Im März 2025 hat Mexiko sein Datenschutzrecht grundlegend reformiert. Die neue Gesetzgebung bringt zahlreiche Änderungen mit sich, die sowohl Unternehmen als auch Privatpersonen betreffen. Besonders relevant sind die Einführung neuer Begriffe, die Anpassung der Rechte der Betroffenen und die Umstrukturierung der zuständigen Behörden. Kritisch diskutiert wird vor allem die Abschaffung der unabhängigen Datenschutzbehörde INAI, was von Menschenrechtsorganisationen als Angriff auf die Kontrollmechanismen und die Transparenz im Datenschutz gewertet wird. Dieser Beitrag gibt einen Überblick über die wichtigsten Änderungen, ihre Hintergründe und die damit verbundenen Kontroversen.
Der Inhalt im Überblick
Das mexikanische Datenschutzrecht vor der Reform
Seit 2009 ist der Schutz der Privatsphäre und personenbezogener Daten in der mexikanischen Verfassung verankert. Die wichtigsten Regelungen fanden sich in den Artikeln 16 und 6 der Verfassung sowie im Bundesgesetz über personenbezogene Informationen im Besitz von Personen (LFPDPPP) für den Privatsektor, das am 6. Juli 2010 in Kraft trat, und im Allgemeinen Gesetz über den Schutz personenbezogener Daten im Besitz von Verpflichteten (LGPDPPSO) für den öffentlichen Sektor, das am 27. Januar 2017 in Kraft trat. Die Rechte der Betroffenen, nämlich Zugang, Berichtigung, Löschung und Widerspruch (sogenannte ARCO-Rechte), waren dort eindeutig geregelt. Die Aufsicht lag beim unabhängigen Bundesinstitut für Transparenz, Zugang zu Informationen und Schutz persönlicher Daten (INAI), dessen Autonomie als Garant für effektiven Datenschutz galt.
Im mexikanischen Datenschutzrecht gelten als „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ausgenommen vom Schutz sind jedoch Daten über juristische Personen, Informationen über natürliche Personen, die als Kaufleute oder Freiberufler auftreten, sowie grundlegende berufsbezogene Kontaktdaten wie Name, Position oder geschäftliche Kontaktdaten, sofern sie ausschließlich zur beruflichen Kontaktaufnahme dienen.
Die Reform vom März 2025: Was ist jetzt anders?
Die neue Gesetzgebung übernimmt viele bisherige Regelungen, führt jedoch zentrale neue Begriffe ein. Besonders hervorzuheben ist der „Aviso de privacidad“ (Datenschutzhinweis). Dabei handelt es sich um ein Dokument, das den Zweck der Datenerhebung und -verarbeitung transparent macht. Der Datenschutzhinweis muss dem Betroffenen sowohl in physischer als auch in elektronischer Form zur Verfügung gestellt werden. Der Begriff der Einwilligung wird ferner neu formuliert. Die Einwilligung ist im Gesetz nun als freie, spezifische und informierte Willensbekundung des Betroffenen definiert. Sie kann entweder ausdrücklich erfolgen oder auch stillschweigend erteilt werden. Außerdem rückt das Gesetz sensible personenbezogene Daten stärker in den Fokus, da ihr Missbrauch zu Diskriminierung oder erheblichen Risiken führen kann. Dazu zählen zum Beispiel Gesundheitsdaten, genetische Informationen oder politische Meinungen.
Die neue Gesetzgebung verändert den subjektiven Anwendungsbereich des Datenschutzrechts und schwächt dadurch den Schutz personenbezogener Daten. Nach der neuen Definition gelten Gewerkschaften sowie jede natürliche oder juristische Person, die öffentliche Mittel erhält oder hoheitliche Aufgaben wahrnimmt, nicht mehr als „sujetos obligados“ (Verantwortliche) und unterliegen somit nicht mehr den Datenschutzbestimmungen. Dadurch verringert sich die Zahl der Akteure, die zur Einhaltung der Datenschutzvorschriften verpflichtet sind. Im Ergebnis wird der Schutz personenbezogener Daten insbesondere im Bereich des öffentlichen Interesses eingeschränkt.
Abschaffung des INAI und Kritik
Eine der gravierendsten Änderungen ist die Abschaffung des INAI als unabhängige Datenschutzbehörde. Die neue Aufsichtsinstanz ist nun die Secretaría de Anticorrupción y Buen Gobierno, eine Regierungsbehörde, die der Exekutive untergeordnet ist und die Kontrolle sowie Durchsetzung des Datenschutzrechts im Privatsektor übernimmt. Beschwerden und Anfragen werden direkt an diese Behörde gerichtet. Der Rechtsschutz erfolgt weiterhin über das Verfahren des „Amparo“ vor spezialisierten Gerichten.
Seit seiner Gründung war das INAI ein zentraler Pfeiler für Transparenz und den Zugang zu Regierungsinformationen in Mexiko. Durch die Abschaffung dieser unabhängigen Behörde droht ein erheblicher Rückschritt: Bürger könnten größere Hürden beim Erhalt von Auskünften über Entscheidungen, die Verwendung öffentlicher Mittel sowie bei der Kontrolle staatlichen Handelns erleben. Das INAI warnte, dass seine Auflösung den Kampf gegen Korruption und die Wahrung von Grundrechten wie Informationsfreiheit und Datenschutz schwächt. Kritiker befürchten zudem, dass die direkte Unterstellung der neuen Aufsichtsinstanz unter die Exekutive die Unabhängigkeit und Wirksamkeit der Kontrolle beeinträchtigt und politische Einflussnahme erleichtert. Gerade in Zeiten wachsender Desinformation und gesellschaftlicher Polarisierung ist Transparenz ein zentrales Mittel, um Vertrauen in Institutionen zu stärken und Falschinformationen entgegenzuwirken. Die Abschaffung des INAI könnte daher nicht nur die Rechenschaftspflicht des Staates schwächen, sondern auch die demokratische Kultur und den Schutz der Bürgerrechte in Mexiko nachhaltig beeinträchtigen.
Betroffenenrechte ausgeweitet
Die neue Gesetzgebung konkretisiert die Betroffenenrechte und legt damit besonderen Wert auf Transparenz und Kontrolle über die eigenen Daten. Betroffene haben das Recht, Zugang zu ihren personenbezogenen Daten zu verlangen und Informationen über deren Verarbeitung sowie die jeweiligen Bedingungen über den Datenschutzhinweis zu erhalten. Sie können außerdem die Berichtigung ihrer Daten verlangen, wenn diese ungenau, unvollständig oder veraltet sind. Das Recht auf Widerspruch ermöglicht es, der Verarbeitung der eigenen Daten jederzeit aus berechtigten Gründen zu widersprechen oder deren Löschung zu verlangen. Dies gilt insbesondere dann, wenn die weitere Verarbeitung der Daten der betroffenen Person schaden könnte oder wenn die Daten automatisiert verarbeitet werden und dies erhebliche Auswirkungen auf ihre Rechte oder Interessen hat. Allerdings kann die unklare Formulierung im Gesetzestext zu Rechtsunsicherheiten führen, da nicht eindeutig geregelt ist, unter welchen Voraussetzungen eine Widerspruchsanfrage als ausreichend begründet gilt.
Selbstregulierung und Sanktionen
Die neue Gesetzgebung ermöglicht es Unternehmen und Organisationen, gemeinsam mit anderen Akteuren verbindliche Selbstregulierungssysteme im Datenschutz zu vereinbaren. Diese Systeme, wie etwa Verhaltenskodizes oder Gütesiegel, sollen die gesetzlichen Vorgaben ergänzen und müssen wirksame Kontroll- und Korrekturmechanismen bei Verstößen enthalten. Ziel ist es, die Datenverarbeitung zu vereinheitlichen und die Ausübung der Betroffenenrechte zu erleichtern. Alle Selbstregulierungssysteme müssen sowohl den zuständigen Behörden als auch der Secretaría de Anticorrupción y Buen Gobierno gemeldet werden.
Im Bereich der Sanktionen bleibt das neue Gesetz grundsätzlich bei den bisherigen Bußgeldrahmen, stellt jedoch auf die „Unidad de Medida y Actualización“ (UMA) als Berechnungsgrundlage um, anstatt wie bisher den Mindestlohn heranzuziehen. Je nach Schwere des Verstoßes können Geldbußen zwischen 100 und 160.000 UMAs (ca. 117 bis 187.000 EUR, Stand September 2025) beziehungsweise zwischen 200 und 320.000 UMAs (ca. 234 bis 375.000 EUR) verhängt werden. Damit bleibt das Sanktionsniveau hoch und soll eine wirksame Abschreckung gegen Verstöße im Datenschutz gewährleisten.
Rechtsmittel gegen behördliche Entscheidungen
Gegen Entscheidungen der Secretaría de Anticorrupción y Buen Gobierno steht den Betroffenen der Rechtsweg offen. Sie können ein Amparo-Verfahren anstrengen, um gerichtlichen Schutz gegen Maßnahmen oder Beschlüsse der Behörde zu erhalten. Diese Verfahren werden von spezialisierten Richtern und Gerichten geführt, wie es Artikel 94 der mexikanischen Verfassung vorsieht. Dadurch bleibt ein gerichtlicher Rechtsschutz für Betroffene gewährleistet, auch wenn die Datenschutzaufsicht nun direkt der Exekutive untersteht.
