Ir al contenido
Recht Artikel

Was tun bei einer Inspektion der AEPD?

Praxisleitfaden für Unternehmen, die eine Benachrichtigung der spanischen Datenschutzbehörde (AEPD) erhalten: Phasen des Sanktionsverfahrens, Rechte des Beschuldigten, vorzubereitende Unterlagen und wie die Sanktion minimiert werden kann.

3 Min. Lesezeit

Eine Benachrichtigung der spanischen Datenschutzbehörde (AEPD) zu erhalten, ist eine Situation, die bei jedem Unternehmen verständlicherweise Alarm auslöst. Wie bei jedem verwaltungsrechtlichen Sanktionsverfahren bestimmt jedoch die richtige Reaktion in den ersten Phasen in hohem Maße das Ergebnis: Eine angemessene Handhabung kann die Sanktion reduzieren, den guten Willen des Unternehmens nachweisen und in einigen Fällen die Einstellung des Verfahrens erreichen.

Die Arten von AEPD-Maßnahmen

Nicht alle Kontakte der AEPD mit einem Unternehmen haben denselben Umfang. Es ist wichtig, von Anfang an zu identifizieren, womit man es zu tun hat:

Informative Maßnahmen: Die AEPD kann zur Überprüfung der Compliance-Situation kontaktieren, ohne ein Sanktionsverfahren einzuleiten. Diese Maßnahmen sind präventiver Natur.

Untersuchungsmaßnahmen: Eingeleitet nach einer Beschwerde eines Betroffenen oder von Amts wegen. Die AEPD untersucht, ob ein Verstoß vorliegt, ohne noch formell zu sanktionieren.

Sanktionsverfahren: Das formelle Verfahren, das mit der Einleitung durch den Direktor der AEPD beginnt und zu einer Auflage oder Geldstrafe führen kann.

Phasen des AEPD-Sanktionsverfahrens

Phase 1: Einleitung des Verfahrens

Das Sanktionsverfahren wird durch eine Einleitungsvereinbarung (acuerdo de inicio) des AEPD-Direktors eingeleitet, die dem beschuldigten Unternehmen zugestellt wird. Diese Vereinbarung beschreibt die Handlungen, die als Verstöße qualifiziert werden, die anwendbare Norm und den vorläufigen Strafrahmen.

Was sofort zu tun ist:

  • Den internen Rechtsanwalt oder den externen Datenschutzberater informieren.
  • Alle Unterlagen zu dem in der Vereinbarung genannten Sachverhalt sichern.
  • Die Zustellungsfristen prüfen, um die Reaktionszeit zu berechnen.

Phase 2: Stellungnahme

Das Unternehmen hat typischerweise 10 Werktage (verlängerbar auf Antrag) Zeit, um Stellungnahme einzureichen und alle Beweise beizubringen, die es für relevant erachtet, um seine Argumente zu untermauern.

Strategische Elemente der Stellungnahme:

  • Sachliche Bestreitung der behaupteten Verstöße, sofern begründet.
  • Nachweis der bestehenden Compliance-Maßnahmen zum Zeitpunkt der angeblichen Verletzung.
  • Nachweis der nach der Verletzung ergriffenen Abhilfemaßnahmen.
  • Miterlangen der Freiwilligen Einhaltung (wenn der Verstoß nicht erheblich ist).

Phase 3: Vorschlag des Instrukteurs

Nach Auswertung der Stellungnahme erstellt der Instrukteur einen Sanktionsvorschlag (propuesta de resolución), der das betroffene Unternehmen in der Regel 10 Werktage Zeit hat, um Anmerkungen einzureichen.

Phase 4: Abschließende Entscheidung

Die endgültige Entscheidung wird vom Direktor der AEPD erlassen. Sie kann eine Einstellung des Verfahrens, eine Auflage ohne Geldstrafe oder eine Geldstrafe mit spezifischen Korrekturmaßnahmen umfassen.

Bußgeldrahmen nach DSGVO und LOPDGDD

Die DSGVO sieht zwei Bußgeldkategorien vor:

  • Kategorie 1 (weniger schwerwiegend): bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt).
  • Kategorie 2 (schwerwiegend): bis zu 20.000.000 Euro oder 4 % des weltweiten Jahresumsatzes.

Die spanische LOPDGDD klassifiziert Verstöße als leicht (Bußgelder bis zu 40.000 Euro), mittelschwer (bis zu 300.000 Euro) und schwerwiegend (bis zu 20.000.000 Euro).

Milderungsfaktoren, die die Sanktion reduzieren:

  • Fehlende Vorsätzlichkeit (fahrlässig statt vorsätzlich begangene Verletzung).
  • Schnelle Benachrichtigung der Betroffenen nach einer Datenpanne.
  • Vorher bestehende Compliance-Maßnahmen.
  • Freiwillige Abhilfemaßnahmen.
  • Erste Verletzung ohne Vorgeschichte bei der AEPD.

Wie man eine AEPD-Inspektion proaktiv handhabt

Die Unternehmen, die AEPD-Verfahren am besten bewältigen, sind diejenigen, die:

  1. Vollständige DSGVO-Dokumentation haben: ROPA (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen für Hochrisikoverarbeitungen, Datentransferverträge mit Auftragsverarbeitern.

  2. Einen benannten DPO haben (wenn obligatorisch oder freiwillig). Der Kontakt zur AEPD wird erheblich einfacher, wenn es einen identifizierten Verantwortlichen gibt.

  3. Nachweisbare Schulungsmaßnahmen für Mitarbeiter mit Zugang zu personenbezogenen Daten haben.

  4. Ein Reaktionsprotokoll für Datenpannen haben, das die Benachrichtigungsfristen (72 Stunden für die AEPD, sofern zutreffend) respektiert.

  5. Ein technisches und organisatorisches Sicherheitsmaßnahmenregister führen, das Pseudonymisierungs-, Verschlüsselungs- und Zugangskontrollmaßnahmen zeigt.

Mehr zu unseren Datenschutzdienstleistungen und zum externen DPO-Service.

datenschutz aepd dsgvo compliance
← Zurück zu Publikationen
Verwandte Leistungen

Verwandte Leistungen

Datenschutz & Privatsphäre

DSGVO- und LOPDGDD-Compliance, ausgelagerter Datenschutzbeauftragter und umfassendes Datenschutzmanagement für Unternehmen.

Externer Datenschutzbeauftragter (DSB)

Vollständig ausgelagerter Datenschutzbeauftragten-Service: kontinuierliche DSGVO-Compliance, AEPD-Verbindung, Aufsichtsbehördenmanagement und jährliche Compliance-Prüfungen.

Datenschutz-Folgenabschätzung (DSFA/DPIA)

Strukturierte DSFA-Methodik für risikoreiche Verarbeitungen: Risikoidentifizierung und -minderung, Verwaltung der vorherigen Konsultation bei der AEPD und Folgenabschätzungen für KI-Systeme.

Autor

Verwandte Artikel

Recht

Wie Sie ein Hinweisgebersystem gemäß dem Gesetz 2/2023 implementieren

Praxisleitfaden für Unternehmen, die verpflichtet sind, ein Hinweisgebersystem nach dem Gesetz 2/2023 einzurichten: welche Unternehmen betroffen sind, technische und organisatorische Anforderungen, Fristen, Sanktionen bei Nichteinhaltung und Schritte zur Implementierung.

14. April 2026 · 4 Min. Lesezeit
Recht

Compliance-Pflichten des Verwaltungsrats in Spanien: Rechtliche Pflichten der Geschäftsführer

Compliance-Pflichten des Verwaltungsrats in Spanien: Pflichten gemäß Art. 225–232 LSC, strafrechtliche Haftung nach Art. 31 bis des Strafgesetzbuches, D&O-Versicherung und Good-Governance-Protokolle.

20. März 2026 · 7 Min. Lesezeit
Recht

Hinweisgebersysteme für Unternehmen: Leitfaden zum spanischen Gesetz 2/2023

Vollständiger Leitfaden zum obligatorischen Hinweisgebersystem nach dem spanischen Gesetz 2/2023: 50-Mitarbeiter-Schwelle, SII-Anforderungen, Outsourcing-Optionen und Sanktionen bis 1 Million Euro.

15. März 2026 · 3 Min. Lesezeit

Möchten Sie mehr erfahren?

Lassen Sie uns besprechen, wie Sie diese Ideen auf Ihr Unternehmen anwenden können.

Leistung ansehen: Datenschutz & Privatsphäre
Anrufen Kontakt