Für Unternehmen mit Sitz oder Aktivitäten in Spanien gelten dieselben europäischen Datenschutzregeln wie im Rest der EU — ergänzt durch spanische Besonderheiten. Das Zusammenspiel aus DSGVO und der nationalen LOPDGDD schafft ein dichtes Regelwerk, das für alle Unternehmen gilt, die personenbezogene Daten von EU-Bürgern verarbeiten.
Rechtsrahmen: DSGVO + LOPDGDD
Die europäische Datenschutz-Grundverordnung (DSGVO, EU 2016/679) gilt in Spanien seit dem 25. Mai 2018 unmittelbar. Sie wird durch die Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) ergänzt.
Die LOPDGDD konkretisiert und ergänzt die DSGVO in Bereichen, in denen die Verordnung den Mitgliedstaaten Spielraum lässt:
- Mindestalter für die Einwilligung Minderjähriger (14 Jahre in Spanien)
- Arbeitnehmer-Datenschutz (Videoüberwachung, Geolokalisierung, digitale Geräte)
- Verarbeitung von Daten durch öffentliche Stellen
- Spezifische Rechte für das digitale Umfeld (Recht auf digitales Testament, Recht auf Abwesenheit von der digitalen Welt)
Zuständige Aufsichtsbehörde: AEPD
Die spanische Datenschutzbehörde ist die Agencia Española de Protección de Datos (AEPD) mit Sitz in Madrid. Für Unternehmen aus Deutschland, Österreich und der Schweiz, die in Spanien tätig sind, ist die AEPD die primär zuständige Aufsichtsbehörde für die in Spanien stattfindenden Verarbeitungen.
Die AEPD ist für aktive Durchsetzung bekannt: Im Jahr 2024 verhängte sie Bußgelder in Gesamthöhe von über 35 Millionen Euro.
Grundpflichten für Unternehmen
1. Verzeichnis der Verarbeitungstätigkeiten (RAT)
Gemäß Art. 30 DSGVO müssen alle Unternehmen mit 250 oder mehr Mitarbeitern sowie kleinere Unternehmen, deren Verarbeitungen ein besonderes Risiko darstellen, ein Registro de Actividades de Tratamiento (RAT) führen.
Das RAT enthält für jede Verarbeitungstätigkeit:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und Datenkategorien
- Kategorien der Empfänger
- Übermittlungen in Drittländer
- Fristen für die Löschung
- Allgemeine Beschreibung der technischen Sicherheitsmaßnahmen
Praxis: Auch kleinere Unternehmen sollten ein RAT führen — die AEPD empfiehlt es ausdrücklich und kann es im Rahmen einer Inspektion anfordern.
2. Rechtsgrundlage für jede Verarbeitung
Jede Verarbeitung personenbezogener Daten erfordert eine der sechs Rechtsgrundlagen nach Art. 6 DSGVO:
- Einwilligung (Art. 6 Abs. 1 lit. a): Freiwillig, spezifisch, informiert und eindeutig
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Für die Abwicklung eines Vertrags erforderlich
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Gesetzliche Pflicht des Verantwortlichen
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Interessenabwägung zugunsten des Verantwortlichen
Marketing-E-Mails, Profiling und KI-Training auf Basis personenbezogener Daten erfordern in der Regel eine ausdrückliche Einwilligung oder ein nachweisbares berechtigtes Interesse.
3. Datenpannen: 72-Stunden-Meldepflicht
Tritt eine Verletzung des Schutzes personenbezogener Daten auf (unbefugter Zugriff, Datenverlust, Datenzerstörung, etc.), die voraussichtlich zu einem Risiko für natürliche Personen führt, muss das Unternehmen:
- Die AEPD innerhalb von 72 Stunden nach Bekanntwerden informieren (über das Online-Portal der AEPD)
- Bei hohem Risiko: Die betroffenen Personen unverzüglich benachrichtigen
Unternehmen sollten einen internen Notfallplan (Breach Response Plan) vorbereiten, der festlegt, wer im Falle einer Datenpanne zuständig ist und welche Schritte zu unternehmen sind.
4. Datenschutz-Folgenabschätzung (DSFA)
Bei Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, ist vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung (DSFA / Evaluación de Impacto en Protección de Datos, EIPD) durchzuführen.
Die AEPD hat eine Liste von Verarbeitungstypen veröffentlicht, für die eine DSFA verpflichtend ist — darunter:
- Profiling von Kunden oder Mitarbeitern
- Einsatz biometrischer Systeme
- Videoüberwachung in öffentlichen Räumen
- Verarbeitung von Gesundheitsdaten im großen Maßstab
5. Datenschutzbeauftragter (DPO / DPD)
Ein Delegado de Protección de Datos (DPD) ist verpflichtend für:
- Öffentliche Stellen
- Unternehmen, die systematisch und umfangreich besondere Datenkategorien (Gesundheit, Biometrie, religiöse Überzeugungen, politische Meinungen, sexuelle Orientierung etc.) verarbeiten
- Unternehmen, die umfangreiche Überwachungsmaßnahmen durchführen (z. B. Anbieter von Sicherheitssoftware, Telekommunikationsunternehmen)
Für Unternehmen, für die kein DPO verpflichtend ist, empfiehlt die AEPD die freiwillige Benennung — insbesondere wenn umfangreiche personenbezogene Daten von Kunden oder Mitarbeitern verarbeitet werden.
KI und Datenschutz: Aktuelle AEPD-Linie
Die AEPD hat in jüngsten Entscheidungen und Leitlinien klargestellt, dass das Training von KI-Modellen mit personenbezogenen Daten ohne geeignete Rechtsgrundlage einen Verstoß gegen die DSGVO darstellt.
Für Unternehmen, die eigene KI-Systeme entwickeln oder externe KI-Tools einsetzen, bedeutet dies:
- Verwendung personenbezogener Kundendaten zum Training von ML-Modellen: nur mit ausdrücklicher Einwilligung oder berechtigtem Interesse (nach Interessenabwägung)
- Einsatz externer KI-Tools (ChatGPT, Microsoft Copilot, etc.) mit Kundendaten: Prüfung der Auftragsverarbeitungsvereinbarung (AVV) und der Datenübermittlung in Drittländer erforderlich
- Profilierungs-KI: Ggf. DSFA-Pflicht
Sanktionen
Die DSGVO sieht zwei Bußgeldrahmen vor:
| Verstoßkategorie | Maximales Bußgeld |
|---|---|
| Schwerste Verstöße (Art. 83 Abs. 5 DSGVO) | 20.000.000 € oder 4 % des globalen Jahresumsatzes |
| Sonstige Verstöße (Art. 83 Abs. 4 DSGVO) | 10.000.000 € oder 2 % des globalen Jahresumsatzes |
Die AEPD folgt bei der Bemessung einer mehrstufigen Matrix, die u. a. berücksichtigt:
- Schwere und Dauer des Verstoßes
- Zahl der betroffenen Personen
- Kooperation mit der AEPD
- Bereits ergriffene Abhilfemaßnahmen
- Wiederholungstäterschaft
Besonderheiten für DACH-Unternehmen in Spanien
Für Unternehmen mit Sitz in Deutschland, Österreich oder der Schweiz, die in Spanien tätig sind:
- Das Marktortprinzip der DSGVO (Art. 3) gilt auch für nicht-EU-Unternehmen, wenn sie Daten von EU-Bürgern verarbeiten
- Schweizer Unternehmen unterliegen dem Schweizer Datenschutzgesetz (nDSG) und zusätzlich der DSGVO für EU-Bürger-Daten
- Datentransfers Deutschland ↔ Spanien sind innerhalb der EU unproblematisch (keine zusätzlichen Schutzmaßnahmen erforderlich)
- Bei EU-weiter Niederlassungsstruktur bestimmt die Hauptniederlassung die federführende Aufsichtsbehörde (One-Stop-Shop)
BMC berät Unternehmen bei der DSGVO/LOPDGDD-Compliance: Erstellung des RAT, Datenschutzerklärungen, Auftragsverarbeitungsverträge, DSFA und Reaktionsstrategien bei Datenpannen.
