Spanien, Datenschutz-Linie

Spanien startet 2026 mit scharfer Datenschutz-Linie

02.01.2026 - 08:45:12

Die spanische AEPD verhängt hohe Bußgelder gegen Unternehmen für übermäßige Datenerfassung und setzt 2026 auf strikte Datenminimierung bei Ausweis- und Biometrieprüfungen.

Spanien startet 2026 mit scharfer Datenschutz-Linie - Foto: über boerse-global.de
Spanien startet 2026 mit scharfer Datenschutz-Linie - Foto: über boerse-global.de

Die spanische Datenschutzbehörde AEPD geht mit einer Null-Toleranz-Politik gegen die unnötige Erfassung von Personalausweisen ins neue Jahr. Nach einer Serie hoher Strafen in 2025 müssen Unternehmen in Tourismus, Banken und Dienstleistungen ihre Praktiken grundlegend ändern.

Iberostar-Tochter zahlt 70.000 Euro Strafe

Das deutlichste Signal setzte die AEPD im August 2025 gegen World 2 Meet S.L., eine Tochter des Tourismusriesen Iberostar. Das Unternehmen muss 70.000 Euro Strafe zahlen, weil es bei der Online-Check-in-Prozess komplette Ausweiskopien verlangte.

Spanisches Recht verpflichtet Hotels zwar, bestimmte Gästedaten für die Polizei zu erfassen. Die vollständige Kopie des Dokuments ist jedoch nicht erlaubt. Die Behörde argumentiert: Ein Scan erfasst überflüssige Daten wie Foto, Unterschrift oder Elternnamen – und schaffe ein „unnötiges Identitätsdiebstahl-Risiko“.

Anzeige

Unternehmen, die Ausweisscans oder Gesichtserkennung einsetzen, riskieren hohe Bußgelder – zuletzt 10 Millionen Euro gegen AENA. Eine fundierte Datenschutz‑Folgenabschätzung (DSFA) ist in vielen Fällen Pflicht und schützt vor teuren Sanktionen. Der kostenlose Leitfaden erklärt Schritt für Schritt, wann eine DSFA nötig ist, wie Sie Risiken bewerten, welche technischen Maßnahmen (z. B. OCR ohne Bildspeicherung) sinnvoll sind und welche Dokumentation Aufsichtsbehörden zufriedenstellt. DSFA‑Leitfaden jetzt kostenlos herunterladen

Bequemlichkeit ist kein Rechtfertigungsgrund

Die Iberostar-Entscheidung war kein Einzelfall. Bereits im Juli 2025 kassierte das Hotel & Spa Beverly Park (Suneris S.A.) eine Strafe von 9.000 Euro. Der Grund: Mitarbeiter scannten einen Ausweis, nachdem der Gast dies ausdrücklich abgelehnt und manuelle Dateneingabe angeboten hatte.

Die AEPD stellte klar: Bequemlichkeit ist keine Rechtsgrundlage. Weder „Sicherheit“ noch „Effizienz“ rechtfertigen das Scannen, wenn die erforderlichen Daten auch handschriftlich erfasst werden können. Für die Hotellerie bedeutet das: Automatische Ausweis-Scanner sind nur erlaubt, wenn sie ausschließlich die notwendigen Textdaten extrahieren und das Bild sofort löschen.

Biometrie-Ära beginnt mit Millionenstrafe

Während sich die meisten Strafen auf die Hotellerie konzentrierten, dehnte die AEPD ihre strenge Auslegung auf biometrische Daten aus. Im November 2025 verhängte sie eine Rekordstrafe von 10 Millionen Euro gegen den Flughafenbetreiber AENA.

Grund: Der Einsatz von Gesichtserkennungssystemen für Sicherheitskontrollen ohne gültige Datenschutz-Folgenabschätzung. Die Behörde sah nicht ausreichend belegt, dass biometrische Daten notwendig und verhältnismäßig waren – wo doch traditionelle Ausweiskontrollen verfügbar gewesen wären.

Deutsche Unternehmen sollten aufhorchen

Für deutsche Firmen mit Geschäften in Spanien oder ähnlichen Prozessen hierzulande sind diese Entwicklungen hochrelevant. Die spanischen Entscheidungen könnten europaweit Schule machen und zeigen, wohin die Reise geht: Datenminimierung ist nicht verhandelbar.

Bereits 2024 legte die AEPD wichtige Grundsteine, etwa mit einer Entscheidung gegen den Online-Reiseanbieter eDreams zu Datenübermittlungspraktiken. Auch Telekommunikationsanbieter wie Digi Spain erhielten Strafen – einerseits für unzureichende Identitätsprüfung, andererseits für übermäßige Datenerfassung.

So müssen sich Unternehmen 2026 schützen

Die Botschaft für das neue Jahr ist eindeutig. Unternehmen sollten umgehend handeln:

  1. Automatisches Scannen stoppen: Speicherfunktionen für Ausweisbilder in Buchungs- und Kundensystemen deaktivieren.
  2. Auf reine Datenextraktion umstellen: OCR-Technologie nutzen, die nur notwendigen Text erfasst und Bilder sofort löscht.
  3. Mitarbeiter schulen: Frontpersonal muss manuelle Dateneingabe akzeptieren, wenn Kunden Scans ablehnen.
  4. Verträge mit Anbietern prüfen: Sicherstellen, dass Drittanbieter (wie Online-Check-in-Tools) keine Ausweiskopien in der Cloud archivieren.

Die AEPD hat ihre Durchsetzungsaktivitäten 2025 auf Rekordniveau getrieben. Unternehmen, die ihre Identifikationsprozesse nicht anpassen, riskieren, zu den ersten Negativschlagzeilen des Jahres 2026 zu werden.

Anzeige

PS: Noch unsicher, ob Ihr Online‑Check‑in oder Einsatz von Biometrie eine DSFA erfordert? Sichern Sie sich praxiserprobte Vorlagen, Checklisten und Muster‑Formulierungen, mit denen Sie schnell eine rechtssichere DSFA erstellen und notwendige Vertragspassagen mit Anbietern prüfen. Der Download enthält konkrete To‑dos für IT‑ und Compliance‑Teams sowie eine Checkliste zur Datenminimierung, die hilft, Ausweisscans und Bildspeicherung zu vermeiden. Jetzt DSFA‑Vorlagen und Checklisten sichern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.