Brauchen Unternehmen in Mexiko einen Datenschutzbeauftragten?

Artikel 29 des Bundesgesetzes zum Schutz personenbezogener Daten im Besitz privater Parteien (Ley Federal de Protección de Datos Personales en Posesión de Particulares – LFPDPPP) verpflichtet alle Verantwortlichen, innerhalb der Organisation eine „Person oder Abteilung für Datenschutz“ zu benennen. Auch wenn das Gesetz nicht den Begriff „Datenschutzbeauftragter“ wie in der Datenschutz-Grundverordnung (DSGVO) verwendet, sind die Aufgaben vergleichbar.

Aufgaben von Datenschutzbeauftragten (DSB)

Die „Person oder Abteilung für Datenschutz“ hat zwei gesetzliche Kernverantwortlichkeiten:

  1. Bearbeitung von Betroffenenanfragen, insbesondere im Zusammenhang mit den ARCO-Rechten
  2. Förderung des Datenschutzes innerhalb der Organisationsstruktur des Verantwortlichen

Die konkrete Ausgestaltung hängt von der Größe, der Art und den Bedürfnissen des Unternehmens ab. Es müssen klare Prozesse und Kommunikationswege definiert sein, um Anfragen effizient, rechtmäßig und fristgerecht zu beantworten.

Zu den Aufgaben im Bereich Datenschutzförderung können gehören:

  • Überwachung der Erstellung und Umsetzung der Datenschutzrichtlinie
  • Kommunikation der Datenschutzregeln an andere Abteilungen
  • Schulung der Mitarbeitenden
  • Entwicklung eines Incident Response Plans
  • Überwachung von Datenschutzverletzungen
  • Vertretung des Unternehmens gegenüber der mexikanischen Aufsichtsbehörde, dem Secretaría de Anticorrupción y Buen Gobierno (SACBG)
  • Beratung der Geschäftsleitung zu Informationssicherheit
     

Person oder Abteilung für Datenschutz: Wer sollte benannt werden?

Das mexikanische Datenschutzrecht macht keine Vorgaben zu den Qualifikationen, aber das SACBG empfiehlt:

  • Die Entscheidung, ob eine einzelne Person oder eine ganze Abteilung benannt wird, ist abhängig von der Unternehmensgröße, dem Datenvolumen, der Sensibilität der Daten und der erwarteten Anzahl von Anfragen.
  • Große Unternehmen, solche mit sensiblen Daten oder datengetriebenem Kerngeschäft sollten eher eine Abteilung oder ein externes Unternehmen benennen.

Empfohlen wird:

  • Erfahrung oder Kenntnisse im Datenschutz
  • Senior-Position innerhalb der Organisation
  • Ausreichende materielle, technische und personelle Ressourcen

Es besteht keine Pflicht, dass die Person oder Abteilung Teil des Unternehmens ist. Unternehmen können daher auch ein externes Beratungsunternehmen wie die FIRST PRIVACY beauftragen, die auf Datenschutz spezialisiert ist.

Registrierung und Standort des*der DSB

In Mexiko müssen Unternehmen die Benennung nicht bei der SACBG registrieren oder melden. Es wird jedoch empfohlen, die Identität der verantwortlichen Person, Abteilung oder des externen Beauftragten öffentlich bekannt zu machen – z. B. in der Datenschutzerklärung –, damit Betroffene wissen, an wen sie sich wenden können.

Es gibt keine Standortbeschränkung: Die benannte Person kann weltweit ansässig sein.

Contact Person

Tania Vanessa Eslava Suarez

Tania Vanessa Eslava Suarez, MLB

Beraterin Datenschutz

E-Mail: teslava@re-move-this.first-privacy.com

Telefon: +49 421 69 66 32-832

FIRST PRIVACY GmbH, Bremen

Manon Punie

Manon Punie, LL.M.

Beraterin Datenschutz

E-Mail: mpunie@re-move-this.first-privacy.com

Telefon: +31 20 211 72 62

FIRST PRIVACY B.V., Amsterdam

Mehr erfahren

An Overview of Data Protection in Mexico

Mehr Informationen

Data Security Incidents in Mexico: A quick Guide

Mehr Informationen

Understanding data subject rights in Mexico

Mehr Informationen

Do Companies Operating in Mexico need a Data Protection Officer?

Mehr Informationen

Privacy Notices in Mexico

Mehr Informationen