Spaniens RGPD & LOPDGDD: Leitfaden für Unternehmen zum Datenschutz
Praktischer Leitfaden zur DSGVO/LOPDGDD-Compliance für Unternehmen in Spanien. AEPD-Durchsetzung, Einwilligung, DPO-Pflichten, Meldepflichten und Bußgelder.

Spaniens RGPD & LOPDGDD: Leitfaden für Unternehmen zum Datenschutz
Wenn Sie ein Unternehmen in Spanien betreiben oder eine Expansion in den spanischen Markt planen, ist das Verständnis der RGPD (Reglamento General de Protección de Datos — Spaniens Bezeichnung für die EU-DSGVO) und der LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales) unverzichtbar. Die LOPDGDD ist Spaniens nationales Gesetz, das die EU-DSGVO anpasst und ergänzt und seit Dezember 2018 in Kraft ist.
Stand 2025 hat Spaniens Datenschutzbehörde — die AEPD (Agencia Española de Protección de Datos) — die Durchsetzung rund um KI-basierte personenbezogene Datenverarbeitung und Cookie-Tracking-Compliance intensiviert. Dieser Leitfaden erläutert die wichtigsten Pflichten, die jedes Unternehmen kennen muss.
Wie RGPD und LOPDGDD zusammenhängen
Die EU-DSGVO gilt unmittelbar in allen Mitgliedstaaten. Die LOPDGDD füllt die Lücken, wo die DSGVO nationalen Ermessensspielraum lässt, und passt die Regelungen an den spanischen Rechtskontext an.
| Aspekt | RGPD (EU-DSGVO) | LOPDGDD (Spanisches Gesetz) |
|---|---|---|
| Geltungsbereich | Gesamte EU | Speziell Spanien |
| Rechtsnatur | EU-Verordnung (unmittelbare Geltung) | Organgesetz (ergänzend) |
| Maximale Geldbuße | 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes | Wie DSGVO |
| Aufsichtsbehörde | DPA jedes Mitgliedstaats | AEPD |
6 Kernpflichten für Unternehmen
1. Einwilligungsmanagement (Consentimiento)
Bei der Erhebung personenbezogener Daten benötigen Sie eine ausdrückliche, freiwillig erteilte Einwilligung. Vorangekreuzte Kontrollkästchen zählen nicht. Der Widerruf der Einwilligung muss genauso einfach sein wie deren Erteilung.
2. Datenschutzbeauftragter (DPO)
Nach der LOPDGDD müssen bestimmte Organisationen einen DPO benennen:
- Öffentliche Stellen
- Gesundheits-, Bildungs- und Finanzinstitutionen
- Unternehmen, die regelmäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten
- Versicherungsunternehmen und Telekommunikationsanbieter
3. Verarbeitungsverzeichnis (Registro de Actividades)
Auch mit weniger als 50 Mitarbeitern müssen Sie Verarbeitungsverzeichnisse führen, wenn Sie sensible Daten verarbeiten oder regelmäßig personenbezogene Daten verarbeiten.
4. Meldepflicht bei Datenschutzverletzungen (Notificación de Brechas)
Bei einer Verletzung des Schutzes personenbezogener Daten müssen Sie die AEPD innerhalb von 72 Stunden benachrichtigen. Wenn die Verletzung ein hohes Risiko für die Rechte der Betroffenen darstellt, müssen Sie auch die betroffenen Personen informieren.
5. Datenschutz-Folgenabschätzung (EIPD)
Vor dem Beginn risikoreicher Verarbeitungsaktivitäten — wie Profiling, großflächiger Überwachung oder der Verarbeitung sensibler Daten — müssen Sie eine Datenschutz-Folgenabschätzung (Evaluación de Impacto en la Protección de Datos) durchführen.
6. Digitale Rechte
Die LOPDGDD geht über die DSGVO hinaus, indem sie digitale Rechte festlegt, die nicht durch EU-Recht abgedeckt sind:
- Recht der Arbeitnehmer auf digitale Abschaltung
- Regeln zur Videoüberwachung am Arbeitsplatz
- Verstärkter Schutz der Daten Minderjähriger
Aktuelle Durchsetzungstrends der AEPD
Im Jahr 2025 war die AEPD besonders aktiv in folgenden Bereichen:
- KI und automatisierte Verarbeitung: Forderung nach Transparenz bei automatisierter Entscheidungsfindung und Profiling
- Cookie-Compliance: Überprüfung, ob Cookie-Banner eine echte Einwilligung ermöglichen
- Internationale Datentransfers: Überprüfung angemessener Schutzmaßnahmen bei Transfers außerhalb der EU
AEPD Facilita: Ein kostenloses Tool für KMU
Die AEPD bietet Facilita RGPD an, ein kostenloses Online-Tool für kleine Unternehmen mit risikoarmer Datenverarbeitung. Durch die Beantwortung einiger einfacher Fragen können Sie grundlegende Compliance-Dokumentation automatisch generieren. Es ist besonders nützlich für kleine Unternehmen, die keine sensiblen Daten verarbeiten.
Compliance-Dokumente sicher teilen
Im Rahmen des Compliance-Prozesses müssen Organisationen verschiedene interne Dokumente teilen — Folgenabschätzungen, Verarbeitungsverzeichnisse, DPO-Kontaktdaten, Pläne zur Reaktion auf Datenschutzverletzungen. Diese Dokumente können selbst sensible Informationen enthalten.
Sie per ungeschützter E-Mail oder über Standard-Messenger wie WhatsApp zu versenden, schafft zusätzliche Sicherheitsrisiken. Mit LOCK.PUB können Sie Compliance-Dokumente über passwortgeschützte Memo-Links mit Ablaufdatum teilen und sicherstellen, dass sensible Compliance-Materialien nicht unbegrenzt in Posteingängen verbleiben.
Bußgeldrahmen
RGPD-Bußgelder sind nach Schweregrad gestaffelt:
| Schwere | Maximale Geldbuße |
|---|---|
| Geringfügige Verstöße | 40.000 EUR |
| Schwerwiegende Verstöße | 300.000 EUR |
| Sehr schwerwiegende Verstöße | 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) |
Schnelle Compliance-Checkliste
- Haben Sie den Zweck und die Rechtsgrundlage jeder Datenverarbeitungsaktivität dokumentiert?
- Holen Sie eine gültige Einwilligung ein?
- Haben Sie festgestellt, ob Sie einen DPO benennen müssen?
- Führen Sie ein Verarbeitungsverzeichnis?
- Haben Sie ein Verfahren zur Meldung von Datenschutzverletzungen?
- Haben Sie Folgenabschätzungen für risikoreiche Verarbeitungen durchgeführt?
Die Datenschutz-Compliance in Spanien ist keine Option — allein die Bußgelder machen das deutlich. Nutzen Sie die obige Checkliste als Ausgangspunkt und erwägen Sie sichere Tools wie LOCK.PUB für die sichere Verwaltung und Weitergabe der Compliance-Dokumentation, die Ihr Unternehmen auf der richtigen Seite des Gesetzes hält.
Schlüsselwörter
Das könnte Sie auch interessieren
RGPD (DSGVO) Compliance-Leitfaden für Unternehmen in Frankreich
Bußgelder bis zu 20 Mio. EUR oder 4% des Umsatzes. Praktischer RGPD-Leitfaden für Unternehmen in Frankreich: Einwilligung, DPO, Verarbeitungsverzeichnis, 72-Stunden-Meldepflicht, DPIA.
Digitaler Nachlass planen: So organisierst du dein digitales Erbe
Online-Banking, Social Media, Krypto, Abos... Könnte deine Familie im Ernstfall auf alles zugreifen? Ein Leitfaden zur digitalen Nachlassplanung.
Digitale Bestatter in Korea: Die Branche, die Ihre Online-Vergangenheit löscht
Erfahren Sie alles über Koreas digitale Bestatter — Fachleute, die unerwünschte Online-Inhalte entfernen.
Erstellen Sie jetzt Ihren passwortgeschützten Link
Erstellen Sie kostenlos passwortgeschützte Links, geheime Notizen und verschlüsselte Chats.
Kostenlos Starten