Argentiniens Datenschutzreform: Ein Leitfaden zur Cookie-Consent-Compliance für Publisher
Argentinien verfügt über eines der älteren Datenschutzregime in Lateinamerika. Das Datenschutzgesetz Ley 25.326 wurde im Jahr 2000 verabschiedet und Argentinien erhielt 2003 den Angemessenheitsbeschluss der Europäischen Kommission — ein Status, der zwei Jahrzehnte lateinamerikanisches Datenschutzrecht geprägt hat. Dieses Regime wird nun modernisiert. Ein Reformgesetz, das von der Agencia de Acceso a la Información Pública (AAIP) vorangetrieben und seit 2023 im Kongress diskutiert wird, würde Ley 25.326 wesentlich stärker an die DSGVO angleichen: explizite Einwilligungsstandards, schärfere Regeln für grenzüberschreitende Übermittlungen, dedizierte Pflichten für Auftragsverarbeiter und spürbare Verwaltungsbußgelder. Für Publisher, die in Argentinien tätig sind oder personenbezogene Daten argentinischer Einwohner verarbeiten, verändert die Reform, wie die Cookie-Einwilligung eingeholt, aufgezeichnet und nachgewiesen werden muss. Dieser Leitfaden fasst zusammen, was sich ändert und was dagegen zu tun ist.
Der rechtliche Hintergrund
Ley 25.326 wurde verfasst, bevor Verhaltensmarketing in großem Maßstab existierte. Ihr Einwilligungsstandard erforderte eine vorherige, ausdrückliche und informierte Genehmigung, doch die praktische Auslegung durch die AAIP war historisch gesehen weniger präskriptiv als die von europäischen Aufsichtsbehörden angewandte. Cookies, Tracking-Pixel und Audience-Building-Tools operierten in Argentinien unter einem relativ permissiven Auslegungsregime, wobei die Durchsetzung auf eklatante Fälle ausgerichtet war und nicht auf systematisches Banner-Design.
Die Reform verändert das Betriebsumfeld auf drei strukturelle Weisen. Erstens verschärft sie die Definition der Einwilligung, um der Formulierung des Artikel 4 Abs. 11 DSGVO zu entsprechen — freiwillig gegeben, spezifisch, informiert und eindeutig. Zweitens führt sie ein ausdrückliches Rechenschaftspflichtprinzip ein, das von Verantwortlichen verlangt, die Compliance nachweisen zu können, nicht nur zu behaupten. Drittens erhöht sie die maximale Verwaltungsstrafe auf ein Niveau, das proportional zu den Einnahmen der Organisation ist, was die Durchsetzungskalkulation für internationale Plattformen wesentlich verändert.
Was gemäß dem reformierten Standard als Einwilligung gilt
Der reformierte Text, in der zuletzt dem Kongress vorgelegten Fassung, spiegelt das europäische Verständnis der Einwilligung in wesentlichen Punkten wider. Vorausgewählte Kontrollkästchen stellen keine Einwilligung dar. Die weitere Nutzung einer Website stellt keine Einwilligung dar. Die Bündelung von Einwilligungen für nicht zusammenhängende Zwecke — zum Beispiel die Annahme von Nutzungsbedingungen als Genehmigung für Verhaltensmarketing zu behandeln — stellt keine Einwilligung dar. Die AAIP hat in Workshops und Konsultationen signalisiert, dass sie beabsichtigt, den reformierten Standard unter Bezugnahme auf das Leitlinienwerk des EDPB auszulegen, was bedeutet, dass argentinische Publisher damit rechnen sollten, dass sich die Durchsetzung von Cookie-Bannern auf dieselben sechs Versagensmuster einpendelt, die die Cookie-Banner-Taskforce des EDPB dokumentiert hat: fehlende Ablehnungsschaltflächen, irreführendes Link-Design, vorausgewählte Kategorien, falsch beschriftete Cookies, fehlende Widerrufsmechanismen und Dark Patterns mit Druckdesign.
Die praktische Konsequenz für Cookie-Banner in Argentinien ist, dass ein Design, das die EU-Prüfung besteht, auch die argentinische Prüfung nach der Reform bestehen wird. Umgekehrt kann ein Banner, das in Argentinien unter der alten, weniger strengen Auslegung betrieben wurde, eine wesentliche Überarbeitung erfordern, bevor das reformierte Gesetz in Kraft tritt.
Grenzüberschreitende Datenübermittlungen
Eine der folgenschwersten Änderungen in der Reform ist die Behandlung internationaler Datenübermittlungen. Unter Ley 25.326 in der ursprünglichen Fassung erforderten Übermittlungen in Länder ohne angemessenes Schutzniveau entweder eine spezifische Einwilligung oder eine vertragliche Schutzklausel, aber die Regeln waren spärlich und die AAIP hatte nur begrenzte Durchsetzungskapazitäten. Die Reform führt einen gestaffelten Rahmen ein, der dem Kapitel V der DSGVO entspricht: Übermittlungen sind in Länder erlaubt, die die AAIP als angemessen eingestuft; ohne Angemessenheit erfordern Übermittlungen genehmigte Instrumente wie verbindliche interne Datenschutzvorschriften, von der AAIP genehmigte Standardvertragsklauseln oder spezifische Ausnahmen.
Für Publisher, die argentinischen Traffic über US-amerikanische, europäische oder asiatische Adtech-Anbieter leiten, besteht die praktische Konsequenz darin, dass der Cookie-Einwilligungsnachweis nun auch eine Übermittlungsverantwortlichkeitspflicht unterstützen muss. Das CMP muss für jeden einzelnen Besucher nachweisen können, welche Kategorien von Anbietern ihre personenbezogenen Daten erhalten haben und auf der Grundlage welches Übermittlungsinstruments. Dies ist dieselbe Verantwortlichkeitsarchitektur, die europäische Publisher für die DSGVO aufgebaut haben, angewandt auf argentinischen Traffic.
Die Rolle der AAIP
Die Agencia de Acceso a la Información Pública ist die argentinische Datenschutzbehörde. Durch Decreto 746/2017 im Jahr 2017 gegründet, konsolidiert sie die Aufsicht über die Datenschutz- und Informationsfreiheitsregime. Nach geltendem Recht sind ihre Durchsetzungsbefugnisse bescheiden; die Reform stärkt sie erheblich.
Ermittlungsbefugnisse
Die Reform verleiht der AAIP erweiterte Befugnisse, die Vorlage von Dokumenten zu erzwingen, Inspektionen durchzuführen und einstweilige Maßnahmen während Ermittlungen zu verhängen. Für Online-Publisher dürfte sich dies am häufigsten in Form von Anfragen nach Einwilligungsprotokollen, Anbieterlisten und Banner-Code-Snapshots zu bestimmten Datumsbereichen äußern.
Sanktionsregime
Die maximalen Verwaltungsbußgelder nach dem reformierten Text sind an einen Prozentsatz des Jahresumsatzes geknüpft, begrenzt durch eine hohe absolute Obergrenze. Dies ist eine wesentliche Abkehr vom aktuellen Regime mit festen Beträgen und bringt Argentinien in Einklang mit der gestaffelten Bußgeldstruktur der DSGVO.
Koordinierung mit lateinamerikanischen Partnern
Die AAIP ist ein aktiver Teilnehmer des Iberoamerikanischen Datenschutznetzwerks. Es wird erwartet, dass die reformierten argentinischen Leitlinien die ANPD Brasiliens, die INAI Mexikos, das reformierte Regime Chiles und die URCDP Uruguays beeinflussen — und von diesen beeinflusst werden. Publisher, die in der gesamten Region tätig sind, sollten innerhalb von 24 bis 36 Monaten eine Konvergenz der Einwilligungsstandards erwarten.
Was Publisher jetzt tun sollten
Die Reform befindet sich im Gesetzgebungsverfahren und ist noch nicht in Kraft. Die konservative Haltung besteht darin, jetzt nach dem höheren Standard zu bauen, unter der Annahme, dass die Verabschiedung innerhalb von 12 bis 18 Monaten erfolgt. Fünf operative Schritte machen den Übergang handhabbar.
- Prüfen Sie das aktuelle Banner anhand der EDPB-Taskforce-Kriterien. Wenn es bei einem der sechs häufigen Versagensmuster scheitert, wird dasselbe Banner nach dem reformierten argentinischen Standard scheitern, sobald er in Kraft tritt. Eine Behebung jetzt vermeidet spätere Nacharbeit.
- Fügen Sie spanischsprachige Banner- und Richtlinienversionen hinzu. Argentinisches Spanisch (es-AR) ist die primäre benutzerorientierte Sprache; stellen Sie sicher, dass das CMP es nativ unterstützt, nicht nur generisches Spanisch.
- Ordnen Sie die Anbieterliste den Übermittlungsinstrumenten zu. Dokumentieren Sie für jeden Adtech-, Analyse- oder Marketinganbieter, der argentinische personenbezogene Daten erhält, das Übermittlungsinstrument: Angemessenheit, Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder Ausnahme.
- Konfigurieren Sie die Einwilligungsprotokollierung mit regionaler Granularität. Einwilligungsprotokolle sollten das Herkunftsland des Besuchers erfassen (aus der IP zum Zeitpunkt der Banner-Anzeige abgeleitet), damit eine AAIP-Untersuchung mit nach Ländern gefilterten Nachweisen beantwortet werden kann.
- Benennen Sie einen Ansprechpartner für die AAIP-Korrespondenz. Viele internationale Publisher sind in Argentinien ohne formellen lokalen Vertreter tätig; die Reform macht die Benennung eines Kontakts für die Aufsichtsbehörde zu einer praktischen Notwendigkeit.
Jenseits von Cookie-Bannern
Die argentinische Reform ist breiter als die Cookie-Einwilligung. Sie überarbeitet die Fristen für Meldungen von Datenschutzverletzungen, führt spezifische Schutzmaßnahmen für Kategorien sensibler Daten ein und schafft neue Pflichten rund um automatisierte Entscheidungsfindung. Für Publisher ist das Cookie-Banner die sichtbarste Compliance-Oberfläche, aber nicht die einzige. Dieselbe CMP-Infrastruktur, die die Cookie-Einwilligung aufzeichnet, ist gut positioniert, um andere Einwilligungsentscheidungen zu erfassen — Kommunikationseinwilligung, Einwilligung zur Datenweitergabe an Retail-Media-Partner, Einwilligung für Personalisierungsfunktionen — und die Rechenschaftspflicht der AAIP gilt für all diese.
Die Reform spiegelt ein breiteres Muster wider: Lateinamerika bewegt sich in Richtung DSGVO-konformer Standards, wobei nationale Implementierungen an lokale Rechtstraditionen angepasst werden. Publisher, die jetzt einen regionsneutralen Einwilligungs-Stack aufbauen — einen, der detaillierte zweckspezifische Einwilligungen aufzeichnet, mehrere Sprachen und Datumsformate unterstützt, Entscheidungen in einem revisionstauglichen Format protokolliert und in die Übermittlungsdokumentation integriert ist — bewältigen die argentinische, brasilianische, mexikanische und chilenische Compliance über dieselbe operative Pipeline. Die Kosten für den Aufbau für eine einzelne Rechtsordnung und anschließende Nachrüstung für die nächste waren historisch höher als die Kosten für den Aufbau nach dem regionalen Standard von Anfang an.