Ir al contenido

Wirtschaftsglossar

DSGVO in Spanien (LOPD-GDD)

Spanien setzt die EU-Datenschutz-Grundverordnung (DSGVO) durch das Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD) um. Die Aufsichtsbehörde ist die Agencia Española de Protección de Datos (AEPD), eine der aktivsten Datenschutzbehörden der EU.

Digital

DSGVO und Spaniens LOPD-GDD

Die EU-Datenschutz-Grundverordnung (DSGVO — Verordnung 2016/679) gilt seit dem 25. Mai 2018 direkt in ganz Spanien. Sie wird ergänzt und erweitert durch Spaniens nationales Umsetzungsgesetz, das Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), das die DSGVO an das spanische Verfassungsrecht anpasst (das Recht auf Privatsphäre ist ein Grundrecht nach Artikel 18 der spanischen Verfassung) und sektorspezifische Regeln hinzufügt.

Für in Spanien tätige Unternehmen setzt die Kombination aus DSGVO und LOPD-GDD — nicht allein die DSGVO — den Compliance-Standard.

Spaniens Datenschutzbehörde: AEPD

Die Agencia Española de Protección de Datos (AEPD) ist Spaniens unabhängige Aufsichtsbehörde. Sie ist beständig eine der aktivsten Datenschutzbehörden in der EU und verhängt regelmäßig erhebliche Bußgelder gegen Unternehmen aller Größen. Bemerkenswerte AEPD-Durchsetzungsmaßnahmen umfassten Bußgelder gegen große Telekommunikationsanbieter, Fluggesellschaften und Banken sowie gegen kleinere Unternehmen bei grundlegenden Compliance-Versäumnissen.

Die Durchsetzungsprioritäten der AEPD umfassen:

  • Unrechtmäßige Verwendung von Cookies und Tracking-Technologien
  • Unzureichende Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
  • Versäumnis, auf Betroffenenrechtsanfragen innerhalb der gesetzlichen Fristen (ein Monat) zu antworten
  • Unzureichende technische und organisatorische Sicherheitsmaßnahmen nach Datenpannen

Wesentliche Compliance-Pflichten

1. Rechtsgrundlage für die Verarbeitung

Jede Verarbeitungstätigkeit muss auf einer der sechs DSGVO-Rechtsgrundlagen basieren: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. In Spanien überprüft die AEPD Einwilligungsmechanismen sorgfältig — vorangekreuzte Kästchen, gebündelte Einwilligung und als Auffanglösung für kommerzielle Profilierung eingesetzte Einwilligung werden regelmäßig beanstandet.

2. Verarbeitungsverzeichnis (ROPA)

Unternehmen mit mehr als 250 Mitarbeitern oder die sensible Daten verarbeiten oder systematische Verarbeitung durchführen, müssen ein schriftliches Verzeichnis führen, das alle Verarbeitungstätigkeiten, ihre Zwecke, Datenkategorien, Aufbewahrungsfristen und Sicherheitsmaßnahmen dokumentiert.

3. Datenschutzbeauftragter (DSB)

Ein DSB ist für öffentliche Stellen, Unternehmen, die sensible Daten in großem Maßstab verarbeiten, oder Unternehmen, die umfangreiche systematische Überwachung von Personen durchführen, verpflichtend. Der DSB kann ein Mitarbeiter oder ein externer Anbieter sein und muss bei der AEPD registriert sein.

4. Auftragsverarbeitungsverträge (AVV)

Jeder Drittanbieter, der personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet (Cloud-Anbieter, Gehaltsabrechnungsdienstleister, Marketingplattformen), muss einen unterschriebenen AVV haben, der den Anforderungen von DSGVO-Artikel 28 entspricht. Dies ist eine häufig bei Due-Diligence-Prüfungen spanischer Unternehmen festgestellte Lücke.

5. Cookies und Online-Tracking

Die AEPD-Guía sobre el uso de las cookies gehört zu den detailliertesten Cookie-Leitfäden der EU. Die Einwilligung muss spezifisch, informiert und freiwillig erteilt sein; Cookie-Sperren (Zugangsblockierung, sofern Cookies nicht akzeptiert werden) sind nur unter spezifischen Umständen zulässig. Analyse-Cookies sind nicht “unbedingt notwendig” und erfordern Einwilligung.

6. HR-Daten

Das LOPD-GDD fügt spezifische Bestimmungen zur Mitarbeiterüberwachung, digitalen Rechten am Arbeitsplatz und der Verwendung biometrischer Daten für Zeiterfassungssysteme hinzu (eine in Spanien verbreitete, aber rechtlich komplexe Praxis).

Bußgelder und Sanktionen

Die DSGVO ermöglicht Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei schwerwiegendsten Verstößen. Die AEPD verhängt regelmäßig Bußgelder im Bereich von 50.000–300.000 Euro für mittelgroße Unternehmen und hat Bußgelder über 5 Millionen Euro für große Organisationen ausgesprochen.

LOPD-GDD-Ergänzungen über die DSGVO hinaus

Das LOPD-GDD fügt spezifisch spanische Rechte und Pflichten hinzu, die in der Basis-DSGVO nicht enthalten sind:

  • Recht auf digitale Abschaltung bei der Arbeit (derecho a la desconexión digital)
  • Recht, nicht automatisiertem Profiling bei Beschäftigungsentscheidungen unterworfen zu werden
  • Spezifische Regeln für die Verarbeitung von Daten verstorbener Personen

Wie BMC helfen kann

Wir führen DSGVO-Compliance-Audits durch, erstellen ROPA-Verzeichnisse und interne Richtlinien, verhandeln AVVs mit Lieferanten, unterstützen die DSB-Bestellung, verwalten AEPD-Beschwerden und -Untersuchungen und beraten zu den Datenschutzaspekten von M&A-Transaktionen.

Häufig gestellte Fragen

Wie unterscheidet sich das LOPD-GDD von der DSGVO in Spanien?
Die DSGVO (Verordnung 2016/679) gilt direkt in Spanien als EU-Recht. Das LOPD-GDD (Ley Orgánica 3/2018) ist Spaniens nationales Umsetzungsgesetz, das die DSGVO an Spaniens Verfassungsrahmen anpasst — wo Privatsphäre ein Grundrecht nach Artikel 18 ist — und spanienspezifische Regeln hinzufügt. Wichtige LOPD-GDD-Ergänzungen umfassen digitale Rechte bei der Beschäftigung (Recht auf digitale Abschaltung, Recht auf kein Profiling bei HR-Entscheidungen), detaillierte Regeln zur Mitarbeiterüberwachung und spezifische Bestimmungen zur Verarbeitung von Daten verstorbener Personen.
Welche Bußgelder kann die AEPD für DSGVO-Verstöße in Spanien verhängen?
Die AEPD kann bei schwerwiegendsten DSGVO-Verstößen Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängen, wie unrechtmäßige Verarbeitung, unzureichende Sicherheit bei Datenpannen oder Verweigerung von Betroffenenrechten. Bei weniger schwerwiegenden Verstößen gelten Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes. In der Praxis verhängt die AEPD regelmäßig Bußgelder im Bereich von 50.000–300.000 Euro für mittelgroße Unternehmen und hat Bußgelder über 5 Millionen Euro für große Organisationen ausgesprochen.
Wann ist ein Datenschutzbeauftragter (DSB) in Spanien verpflichtend?
Ein DSB ist gemäß DSGVO für öffentliche Stellen, Unternehmen, die sensible Daten in großem Maßstab verarbeiten, und Unternehmen, die umfangreiche systematische Überwachung von Personen durchführen, verpflichtend. Nach dem spanischen LOPD-GDD erstreckt sich die Pflicht auf Bildungseinrichtungen, Kreditinstitute, Versicherungsunternehmen und weitere Kategorien. Der DSB muss bei der AEPD registriert sein und kann ein interner Mitarbeiter oder ein externer Anbieter sein.
Was sind Spaniens Cookie-Compliance-Anforderungen?
Die Cookie-Leitlinien der AEPD gehören zu den detailliertesten in der EU. Analyse- und Werbe-Cookies sind nicht 'unbedingt notwendig' und erfordern eine spezifische, informierte, freiwillig erteilte Einwilligung — vorangekreuzte Kästchen sind ungültig. Cookie-Sperren (Zugangsblockierung zu einer Website, sofern Cookies nicht akzeptiert werden) sind nur unter engen Umständen und nur zulässig, wenn eine echte Alternative angeboten wird. Cookie-Einwilligung muss genauso einfach zu widerrufen wie zu erteilen sein, und die AEPD setzt aktiv gegen nicht konforme Websites durch.
Welche DSGVO-Pflichten gelten für Mitarbeiterdaten in Spanien?
Arbeitgeber, die Mitarbeiterdaten unter der DSGVO verarbeiten, müssen über eine gültige Rechtsgrundlage verfügen (in der Regel Vertragserfüllung oder rechtliche Verpflichtung). Das LOPD-GDD fügt spezifische Regeln hinzu: biometrische Daten für Zeiterfassungssysteme erfordern ausdrückliche Einwilligung oder eine spezifische Rechtsgrundlage; die Überwachung von Kommunikation am Arbeitsplatz erfordert vorherige Mitteilung an Mitarbeiter und Arbeitnehmervertreter; Mitarbeiter haben das Recht auf digitale Abschaltung außerhalb der Arbeitszeiten. Gehaltsabrechnung, Arbeitsmedizinunterlagen und Disziplinarunterlagen haben jeweils spezifische Aufbewahrungsfristen.

Verwandte Leistung

Legal

Entdecken Sie unsere Leistungen in diesem Bereich

Verwandte Branchen

Technologie & Startups Finanzdienstleistungen

Verwandte Begriffe

Due Diligence Sociedad Limitada (SL) — Spanische GmbH Handelsregister (Registro Mercantil) in Spanien Integriertes Compliance-Management NIS2-Richtlinie ISO 27001 (Informationssicherheits-Managementsystem) Datenschutzbeauftragter (DSB/DPO) Hinweisgebersystem (Canal de Denuncias)

Verwandte Artikel

Aug. 2023

Datenschutz und KI: Neue Rechtliche Herausforderungen

Zurück zum Glossar

Fordern Sie eine persönliche Beratung an

Unsere Experten analysieren Ihre Situation und bieten maßgeschneiderte Lösungen.

Kostenlose Erstberatung
Anrufen Kontakt