Wählen Sie Ihre Region: Singapur & Asien-Pazifik Europa Lateinamerika
RESGUARD
solutions

ARCO-Rechte für Betroffene in Mexiko

 

Zugangs-, Berichtigungs-, Löschungs- und Widerspruchsrechte nach mexikanischem Datenschutzrecht verstehen

Startseite / Blog / Datenschutz
28. Februar 2026 Datenschutz 10 Min. Lesezeit

Nach Mexikos Bundesgesetz zum Schutz personenbezogener Daten im Besitz Privater (LFPDPPP) verfügen Einzelpersonen über grundlegende Rechte, die als ARCO-Rechte bekannt sind. ARCO ist ein Akronym für Acceso (Zugang), Rectificación (Berichtigung), Cancelación (Löschung) und Oposición (Widerspruch). Diese Rechte ermächtigen Betroffene, die Kontrolle über ihre personenbezogenen Daten zu behalten und Verantwortliche für den Umgang mit diesen Daten zur Rechenschaft zu ziehen. Das Verständnis und die ordnungsgemäße Implementierung von ARCO-Verfahren sind für jede Organisation, die personenbezogene Daten in Mexiko verarbeitet, unerlässlich.

Das Recht auf Zugang

Das Recht auf Zugang ermöglicht es Betroffenen, vom Verantwortlichen eine Bestätigung zu verlangen, ob ihre personenbezogenen Daten verarbeitet werden, und wenn ja, eine Kopie dieser Daten zusammen mit Informationen über die Bedingungen der Verarbeitung zu erhalten. Dieses Recht dient als Grundlage für alle anderen ARCO-Rechte, da Einzelpersonen zunächst verstehen müssen, welche Daten über sie gespeichert sind, bevor sie ihre anderen Rechte ausüben können.

Wenn ein Betroffener das Recht auf Zugang ausübt, muss der Verantwortliche Einzelheiten bereitstellen, darunter welche personenbezogenen Daten gespeichert sind, die Zwecke der Verarbeitung, die Bedingungen der Verarbeitung gemäß dem Datenschutzhinweis und alle durchgeführten oder geplanten Übertragungen. Die Informationen müssen in einem klaren, zugänglichen Format bereitgestellt werden, das der Betroffene verstehen kann, und gegebenenfalls in elektronischer Form, wenn der Antrag elektronisch gestellt wurde.

Das Recht auf Berichtigung

Das Recht auf Berichtigung ermöglicht es Betroffenen, die Korrektur personenbezogener Daten zu verlangen, die ungenau, unvollständig oder veraltet sind. Dieses Recht stellt sicher, dass Verantwortliche den vom LFPDPPP geforderten Qualitätsgrundsatz einhalten, da personenbezogene Daten für die Zwecke, für die sie erhoben wurden, korrekt und aktuell sein müssen.

Um dieses Recht auszuüben, muss der Betroffene angeben, welche Daten berichtigt werden sollen, und unterstützende Dokumentation vorlegen, die die beantragten Änderungen rechtfertigt. Wenn beispielsweise der Name einer Person in einer Datenbank falsch geschrieben wurde, würde sie einen Berichtigungsantrag zusammen mit einem amtlichen Ausweisdokument einreichen, das die korrekte Schreibweise zeigt. Der Verantwortliche ist dann verpflichtet, die Korrekturen vorzunehmen und alle Dritten zu benachrichtigen, an die die Daten übertragen wurden.

Das Recht auf Löschung

Das Recht auf Löschung ermöglicht es Betroffenen, die Entfernung ihrer personenbezogenen Daten aus den Dateien und Systemen des Verantwortlichen zu verlangen. Dieses Recht ist nicht absolut und unterliegt bestimmten Einschränkungen, bietet Einzelpersonen jedoch einen wirkungsvollen Mechanismus zur Kontrolle des Lebenszyklus ihrer personenbezogenen Daten.

Wenn ein Löschungsantrag eingeht und als gültig erachtet wird, muss der Verantwortliche die Daten zunächst während eines Aufbewahrungszeitraums sperren, nach dessen Ablauf die Daten dauerhaft gelöscht werden müssen. Diese Sperrfrist ermöglicht es dem Verantwortlichen, etwaige rechtliche Verpflichtungen oder berechtigte Interessen zu berücksichtigen, die eine fortgesetzte Aufbewahrung erfordern könnten. Die Löschung kann verweigert werden, wenn die Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, wenn ein Vertragsverhältnis die fortgesetzte Verarbeitung erfordert oder wenn die Daten Gegenstand eines laufenden Rechtsverfahrens sind.

Das Recht auf Widerspruch

Das Recht auf Widerspruch ermöglicht es Betroffenen, der Verarbeitung ihrer personenbezogenen Daten für bestimmte Zwecke zu widersprechen. Im Gegensatz zur Löschung, die die Entfernung von Daten anstrebt, konzentriert sich der Widerspruch darauf, bestimmte Nutzungen der Daten zu beenden, während die Daten möglicherweise für andere legitime Zwecke in den Systemen des Verantwortlichen verbleiben können.

Betroffene können das Widerspruchsrecht ausüben, wenn sie einen berechtigten Grund haben, der mit ihrer besonderen Situation zusammenhängt, oder wenn die Verarbeitung für Zwecke wie Direktwerbung erfolgt. Wenn der Widerspruch begründet ist, muss der Verantwortliche die Verarbeitung der Daten für die Zwecke einstellen, gegen die der Betroffene Widerspruch eingelegt hat. Dieses Recht ist besonders relevant für Organisationen, die personenbezogene Daten für Marketing, Profiling oder andere sekundäre Zwecke über den primären Erhebungszweck hinaus verwenden.

Wie Betroffene ARCO-Rechte ausüben

Das LFPDPPP und seine Durchführungsverordnung legen ein klares Verfahren fest, wie Betroffene ihre ARCO-Rechte ausüben können. Der Antrag muss beim Verantwortlichen eingereicht werden, entweder über die im Datenschutzhinweis angegebenen Mittel oder über jede andere Methode, die die Dokumentation des Antrags und die Bereitstellung einer Antwort ermöglicht.

Ein ARCO-Antrag muss folgende Elemente enthalten:

  • Identifikation: Name und Anschrift des Betroffenen oder ein anderes Mittel zur Übermittlung der Antwort
  • Identitätsnachweis: Dokumente, die die Identität des Betroffenen belegen, oder eine rechtliche Bevollmächtigung, wenn der Antrag über einen Vertreter gestellt wird
  • Klare Beschreibung: Eine detaillierte und präzise Beschreibung der personenbezogenen Daten, auf die sich der Antrag bezieht
  • Unterstützende Elemente: Jedes andere Element oder Dokument, das die Lokalisierung der betreffenden personenbezogenen Daten erleichtert

Bei Berichtigungsanträgen muss der Betroffene auch die gewünschten spezifischen Änderungen und die die beantragten Änderungen stützende Dokumentation beifügen.

Antwortfristen und Verfahren

Das LFPDPPP legt strenge Fristen für die Beantwortung von ARCO-Anträgen fest. Sobald ein Verantwortlicher einen vollständigen Antrag erhält, hat er 20 Geschäftstage Zeit, um dem Betroffenen seine Entscheidung mitzuteilen. Wird der Antrag genehmigt, hat der Verantwortliche weitere 15 Geschäftstage zur Umsetzung der beantragten Maßnahme.

Der Antwortzeitplan lässt sich wie folgt zusammenfassen:

  1. Eingang und Bestätigung: Der Verantwortliche erhält den ARCO-Antrag und prüft dessen Vollständigkeit
  2. Prüfungszeitraum: Bis zu 20 Geschäftstage zur Prüfung des Antrags und Mitteilung der Entscheidung
  3. Umsetzungszeitraum: Bei Genehmigung bis zu 15 weitere Geschäftstage zur Durchführung der beantragten Maßnahme
  4. Verlängerung: In begründeten Fällen kann der Prüfungszeitraum einmal um einen gleichen Zeitraum verlängert werden, sofern der Betroffene über die Gründe informiert wird

Ist der ARCO-Antrag unvollständig, muss der Verantwortliche den Betroffenen innerhalb von 5 Geschäftstagen nach Eingang benachrichtigen und die fehlenden Informationen anfordern. Der Betroffene hat dann 10 Geschäftstage Zeit, seinen Antrag zu vervollständigen.

Gründe für die Ablehnung

Während Verantwortliche grundsätzlich verpflichtet sind, ARCO-Anträgen nachzukommen, erkennt das LFPDPPP mehrere Gründe an, aus denen ein Antrag abgelehnt werden kann:

  • Der Antragsteller ist nicht der Betroffene oder verfügt nicht über eine ordnungsgemäße rechtliche Bevollmächtigung
  • Die personenbezogenen Daten befinden sich nicht in den Datenbanken des Verantwortlichen
  • Die Rechte eines Dritten würden durch die Erfüllung des Antrags beeinträchtigt
  • Eine rechtliche Verpflichtung steht der beantragten Maßnahme entgegen
  • Eine gerichtliche oder verwaltungsrechtliche Anordnung schränkt die Ausübung des Rechts ein
  • Die Löschung oder der Widerspruch wurde bereits ausgeübt und ordnungsgemäß bearbeitet
  • Der Antrag ist innerhalb eines kurzen Zeitraums repetitiv, ohne dass ein berechtigter Grund vorliegt

Wird ein Antrag abgelehnt, muss der Verantwortliche die Gründe für die Ablehnung klar mitteilen und den Betroffenen über sein Recht informieren, eine Beschwerde beim INAI einzureichen.

Die Rolle des INAI bei der Streitvermittlung

Wenn ein Betroffener mit der Antwort auf seinen ARCO-Antrag unzufrieden ist oder der Verantwortliche nicht innerhalb der festgelegten Fristen antwortet, kann der Betroffene eine Beschwerde beim Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) einreichen. Das INAI fungiert als Vermittlungs- und Durchsetzungsbehörde bei Datenschutzstreitigkeiten.

Das INAI-Verfahren beginnt typischerweise mit einer Schlichtungsphase, in der das INAI versucht, eine Einigung zwischen dem Betroffenen und dem Verantwortlichen zu erzielen. Scheitert die Schlichtung, kann das INAI eine formelle Untersuchung einleiten und verbindliche Beschlüsse erlassen, einschließlich Anordnungen zur Erfüllung des ARCO-Antrags und der Verhängung von Sanktionen bei Nichteinhaltung.

Praktische Verfahren für Unternehmen

Organisationen sollten klare, dokumentierte Verfahren für die Bearbeitung von ARCO-Anträgen einrichten. Ein gut gestalteter ARCO-Managementprozess umfasst typischerweise folgende Komponenten:

  1. Benannter Ansprechpartner: Ernennen Sie eine Person oder Abteilung, die für den Empfang und die Bearbeitung von ARCO-Anträgen verantwortlich ist, und veröffentlichen Sie deren Kontaktdaten in Ihrem Datenschutzhinweis
  2. Standardisiertes Eingangsformular: Erstellen Sie ein standardisiertes Formular, das alle erforderlichen Informationen erfasst und es Betroffenen erleichtert, vollständige Anträge einzureichen
  3. Identitätsüberprüfungsprozess: Etablieren Sie Verfahren zur Überprüfung der Identität des Antragstellers, um unbefugten Zugriff auf personenbezogene Daten zu verhindern
  4. Interner Workflow: Definieren Sie klare Eskalationswege und Verantwortlichkeiten für die abteilungsübergreifende Bewertung von Anträgen
  5. Fristenverfolgung: Implementieren Sie ein System zur Verfolgung von Fristen und zur Sicherstellung, dass Antworten innerhalb der gesetzlich vorgeschriebenen Zeiträume erfolgen
  6. Antwortvorlagen: Entwickeln Sie Standardantwortvorlagen für Genehmigungen, Ablehnungen und Anfragen nach zusätzlichen Informationen
  7. Dokumentation und Prüfpfad: Führen Sie umfassende Aufzeichnungen über alle eingegangenen ARCO-Anträge, ergriffene Maßnahmen und erteilte Antworten

Unser Modul Datenschutz-Manager bietet integrierte Workflows für die Verwaltung von ARCO-Anträgen, einschließlich automatischer Fristenverfolgung, Antwortvorlagen und vollständiger Prüfpfade zur Sicherstellung der Einhaltung aller LFPDPPP-Anforderungen.

Dokumentations- und Nachverfolgungsanforderungen

Das LFPDPPP verlangt von Verantwortlichen, Aufzeichnungen zu führen, die die Einhaltung ihrer ARCO-Pflichten belegen. Diese Dokumentation sollte ein Register aller eingegangenen ARCO-Anträge, die Identität des Antragstellers, die Art des ausgeübten Rechts, das Eingangsdatum, die erteilte Antwort, das Antwortdatum und die zur Erfüllung des Antrags ergriffenen Maßnahmen umfassen. Diese Aufzeichnungen dienen als Compliance-Nachweis im Falle eines INAI-Audits oder einer Untersuchung.

Organisationen sollten ihre ARCO-Verfahren auch in ihren internen Datenschutzrichtlinien dokumentieren und sicherstellen, dass alle Mitarbeiter, die ARCO-Anträge erhalten oder bearbeiten könnten, ordnungsgemäß geschult sind. Regelmäßige Sensibilisierungsschulungen sollten die Erkennung von ARCO-Anträgen, die ordnungsgemäßen Bearbeitungsverfahren und die Bedeutung der Einhaltung von Antwortfristen abdecken.

Best Practices für das ARCO-Antragsmanagement

Über die Erfüllung der gesetzlichen Mindestanforderungen hinaus können Organisationen verschiedene Best Practices zur Verbesserung ihres ARCO-Antragsmanagements übernehmen:

  • Vereinfachen Sie den Prozess: Bieten Sie klare, zugängliche Kanäle für die Einreichung von ARCO-Anträgen, einschließlich Online-Formularen und dedizierter E-Mail-Adressen
  • Reagieren Sie zügig: Streben Sie an, deutlich vor der 20-Geschäftstage-Frist zu antworten, anstatt bis zum letzten Moment zu warten
  • Kommunizieren Sie proaktiv: Halten Sie Betroffene während des gesamten Prozesses über den Status ihrer Anträge informiert
  • Zentralisieren Sie die Verwaltung: Nutzen Sie ein einheitliches System zur Verwaltung aller ARCO-Anträge, um Doppelarbeit zu vermeiden und Konsistenz sicherzustellen
  • Regelmäßige Überprüfungen: Überprüfen Sie regelmäßig Ihre ARCO-Verfahren, um Engpässe und Verbesserungsbereiche zu identifizieren
  • Ziehen Sie die Ernennung eines DSB in Betracht: Ein erfahrener Datenschutzbeauftragter kann fachkundige Aufsicht über Ihren ARCO-Prozess bieten und eine konsistente Compliance sicherstellen

Fazit

ARCO-Rechte sind ein grundlegender Bestandteil des mexikanischen Datenschutzrahmens und geben Einzelpersonen eine bedeutsame Kontrolle über ihre personenbezogenen Daten. Für Organisationen ist die Einrichtung robuster ARCO-Verfahren nicht nur eine gesetzliche Pflicht, sondern auch ein Beweis für das Engagement für Datenschutz und Verbrauchervertrauen. Durch die Implementierung klarer Prozesse, die Schulung von Mitarbeitern, die Verfolgung von Fristen und die Führung gründlicher Dokumentation können Unternehmen ARCO-Anträge effizient verwalten und gleichzeitig eine starke Compliance-Position nach dem LFPDPPP aufbauen.

ARCO-Rechte Mexiko Betroffenenrechte LFPDPPP INAI

Weiterlesen

Verwandte Artikel

Mexikos LFPDPPP-Leitfaden

Umfassender Leitfaden zu Mexikos Bundesgesetz zum Schutz personenbezogener Daten im Besitz Privater.

INAI-Durchsetzung und Compliance

Wie Mexikos Datenschutzbehörde die Einhaltung durchsetzt und was bei Audits zu erwarten ist.

DSARs effektiv bearbeiten

Schritt-für-Schritt-Anleitung zur Bearbeitung von Betroffenenauskunftsersuchen in verschiedenen Rechtsordnungen.

Bleiben Sie Informiert

Entdecken Sie Unsere Compliance-Lösungen

Durchstöbern Sie alle unsere Cyber-Compliance-Ressourcen oder erfahren Sie, wie unsere Plattform und Expertendienste Ihrer Organisation helfen können, Compliance zu erreichen und aufrechtzuerhalten.

Alle Artikel Kontakt
Kontaktformular