AEPD-Inspektion: Was tun? — Leitfaden 2026

Q: Wie läuft ein AEPD-Sanktionsverfahren in Spanien ab?

Ein Sanktionsverfahren der AEPD (Agencia Española de Protección de Datos) folgt einem klar definierten Ablauf. Es beginnt entweder mit einer Beschwerde einer betroffenen Person oder einer Eigeninitiative der AEPD (Actuaciones Previas). Nach einer Vorprüfungsphase eröffnet die AEPD formal ein Sanktionsverfahren (Procedimiento Sancionador) und notifiziert das betroffene Unternehmen. Das Unternehmen hat dann typischerweise zehn Werktage Zeit, um Einwände und Stellungnahmen einzureichen (Pliego de Cargos). Anschließend erstellt ein AEPD-Instruktor einen Vorschlag-Beschluss (Propuesta de Resolución), gegen den wiederum Einwände möglich sind. Der abschließende Beschluss der AEPD kann angefochten werden — zunächst durch einen Verwaltungseinspruch (Recurso Potestativo de Reposición) und dann durch ein Verwaltungsgericht (Audiencia Nacional).

Q: Welche Sanktionen kann die AEPD verhängen und wie werden die Bußgelder berechnet?

Die DSGVO sieht zwei Bußgeldkategorien vor: für weniger schwerwiegende Verstöße (Art. 83 Abs. 4 DSGVO) bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Für schwerwiegende Verstöße (Art. 83 Abs. 5 DSGVO), wie unzureichende Rechtsgrundlage für die Datenverarbeitung oder Missachtung von Betroffenenrechten, bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Die AEPD berücksichtigt bei der Bemessung Faktoren wie: Schwere und Dauer des Verstoßes, Art der betroffenen personenbezogenen Daten, Kooperationsbereitschaft des Unternehmens, frühzeitige Abstellmaßnahmen und die Existenz eines zertifizierten Datenschutzprogramms. In der Praxis hat die AEPD in vielen Fällen — insbesondere bei KMU, die kooperativ sind und keine sensiblen Daten verarbeiteten — Sanktionen erheblich reduziert oder von formellen Sanktionen abgesehen.

Q: Was sollte ein Unternehmen in den ersten 48 Stunden nach Erhalt einer AEPD-Benachrichtigung tun?

In den ersten 48 Stunden nach Erhalt einer AEPD-Benachrichtigung sind folgende Maßnahmen entscheidend: Erstens, unverzüglich einen auf Datenschutzrecht spezialisierten Rechtsanwalt oder den externen DPO hinzuziehen — eine Antwort ohne juristischen Beistand ist in der Regel fehleranfällig. Zweitens, die Benachrichtigung genau lesen und den genauen Verfahrenstyp (informativ, untersuchend oder sanktionierend) sowie die Antwortfristen identifizieren. Drittens, keine eiligen internen Kommunikationen oder Löschungen von Daten vornehmen, die als Beweismittelvernichtung interpretiert werden könnten. Viertens, alle relevanten Unterlagen sichern: Datenschutzerklärungen, Verarbeitungsverzeichnis (Art. 30 DSGVO), Auftragsverarbeitungsverträge und Einwilligungsprotokolle. Fünftens, keine direkte Kommunikation mit dem Beschwerdeführer ohne juristische Begleitung suchen.

Q: Wie kann ein Unternehmen eine AEPD-Sanktion reduzieren oder vermeiden?

Es gibt mehrere anerkannte Strategien zur Reduzierung einer AEPD-Sanktion. Erstens ist Kooperationsbereitschaft entscheidend: Unternehmen, die proaktiv mit der AEPD kooperieren, transparent sind und schnell Abstellmaßnahmen einleiten, erhalten deutlich geringere Sanktionen. Zweitens reduziert ein nachgewiesenes Datenschutz-Compliance-Programm (Datenschutzfolgenabschätzung, aktuelles Verarbeitungsverzeichnis, Mitarbeiterschulungen) die Sanktion erheblich, da es zeigt, dass der Verstoß kein systematisches Versagen war. Drittens kann eine freiwillige Zahlung in der Sanktionsphase (Pronto Pago) die verhängte Sanktion um bis zu 20 Prozent reduzieren. Viertens kann die Beantragung eines Vergleichsverfahrens (Terminación Convencional) in einigen Fällen zur einvernehmlichen Lösung ohne förmliche Sanktion führen. Die Qualität der Verteidigungsschrift (Alegaciones) ist dabei ausschlaggebend.

Q: Was ist der Unterschied zwischen einer proaktiven und einer reaktiven AEPD-Benachrichtigung?

Die AEPD initiiert Verfahren auf zwei Wegen. Beim reaktiven Verfahren handelt die AEPD auf Basis einer Beschwerde (Reclamación) einer betroffenen Person — etwa wegen unzulässiger Weitergabe von Daten, Verweigerung der Auskunft oder fehlerhafter Einwilligung. Beim proaktiven oder Ex-Officio-Verfahren handelt die AEPD aus eigenem Antrieb, oft im Rahmen thematischer Kontrollkampagnen (Planes de Inspección), die die AEPD jährlich veröffentlicht. In den letzten Jahren hat die AEPD proaktive Kampagnen in folgenden Bereichen durchgeführt: Gesundheitsdaten in der Privatwirtschaft, Cookie-Compliance auf Webseiten, Videoüberwachungssysteme und Datenverarbeitung durch Schulen und Bildungseinrichtungen. Unternehmen in diesen Bereichen sollten ihre Compliance-Lage aktiv überprüfen, ohne auf eine AEPD-Benachrichtigung zu warten.

Q: Welche Datenschutzdokumentation sollte jedes spanische Unternehmen unbedingt vorhalten?

Jedes spanische Unternehmen mit Datenverarbeitung muss nach Art. 30 DSGVO und der LOPDGDD (Ley Orgánica 3/2018) folgende Basisdokumentation vorhalten: erstens ein Verzeichnis der Verarbeitungstätigkeiten (Registro de Actividades de Tratamiento), das alle Datenverarbeitungsprozesse, ihre Rechtsgrundlagen, Datenkategorien, Speicherfristen und Empfänger dokumentiert; zweitens Datenschutzerklärungen (Cláusulas Informativas) für Kunden, Lieferanten und Mitarbeiter; drittens Auftragsverarbeitungsverträge (DPA) mit allen externen Dienstleistern, die Zugriff auf personenbezogene Daten haben; viertens Einwilligungsprotokolle für marketingbezogene Kommunikation; und fünftens Nachweise über Mitarbeiterschulungen. Diese Dokumentation ist nicht nur bei AEPD-Verfahren entscheidend, sondern auch bei unternehmensinternen Audits, Investorenpräsentationen und M&A-Transaktionen, bei denen Datenschutz-Due-Diligence Standard ist.

Eine Benachrichtigung der spanischen Datenschutzbehörde (AEPD) zu erhalten, ist eine Situation, die bei jedem Unternehmen verständlicherweise Alarm auslöst. Wie bei jedem verwaltungsrechtlichen Sanktionsverfahren bestimmt jedoch die richtige Reaktion in den ersten Phasen in hohem Maße das Ergebnis: Eine angemessene Handhabung kann die Sanktion reduzieren, den guten Willen des Unternehmens nachweisen und in einigen Fällen die Einstellung des Verfahrens erreichen.

Die Arten von AEPD-Maßnahmen

Nicht alle Kontakte der AEPD mit einem Unternehmen haben denselben Umfang. Es ist wichtig, von Anfang an zu identifizieren, womit man es zu tun hat:

Informative Maßnahmen: Die AEPD kann zur Überprüfung der Compliance-Situation kontaktieren, ohne ein Sanktionsverfahren einzuleiten. Diese Maßnahmen sind präventiver Natur.

Untersuchungsmaßnahmen: Eingeleitet nach einer Beschwerde eines Betroffenen oder von Amts wegen. Die AEPD untersucht, ob ein Verstoß vorliegt, ohne noch formell zu sanktionieren.

Sanktionsverfahren: Das formelle Verfahren, das mit der Einleitung durch den Direktor der AEPD beginnt und zu einer Auflage oder Geldstrafe führen kann.

Phasen des AEPD-Sanktionsverfahrens

Phase 1: Einleitung des Verfahrens

Das Sanktionsverfahren wird durch eine Einleitungsvereinbarung (acuerdo de inicio) des AEPD-Direktors eingeleitet, die dem beschuldigten Unternehmen zugestellt wird. Diese Vereinbarung beschreibt die Handlungen, die als Verstöße qualifiziert werden, die anwendbare Norm und den vorläufigen Strafrahmen.

Was sofort zu tun ist:

Den internen Rechtsanwalt oder den externen Datenschutzberater informieren.
Alle Unterlagen zu dem in der Vereinbarung genannten Sachverhalt sichern.
Die Zustellungsfristen prüfen, um die Reaktionszeit zu berechnen.

Phase 2: Stellungnahme

Das Unternehmen hat typischerweise 10 Werktage (verlängerbar auf Antrag) Zeit, um Stellungnahme einzureichen und alle Beweise beizubringen, die es für relevant erachtet, um seine Argumente zu untermauern.

Strategische Elemente der Stellungnahme:

Sachliche Bestreitung der behaupteten Verstöße, sofern begründet.
Nachweis der bestehenden Compliance-Maßnahmen zum Zeitpunkt der angeblichen Verletzung.
Nachweis der nach der Verletzung ergriffenen Abhilfemaßnahmen.
Miterlangen der Freiwilligen Einhaltung (wenn der Verstoß nicht erheblich ist).

Phase 3: Vorschlag des Instrukteurs

Nach Auswertung der Stellungnahme erstellt der Instrukteur einen Sanktionsvorschlag (propuesta de resolución), der das betroffene Unternehmen in der Regel 10 Werktage Zeit hat, um Anmerkungen einzureichen.

Phase 4: Abschließende Entscheidung

Die endgültige Entscheidung wird vom Direktor der AEPD erlassen. Sie kann eine Einstellung des Verfahrens, eine Auflage ohne Geldstrafe oder eine Geldstrafe mit spezifischen Korrekturmaßnahmen umfassen.

Bußgeldrahmen nach DSGVO und LOPDGDD

Die DSGVO sieht zwei Bußgeldkategorien vor:

Kategorie 1 (weniger schwerwiegend): bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt).
Kategorie 2 (schwerwiegend): bis zu 20.000.000 Euro oder 4 % des weltweiten Jahresumsatzes.

Die spanische LOPDGDD klassifiziert Verstöße als leicht (Bußgelder bis zu 40.000 Euro), mittelschwer (bis zu 300.000 Euro) und schwerwiegend (bis zu 20.000.000 Euro).

Milderungsfaktoren, die die Sanktion reduzieren:

Fehlende Vorsätzlichkeit (fahrlässig statt vorsätzlich begangene Verletzung).
Schnelle Benachrichtigung der Betroffenen nach einer Datenpanne.
Vorher bestehende Compliance-Maßnahmen.
Freiwillige Abhilfemaßnahmen.
Erste Verletzung ohne Vorgeschichte bei der AEPD.

Wie man eine AEPD-Inspektion proaktiv handhabt

Die Unternehmen, die AEPD-Verfahren am besten bewältigen, sind diejenigen, die:

Vollständige DSGVO-Dokumentation haben: ROPA (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen für Hochrisikoverarbeitungen, Datentransferverträge mit Auftragsverarbeitern.
Einen benannten DPO haben (wenn obligatorisch oder freiwillig). Der Kontakt zur AEPD wird erheblich einfacher, wenn es einen identifizierten Verantwortlichen gibt.
Nachweisbare Schulungsmaßnahmen für Mitarbeiter mit Zugang zu personenbezogenen Daten haben.
Ein Reaktionsprotokoll für Datenpannen haben, das die Benachrichtigungsfristen (72 Stunden für die AEPD, sofern zutreffend) respektiert.
Ein technisches und organisatorisches Sicherheitsmaßnahmenregister führen, das Pseudonymisierungs-, Verschlüsselungs- und Zugangskontrollmaßnahmen zeigt.

Mehr zu unseren Datenschutzdienstleistungen und zum externen DPO-Service.

Der Ablauf einer AEPD-Inspektion in Spanien

Eine AEPD-Inspektion (Inspección de la Agencia Española de Protección de Datos) folgt einem klar definierten Verfahren, das durch das Ley Orgánica 3/2018 (LOPDGDD) und die Datenschutz-Grundverordnung (DSGVO) geregelt ist.

Phase 1: Einleitung des Verfahrens

Die AEPD kann eine Inspektion aus verschiedenen Gründen einleiten: nach einer Beschwerde einer betroffenen Person oder eines Unternehmens, aufgrund einer Pressemitteilung über einen Datenschutzverstoß, durch proaktive Sektorüberprüfungen (z.B. bei Krankenhäusern, Banken oder E-Commerce-Plattformen) oder im Rahmen einer koordinierten europäischen Datenschutzaktion (Art. 60 DSGVO für grenzüberschreitende Verarbeitungen). Die AEPD kündigt Inspektionen meist nicht im Voraus an — insbesondere wenn der Verdacht auf einen akuten Datenschutzverstoß besteht.

Phase 2: Informationsanfragen und Vor-Ort-Prüfungen

Im Rahmen der Inspektion kann die AEPD schriftliche Informationsanfragen stellen, zu denen das Unternehmen innerhalb einer gesetzten Frist (üblicherweise 10 bis 15 Werktage) zu antworten hat. Die AEPD-Inspektoren sind zudem berechtigt, Vor-Ort-Prüfungen durchzuführen, bei denen sie Zugang zu Räumlichkeiten, IT-Systemen, Verarbeitungsregistern und Dokumenten verlangen können. Das Unternehmen hat das Recht, einen Rechtsanwalt zu allen Gesprächen hinzuzuziehen.

Phase 3: Vorläufige Bewertung und rechtliches Gehör

Nach Abschluss der Ermittlungen übermittelt die AEPD dem Unternehmen eine vorläufige Bewertung (pliego de cargos). Das Unternehmen hat dann das Recht, Stellung zu nehmen (Alegaciones) und Beweise zur Widerlegung der Feststellungen einzureichen. Diese Phase ist entscheidend für die Verteidigung: gut begründete Einwände können zur Einstellung des Verfahrens oder zur Reduzierung der Sanktionen führen.

Phase 4: Beschluss und Sanktionen

Die AEPD erlässt einen abschließenden Beschluss, der entweder das Verfahren einstellt (Archivo de actuaciones), eine Verwarnung ausspricht (Apercibimiento) oder eine Geldbuße verhängt. DSGVO-Geldbußen können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen (bei Verstößen gegen Grundsätze wie Zweckbindung oder Rechtsgrundlage) bzw. bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (bei administrativen Verstößen). Der Beschluss kann vor dem Nationalen Gerichtshof (Audiencia Nacional) angefochten werden.

Präventive Maßnahmen zur AEPD-Compliance

Das Verarbeitungsregister als Ausgangspunkt

Art. 30 DSGVO verpflichtet Unternehmen mit mehr als 250 Mitarbeitern (und auch kleinere Unternehmen bei bestimmten Verarbeitungstypen) zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Registro de Actividades de Tratamiento). Dieses Dokument ist das erste, was die AEPD bei einer Inspektion anfordert. Es muss für jede Verarbeitungstätigkeit folgende Informationen enthalten: Zweck der Verarbeitung, Rechtsgrundlage, betroffene Datenkategorien, Empfänger der Daten, Speicherfristen und technisch-organisatorische Sicherheitsmaßnahmen.

Auftragsverarbeitungsverträge (DPA)

Für jeden Dienstleister, der im Auftrag des Unternehmens personenbezogene Daten verarbeitet (Cloud-Anbieter, Lohnabrechnungsdienstleister, Marketing-Agenturen), muss ein Auftragsverarbeitungsvertrag (Contrato de Encargado de Tratamiento, DPA) nach Art. 28 DSGVO abgeschlossen worden sein. Fehlende DPAs mit wichtigen Auftragsverarbeitern sind eine der häufigsten Beanstandungen bei AEPD-Inspektionen.

Datenschutz-Folgenabschätzungen (DPIA)

Bei besonders risikoreichen Verarbeitungen (Videoüberwachung, Profiling, Verarbeitung besonderer Datenkategorien) schreibt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (Evaluación de Impacto en la Protección de Datos, EIPD) vor. Die AEPD hat eine Liste der verarbeitungsarten veröffentlicht, für die eine DPIA in Spanien verpflichtend ist.

BMC begleitet Unternehmen bei der Datenschutz-Compliance und der Vorbereitung auf AEPD-Inspektionen — von der Erstellung des Verarbeitungsregisters über die DPIA bis zur Vertretung im AEPD-Verfahren. Mehr über unsere Datenschutzdienstleistungen.

Sanktionsmilderungsgründe bei AEPD-Verfahren

Bei der Bemessung einer DSGVO-Geldbuße berücksichtigt die AEPD verschiedene mildernde Faktoren: proaktive Zusammenarbeit mit der Behörde, schnelle Behebung des Datenschutzverstoßes nach Bekanntwerden, Nachweis einer guten Compliance-Kultur vor dem Verstoß, freiwillige Selbstmeldung des Vorfalls, Ergreifung sofortiger Abhilfemaßnahmen und geringe Schwere des Schadens für die betroffenen Personen. Unternehmen, die bei der ersten Anzeichen eines Problems aktiv mit der AEPD kooperieren und transparente Maßnahmen ergreifen, erzielen regelmäßig deutlich günstigere Verfahrensergebnisse als solche, die die Behörde blockieren oder Informationen zurückhalten. Ein qualifizierter Datenschutzbeauftragter (DPO) ist in dieser Phase ein wichtiger Vermittler zwischen dem Unternehmen und der AEPD.

Die AEPD-Inspektion ist kein unüberwindbares Hindernis für gut vorbereitete Unternehmen — sie ist eine Chance, die eigene Datenschutz-Compliance zu stärken und das Vertrauen von Kunden und Geschäftspartnern zu festigen.

Investieren Sie jetzt in Datenschutz-Compliance, bevor die AEPD an Ihre Tür klopft — präventive Maßnahmen sind stets kostengünstiger als reaktive Krisenmanagement-Maßnahmen nach einem Verstoß.

datenschutz aepd dsgvo compliance

← Zurück zu Publikationen

Die Arten von AEPD-Maßnahmen

Phasen des AEPD-Sanktionsverfahrens

Phase 1: Einleitung des Verfahrens

Phase 2: Stellungnahme

Phase 3: Vorschlag des Instrukteurs

Phase 4: Abschließende Entscheidung

Bußgeldrahmen nach DSGVO und LOPDGDD

Wie man eine AEPD-Inspektion proaktiv handhabt

Der Ablauf einer AEPD-Inspektion in Spanien

Phase 1: Einleitung des Verfahrens

Phase 2: Informationsanfragen und Vor-Ort-Prüfungen

Phase 3: Vorläufige Bewertung und rechtliches Gehör

Phase 4: Beschluss und Sanktionen

Präventive Maßnahmen zur AEPD-Compliance

Das Verarbeitungsregister als Ausgangspunkt

Auftragsverarbeitungsverträge (DPA)

Datenschutz-Folgenabschätzungen (DPIA)

Sanktionsmilderungsgründe bei AEPD-Verfahren

Verwandte Leistungen

Datenschutz & Privatsphäre

Externer Datenschutzbeauftragter (DSB)

Datenpannenverwaltung

Verwandte Artikel

Wann ist die Benennung eines externen DPO Pflicht?

Strafrechts- vs. normative Compliance: Unterschied

Strafrechtliche Compliance: Rechtsprechungsupdate 2026

Möchten Sie mehr erfahren?