spaniens und unterhält ein aktives Sanktionssystem mit Bußgeldern von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes für die schwersten Verstöße.
Zu den grundlegenden Pflichten für Unternehmen gehören: Ermittlung einer Rechtsgrundlage für jede Verarbeitungstätigkeit, Führung eines aktuellen Verarbeitungsverzeichnisses, Implementierung angemessener technischer und organisatorischer Sicherheitsmaßnahmen, Verwaltung der Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Portabilität) und Meldung von Datenpannen innerhalb der vorgeschriebenen Fristen.
Für komplexe, risikoreiche oder die Verarbeitung besonderer Kategorien personenbezogener Daten umfassende Tätigkeiten schreibt das Gesetz zusätzlich die Benennung eines bei der AEPD registrierten DSB, die Durchführung von Folgenabschätzungen vor Beginn der Verarbeitung und die Anwendung der Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen vor.
Künstliche Intelligenz: die KI-Verordnung und ihre Auswirkungen auf Unternehmen
Die EU-KI-Verordnung (EU 2024/1689) ist das weltweit erste umfassende KI-Regulierungswerk. Sie klassifiziert KI-Systeme in vier Risikokategorien (unzulässig, hoch, begrenzt und minimal) und legt differenzierte Pflichten für Anbieter, Betreiber und Einführer von KI-Systemen fest.
Unternehmen, die KI in Personalprozessen, der Kreditbewertung, im Bildungsbereich oder im Gesundheitswesen einsetzen, unterliegen seit August 2026 den Anforderungen für Hochrisiko-KI-Systeme: Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht, Risikomanagement und Registrierung.
Dienstleistungen Datenschutz, Privatsphäre und KI
Datenschutz und DSGVO
- Externer Datenschutzbeauftragter: Ausgelagerter Datenschutzbeauftragter, bei der AEPD registriert, mit regelmäßigen Audits, Verwaltung der Rechte der betroffenen Personen, Compliance-Beratung und Vorfallsüberwachung.
- Datenschutz-Folgenabschätzung (DSFA): Systematische Risikoanalyse für die Rechte der betroffenen Personen gemäß Art. 35 DSGVO mit Minderungsmaßnahmen und Dokumentation für das Verarbeitungsverzeichnis.
- Reaktion auf Datenpannen: Incident Management bei Sicherheitsvorfällen mit Auswirkung auf personenbezogene Daten: Verletzungsanalyse, Risikobewertung, AEPD-Meldung innerhalb von 72 Stunden und Benachrichtigung der betroffenen Personen.
- Internationale Datentransfers: Beratung zu Standardvertragsklauseln (SCC), verbindlichen Unternehmensregeln (BCR), Transfer Impact Assessments (TIA) und Alternativen für Nicht-EWR-Anbieter.
- Cookie-Compliance: Cookie-Audit und Richtliniengestaltung nach DSGVO und AEPD-Leitlinien: Cookie-Klassifizierung, Konfiguration der Consent Management Platform (CMP) und Überprüfung des rechtlichen Cookie-Hinweises.
- Datenschutz durch Technikgestaltung: Integration der Datenschutzgrundsätze in den Produkt- und Dienstleistungsentwicklungszyklus, datensparsame Architekturen und datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO.
Künstliche Intelligenz und KI-Verordnung
- KI-Verordnungs-Compliance: Inventardiagnose von KI-Systemen, Risikoklassifizierung, Compliance-Plan, technische Dokumentation und Vorbereitung für das EU-Register für Hochrisiko-KI-Systeme.
- Hochrisiko-KI-Systeme: Beratung zu den Verpflichtungen aus Anhang III der KI-Verordnung für KI-Systeme in den Bereichen Personal, Kredit, Bildung, wesentliche Dienste und kritische Infrastruktur.
- KI-Governance: Entwicklung von Richtlinien für die ethische KI-Nutzung, Rahmenwerke für die menschliche Aufsicht, Algorithmus-Auditverfahren und Accountability-Strukturen für Organisationen, die KI-Systeme entwickeln oder einsetzen.
- Compliance-Risikoanalyse: Übergreifende Bewertung von regulatorischen Compliance-Risiken (DSGVO, KI-Verordnung, NIS2, DORA) mit Priorisierung nach Expositionsgrad und einem Plan zur Lückenschließung.
Die DSGVO–KI-Verordnungs-Schnittmenge: die entscheidende Compliance-Herausforderung 2026
Das schrittweise Inkrafttreten der KI-Verordnung stellt die bedeutendste Verschiebung in der digitalen Compliance-Landschaft seit der DSGVO im Jahr 2018 dar. Unser Team managt die DSGVO–KI-Verordnungs-Schnittmenge integriert und koordiniert mit dem Cybersicherheitsteam, wenn KI-Systeme in den Anwendungsbereich von NIS2 oder DORA fallen.
Verwandte Insights
Vertiefen Sie das Thema mit unseren aktuellen Analysen:
- Datenschutz für Unternehmen in Spanien: DSGVO und LOPDGDD 2026 — Compliance-Anforderungen, DPO-Pflicht und aktuelle AEPD-Inspektionsschwerpunkte
- EU AI Act veröffentlicht: Was Unternehmen jetzt wissen müssen — Risikoklassifizierung, Verbote und stufenweiser Zeitplan des KI-Gesetzes
- KI-Gesetz: Pflichten für Hochrisikosysteme — Technische Dokumentation, Konformitätsbewertung und EU-Register-Anforderungen
- KI-Haftung von Geschäftsführern 2026: KI-Verordnung und Sorgfaltspflicht — Haftungsrisiken der Unternehmensführung beim Einsatz von KI-Systemen
- Was tun bei einer Inspektion der AEPD? — Verfahrensablauf, Kooperationspflichten und strategische Reaktion bei AEPD-Kontrollen
- Datenschutz und KI-Verordnung: Schnittpunkte — DSGVO-Compliance bei KI-Systemen: besondere Risiken bei automatisierter Entscheidungsfindung