DSGVO-Datenschutz: Vollständige Compliance mit umfassenden Garantien

Der Datenschutz in Spanien wird durch zwei komplementäre Rahmenwerke geregelt: die EU-Datenschutz-Grundverordnung (DSGVO, Verordnung 2016/679), die direkt in allen EU-Mitgliedstaaten gilt, und Spaniens Organgesetz 3/2018 über Datenschutz und Garantie digitaler Rechte (LOPDGDD), das die DSGVO in Bereichen anpasst und ergänzt, in denen Mitgliedstaaten Ermessen behalten. Die zuständige Aufsichtsbehörde ist die Agencia Española de Protección de Datos (AEPD), die für schwerwiegende Verstöße Verwaltungsbußgelder von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes verhängen kann. Verantwortliche, die personenbezogene Daten verarbeiten, müssen ein Verarbeitungsverzeichnis führen, rechtmäßige Rechtsgrundlagen für jede Verarbeitungsaktivität festlegen, technische und organisatorische Sicherheitsmaßnahmen implementieren und Anfragen betroffener Personen innerhalb gesetzlicher Fristen bearbeiten.

Unser Datenschutzteam kombiniert rechtliche Expertise in der DSGVO und LOPDGDD mit praktischer Erfahrung bei der Implementierung von Datenschutzmanagementsystemen in Unternehmen aller Sektoren und Größen.

Die Compliance-Lücke, die die meisten Unternehmen nicht sehen

Die DSGVO trat 2018 in Kraft. Sechs Jahre später bleibt ein erheblicher Anteil spanischer Unternehmen materiell nicht compliant — nicht weil sie die Verordnung nicht kennen, sondern weil sie nur deren sichtbarste Anforderungen implementiert haben (eine Datenschutzrichtlinie, ein Cookie-Banner), während die strukturellen Grundlagen der Compliance unvollständig bleiben. Das Verarbeitungsverzeichnis fehlt oder ist veraltet. Auftragsverarbeiterverträge mit Cloud-Anbietern wurden nie auf Standardvertragsklausel-Compliance überprüft. Das Datenpannen-Protokoll existiert als Dokument, wurde aber nie getestet. Der DSB, wenn ernannt, ist eine Formalität statt einer funktionierenden Rolle.

Die AEPD ist eine aktive Durchsetzungsbehörde. Ihre Sanktionsentscheidungen — die für schwerwiegende Verstöße regelmäßig Millionen von Euros übersteigen — bestätigen, dass spanische Unternehmen keine Ausnahme erhalten. Die Frage für die meisten Unternehmen ist nicht, ob sie compliant sein müssen, sondern wie sie die Lücke effizient schließen können, ohne in Bürokratie zu überinvestieren.

Ein funktionsfähiges Datenschutzsystem aufbauen

Unser Ansatz beginnt mit einer strukturierten Gap-Analyse. Wir kartieren Ihre Datenflüsse: welche personenbezogenen Daten Sie erheben, auf welcher Rechtsgrundlage, für welchen Zweck, wie lange sie aufbewahrt werden, mit welchen Dritten sie geteilt werden und ob sich einige dieser Dritten außerhalb des Europäischen Wirtschaftsraums befinden. Die meisten Unternehmen sind von dem Umfang ihrer eigenen Verarbeitung überrascht — Mitarbeiterüberwachungstools, CRM-Systeme, Analyseplattformen, Gehaltsabrechnungsverarbeiter — jeder davon erfordert einen korrekt strukturierten Auftragsverarbeitervertrag und in einigen Fällen eine Datenschutz-Folgeabschätzung (DSFA).

Das Ergebnis der Gap-Analyse ist ein priorisierter Aktionsplan. Wir implementieren die Verarbeitungsaufzeichnungen, aktualisieren Datenschutzhinweise, überarbeiten Auftragsverarbeiterverträge und etablieren ein Datenpannen-Reaktionsprotokoll, das die 72-Stunden-AEPD-Meldefrist in der Praxis einhalten kann, nicht nur in der Theorie. Für Unternehmen, die Fusionen oder Akquisitionen durchgeführt haben, prüfen wir die Datenschutz-Compliance integrierter Einheiten, die häufig unterschiedliche Systeme und Dokumentationsstandards haben.

Der DSB als strategische Rolle

Der ausgelagerte DSB-Service geht über das regulatorische Abhaken von Kästchen hinaus. Ein effektiver DSB berät zu den Datenschutzimplikationen neuer Produkte und Marketingkampagnen bevor sie lanciert werden, meldet die Datenschutzanforderungen neuer Lieferantenverträge bevor sie unterzeichnet werden und verwaltet die Beziehung zur AEPD, wenn Beschwerden oder Untersuchungen entstehen. Wir erbringen diese Funktion für über 100 Organisationen, von KMUs, die bescheidene Mengen an Kundendaten verarbeiten, bis zu regulierten Einheiten, die sensible Gesundheits- oder Finanzinformationen verarbeiten.

Für Unternehmen, die neue digitale Produkte launchen oder KI-gestützte Tools nutzen, ist Datenschutz by Design eine rechtliche Verpflichtung nach Artikel 25 der DSGVO, keine optionale Best Practice. Wir integrieren uns in Ihre Produkt- und Technologieteams, um Datenschutzanforderungen ab der frühesten Entwurfsphase einzubetten — ein weit effizienterer Ansatz als das nachträgliche Nachrüsten von Compliance nach dem Launch.

Datenschutz bei Unternehmenstransaktionen

Datenschutz-Due-Diligence ist heute Standard bei jeder Transaktion, die ein datenintensives Unternehmen umfasst. Der DSGVO-Compliance-Status eines Zielunternehmens beeinflusst seine Bewertung, die Zusicherungen und Gewährleistungen, die es geben kann, und den Post-Akquisitions-Integrationsplan. Wir prüfen die Datenschutzrahmen von Zielunternehmen, quantifizieren die Sanierungskosten identifizierter Lücken und beraten Erwerber zu den Entschädigungen und Bedingungen, die im Kaufvertrag enthalten sein sollten.

Internationale Datentransfers: Standardvertragsklauseln und angemessene Garantien

Internationale Datentransfers — jede Übermittlung personenbezogener Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums — erfordern nach Art. 46 DSGVO eine Transfermechanismus: Standardvertragsklauseln (SCCs), verbindliche Unternehmensregeln oder den Angemessenheitsbeschluss für das Zielland. Nach dem Schrems-II-Urteil des EuGH müssen Unternehmen vor jedem Transfer in ein Drittland einen Transfer Impact Assessment (TIA) durchführen, der bewertet, ob das Recht des Ziellands den durch die SCCs garantierten Schutz faktisch untergräbt.

Für Unternehmen, die US-Cloud-Anbieter nutzen — was praktisch alle tun — ist das EU-US Data Privacy Framework (DPF) seit Juli 2023 verfügbar und vereinfacht Transfers zu zertifizierten US-Unternehmen erheblich. Wir koordinieren die Prüfung internationaler Datentransfers als Teil des Gesamtdatenschutzmanagementsystems und stellen sicher, dass kein Transfer ohne angemessene rechtliche Grundlage erfolgt.

Datenpannen-Reaktion: die 72-Stunden-Frist in der Praxis

Die 72-Stunden-Meldefrist nach Art. 33 DSGVO ist eine der operativ anspruchsvollsten Anforderungen der Verordnung. In der Praxis bedeutet dies: Ein Unternehmen, das am Freitagabend eine Datenpanne erkennt, muss spätestens bis zum Montagnachmittag eine vollständige Meldung bei der AEPD eingereicht haben — mit Angaben zum Charakter des Vorfalls, den betroffenen Datenkategorien, der ungefähren Zahl betroffener Personen, den wahrscheinlichen Folgen und den ergriffenen oder geplanten Maßnahmen.

Unser Datenpannen-Reaktionsprotokoll umfasst: einen 24/7-Notfallkontakt für Meldungen, einen vorbereiteten internen Triage-Prozess zur schnellen Klassifizierung des Schweregrads, Mustermeldeformulare für die AEPD und — wenn Betroffene direkt benachrichtigt werden müssen — vorbereitete Kommunikationsvorlagen. Für Vorfälle, die gleichzeitig NIS2-Meldepflichten auslösen (Cybervorfälle bei wesentlichen Einrichtungen), koordinieren wir beide Meldeprozesse parallel.

Cookie-Compliance und technische Datenschutzmaßnahmen

Cookie-Compliance ist der sichtbarste Teil des Datenschutzmanagementsystems, wird aber häufig falsch umgesetzt. Die AEPD hat wiederholt klargestellt, dass Consent-Banner, die Nutzer durch Dark Patterns oder unklare Sprache zur Einwilligung drängen, keine gültige Einwilligung erzeugen. Eine vollständige Cookie-Compliance erfordert: korrekte Kategorisierung aller eingesetzten Tracking-Technologien, tatsächliches Blocking von nicht eingewilligten Cookies bis zur Bestätigung, regelmäßige Audits des tatsächlich gesetzten Cookie-Bestands und dokumentierte Einwilligungen mit Nachweis.

Als Teil des umfassenden Datenschutzmanagementsystems integrieren wir die Cookie-Compliance-Maßnahmen in das Verarbeitungsverzeichnis und koordinieren mit dem Team für Privacy by Design bei neuen technologischen Implementierungen.