AEPD Spanien: KI und Beschäftigtendatenschutz
Aktualisiert für 2026
AEPD: Aktivste Datenschutzbehörde der EU
Die AEPD (Agencia Española de Protección de Datos) ist Spaniens Datenschutzaufsicht. Sie erließ 2023 insgesamt 847 Bußgeldbescheide. Keine andere EU-Behörde kam auch nur annähernd heran. Die Gesamtstrafen überstiegen in diesem Jahr 12 Millionen Euro.
Das Vorgehen der Behörde unterscheidet sich von den meisten EU-Peers. Sie konzentriert sich nicht nur auf hohe Strafen gegen Großunternehmen. Sie nimmt auch KMU, Kommunen und mittelgroße Firmen ins Visier. Das erzeugt einen breiten Druck in der spanischen Wirtschaft.
Die wichtigsten Durchsetzungsbereiche in 2024:
- Kamera- und biometrische Prüfungen (29 % der Fälle)
- Marketing und unerwünschte Kontakte (24 % der Fälle)
- Mitarbeiterüberwachung und HR-Akten (18 % der Fälle)
- KI-Systeme und automatisierte Entscheidungen (15 % der Fälle – steigend)
- Gesundheits- und besondere Datenkategorien (14 % der Fälle)
Die KI-DSFA-Pflicht der AEPD
Die Guía de adecuación al RGPD de tratamientos con IA des Regulators (2024) stellt eine klare Regel auf. Jedes KI-Tool, das persönliche Unterlagen verarbeitet, benötigt eine Datenschutz-Folgenabschätzung (DSFA).
Art. 35 DSGVO verlangt DSFAs, wenn die Verarbeitung ein „hohes Risiko" birgt. Das ist ein Kontexttest. Die spanische Behörde nimmt eine strengere Haltung ein. Ihre Leitlinie besagt: Jedes ML-Tool, das persönliche Akten berührt, löst die DSFA-Pflicht aus. Eine vorherige Einzelfallprüfung ist nicht erforderlich.
Spanische Unternehmen müssen DSFAs durchführen und dokumentieren für:
- Kundendienst-Chatbots
- Tools zur Bewerbervorauswahl
- Marketing-Tools
- Textverarbeitungsmodelle (einschließlich Anonymisierungstools)
- Jedes KI-Tool, das Mitarbeiter- oder Kundenakten verarbeitet
Jedes in Spanien eingesetzte Tool benötigt eine eigene DSFA-Dokumentation. Das gilt auch, wenn das Tool intern als risikoarm gilt.
AEPD-Anonymisierungsstandards
Der Anonymisierungsleitfaden der Behörde baut auf der Arbeit der CNIL auf. Er ergänzt spezifische Anforderungen für spanische Identifikatoren:
Spanische ID-Typen:
- DNI (Documento Nacional de Identidad): 8-stellige Zahl plus Prüfbuchstabe
- NIE (Número de Identificación de Extranjero): Buchstabe + 7 Ziffern + Buchstabe, für ausländische Staatsangehörige
- NIF (Número de Identificación Fiscal): Gleiches Format wie DNI, für Steuerzwecke
- Número de Seguridad Social: Spanische Sozialversicherungsnummer
Die Aufsicht weist darauf hin, dass NER-Modelle NIE-Nummern häufig übersehen. Spanien hat eine große Einwanderungsbevölkerung. Prüfen Sie, ob Ihre Tools NIEs erkennen, wenn Sie Akten von Nicht-Spaniern verarbeiten.
Spanische Namensmuster:
Im Spanischen werden zwei Nachnamen (apellidos compuestos) verwendet. NER-Modelle, die auf einnamigen Daten trainiert wurden, können hier versagen. Der Name „García López, Juan Carlos" hat zwei Nachnamen, keinen zusammengesetzten. Spanische NER-Modelle müssen diese Struktur beherrschen.
AEPD-Fälle zur Mitarbeiterüberwachung
Achtzehn Prozent der Fälle betreffen die Mitarbeiterüberwachung. Spanien schränkt die Arbeitgeberkontrolle durch das Estatuto de los Trabajadores (Arbeitsstatut) ein. Der Regulator setzt diese Grenzen neben der DSGVO durch.
Wichtige Positionen der Behörde:
- Keylogger: Verdeckter Keylogger-Einsatz ist in den meisten Fällen ein DSGVO-Verstoß. Screenshot-Tools brauchen eine schriftliche Begründung und eine Verhältnismäßigkeitsprüfung.
- GPS-Ortung: Auf Firmenfahrzeugen mit klarer Mitarbeiterinformation zulässig. Auf privaten Fahrzeugen nicht zulässig.
- E-Mail-Prüfungen: Mit vorheriger schriftlicher Ankündigung und einer Richtlinie zulässig. Inhaltsanalysen brauchen zusätzliche Begründung.
- KI-Tracking-Tools: Jedes Modell, das das Mitarbeiterverhalten verfolgt, benötigt eine DSFA. Die EDPB-Regeln gelten ebenfalls.
Automatisierte Überwachung erhält die stärkste Kontrolle durch Spaniens DPA.
AEPD-konforme KI-Dokumentation
Für spanische Unternehmen mit KI-Tools sind vier Dokumentenpakete erforderlich.
1. KI-System-Inventar
Führen Sie jedes Tool auf, das spanische persönliche Akten verarbeitet. Notieren Sie: Systemname, Anbieter, Zweck, Aktentypen, Aufbewahrungsfrist und DPA-Status.
2. DSFA pro System
Verwenden Sie die vom Regulator veröffentlichte DSFA-Vorlage. Erfassen Sie:
- Zweck, Rechtsgrundlage, Aktentypen und Empfänger
- Verhältnismäßigkeitsprüfung
- Risikobewertung für betroffene Personen
- Risikokontrollen: technisch und prozessual
- DSB-Konsultationsprotokoll (falls ein DSB benannt ist)
3. Nachweis technischer Maßnahmen
Dokumentieren Sie für jedes Tool die Kontrollen gegen unbefugten Zugriff:
- Vorfilterung (PII-Entfernung vor dem Modellstart)
- Zugriffskontrollen auf verarbeitete Ergebnisse
- Durchsetzung von Aufbewahrungsfristen
- Maßnahmen zur Erkennung und Reaktion auf Datenpannen
4. Richtlinie zur Mitarbeiterüberwachung
Wenn ein Tool Mitarbeiter überwacht, fügen Sie eine schriftliche Richtlinie hinzu. Diese muss Umfang, Mitarbeiterinformation, Rechtsgrundlage und Verhältnismäßigkeitsnachweis enthalten.
AEPD-Prüfungen beginnen mit dem Inventar und den DSFAs. Unternehmen mit diesen Unterlagen lösen Prüfungen deutlich schneller ab. Unser DSGVO-Leitfaden deckt den Dokumentationsumfang ab. Unsere Übersicht zur Sicherheits-Compliance erläutert technische Kontrollen. Für die Erkennung spanischer personenbezogener Daten empfehlen wir unseren mehrsprachigen PII-Erkennungsleitfaden.