Das Rechtsrahmenwerk

Die LFPDPPP steht an der Spitze eines gestuften Rahmens. Das Gesetz selbst definiert Grundprinzipien – Rechtmäßigkeit, Zustimmung, Information, Qualität, Zweck, Treue, Verhältnismäßigkeit, Rechenschaftspflicht – die die mexikanischen Gesetzgeber aus der europäischen Datenschutztradition übernommen haben. Unter dem Gesetz stehen die Verordnungen zur LFPDPPP, die betriebliche Details ausfüllen, und die Lineamientos del Aviso de Privacidad (die Richtlinien zur Datenschutzerklärung), die angeben, was in einer Datenschutzerklärung stehen muss und wie. Zusammen bilden diese drei Texte das mexikanische Äquivalent eines einheitlichen Datenschutzkodex mit der praktischen Wirkung verbindlicher Vorschriften.

Für Online-Verlage sind die folgenreichsten Bestimmungen die Zustimmungsregeln in den Artikeln 8 bis 11 des Gesetzes und die Anforderungen der Datenschutzerklärung, die regeln, wie die Zustimmung eingeholt wird. Die mexikanische Zustimmung ist abgestuft: Stillschweigende Zustimmung reicht für einige Verarbeitungen gewöhnlicher personenbezogener Daten aus, wenn ordnungsgemäße Mitteilung erfolgt ist, aber ausdrückliche Zustimmung ist für sensible Daten und für alle Verarbeitungen erforderlich, bei denen das Gesetz dies ausdrücklich vorschreibt. Die Auslegungsfrage für Cookie-Banner ist, welches dieser Regime für Verhaltens- und Werbecookies gilt.

Wie mexikanisches Recht Cookies und Online-Identifikatoren behandelt

Im Gegensatz zur ePrivacy-Richtlinie der EU enthält die LFPDPPP keine Cookie-spezifische Bestimmung. Stattdessen behandelt das Rahmenwerk Online-Identifikatoren als personenbezogene Daten, wenn sie mit einer identifizierbaren Person verknüpft werden können, und die Zustimmungspflichten ergeben sich aus dem allgemeinen Rahmen statt aus einer speziellen Cookie-Regel. Die INAI-Leitlinien haben klargestellt, dass:

• First-Party-Cookies, die ausschließlich für die Website-Funktion notwendig sind, keine vorherige Zustimmung erfordern, aber ihre Existenz muss in der Datenschutzerklärung offengelegt werden.
• Analytics-Cookies erfordern allgemein informierte Zustimmung, wobei stillschweigende Zustimmung akzeptabel ist, wenn die Datenschutzerklärung klar zugänglich ist, bevor Daten erfasst werden.
• Werbungs- und Verhaltens-Cookies erfordern ausdrückliche Zustimmung, besonders wenn die Daten mit Dritten geteilt oder für Website-übergreifendes Tracking verwendet werden.
• Cookies, die sensible Daten erfassen – Gesundheit, sexuelle Orientierung, religiöser Glaube, politische Meinung – erfordern ausdrückliche Zustimmung unabhängig von der Kategorie.

Die praktische Auswirkung ist, dass ein konformes mexikanisches Cookie-Banner mindestens zwischen notwendigen, Analytics- und Werbe-Kategorien unterscheiden muss, wobei eine bestätigende Anmeldung für Werbung erforderlich ist und klare Mitteilung für Analytics.

Die Datenschutzerklärung als Compliance-Anker

Das mexikanische Datenschutzrecht ist auf eine Weise mitteilungsorientiert, die sich von der europäischen Tradition unterscheidet. Die Datenschutzerklärung – aviso de privacidad – ist nicht nur ein Transparenzdokument; sie ist das Rechtsinstrument, durch das die Zustimmung strukturiert wird. Die Lineamientos del Aviso de Privacidad verlangen, dass die Mitteilung spezifische Elemente enthält, und jedes Cookie-Banner muss mit der zugrunde liegenden Mitteilung übereinstimmen, anstatt zu versuchen, alles in ein Banner-Pop-up zu komprimieren.

Erforderliche Elemente der Mitteilung

Die Mitteilung muss den Datenverantwortlichen identifizieren, die erfassten personenbezogenen Daten auflisten, die Verarbeitungszwecke beschreiben, angeben, ob Daten an Dritte übermittelt werden, die Rechte des Datensubjekts identifizieren (acceso, rectificación, cancelación, oposición – die sogenannten ARCO-Rechte) und beschreiben, wie diese Rechte ausgeübt werden können. Für einen Online-Verleger muss das Cookie-Banner als gestuffter Einstiegspunkt zur vollständigen Mitteilung fungieren, nicht als Ersatz dafür.

Kurz, vereinfacht, umfassend

Die Verordnungen sehen drei Mitteilungsformate vor: umfassend (vollständig), vereinfacht und kurz. Ein Cookie-Banner präsentiert typischerweise die kurze oder vereinfachte Mitteilung mit einem klaren Weg zur umfassenden Version. Die Kategorien der Cookies und die Zustimmungsschalter liegen innerhalb dieser gestuften Struktur.

Die INAI-Reform und was kommt als Nächstes

Ende 2024 schob die mexikanische Regierung eine Reform voran, die die Datenschutzfunktion auf Bundesebene umstrukturiert – das autonome INAI wird in eine neue institutionelle Ordnung unter der Exekutive aufgenommen. Das Rechtsrahmenwerk (LFPDPPP, Verordnungen, Lineamientos) bleibt in Kraft, aber die Aufsichtskontinuität ist die offene Frage. Für Verlage ist die konservative Haltung, davon auszugehen, dass die materiellen Standards konstant bleiben, während die Durchsetzungsintensität während des Übergangszeitraums unsicher ist. Der Aufbau nach den Standards, die INAI vor der Reform dargelegt hat – granulare Kategorien, ausdrückliche Anmeldung für Werbung, vollständige ARCO-Rechtsunterstützung, genaue aviso de privacidad – ist die richtige Strategie, unabhängig davon, wie sich die Aufsichtsarchitektur stabilisiert.

Eine praktische Compliance-Checkliste

Sechs konkrete Fragen, die für jedes Cookie-Banner beantwortet werden müssen, das mexikanischen Traffic bedient.

1. Kategorisierung

Trennt das Banner Cookies mindestens in Kategorien „notwendig", „Analytics" und „Werbung", mit bestätigter Anmeldung für Werbung? Das Bündeln aller nicht wesentlichen Cookies unter einem einzelnen „Alles akzeptieren" ohne Granularität ist der häufigste Mangel.

2. Datenschutzerklärung-Verbindung

Verlinkt das Banner zur vollständigen Datenschutzerklärung, und enthält diese Erklärung jedes erforderliche Element (Verantwortlicher, Daten, Zwecke, Übermittlungen, ARCO-Rechte)? Ein Banner ohne eine ordnungsgemäß entworfene Sicherungsbenachrichtigung ist eine dünne Compliance-Oberfläche.

3. Spanische (mexikanische) Sprache

Wird das Banner in Spanisch präsentiert, und verwendet es mexikanische spanische Konventionen, wo sie vom europäischen Spanisch abweichen? Das richtige sprachliche Register signalisiert Ernsthaftigkeit sowohl für Benutzer als auch für Aufsichtsbehörden.

4. Widerrufspfad

Gibt es eine dauerhaft verfügbare Steuerung, die dem Benutzer ermöglicht, seine Zustimmungsentscheidung erneut zu überprüfen und zu ändern? Das Widerrufsrecht ist Teil des ARCO-Rechts „oposición" und das Banner muss es ermöglichen.

5. Mitteilung der Übermittlung an Dritte

Identifiziert die Mitteilung die Kategorien von Dritten, die personenbezogene Daten über Cookies erhalten (Werbenetzwerke, Analytics-Anbieter, CDPs), mit ausreichenden Details, damit der Benutzer den Datenfluss versteht?

6. Protokollierung

Zeichnet das System jede Zustimmungsentscheidung mit Zeitstempel und Banner-Version auf, sodass der Verleger im Falle einer Beschwerde nachweisen kann, dass die Entscheidung frei und informiert getroffen wurde?

Wie das in das lateinamerikanische Bild passt

Mexiko ist nach Brasilien der zweitgrößte digitale Markt in Lateinamerika und sein Datenschutzregime ist eines der einflussreichsten der Region. Die derzeit laufende Reformdebatte wird die Auslegungsrichtung für Jahre prägen, aber die materiellen Standards sind stabil: mitteilungsorientiert, ARCO-Rechte-gegründet, granulare Zustimmung für Werbung, vollständige Offenlegung von Übermittlungen an Dritte. Verlage, die über Lateinamerika tätig sind, profitieren davon, einmal nach dem höheren Standard zu entwickeln – Argentiniens reformiertes Rahmenwerk, Brasiliens LGPD, Chiles reformiertes Gesetz und Kolumbiens austehendes Gesetzentwurf konvergieren alle auf ähnliche Baseline-Erwartungen. Ein CMP, der mexikanisches Spanisch unterstützt, Zustimmung auf Kategorieebene erfasst, saubere Verbindungen zu einer vollständigen aviso de privacidad bietet und Entscheidungen in Audit-Qualität protokolliert, handhabt mexikanische Compliance durch die gleiche Infrastruktur, die regionale Compliance handhabt.