Datenschutz & AI Act Compliance in Spanien 2026 · BMC

Q: Benötigt mein Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) vor dem Einsatz eines KI-Systems?

Das hängt von der Art der Verarbeitung ab. Wenn das KI-System automatisierte Entscheidungen mit erheblichen Auswirkungen auf Personen trifft (Kredit, Personal, Kundensegmentierung) oder besondere Kategorien von Daten im großen Umfang verarbeitet, ist eine DSFA nach Artikel 35 DSGVO verpflichtend. Wenn das System zudem als 'hochriskant' im Sinne des EU AI Act eingestuft wird (in Kraft seit August 2024), ist zusätzlich eine separate Konformitätsbewertung erforderlich. Bei BMC führen wir beide Bewertungen integriert durch.

Q: Welche Rechtsgrundlage ist für die Datenverarbeitung in KI-Systemen am geeignetsten?

Es gibt keine einheitliche Antwort: Sie hängt vom Kontext ab. Berechtigte Interessen sind die häufigste Grundlage in B2B- und internen Analyseumgebungen, erfordern aber den Interessenabwägungstest nach Artikel 6.1(f) DSGVO, der bei groß angelegten KI-Systemen schwer zu begründen sein kann. Eine Einwilligung ist erforderlich, wenn besondere Kategorien von Daten verarbeitet werden oder wenn betroffene Personen Endverbraucher sind. In jedem Fall muss die Rechtsgrundlage im Verarbeitungsverzeichnis (RoPA) und in der Datenschutzerklärung des Systems dokumentiert werden.

Q: Welche Rechte haben Arbeitnehmer nach spanischem Recht in Bezug auf KI-gestützte Überwachung und Leistungsbewertung am Arbeitsplatz?

Artikel 87 des Organgesetzes 3/2018 (LOPDGDD) begründet das Recht auf digitale Privatsphäre am Arbeitsplatz: Arbeitgeber dürfen die digitale Nutzung nur überwachen, wenn sie die Arbeitnehmer zuvor in klarer und zugänglicher Weise über die erlaubten Nutzungen und den Überwachungsumfang informiert haben. Artikel 89 LOPDGDD regelt Videoüberwachung und Geolokalisierung; Artikel 90 behandelt das Verbot aufdringlicher Überwachung. Hinsichtlich KI-gestützter Leistungsbewertung gewährt Artikel 22 DSGVO Arbeitnehmern das Recht, keinen ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen mit erheblichen Auswirkungen unterworfen zu werden – die AEPD hat bestätigt, dass eine rein algorithmische Leistungsbewertung ohne echte menschliche Überprüfung dieses Recht verletzt. Der Betriebsrat (comité de empresa) muss nach Artikel 64 des Arbeitnehmerstatuts vorab über jedes im kollektiven Arbeitsverhältnis eingesetzte KI-System informiert werden.

Q: Welche Bußgelder kann die AEPD für DSGVO-Verstöße im Zusammenhang mit KI-Systemen in Spanien verhängen?

Die AEPD kann Sanktionen von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes für schwerwiegendste Verstöße verhängen – einschließlich unzulässiger Verarbeitung besonderer Datenkategorien, unterlassener Pflicht-DSFA oder systematischer Missachtung der Rechte nach Artikel 22 bei automatisierten Entscheidungen. Artikel 83 DSGVO enthält eine Zwei-Stufen-Struktur: bis zu 10 Mio. €/2 % Umsatz für Verwaltungsverstöße (DSFA-Unterlassung, Auftragsverarbeitungsvertragsmängel, Datensicherheitsfehler) und bis zu 20 Mio. €/4 % für Verstöße gegen Grundprinzipien der Datenverarbeitung, Rechtsgrundlagen, Betroffenenrechte und internationale Übermittlungsregeln. Wenn das KI-System zudem als hochriskant im Sinne des EU AI Act (Verordnung 2024/1689) eingestuft ist, können kumulativ gesonderte Sanktionen von bis zu 15 Mio. € oder 3 % des weltweiten Umsatzes bei Nichteinhaltung der Hochrisikoverpflichtungen hinzukommen.

Q: Welche Datenschutzpflichten gelten speziell für Unternehmen, die KI-Systeme in Spanien entwickeln oder einsetzen?

Unternehmen, die KI-Systeme entwickeln oder einsetzen, die in Spanien personenbezogene Daten verarbeiten, unterliegen einem dualen Compliance-Rahmen. Unter DSGVO und Organgesetz 3/2018 (LOPDGDD): Eine DSFA (evaluación de impacto en protección de datos, Artikel 35 DSGVO) ist für jedes System verpflichtend, das automatisierte Verarbeitung, Profiling oder groß angelegte Verarbeitung sensibler Daten nutzt; Grundsätze der Datensparsamkeit und Zweckbindung gelten ab der Designphase; Auftragsverarbeitungsverträge nach Artikel 28 DSGVO müssen alle Sub-Auftragsverarbeiter einschließlich Cloud-Anbieter umfassen; das Unternehmen muss das Verarbeitungsverzeichnis für das KI-System führen. Unter EU AI Act (Verordnung 2024/1689): Betreiber hochriskanter KI-Systeme müssen vor dem Einsatz eine Grundrechte-Folgenabschätzung durchführen, technische Dokumentation vorhalten, menschliche Aufsichtsmechanismen implementieren und das System in der EU-Datenbank registrieren.

Q: Was sind die AEPD-Durchsetzungsprioritäten 2026 für spanische Verantwortliche und welche Sanktionen sind typisch?

Die AEPD veröffentlichte ihren Strategieplan 2024–2026 mit folgenden Durchsetzungsschwerpunkten: (1) zielgerichtete Werbung und digitales Marketing – Cookie-Einwilligungsmechanismen, personalisiertes Profiling und Kinderdaten auf digitalen Plattformen; (2) KI und automatisierte Entscheidungsfindung – insbesondere Profiling-Systeme in Beschäftigung, Kreditbewertung und öffentlicher Dienstleistungserbringung; (3) Sicherheitsverletzungen – Meldepflichten nach Artikel 33 DSGVO innerhalb von 72 Stunden; und (4) berechtigte Interessen als Rechtsgrundlage – die AEPD hat breite Berufungen auf Artikel 6.1.f DSGVO ohne echte Interessenabwägung beanstandet. Sanktionen unter Artikel 83 DSGVO reichen von Verwarnungen bis zu Bußgeldern von bis zu 10 Mio. € oder 2 % bei weniger schwerwiegenden Verstößen und bis zu 20 Mio. € oder 4 % bei schwerwiegendsten Verstößen.

Die Konvergenz zwischen dem Schutz personenbezogener Daten und der Entwicklung von KI-Systemen stellt die Rechtspraxis vor erhebliche neue Herausforderungen. Die Datenschutz-Grundverordnung (DSGVO) und das spanische Organgesetz zum Datenschutz und zur Gewährleistung digitaler Rechte (LOPDGDD) sind vollständig auf KI-Systeme anwendbar, die personenbezogene Daten verarbeiten; der neue AI Act führt jedoch zusätzliche Anforderungen ein, die ein duales Compliance-Framework begründen.

Rechtsgrundlagen für die Verarbeitung in KI-Systemen

Viele KI-Systeme werden mit großen Mengen personenbezogener Daten für das Training gespeist. Die häufigste Rechtsgrundlage ist das berechtigte Interesse (Artikel 6.1(f) DSGVO), wobei deren Anwendung einen Interessenabwägungstest erfordert, den groß angelegte KI-Systeme möglicherweise nicht bestehen. Eine informierte Einwilligung setzt voraus, dass die betroffene Person versteht, wie ihre Daten in einem KI-Kontext verwendet werden, was bei historischen Trainingsdaten oder kontinuierlich lernenden Modellen komplex sein kann.

Bei besonderen Kategorien von Daten – Gesundheitsdaten, biometrische Daten, politische oder religiöse Überzeugungen – erfordert die DSGVO zusätzlich eine Bedingung nach Artikel 9.2, was das Training von KI-Modellen mit diesen Daten ohne ausdrückliche Einwilligung oder eine spezifische Rechtsgrundlage erheblich einschränkt.

Automatisierte Entscheidungen und Profiling

Artikel 22 DSGVO regelt das Recht, nicht ausschließlich automatisierten Verarbeitungsentscheidungen unterworfen zu werden. Unternehmen, die KI für Entscheidungen mit erheblichen Auswirkungen auf Personen einsetzen (Kredit, Beschäftigung, Versicherung, Zugang zu Dienstleistungen), müssen echte menschliche Eingriffe, Prozesstransparenz und die Möglichkeit einer Anfechtung gewährleisten. In der Praxis bedeutet dies einen Überprüfungsmechanismus durch eine natürliche Person – nicht nur eine formale Überprüfung –, die in der Lage ist, das algorithmische Ergebnis tatsächlich zu ändern.

Die spanische Datenschutzbehörde (AEPD) hat spezifische Leitlinien zu KI und Datenschutz veröffentlicht und festgestellt, dass der menschliche Eingriff real und nicht lediglich symbolisch sein muss: Ein Bediener, der das Ergebnis des Algorithmus lediglich bestätigt, ohne effektive Überprüfungskompetenz, erfüllt die Anforderung des Artikels 22 nicht.

Datenschutz-Folgenabschätzungen (DSFA)

Wenn die Datenverarbeitung in einem KI-System wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss eine Datenschutz-Folgenabschätzung (DSFA) vor Beginn der Verarbeitung durchgeführt werden. Der AI Act fügt eigene Konformitätsbewertungen für hochriskante Systeme hinzu, was möglicherweise eine doppelte Compliance-Belastung schafft.

Als hochriskante KI-Systeme im Sinne des AI Act gelten unter anderem: Systeme zur Verwaltung kritischer Infrastrukturen, KI in Bildung und Berufsausbildung, Personalauswahlsysteme, Kreditsysteme, Systeme in der Strafjustiz und biometrische Identifizierungssysteme. Für all diese muss das Unternehmen das Systemdesign, die verwendeten Datensätze, Maßnahmen zur menschlichen Aufsicht und die Ergebnisse von Robustheitstests dokumentieren.

Die Rolle des Datenschutzbeauftragten (DSB) in KI-Umgebungen

Unternehmen, die nach Artikel 37 DSGVO einen DSB benennen müssen – einschließlich derer, die groß angelegte Verarbeitung besonderer Datenkategorien oder systematisches Profiling durchführen –, müssen ihren DSB von Anfang an in die Konzeption und Prüfung von KI-Systemen einbeziehen. Dieser Privacy-by-Design-Grundsatz ist besonders wichtig, wenn ein KI-System von einem externen Anbieter erworben wird: Der Auftragsverarbeitungsvertrag muss die Pflichten aus Artikel 28 DSGVO widerspiegeln, und der Auftraggeber muss prüfen, ob der Anbieter den AI Act einhält.

Transparenz und Nutzerinformation

Die DSGVO verpflichtet dazu, die betroffenen Personen klar darüber zu informieren, wie ihre Daten genutzt werden, einschließlich etwaiger automatisierter Entscheidungen. Die Datenschutzerklärungen vieler Unternehmen sind in dieser Hinsicht nach wie vor unzureichend. Die Informationen müssen die angewandte Logik, die Bedeutung der Verarbeitung und die vorgesehenen Konsequenzen für die betroffene Person umfassen. Erwägungsgrund 71 DSGVO bietet interpretative Leitlinien zum erforderlichen Detaillierungsgrad.

Sanktionen und Aufsicht

Schwerwiegende DSGVO-Verstöße – einschließlich solcher im Zusammenhang mit KI-Systemen – können Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes nach sich ziehen. Der AI Act fügt sein eigenes Sanktionsregime mit Bußgeldern von bis zu 30 Mio. € oder 6 % des weltweiten Umsatzes für schwerwiegendste Verstöße (Einsatz verbotener KI-Systeme) hinzu. Die spanische AEPD fungiert als nationale Aufsichtsbehörde für beide Regulierungsrahmen in Datenschutzfragen.

Praktische Schritte für Unternehmen, die KI einsetzen

Für Unternehmen, die bereits KI-Systeme einsetzen oder deren Einsatz planen, umfasst der empfohlene Compliance-Fahrplan: Zunächst alle eingesetzten KI-Tools – einschließlich SaaS-Lösungen mit integrierten KI-Funktionen – zu erfassen und nach dem Risikorahmen des AI Act zu klassifizieren; dann alle Datenverarbeitungsverträge mit KI-Anbietern auf DSGVO-Artikel-28-Klauseln und AI-Act-Konformitätspflichten zu überprüfen; anschließend interne Datenschutzerklärungen zu aktualisieren, um automatisierte Entscheidungen zu beschreiben; und schließlich für jede im Rahmen der Bestandsaufnahme identifizierte hochriskante Verarbeitungstätigkeit eine DSFA durchzuführen.

Dieser Prozess muss nicht belastend sein, wenn er systematisch angegangen wird. Viele Organisationen stellen fest, dass die bestehende DSGVO-Compliance-Infrastruktur – Verarbeitungsverzeichnis, DSFA für bestehende Systeme, Lieferantenmanagementverfahren – eine solide Grundlage bietet, die mit gezielten Ergänzungen auf KI-spezifische Anforderungen ausgeweitet werden kann.

Bei BMC beraten wir zu Datenschutz und Künstlicher Intelligenz. Mehr zu unseren Datenschutzleistungen.

datenschutz kuenstliche-intelligenz DSGVO

← Zurück zu Publikationen

Beratung

Bewertung und Analyse

Transformation

Governance und Übergang

Steuerstrategie

Compliance

Sonderregelungen

Vermögen und Streitigkeiten

Handels- und Gesellschaftsrecht

Insolvenz und Restrukturierung

Personal und Compliance

Streitigkeiten und Beilegung

Cybersicherheit

Datenschutz und KI

Finanzen und Berichtswesen

Gesellschaftsservices

Wachstum

Risiko und Resilienz

Artikel und Analysen

Berichte und Whitepaper

Tools

Branchen

Rechtsgrundlagen für die Verarbeitung in KI-Systemen

Automatisierte Entscheidungen und Profiling

Datenschutz-Folgenabschätzungen (DSFA)

Die Rolle des Datenschutzbeauftragten (DSB) in KI-Umgebungen

Transparenz und Nutzerinformation

Sanktionen und Aufsicht

Praktische Schritte für Unternehmen, die KI einsetzen

Verwandte Leistungen

Datenschutz-Folgenabschätzung (DSFA/DPIA)

Datenschutz & Privatsphäre

Externer Datenschutzbeauftragter (DSB)

Verwandte Artikel

Wann ist die Benennung eines externen DPO Pflicht?

Was tun bei einer Inspektion der AEPD?

Geldwäscheprävention: Pflichten für Unternehmen

Möchten Sie mehr erfahren?