Spaniens RGPD & LOPDGDD: Leitfaden für Unternehmen zum Datenschutz

Wer in Spanien geschäftlich tätig ist oder Daten spanischer Einwohner verarbeitet, muss die RGPD (die spanische Bezeichnung der EU-DSGVO) und die LOPDGDD (Organgesetz zum Schutz personenbezogener Daten und zur Gewährleistung digitaler Rechte) einhalten. Die LOPDGDD ist seit Dezember 2018 in Kraft und passt die EU-DSGVO an den spanischen Rechtskontext an.

2025 verschärft die spanische Datenschutzbehörde AEPD die Durchsetzung bei KI-basierter Datenverarbeitung und Cookie-Tracking.

Zusammenhang RGPD und LOPDGDD

Aspekt	RGPD (EU-DSGVO)	LOPDGDD (spanisches Recht)
Geltungsbereich	Gesamte EU	Spanien
Rechtscharakter	EU-Verordnung (unmittelbar)	Nationales Gesetz (ergänzend)
Höchststrafe	20 Mio. EUR oder 4 % Umsatz	Wie DSGVO
Aufsichtsbehörde	DPA jedes Landes	AEPD

6 Kernpflichten für Unternehmen

1. Einwilligungsmanagement

Die Einwilligung muss ausdrücklich, frei und informiert sein. Vorangekreuzte Kästchen sind ungültig.

2. Datenschutzbeauftragter (DPO)

Nach LOPDGDD sind öffentliche Stellen, Gesundheits-/Bildungs-/Finanzeinrichtungen, Unternehmen mit umfangreicher Datenverarbeitung sowie Versicherer und Telekommunikationsunternehmen zur Bestellung eines DPO verpflichtet.

3. Verzeichnis der Verarbeitungstätigkeiten

Auch Unternehmen mit weniger als 50 Beschäftigten müssen ein Verzeichnis führen, wenn sie sensible Daten verarbeiten.

4. Meldung von Datenpannen (72 Stunden)

Bei einer Datenpanne muss die AEPD innerhalb von 72 Stunden informiert werden.

5. Datenschutz-Folgenabschätzung (EIPD)

Vor risikoreichen Verarbeitungen — Profiling, Massenüberwachung, Verarbeitung sensibler Daten — ist eine Folgenabschätzung durchzuführen.

6. Digitale Rechte

Die LOPDGDD geht über die DSGVO hinaus: Recht auf digitale Abschaltung am Arbeitsplatz, Regeln zur Videoüberwachung, verstärkter Schutz von Minderjährigendaten.

AEPD-Durchsetzungstrends 2025

• KI und automatisierte Verarbeitung: Transparenz bei automatisierten Entscheidungen gefordert
• Cookie-Compliance: Prüfung ob Cookie-Banner tatsächliche Einwilligung bieten
• Internationale Datentransfers: Überprüfung angemessener Schutzmaßnahmen bei Übermittlungen außerhalb der EU

Facilita RGPD für KMU

Die AEPD bietet das kostenlose Online-Tool Facilita RGPD für KMU mit risikoarmer Datenverarbeitung an.

Compliance-Dokumente sicher teilen

Folgenabschätzungen, Verarbeitungsverzeichnisse, Notfallpläne — diese internen Dokumente enthalten selbst sensible Informationen. Sie per WhatsApp oder ungeschützter E-Mail zu versenden schafft zusätzliche Risiken.

Mit LOCK.PUB können Sie Compliance-Unterlagen über passwortgeschützte Memo-Links mit Ablaufdatum sicher teilen.

Bußgeldrahmen

Verstoßschwere	Höchstbußgeld
Leicht	40.000 EUR
Schwer	300.000 EUR
Sehr schwer	20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes

Datenschutz-Compliance in Spanien ist keine Option. Prüfen Sie die Checkliste und nutzen Sie sichere Tools wie LOCK.PUB für Ihre Compliance-Dokumentation.