Die spanische Agencia Española de Protección de Datos (AEPD) hat 2023 847 Sanktionen verhängt — die höchste Anzahl an Durchsetzungsentscheidungen einer EU-DSGVO-Behörde. Während die einzelnen Geldstrafen oft kleiner sind als die Schlagzeilen der DSGVO-Fälle der irischen DPC oder der niederländischen AP, schafft das hohe Durchsetzungsvolumen der AEPD erhebliche Compliance-Risiken für jede Organisation mit spanischen Aktivitäten.
AEPD's KI-erster Durchsetzungsrahmen
Die AEPD hat die umfassendsten datenschutzrechtlichen Leitlinien für KI in der EU veröffentlicht, einschließlich:
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, aktualisiert 2024): Der KI-Leitfaden der AEPD verlangt eine DPIA für jedes KI-System, das personenbezogene Daten verarbeitet — unabhängig davon, ob die KI-Verarbeitung die Risikoschwelle gemäß Artikel 35 DSGVO für obligatorische DPIAs erreicht. Dies ist eine der umfassendsten Anforderungen an DPIAs in der EU.
Umsetzung des spanischen KI-Gesetzes: Spanien gehört zu den ersten EU-Mitgliedstaaten mit einem nationalen KI-Register für hochriskante KI-Systeme. Die AEPD koordiniert sich mit der Aufsichtsbehörde für KI in Spanien, um die kombinierten Anforderungen des KI-Gesetzes und der DSGVO durchzusetzen.
Spanische nationale Identifikatoren: Die Erkennungslücke
Generische NLP-Tools erkennen DNI und NIE nur mit 34 % Genauigkeit in spanischen Dokumenten (Analyse AEPD 2024). Um zu verstehen, warum, muss man die Struktur der Identifikatoren verstehen:
DNI (Documento Nacional de Identidad): 8 Ziffern + 1 Kontrollbuchstabe. Der Kontrollbuchstabe wird als der Rest der Zahl geteilt durch 23 berechnet, der einer bestimmten Buchstabenfolge zugeordnet ist (nicht A-Z — bestimmte Buchstaben sind ausgeschlossen). Dieser Buchstaben-von-Zahl-Algorithmus ist spezifisch für Spanien und wird in generischen Tools nicht implementiert.
Beispiel: DNI 12345678Z — der Buchstabe Z wird durch 12345678 mod 23 = Position in der Buchstabenfolge bestimmt. Tools, die 8-stellige Zahlen ohne die Buchstabenvalidierung erkennen oder die nur das Muster ohne die Modulusberechnung validieren, erzeugen falsch-positive und falsch-negative Ergebnisse.
NIE (Número de Identificación de Extranjeros): Format X/Y/Z + 7 Ziffern + Kontrollbuchstabe. NIE wird ausländischen Staatsangehörigen in Spanien für steuerliche und administrative Zwecke zugewiesen. Die drei Formate (X, Y, Z Präfix) spiegeln unterschiedliche Ausstellungszeiträume wider. Der gleiche Kontrollbuchstabenalgorithmus gilt. NIE erscheint in Beschäftigungsunterlagen, Verträgen und Steuerdokumenten für die bedeutende ausländische Bevölkerung Spaniens.
CIF/NIF empresarial: Die Unternehmenssteuernummer, Format 1 Buchstabe + 7 Ziffern + Kontrollzeichen (Ziffer oder Buchstabe). Der erste Buchstabe gibt den Unternehmens typ an (A=S.A., B=S.L., usw.), und das Kontrollzeichen verwendet einen anderen Algorithmus als DNI/NIE.
Tarjeta Sanitaria Individual: Die nationale Gesundheitskartennummer Spaniens. Das Format variiert je nach Region — spanische autonome Gemeinschaften (Katalonien, Madrid, Andalusien usw.) verwenden unterschiedliche Gesundheitskartenformate. Diese Fragmentierung macht die automatisierte Erkennung herausfordernd.
Lateinamerikanisches Spanisch: AEPD-Konformität im globalen Kontext
Die sprachliche und historische Verbindung Spaniens zu Lateinamerika schafft eine Compliance-Dimension, die über die Grenzen Spaniens hinausgeht. Organisationen mit Aktivitäten in spanischsprachigen Märkten benötigen PII-Tools, die abdecken:
Mexiko: CURP (Clave Única de Registro de Población) — 18-stelliges alphanumerisches Encoding für Geburtsdatum, Geschlecht, Geburtsstaat und Namensinitialen. RFC (Registro Federal de Contribuyentes) — 13-stelliges alphanumerisches Steuer-ID für Einzelpersonen, 12 für Unternehmen.
Argentinien: CUIL (Código Único de Identificación Laboral) — 11-stelliges Format mit Prüfziffer (Präfix + CUIT + Prüfziffer). CUIT (Código Único de Identificación Tributaria) — dasselbe Format wie CUIL. Argentinisches DNI — 7-8-stellige nationale ID.
Chile: RUT (Rol Único Tributario) / RUN — 7-9 Ziffern + Bindestrich + Prüfziffer (Ziffer oder K). Die Prüfziffer verwendet einen Modulus-11-Algorithmus. Jede chilenische Person und jedes Unternehmen hat einen RUT.
Kolumbien: Cédula de Ciudadanía — 8-10-stellige nationale ID. NIT (Número de Identificación Tributaria) — 9 Ziffern + Prüfziffer für Unternehmen.
Für multinationale Organisationen, die spanischsprachige Märkte in Spanien und Lateinamerika bedienen, ist eine PII-Tool-Abdeckung sowohl der spanischen EU-Identifikatoren (DNI, NIE, CIF) als auch der lateinamerikanischen nationalen Identifikatoren (CURP, RUT, CUIL, Cédula) erforderlich, um die AEPD-Konformität und die LGPD/lokale DPA-Konformität in jedem Land sicherzustellen.
AEPD's Durchsetzungsfokus 2024
847 Durchsetzungsentscheidungen — die höchste Anzahl in der EU — spiegeln die hohe Beschwerdeaufnahme und systematische Durchsetzung der AEPD wider. Schlüsselsektoren:
Telekommunikation und Finanzdienstleistungen: 42 % der AEPD-Entscheidungen. Unbefugte Bonitätsprüfungen, übermäßige Datenaufbewahrung und unzureichende Einwilligung für Marketing.
Gesundheitswesen und Versicherung: 22 % der Entscheidungen. Gesundheitsdatenweitergabe ohne Einwilligung, unzureichende Anonymisierung für Forschungszwecke und biometrische Verarbeitung für Terminmanagement.
Beschäftigung: 19 % der Entscheidungen. Mitarbeiterüberwachung, Screening von sozialen Medien und Videoüberwachung ohne angemessene Benachrichtigung.
KI-Systeme: Wachsende Kategorie — die AEPD stellte fest, dass mehrere spanische Unternehmen KI ohne abgeschlossene DPIAs einsetzen, was gegen die obligatorische DPIA-Anforderung des KI-Leitfadens der AEPD verstößt.
Die Erkennung von DNI/NIE mit Kontrollbuchstabenvalidierung, spanischsprachige NER (spaCy es_core_news) und die Abdeckung lateinamerikanischer Identifikatoren für CURP, RUT, CUIL und Cédula stellen die grundlegenden technischen Anforderungen für umfassende spanischsprachige PII-Konformität dar.
Quellen: