anonym.legal

By · Last updated 2026-06-06

Zurück zum BlogDSGVO & Compliance

AEPD Spanien: GDPR-Konformität für spanischsprachige...

Die AEPD hat 2023 847 Sanktionen verhängt — die höchste Anzahl in der EU. DNI/NIE werden mit einer Genauigkeit von 34 % von generischen Tools erkannt.

June 6, 20269 min Lesezeit
Spain AEPDDNI NIE detectionSpanish language PIILatin America complianceGDPR AI

AEPD Spanien: DNI, NIE und LATAM-Identifikatoren

Spaniens Datenschutzbehörde, die AEPD, erließ 2023 insgesamt 847 Durchsetzungsentscheidungen. Das ist der höchste Wert aller EU-Aufsichtsbehörden. Einzelne Bußgelder sind oft kleiner als die der irischen DPC oder niederländischen AP. Aber das Volumen schafft ein echtes Risiko für jedes Unternehmen mit Spanien-Aktivitäten.

Durchsetzungsrahmen der AEPD für KI

Spaniens Behörde hat die detailliertesten KI-Datenschutzleitlinien in der EU veröffentlicht. Sie deckt zwei Bereiche ab.

KI- und DSGVO-Leitfaden (2020, aktualisiert 2024): Dieser Leitfaden verlangt eine Datenschutz-Folgenabschätzung (DSFA) für jedes KI-System, das personenbezogene Daten verarbeitet. Er gilt auch dann, wenn die Schwellenwerte des DSGVO-Artikels 35 nicht erreicht sind. Das ist eine der breitesten DSFA-Regeln in der EU. Jedes Unternehmen, das KI auf spanischen Daten einsetzt, muss vor dem Start eine DSFA abschließen.

Umsetzung des spanischen KI-Gesetzes: Spanien gehört zu den ersten EU-Staaten mit einem nationalen KI-Register für Hochrisikosysteme. Die AEPD arbeitet mit Spaniens KI-Aufsichtsbehörde zusammen. Gemeinsam setzen sie sowohl das KI-Gesetz als auch die DSGVO durch. Unternehmen tragen ein Prüfungsrisiko gegenüber beiden Behörden.

Spanische Nationalidentifikatoren: Die Erkennungslücke

Generische NLP-Tools erkennen DNI und NIE in spanischen Dokumenten mit nur 34% Genauigkeit. Die AEPD meldete dies in ihrem Bericht 2024. Jeder Identifikator hat eine Struktur, die erklärt, warum generische Tools versagen.

DNI: Acht Ziffern plus ein Kontrollbuchstabe. Der Buchstabe ergibt sich aus dem Rest der Zahl geteilt durch 23. Dieser Wert verweist auf eine feste Buchstabensequenz. Bestimmte Buchstaben sind ausgeschlossen — es ist nicht A bis Z. Dieser Algorithmus ist Spanien-spezifisch. Generische Tools überspringen ihn. Ein Tool, das nur das Ziffernmuster prüft, ohne den Modulus-Schritt, liefert falsche Ergebnisse.

NIE: Ein Präfixbuchstabe (X, Y oder Z), sieben Ziffern, dann ein Kontrollbuchstabe. Die NIE gilt für ausländische Staatsangehörige in Spanien. Sie wird für Steuer- und Verwaltungszwecke verwendet. Jeder Präfix spiegelt einen anderen Ausgabezeitraum wider. Der Kontrollbuchstabe verwendet denselben Algorithmus wie die DNI. Die NIE erscheint in Arbeitsverträgen, Steueranmeldungen und Aufenthaltsunterlagen.

CIF-Steuernummer für Unternehmen: Ein Buchstabe plus sieben Ziffern plus ein Kontrollzeichen. Der Anfangsbuchstabe zeigt den Unternehmenstyp an. Das Kontrollzeichen verwendet einen anderen Algorithmus als DNI und NIE.

Gesundheitskarte: Das Format der spanischen Gesundheitskarte variiert je nach Region. Jede autonome Gemeinschaft verwendet ihr eigenes Format. Das erschwert die automatische Erkennung gegenüber einem einheitlichen nationalen Standard.

Mehr zu Identifikatorlücken in EU-Ländern finden Sie in unserem EU-Identifikatorlücken-Leitfaden.

Lateinamerikanische Identifikatoren: Compliance in allen Märkten

Spaniens Verbindungen zu Lateinamerika erweitern die Compliance-Anforderungen über Spanien hinaus. Jedes Unternehmen, das spanischsprachige Märkte bedient, braucht eine breitere PII-Abdeckung.

Mexiko: Der CURP ist ein 18-stelliger alphanumerischer Code. Er kodiert Geburtsdatum, Geschlecht, Geburtsort und Namensinitialen. Der RFC ist eine 13-stellige Steuer-ID für Einzelpersonen und 12 Stellen für Unternehmen. Beide erscheinen in Beschäftigungs- und Steuerunterlagen.

Argentinien: Die CUIL ist eine 11-stellige Zahl mit Prüfziffer. Die CUIT verwendet dasselbe Format. Der argentinische Personalausweis hat 7 bis 8 Stellen. Alle drei erscheinen in Lohn-, Bank- und Behördenunterlagen.

Chile: RUT und RUN haben 7 bis 9 Stellen, einen Bindestrich und eine Prüfziffer. Die Prüfung verwendet einen Modulus-11-Algorithmus. Jede Person und jedes Unternehmen in Chile hat eine. Die Erkennung muss den Prüfziffernschritt umsetzen, um falsche Treffer zu vermeiden.

Kolumbien: Der nationale Personalausweis hat 8 bis 10 Stellen. Die NIT hat neun Stellen plus eine Prüfziffer und gilt für Unternehmen.

Vollständige Abdeckung für spanischsprachige Märkte bedeutet sowohl spanische EU-Identifikatoren als auch lateinamerikanische nationale Ausweise. Unser globaler PII-Identifikatorleitfaden vergleicht diese mit der US-SSN, Aadhaar und anderen nationalen IDs.

AEPD-Durchsetzungsübersicht 2024

847 Durchsetzungsentscheidungen sind der höchste Wert in der EU. Spaniens Behörde erreicht dies durch hohes Beschwerdeaufkommen und aktive Branchendurchläufe. Die Fälle gliedern sich nach Sektoren:

Telekommunikation und Finanzdienstleistungen: 42% der Entscheidungen. Hauptprobleme: unzulässige Bonitätsprüfungen, überlange Speicherfristen und fehlende Einwilligung für Marketing.

Gesundheit und Versicherung: 22% der Entscheidungen. Gesundheitsdaten ohne Einwilligung weitergegeben, schwache De-Identifizierung für die Forschung und biometrische Verarbeitung für Terminsysteme.

Beschäftigung: 19% der Entscheidungen. Mitarbeiterüberwachung, Social-Media-Screening und Videoüberwachung ohne ordentliche Benachrichtigung.

KI-Systeme: Eine wachsende Kategorie. Die Behörde fand mehrere spanische Unternehmen, die KI ohne abgeschlossene DSFAs betrieben. Das verstößt gegen den eigenen KI-Leitfaden der AEPD.

Die technische Basis für die Compliance spanischsprachiger PII ist die DNI- und NIE-Erkennung mit Kontrollbuchstabenvalidierung. Ergänzen Sie eine spanischsprachige Named-Entity-Erkennung. Fügen Sie dann CURP-, RUT-, CUIL- und nationale Ausweisabdeckung für volle lateinamerikanische Unterstützung hinzu.

Den vollständigen DSFA-Workflow nach spanischen Regeln finden Sie in unserem AEPD-KI-DSFA-Compliance-Leitfaden.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.