Wählen Sie Ihre Region: Singapur & Asien-Pazifik Europa Lateinamerika
RESGUARD
solutions

Habeas-Data-Rechte in Kolumbien

 

Verfassungsmäßige Datenschutzrechte verstehen und Betroffenenanfragen verwalten

Startseite / Blog / Data Protection
28 February 2026 Data Protection 11 Min. Lesezeit

Habeas Data ist ein grundlegendes Verfassungsrecht in Kolumbien, das Personen ermächtigt, ihre bei öffentlichen und privaten Einrichtungen gespeicherten personenbezogenen Daten zu kennen, zu aktualisieren, zu berichtigen und zu löschen. Verankert in Artikel 15 der kolumbianischen Verfassung, bildet dieses Recht das Rückgrat des Datenschutzes im Land und auferlegt jeder Organisation, die personenbezogene Daten verarbeitet, spezifische Pflichten. Das Verständnis von Habeas Data ist für in Kolumbien tätige Unternehmen von entscheidender Bedeutung, da die Nichtbeachtung dieser Rechte zu regulatorischen Maßnahmen, Geldbußen und Reputationsschäden führen kann.

Verfassungsrechtliche Grundlage: Artikel 15

Artikel 15 der kolumbianischen Verfassung von 1991 garantiert jeder Person das Recht auf persönliche und familiäre Privatsphäre, auf ihren guten Ruf und darauf, die in Datenbanken und Registern über sie gesammelten Informationen zu kennen, zu aktualisieren und zu berichtigen. Diese Verfassungsbestimmung ist der Ursprung des Habeas-Data-Rechts in Kolumbien und wurde durch nachfolgende Gesetzgebung weiterentwickelt.

Das Verfassungsgericht Kolumbiens hat zahlreiche Urteile erlassen, die den Umfang von Habeas Data interpretieren und erweitern, und es als eigenständiges Grundrecht etabliert, das sich vom umfassenderen Recht auf Privatsphäre unterscheidet. Dies bedeutet, dass Habeas-Data-Ansprüche über den Tutela-Mechanismus verfolgt werden können, Kolumbiens beschleunigtes Verfahren zum Schutz verfassungsmäßiger Rechte, was den Einzelnen ein mächtiges Instrument zur Durchsetzung ihrer Datenrechte gibt.

Zwei gesetzliche Rahmenwerke: Gesetz 1266 und Gesetz 1581

Kolumbiens Habeas-Data-Regime wird durch zwei komplementäre Gesetze geregelt, die jeweils unterschiedliche Arten personenbezogener Daten betreffen.

Gesetz 1266 von 2008: Finanz- und Kreditdaten

Das Gesetz 1266, bekannt als das Habeas-Data-Gesetz, regelt speziell den Umgang mit persönlichen Finanz-, Kredit-, Handels- und Dienstleistungsinformationen. Es regelt den Betrieb von Kreditauskunfteien und Informationsbetreibern und legt Regeln fest, wie Finanzdaten erhoben, gemeldet, gespeichert und weitergegeben werden. Zu den wichtigsten Bestimmungen gehören:

  • Anforderungen an die Genauigkeit und Aktualität der an Kreditauskunfteien gemeldeten Finanzinformationen
  • Zeitliche Begrenzung für die Aufbewahrung negativer Kredithistorien (in der Regel vier Jahre ab dem Zahlungsdatum)
  • Pflichten der Informationsquellen, betroffene Personen vor der Meldung negativer Daten zu benachrichtigen
  • Rechte der Betroffenen, auf ihre Kreditauskünfte zuzugreifen und ungenaue Informationen anzufechten

Gesetz 1581 von 2012: Allgemeiner Schutz personenbezogener Daten

Das Gesetz 1581 bietet den breiteren Rahmen zum Schutz aller Kategorien personenbezogener Daten über den Finanzsektor hinaus. Es legt die Grundsätze, Rechte und Pflichten fest, die allgemeine Datenverarbeitungsaktivitäten regeln, und gilt für alle Wirtschaftssektoren. Die Habeas-Data-Rechte unter Gesetz 1581 sind umfassender und decken den gesamten Lebenszyklus der Verarbeitung personenbezogener Daten ab.

Betroffenenrechte im kolumbianischen Recht

Die kolumbianische Datenschutzgesetzgebung gewährt Einzelpersonen ein robustes Set von Rechten in Bezug auf ihre personenbezogenen Daten. Organisationen müssen bereit sein, Anfragen zur Ausübung dieser Rechte innerhalb der gesetzlich vorgeschriebenen Fristen zu empfangen, zu bearbeiten und zu beantworten.

Auskunftsrecht

Betroffene Personen haben das Recht, auf ihre bei jedem Verantwortlichen oder Auftragsverarbeiter gespeicherten personenbezogenen Daten zuzugreifen. Dies umfasst das Recht zu erfahren, welche Daten verarbeitet werden, den Zweck der Verarbeitung, die Parteien, mit denen die Daten geteilt wurden, und den spezifischen Inhalt der Datensätze. Auskunftsanfragen müssen kostenlos sein und können jederzeit gestellt werden.

Recht auf Aktualisierung und Berichtigung

Wenn personenbezogene Daten ungenau, unvollständig oder veraltet sind, haben betroffene Personen das Recht, deren Korrektur oder Aktualisierung zu verlangen. Verantwortliche müssen Prozesse implementieren, um Daten nach Erhalt einer Berichtigungsanfrage umgehend zu überprüfen und zu korrigieren.

Recht auf Löschung

Betroffene Personen können die Löschung ihrer personenbezogenen Daten verlangen, wenn diese für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, die Einwilligung widerrufen wurde, eine gesetzliche oder vertragliche Verpflichtung die Löschung erfordert oder die SIC festgestellt hat, dass die Daten unter Verstoß gegen das Gesetz erhoben oder verarbeitet wurden.

Recht auf Widerruf der Einwilligung

Da die Einwilligung die primäre Rechtsgrundlage für die Datenverarbeitung nach kolumbianischem Recht ist, haben betroffene Personen das Recht, ihre Einwilligung jederzeit zu widerrufen. Nach dem Widerruf muss der Verantwortliche die Verarbeitung der Daten einstellen und diese gegebenenfalls löschen. Das Widerrufsverfahren muss so unkompliziert sein wie der ursprüngliche Einwilligungsmechanismus.

Beschwerderecht

Wenn ein Verantwortlicher eine Anfrage zu Betroffenenrechten nicht angemessen beantwortet, kann die betroffene Person eine Beschwerde bei der Superintendencia de Industria y Comercio (SIC) einreichen. Die SIC wird die Beschwerde untersuchen und kann dem Verantwortlichen Sanktionen auferlegen, wenn sie einen Verstoß gegen das Datenschutzrecht feststellt.

Bearbeitung von Habeas-Data-Anfragen: Verfahren und Fristen

Organisationen müssen klare und effiziente Verfahren für den Empfang und die Bearbeitung von Habeas-Data-Anfragen einrichten. Das kolumbianische Recht schreibt bestimmte Fristen vor, die strikt eingehalten werden müssen.

Auskünfte (Consultas)

Wenn eine betroffene Person eine Auskunftsanfrage zum Zugang zu ihren personenbezogenen Daten stellt, muss der Verantwortliche innerhalb von maximal zehn (10) Werktagen ab dem Eingangsdatum antworten. Kann der Verantwortliche nicht innerhalb dieses Zeitraums antworten, muss er die betroffene Person über die Gründe für die Verzögerung informieren und eine Antwort innerhalb von höchstens fünf (5) weiteren Werktagen geben.

Beschwerden (Reclamos)

Beschwerden zur Berichtigung, Aktualisierung, Löschung oder zum Widerruf der Einwilligung müssen innerhalb von fünfzehn (15) Werktagen ab dem Eingangsdatum bearbeitet werden. Kann der Verantwortliche die Beschwerde nicht innerhalb dieses Zeitraums klären, muss die betroffene Person über die Gründe informiert und innerhalb von acht (8) weiteren Werktagen eine Lösung erhalten.

Praktische Schritte zur Anfragenbearbeitung

  1. Verantwortliche Person oder Team benennen: Weisen Sie klare Verantwortlichkeit für den Empfang und die Bearbeitung von Habeas-Data-Anfragen zu. Erwägen Sie die Inanspruchnahme von DPO-Unterstützungsdiensten für fachkundige Hilfe
  2. Eingangskanäle einrichten: Stellen Sie klare und zugängliche Kanäle bereit, über die betroffene Personen Anfragen einreichen können, wie E-Mail, Webformulare oder Briefpost
  3. Identität überprüfen: Implementieren Sie Verfahren zur Überprüfung der Identität des Antragstellers vor der Offenlegung personenbezogener Daten oder der Vornahme von Änderungen
  4. Anfragen erfassen und verfolgen: Führen Sie detaillierte Aufzeichnungen über alle eingegangenen Anfragen, ergriffenen Maßnahmen und gegebenen Antworten. Unser Data Protection Manager bietet Werkzeuge zur Verfolgung und Verwaltung dieser Workflows
  5. Fristgerecht antworten: Überwachen Sie die Antwortfristen sorgfältig und eskalieren Sie Verzögerungen sofort, um regulatorische Konsequenzen zu vermeiden
  6. Ergebnisse dokumentieren: Bewahren Sie Aufzeichnungen über abgeschlossene Anfragen als Nachweis der Einhaltung im Falle einer SIC-Untersuchung auf

Die Rolle der SIC bei der Durchsetzung von Habeas Data

Die Superintendencia de Industria y Comercio ist die primäre Behörde, die für die Durchsetzung der Habeas-Data-Rechte in Kolumbien verantwortlich ist. Die Delegatur für den Schutz personenbezogener Daten der SIC bearbeitet Beschwerden, führt Untersuchungen durch und verhängt Sanktionen bei Verstößen gegen die Datenschutzgesetzgebung.

Die SIC kann Untersuchungen auf der Grundlage individueller Beschwerden oder durch ihre eigenen Überwachungsaktivitäten einleiten. Sie hat die Befugnis, Vor-Ort-Inspektionen durchzuführen, Dokumentation anzufordern, verbindliche Anordnungen zu erlassen und Geldbußen zu verhängen. In den letzten Jahren ist die SIC bei der Durchsetzung zunehmend aktiver geworden und hat Entscheidungen gegen große Unternehmen und kleinere Einrichtungen erlassen, die ihren Habeas-Data-Pflichten nicht nachkommen.

Betroffene Personen, die vom Verantwortlichen keine zufriedenstellende Antwort erhalten, können ihre Beschwerde an die SIC eskalieren. Die SIC wird die Beschwerde bewerten und, wenn sie feststellt, dass der Verantwortliche gegen das Gesetz verstoßen hat, Korrekturmaßnahmen anordnen und finanzielle Strafen von bis zu 2.000 Mal dem aktuellen gesetzlichen monatlichen Mindestlohn verhängen.

Habeas Data und der Tutela-Mechanismus

Zusätzlich zur Einreichung von Beschwerden bei der SIC können betroffene Personen in Kolumbien die Tutela-Klage einlegen, um ihre Habeas-Data-Rechte zu schützen. Die Tutela ist ein verfassungsrechtlicher Rechtsbehelf, der es Einzelpersonen ermöglicht, sofortigen gerichtlichen Schutz ihrer Grundrechte zu suchen, wenn diese bedroht oder verletzt werden.

Eine Habeas-Data-bezogene Tutela-Klage kann vor jedem Richter eingereicht werden und muss innerhalb von zehn Tagen entschieden werden. Gerichte haben die Tutela genutzt, um die Löschung rechtswidrig verarbeiteter Daten, die Berichtigung ungenauer Aufzeichnungen und die Einstellung unbefugter Datenverarbeitungsaktivitäten anzuordnen. Dieser gerichtliche Mechanismus bietet eine wirksame Ergänzung zur administrativen Durchsetzung durch die SIC.

Praktische Empfehlungen für Unternehmen

Um Habeas-Data-Pflichten effektiv zu erfüllen, sollten Organisationen die folgenden Schritte unternehmen:

  • Datenbestand prüfen: Führen Sie eine gründliche Überprüfung aller personenbezogenen Daten durch, die Ihre Organisation erhebt und verarbeitet, um den Umfang Ihrer Habeas-Data-Pflichten zu verstehen
  • Datenschutzhinweise aktualisieren: Stellen Sie sicher, dass Ihre Datenschutzhinweise klar erläutern, wie betroffene Personen ihre Habeas-Data-Rechte ausüben können, einschließlich der verfügbaren Kanäle und der erwarteten Fristen
  • Team schulen: Bieten Sie allen Mitarbeitern, die Habeas-Data-Anfragen erhalten oder bearbeiten könnten, Datenschutz-Sensibilisierungsschulungen an
  • Beschwerdemanagementsystem implementieren: Richten Sie interne Verfahren ein, um Beschwerden zu eskalieren und zu lösen, bevor sie die SIC erreichen
  • Fachkundige Beratung einholen: Beauftragen Sie einen externen Datenschutzbeauftragten oder einen Datenschutzberater, um Ihre Prozesse zu überprüfen und die Einhaltung sicherzustellen

Fazit

Habeas Data ist ein Eckpfeiler des kolumbianischen Datenschutzrahmens und gewährt Einzelpersonen starke Rechte über ihre personenbezogenen Daten. Organisationen, die personenbezogene Daten in Kolumbien verarbeiten, müssen robuste Verfahren zur Bearbeitung von Habeas-Data-Anfragen innerhalb der gesetzlich vorgeschriebenen Fristen implementieren. Da die SIC die Einhaltung aktiv durchsetzt und der Tutela-Mechanismus einen zusätzlichen gerichtlichen Rechtsweg bietet, sind die Kosten der Nichteinhaltung erheblich. Durch die Einrichtung klarer Prozesse, die Schulung des Personals und den Einsatz geeigneter Werkzeuge können Unternehmen ihre Habeas-Data-Pflichten effizient erfüllen und gleichzeitig den Respekt vor den Datenschutzrechten kolumbianischer Betroffener demonstrieren.

Kolumbien Habeas Data Betroffenenrechte SIC Datenschutzrechte

Weiterlesen

Verwandte Artikel

Kolumbiens Gesetz 1581 Leitfaden

Vollständiger Leitfaden zum wichtigsten Datenschutzgesetz Kolumbiens und seinen Compliance-Anforderungen.

SIC-Compliance-Leitfaden

Navigieren Sie effektiv durch die Anforderungen der kolumbianischen Datenschutzbehörde.

Betroffenenanfragen effektiv bearbeiten

Schritt-für-Schritt-Anleitung zur konformen Verwaltung von Auskunftsanfragen.

Bleiben Sie Informiert

Entdecken Sie Unsere Compliance-Lösungen

Durchstöbern Sie alle unsere Cyber-Compliance-Ressourcen oder erfahren Sie, wie unsere Plattform und Expertendienste Ihrer Organisation helfen können, Compliance zu erreichen und aufrechtzuerhalten.

Alle Artikel Kontakt
Kontaktformular