Leitfaden zur Einhaltung des kolumbianischen Gesetzes Law 1581 von 2012 zur Cookie-Einwilligung für Publisher im Jahr 2026

Das kolumbianische Gesetz Law 1581 von 2012, ergänzt durch die Regulierungsverordnung Decree 1377 von 2013 und in Decree 1074 von 2015 konsolidiert, schuf eines der frühesten umfassenden Datenschutzrahmenwerke in Lateinamerika. Die Superintendencia de Industria y Comercio (SIC) ist die Datenschutzbehörde, und ihre Delegatura para la Protección de Datos Personales ist im Vergleich zum allgemeinen lateinamerikanischen Niveau ungewöhnlich aktiv bei der Durchsetzung. Über mehr als ein Jahrzehnt hat die SIC Tausende von Sanktionen verhängt, durch Beschlüsse und konzeptionelle Gutachten eine Sammlung bindender Doktrin angehäuft und ein Registrierungssystem — das Registro Nacional de Bases de Datos (RNBD) — aufgebaut, das die meisten werbefinanzierten Online-Publisher erfasst. Für Betreiber, die kolumbianischen Traffic bedienen, ist der Betriebsstandard näher an europäischen Normen, als das Alter des Gesetzes von 2012 vermuten lässt; die SIC-Leitlinien zum Online-Tracking von 2023 haben die Cookie-Banner-Erwartungen explizit mit EDPB-konformen Positionen in Einklang gebracht. Diese Anleitung erläutert, was Law 1581 verlangt, wie die SIC es für Cookies und Verhaltens-Werbung ausgelegt hat und wie die praktische Compliance-Arbeit im Jahr 2026 aussieht.

Law 1581 im Überblick

Law 1581 orientiert sich an acht Grundsätzen in Article 4: Rechtmäßigkeit, Zweck, Freiheit, Richtigkeit, Transparenz, eingeschränkter Zugang und Weitergabe, Sicherheit und Vertraulichkeit. Die Rechtsgrundlagen nach Article 9 sind enger als die der DSGVO — das kolumbianische Recht räumt der Einwilligung eine zentralere Rolle ein und behandelt andere Grundlagen (Vertrag, öffentliches Interesse, lebenswichtige Interessen) als Ausnahmen, nicht als gleichwertige Grundlagen. Für das Online-Tracking ist die praktische Folge, dass die Einwilligung fast immer die operative Grundlage ist; die SIC hat Argumente nach Art des berechtigten Interesses für Verhaltens-Cookies nur selten akzeptiert.

Das Gesetz gilt für Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten von in Kolumbien befindlichen Personen verarbeiten, mit extraterritorialer Reichweite nach Article 2, die Offshore-Betreiber erfasst, die den kolumbianischen Markt ansprechen. Die Registrierung im RNBD der SIC ist ab bestimmten Schwellenwerten verpflichtend; die SIC verfolgt nicht registrierte Betreiber seit 2016 öffentlich sichtbar.

Wie Law 1581 Cookies und Online-Tracking behandelt

Law 1581 enthält keine cookie-spezifische Bestimmung; die Einwilligungs- und Informationspflichten ergeben sich aus Articles 4, 9 und 12 des Gesetzes sowie aus den SIC-Leitlinien zum Online-Tracking von 2023. Vier Punkte haben die größte operative Auswirkung.

Ausdrückliche vorherige Einwilligung als Standard

Der langfristige Standpunkt der SIC, in den Leitlinien von 2023 bestätigt, lautet: Nicht notwendiges Tracking erfordert eine ausdrückliche vorherige Einwilligung — das kolumbianische Recht verwendet "expreso e inequívoco" (ausdrücklich und unmissverständlich) als Einwilligungsstandard, und die SIC hat dies online strikt durchgesetzt. Stillschweigende Einwilligung, Scrollen als Einwilligung und vorab angekreuzte Kästchen wurden in veröffentlichten Beschlüssen abgelehnt.

Granulare Kategorien und der Verhältnismäßigkeitsgrundsatz

Die Leitlinien erwarten, dass Banner dem Besucher ermöglichen, Kategorien unabhängig zu akzeptieren und abzulehnen. Die SIC wertet gebündelte Zustimmung zu allem als Verstoß gegen den Verhältnismäßigkeitsgrundsatz in Article 4(c) — notwendig, nützlich und angemessen können nicht ohne Verstoß gegen die Verhältnismäßigkeit zu "allem auf einmal" werden.

Spanisch als Standardsprache

Die SIC hat ausdrücklich erklärt, dass Datenschutzhinweise und Einwilligungs-Banner für kolumbianisches Publikum auf Spanisch verfügbar sein müssen und die Sprache kolumbianische Spanisch-Konventionen widerspiegeln muss, wo diese von europäischen oder anderen lateinamerikanischen Varianten abweichen. Rein englischsprachige Banner wurden in mehreren SIC-Beschlüssen als Mängel aufgeführt.

Grenzüberschreitende Übermittlung (Article 26)

Article 26 regelt internationale Übermittlungen und verlangt, dass die Empfängerjurisdiktion ein angemessenes Schutzniveau bietet. Die SIC hat eine Angemessenheitsliste herausgegeben — eine kleinere Liste als die der EU — und Übermittlungen in nicht gelistete Länder erfordern ausdrückliche Einwilligung, vertragliche Schutzmaßnahmen oder eine spezifische Genehmigung der SIC. Für Cookies, die Daten an US-amerikanische Ad-Tech-Anbieter weiterleiten, ist die praktische Erwartung dokumentierte vertragliche Schutzmaßnahmen.

Die Durchsetzungshaltung der SIC

Die SIC verfolgt eine der aktivsten Durchsetzungshaltungen in Lateinamerika. Drei Muster prägen ihren Ansatz.

Sanktionspraxis mit hohem Volumen

Die SIC erlässt jährlich Hunderte von Sanktionsbeschlüssen und veröffentlicht die wichtigsten davon. Das Volumen schafft eine ungewöhnlich reiche Sammlung bindender Doktrin, die Betreiber nutzen können, um regulatorische Erwartungen vorherzusagen — bedeutet aber auch, dass Mängel schnell ans Licht kommen, wenn Beschwerden eingehen.

RNBD-gesteuerte Inspektionen

Viele SIC-Inspektionen beginnen mit der RNBD-Registrierung als Eintrittspunkt. Ein Betreiber, der sich nicht registriert hat oder dessen Registrierung nicht aktuell ist, zieht eher Aufmerksamkeit auf sich als ein ordnungsgemäß registrierter Verantwortlicher mit vergleichbarer Verarbeitung.

Ibero-amerikanische Koordinierung

Die SIC beteiligt sich aktiv am Ibero-American Data Protection Network (RIPD) und koordiniert mit dem argentinischen AAIP, dem mexikanischen INAI (jetzt umstrukturiert), dem brasilianischen ANPD, dem uruguayischen URCDP und dem reformierten Regime Chiles. Grenzüberschreitende Fälle mit kolumbianischem und anderem ibero-amerikanischem Traffic werden zunehmend über koordinierte Verfahren abgewickelt.

Eine praktische Compliance-Checkliste

Sechs konkrete Fragen, die für jeden Cookie-Banner beantwortet werden müssen, der kolumbianischen Traffic bedient.

Wo Kolumbien in einem Multi-Jurisdiktions-Stack passt

Kolumbien ist eines der vier operativ bedeutsamsten Datenschutzregime in Lateinamerika, neben Brasilien, Mexiko und Argentinien. Der Jahrgang 2012 von Law 1581 liegt vor der DSGVO, aber die aktive Durchsetzung der SIC und die Leitlinien von 2023 haben den Betriebsstandard eng an europäische Normen angepasst. Für Publisher, die auf pan-lateinamerikanische Operationen hinarbeiten, ergänzt der kolumbianische Rahmen natürlich Brasiliens LGPD, Mexikos LFPDPPP und Argentiniens reformiertes Regime — eine nach europäischen Standards aufgebaute CMP-Architektur erledigt den Großteil der Arbeit, mit drei Kolumbien-spezifischen Ergänzungen: RNBD-Registrierung, wo Schwellenwerte gelten, Unterstützung der kolumbianischen spanischen Sprache und das Article 26-Dokumentationsmuster für grenzüberschreitende Übermittlungen. Die ibero-amerikanische Konvergenz um DSGVO-konforme Standards beschleunigt sich, und Kolumbiens ausgereifte Durchsetzungserfahrung macht es zur regionalen Jurisdiktion, in der die Compliance-Haltung am direktesten getestet wird.

← Blog Alle lesen →