Steuer- und Rechtsglosssar

Datenschutz in Spanien — DSGVO und LOPDGDD

Der Datenschutz in Spanien wird durch die EU-Datenschutz-Grundverordnung (DSGVO, Verordnung 2016/679) und die spanische Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) geregelt. Spaniens Aufsichtsbehörde ist die AEPD (Agencia Española de Protección de Datos). Die LOPDGDD passt die DSGVO für Spanien an und ergänzt sie, indem sie digitale Rechte im Arbeitskontext einführt und Regeln für politische Parteien und Kreditprofile erweitert.

Rechtlich

Der Rechtsrahmen: DSGVO + LOPDGDD

Der Datenschutz in Spanien funktioniert in einem zweistufigen Rahmen:

  1. DSGVO (Verordnung (EU) 2016/679): Unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018 anwendbar. Legt die übergreifenden Grundsätze, Rechte und Pflichten fest.

  2. LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre): Spaniens nationales Umsetzungs- und Ergänzungsgesetz. Es ersetzt die DSGVO nicht, füllt aber Lücken, wo die DSGVO nationale Spielräume zulässt, legt Verwaltungsverfahren fest und fügt spanienspezifische Regeln hinzu.

Gemeinsam schaffen diese Instrumente einen umfassenden Rahmen, der für jede Organisation gilt, die personenbezogene Daten von Personen in Spanien verarbeitet oder Waren oder Dienstleistungen an Personen in Spanien anbietet.

Die AEPD: Spaniens Aufsichtsbehörde

Die Agencia Española de Protección de Datos (AEPD) ist Spaniens nationale Datenschutz-Aufsichtsbehörde. Ihre Funktionen umfassen: Untersuchung von Beschwerden der Betroffenen, Durchführung proaktiver Untersuchungen und Prüfungen, Erlass verbindlicher Entscheidungen, Warnungen und Bußgelder sowie Koordination mit anderen EU-Aufsichtsbehörden. Die AEPD kann Bußgelder von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes (untere Stufe) und bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes (obere Stufe) verhängen.

Wesentliche DSGVO-Pflichten für Organisationen in Spanien

1. Rechtsgrundlage der Verarbeitung

Jede Verarbeitungstätigkeit erfordert eine Rechtsgrundlage nach Artikel 6 DSGVO: Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen.

2. Datenschutzhinweise

Organisationen müssen zum Zeitpunkt der Datenerhebung klare Datenschutzhinweise bereitstellen, die die Identität des Verantwortlichen, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger, Aufbewahrungsfristen, Betroffenenrechte und das Recht auf Beschwerde bei der AEPD abdecken.

3. Verzeichnis der Verarbeitungstätigkeiten

Alle Verantwortlichen und Auftragsverarbeiter müssen ein internes Verzeichnis aller Verarbeitungstätigkeiten führen (Artikel 30 DSGVO).

4. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Datenschutzkontrollen müssen von der Entwurfsphase an integriert werden. Standardeinstellungen müssen die datenschutzfreundlichste Option sein.

5. Datenschutz-Folgenabschätzung (DSFA/DPIA)

Eine DPIA ist vor Verarbeitungsvorgängen mit hohem Risiko verpflichtend: Verarbeitung sensibler Datenkategorien in großem Umfang, systematische Profilierung, Verarbeitung von Daten schutzbedürftiger Personen, automatisierte Entscheidungen mit erheblichen Auswirkungen.

6. Meldung von Datenschutzverletzungen

Datenschutzverletzungen müssen der AEPD innerhalb von 72 Stunden gemeldet und bei hohem Risiko auch den betroffenen Personen mitgeteilt werden.

7. Betroffenenrechte

Betroffene in Spanien haben folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Rechte in Bezug auf automatisierte Entscheidungsfindung. Verantwortliche müssen innerhalb von einem Monat antworten.

LOPDGDD-spezifische Bestimmungen

Digitale Rechte im Arbeitsverhältnis

Titel X der LOPDGDD begründet spezifische digitale Rechte für Arbeitnehmer: Recht auf digitale Trennung außerhalb der Arbeitszeit, Recht auf Privatsphäre bei der Nutzung digitaler Arbeitsgeräte, Schutz vor Videoüberwachung, Anforderungen an die Vorabbenachrichtigung bei Geolokalisierungssystemen und das Recht auf Information über KI-gestützte Beschäftigungsentscheidungen.

Wie BMC helfen kann

Wir unterstützen Unternehmen bei der vollständigen DSGVO- und LOPDGDD-Compliance: Erstellung von Verarbeitungsverzeichnissen, Datenschutzhinweisen und Einwilligungsformularen, DPIA-Durchführung, Implementierung von Datenschutzmanagementsystemen, Beratung zu internationalen Datentransfers und Unterstützung bei AEPD-Untersuchungen.

Zurück zum Glossar

bm.consulting

¿Necesitas aplicar esto a tu caso concreto?

La teoría está clara. El paso a seguir también puede estarlo. Hablemos.

Kostenlose Beratung Alle Dienste ansehen
AEAT Colaborador Social 4.9/5 bei Google · 47 Bewertungen 30+ Nationalitäten betreut
E-Mail
Kontakt

Häufig gestellte Fragen

Gilt die DSGVO für kleine spanische Unternehmen mit weniger als 10 Mitarbeitern?
Ja. Die DSGVO gilt für jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig von der Größe. Kleine Organisationen können vom Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 befreit sein, wenn sie weniger als 250 Mitarbeiter haben und ihre Verarbeitung kein hohes Risiko darstellt — alle anderen Pflichten (Rechtsgrundlage, Datenschutzhinweise, Betroffenenrechte, Sicherheitsmaßnahmen) gelten jedoch in vollem Umfang.
Was sind die häufigsten Gründe für AEPD-Sanktionen in Spanien?
Die häufigsten Sanktionsgründe der AEPD umfassen ungültige Cookie-Einwilligung, unzureichende Datenschutzhinweise, fehlende Reaktion auf Auskunftsersuchen von Betroffenen innerhalb eines Monats, unzureichende Sicherheitsmaßnahmen, die zu Datenschutzverletzungen führen, und unzulässige Verwendung personenbezogener Daten für Direktmarketing ohne gültige Rechtsgrundlage.
Welche spezifischen digitalen Rechte gewährt Spaniens LOPDGDD Arbeitnehmern?
Titel X der LOPDGDD gewährt Arbeitnehmern das Recht auf digitale Trennung außerhalb der Arbeitszeit, das Recht auf Privatsphäre bei der Nutzung digitaler Arbeitsgeräte, Schutz vor Videoüberwachung und Tonaufnahmen am Arbeitsplatz, Vorabbenachrichtigungspflichten für Geolokalisierungssysteme und das Recht, über KI-Tools informiert zu werden, die bei Beschäftigungsentscheidungen eingesetzt werden.
Wie müssen spanische Unternehmen Mitarbeiterdatentransfers an nicht-EU-Muttergesellschaften handhaben?
Transfers von EU-Mitarbeiterdaten an eine Nicht-EU-Muttergesellschaft erfordern angemessene Schutzmaßnahmen, meistens die Standardvertragsklauseln 2021. Eine Datentransfer-Folgenabschätzung (DTIA) ist erforderlich, um das Recht und die Praxis des Ziellandes zu bewerten. Die AEPD ist zuständig für die Untersuchung rechtswidriger internationaler Transfers.
Welche Bußgelder kann die AEPD für DSGVO-Verstöße in Spanien verhängen?
Die AEPD kann Bußgelder von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes für technische Verstöße (untere Stufe) und bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes für Verstöße gegen Grundprinzipien, Einwilligungsprobleme und Verletzungen von Betroffenenrechten (obere Stufe) verhängen.

Verwandte Branchen

Technologie & Startups Beschäftigung & HR-Dienstleistungen

Verwandte Artikel

Jan. 2026

Whitepaper: Datenschutz im Zeitalter des KI-Gesetzes

Mai 2025

Was tun bei einer Inspektion der AEPD?

Juni 2025

Wann ist die Benennung eines externen DPO Pflicht?

Nov. 2024

Hinweisgebersystem für Unternehmen: Leitfaden | BMC

Juli 2025

37,5-Stunden-Woche: Praktische Auswirkungen

März 2026

KI-Gesetz: Pflichten für Hochrisikosysteme