Leitfaden zur Einhaltung des kolumbianischen Gesetzes Law 1581 von 2012 zur Cookie-Einwilligung für Publisher im Jahr 2026
Das kolumbianische Gesetz Law 1581 von 2012, ergänzt durch die Regulierungsverordnung Decree 1377 von 2013 und in Decree 1074 von 2015 konsolidiert, schuf eines der frühesten umfassenden Datenschutzrahmenwerke in Lateinamerika. Die Superintendencia de Industria y Comercio (SIC) ist die Datenschutzbehörde, und ihre Delegatura para la Protección de Datos Personales ist im Vergleich zum allgemeinen lateinamerikanischen Niveau ungewöhnlich aktiv bei der Durchsetzung. Über mehr als ein Jahrzehnt hat die SIC Tausende von Sanktionen verhängt, durch Beschlüsse und konzeptionelle Gutachten eine Sammlung bindender Doktrin angehäuft und ein Registrierungssystem — das Registro Nacional de Bases de Datos (RNBD) — aufgebaut, das die meisten werbefinanzierten Online-Publisher erfasst. Für Betreiber, die kolumbianischen Traffic bedienen, ist der Betriebsstandard näher an europäischen Normen, als das Alter des Gesetzes von 2012 vermuten lässt; die SIC-Leitlinien zum Online-Tracking von 2023 haben die Cookie-Banner-Erwartungen explizit mit EDPB-konformen Positionen in Einklang gebracht. Diese Anleitung erläutert, was Law 1581 verlangt, wie die SIC es für Cookies und Verhaltens-Werbung ausgelegt hat und wie die praktische Compliance-Arbeit im Jahr 2026 aussieht.
Law 1581 im Überblick
Law 1581 orientiert sich an acht Grundsätzen in Article 4: Rechtmäßigkeit, Zweck, Freiheit, Richtigkeit, Transparenz, eingeschränkter Zugang und Weitergabe, Sicherheit und Vertraulichkeit. Die Rechtsgrundlagen nach Article 9 sind enger als die der DSGVO — das kolumbianische Recht räumt der Einwilligung eine zentralere Rolle ein und behandelt andere Grundlagen (Vertrag, öffentliches Interesse, lebenswichtige Interessen) als Ausnahmen, nicht als gleichwertige Grundlagen. Für das Online-Tracking ist die praktische Folge, dass die Einwilligung fast immer die operative Grundlage ist; die SIC hat Argumente nach Art des berechtigten Interesses für Verhaltens-Cookies nur selten akzeptiert.
Das Gesetz gilt für Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten von in Kolumbien befindlichen Personen verarbeiten, mit extraterritorialer Reichweite nach Article 2, die Offshore-Betreiber erfasst, die den kolumbianischen Markt ansprechen. Die Registrierung im RNBD der SIC ist ab bestimmten Schwellenwerten verpflichtend; die SIC verfolgt nicht registrierte Betreiber seit 2016 öffentlich sichtbar.
Wie Law 1581 Cookies und Online-Tracking behandelt
Law 1581 enthält keine cookie-spezifische Bestimmung; die Einwilligungs- und Informationspflichten ergeben sich aus Articles 4, 9 und 12 des Gesetzes sowie aus den SIC-Leitlinien zum Online-Tracking von 2023. Vier Punkte haben die größte operative Auswirkung.
Ausdrückliche vorherige Einwilligung als Standard
Der langfristige Standpunkt der SIC, in den Leitlinien von 2023 bestätigt, lautet: Nicht notwendiges Tracking erfordert eine ausdrückliche vorherige Einwilligung — das kolumbianische Recht verwendet "expreso e inequívoco" (ausdrücklich und unmissverständlich) als Einwilligungsstandard, und die SIC hat dies online strikt durchgesetzt. Stillschweigende Einwilligung, Scrollen als Einwilligung und vorab angekreuzte Kästchen wurden in veröffentlichten Beschlüssen abgelehnt.
Granulare Kategorien und der Verhältnismäßigkeitsgrundsatz
Die Leitlinien erwarten, dass Banner dem Besucher ermöglichen, Kategorien unabhängig zu akzeptieren und abzulehnen. Die SIC wertet gebündelte Zustimmung zu allem als Verstoß gegen den Verhältnismäßigkeitsgrundsatz in Article 4(c) — notwendig, nützlich und angemessen können nicht ohne Verstoß gegen die Verhältnismäßigkeit zu "allem auf einmal" werden.
Spanisch als Standardsprache
Die SIC hat ausdrücklich erklärt, dass Datenschutzhinweise und Einwilligungs-Banner für kolumbianisches Publikum auf Spanisch verfügbar sein müssen und die Sprache kolumbianische Spanisch-Konventionen widerspiegeln muss, wo diese von europäischen oder anderen lateinamerikanischen Varianten abweichen. Rein englischsprachige Banner wurden in mehreren SIC-Beschlüssen als Mängel aufgeführt.
Grenzüberschreitende Übermittlung (Article 26)
Article 26 regelt internationale Übermittlungen und verlangt, dass die Empfängerjurisdiktion ein angemessenes Schutzniveau bietet. Die SIC hat eine Angemessenheitsliste herausgegeben — eine kleinere Liste als die der EU — und Übermittlungen in nicht gelistete Länder erfordern ausdrückliche Einwilligung, vertragliche Schutzmaßnahmen oder eine spezifische Genehmigung der SIC. Für Cookies, die Daten an US-amerikanische Ad-Tech-Anbieter weiterleiten, ist die praktische Erwartung dokumentierte vertragliche Schutzmaßnahmen.
Die Durchsetzungshaltung der SIC
Die SIC verfolgt eine der aktivsten Durchsetzungshaltungen in Lateinamerika. Drei Muster prägen ihren Ansatz.
Sanktionspraxis mit hohem Volumen
Die SIC erlässt jährlich Hunderte von Sanktionsbeschlüssen und veröffentlicht die wichtigsten davon. Das Volumen schafft eine ungewöhnlich reiche Sammlung bindender Doktrin, die Betreiber nutzen können, um regulatorische Erwartungen vorherzusagen — bedeutet aber auch, dass Mängel schnell ans Licht kommen, wenn Beschwerden eingehen.
RNBD-gesteuerte Inspektionen
Viele SIC-Inspektionen beginnen mit der RNBD-Registrierung als Eintrittspunkt. Ein Betreiber, der sich nicht registriert hat oder dessen Registrierung nicht aktuell ist, zieht eher Aufmerksamkeit auf sich als ein ordnungsgemäß registrierter Verantwortlicher mit vergleichbarer Verarbeitung.
Ibero-amerikanische Koordinierung
Die SIC beteiligt sich aktiv am Ibero-American Data Protection Network (RIPD) und koordiniert mit dem argentinischen AAIP, dem mexikanischen INAI (jetzt umstrukturiert), dem brasilianischen ANPD, dem uruguayischen URCDP und dem reformierten Regime Chiles. Grenzüberschreitende Fälle mit kolumbianischem und anderem ibero-amerikanischem Traffic werden zunehmend über koordinierte Verfahren abgewickelt.
Eine praktische Compliance-Checkliste
Sechs konkrete Fragen, die für jeden Cookie-Banner beantwortet werden müssen, der kolumbianischen Traffic bedient.
- Ist der Verantwortliche im RNBD registriert? Wenn die Verarbeitung den Registrierungsschwellenwert überschreitet, bestätigen Sie, dass die Registrierung aktuell ist. SIC-Inspektionen beginnen oft hier.
- Ist die Einwilligung ausdrücklich und vorher erteilt? Der Ablehnungspfad muss auf derselben Oberfläche wie die Annahme liegen; Scrollen als Einwilligung besteht die Leitlinien von 2023 nicht.
- Sind die Kategorien granular? Notwendige, analytische und Marketing-Kategorien müssen separat steuerbar sein.
- Ist die Sprache kolumbianisches Spanisch? Bestätigen Sie, dass der Banner und der Datenschutzhinweis kolumbianische Spanisch-Konventionen verwenden und nicht nur auf Englisch sind.
- Sind grenzüberschreitende Übermittlungen dokumentiert? Identifizieren Sie für jedes nicht-kolumbianische Ziel, ob die Jurisdiktion auf der SIC-Angemessenheitsliste steht, oder dokumentieren Sie die vertragliche Schutzmaßnahme, die die Übermittlung genehmigt.
- Ist die Einwilligungsprotokollierung revisionssicher? SIC-Ermittlungen verlangen häufig Einwilligungsnachweise; Zeitstempel, Banner-Version und Auswahl müssen wiederherstellbar sein.
Wo Kolumbien in einem Multi-Jurisdiktions-Stack passt
Kolumbien ist eines der vier operativ bedeutsamsten Datenschutzregime in Lateinamerika, neben Brasilien, Mexiko und Argentinien. Der Jahrgang 2012 von Law 1581 liegt vor der DSGVO, aber die aktive Durchsetzung der SIC und die Leitlinien von 2023 haben den Betriebsstandard eng an europäische Normen angepasst. Für Publisher, die auf pan-lateinamerikanische Operationen hinarbeiten, ergänzt der kolumbianische Rahmen natürlich Brasiliens LGPD, Mexikos LFPDPPP und Argentiniens reformiertes Regime — eine nach europäischen Standards aufgebaute CMP-Architektur erledigt den Großteil der Arbeit, mit drei Kolumbien-spezifischen Ergänzungen: RNBD-Registrierung, wo Schwellenwerte gelten, Unterstützung der kolumbianischen spanischen Sprache und das Article 26-Dokumentationsmuster für grenzüberschreitende Übermittlungen. Die ibero-amerikanische Konvergenz um DSGVO-konforme Standards beschleunigt sich, und Kolumbiens ausgereifte Durchsetzungserfahrung macht es zur regionalen Jurisdiktion, in der die Compliance-Haltung am direktesten getestet wird.