Wählen Sie Ihre Region: Singapur & Asien-Pazifik Europa Lateinamerika
RESGUARD
solutions

Perus Gesetz 29733: Vollständiger Leitfaden zum Schutz personenbezogener Daten

 

Perus Ley de Protección de Datos Personales und ihre Compliance-Anforderungen verstehen

Startseite / Blog / Datenschutz
28. Februar 2026 Datenschutz 12 Min. Lesezeit

Perus Datenschutzgesetz, offiziell als Gesetz Nr. 29733 (Ley de Protección de Datos Personales) bekannt, stellt einen umfassenden Rahmen für den Schutz personenbezogener Daten von Personen innerhalb des Landes dar. Das 2011 erlassene und durch seine Durchführungsverordnung im Decreto Supremo 003-2013-JUS ergänzte Gesetz legt klare Pflichten für Organisationen fest, die personenbezogene Daten erheben, verarbeiten und speichern. Für Unternehmen, die in Peru tätig sind oder Daten peruanischer Bürger verarbeiten, ist das Verständnis dieses Gesetzes unerlässlich, um regulatorische Sanktionen zu vermeiden und das Verbrauchervertrauen zu erhalten.

Anwendungsbereich

Das Gesetz 29733 gilt für alle personenbezogenen Daten, die in Datenbanken für personenbezogene Daten enthalten sind oder für diese bestimmt sind, unabhängig davon, ob sie von öffentlichen oder privaten Einrichtungen in Peru verwaltet werden. Das Gesetz erfasst die Verarbeitung personenbezogener Daten auf peruanischem Territorium, einschließlich der Fälle, in denen ein nicht in Peru ansässiger Verantwortlicher im Land befindliche Mittel zur Datenverarbeitung nutzt. Bestimmte Ausnahmen gelten für die persönliche oder häusliche Datennutzung, für Daten, die zu Zwecken der nationalen Sicherheit verarbeitet werden, und für Daten aus öffentlich zugänglichen Quellen.

Das Gesetz unterscheidet zwischen den Inhabern von Datenbanken für personenbezogene Daten (titulares del banco de datos personales), die die Zwecke und Mittel der Verarbeitung festlegen, und den Auftragsverarbeitern (encargados del tratamiento), die Daten im Auftrag des Inhabers verarbeiten. Beide Rollen tragen unterschiedliche Pflichten innerhalb des regulatorischen Rahmens.

Die acht Leitprinzipien

Das Gesetz 29733 basiert auf acht grundlegenden Prinzipien, die regeln, wie personenbezogene Daten behandelt werden müssen. Diese Prinzipien bilden das Rückgrat der Compliance und leiten alle Verarbeitungsaktivitäten.

1. Prinzip der Rechtmäßigkeit

Jede Verarbeitung personenbezogener Daten muss im Einklang mit dem Gesetz erfolgen. Daten müssen durch rechtmäßige und faire Mittel erhoben werden, und jede Verarbeitungsaktivität muss eine gültige Rechtsgrundlage haben. Dieses Prinzip verbietet die Verwendung betrügerischer, täuschender oder rechtswidriger Methoden zur Erlangung personenbezogener Daten.

2. Prinzip der Einwilligung

Für die Verarbeitung personenbezogener Daten ist die freie, vorherige, ausdrückliche, informierte und eindeutige Einwilligung des Betroffenen erforderlich. Die Einwilligung muss vor der Datenerhebung eingeholt werden und die Verarbeitungszwecke angeben. Bestimmte Ausnahmen gelten, beispielsweise wenn die Verarbeitung gesetzlich vorgeschrieben ist oder wenn Daten aus öffentlich zugänglichen Quellen stammen.

3. Prinzip der Zweckbindung

Personenbezogene Daten dürfen nur für einen bestimmten, ausdrücklichen und rechtmäßigen Zweck erhoben werden. Die Daten dürfen nicht in einer mit dem erklärten Zweck unvereinbaren Weise verarbeitet werden. Entsteht ein neuer Zweck, muss eine erneute Einwilligung des Betroffenen eingeholt werden, sofern keine gesetzliche Ausnahme gilt.

4. Prinzip der Verhältnismäßigkeit

Die Verarbeitung personenbezogener Daten muss angemessen, relevant und nicht übermäßig in Bezug auf den Zweck sein, für den die Daten erhoben wurden. Organisationen sollten nur die minimale Datenmenge erheben, die zur Erfüllung des angegebenen Ziels erforderlich ist.

5. Prinzip der Qualität

Personenbezogene Daten müssen genau, vollständig, aktuell und für den Verarbeitungszweck erforderlich sein. Die Inhaber von Datenbanken sind dafür verantwortlich, die Qualität der von ihnen gespeicherten Daten sicherzustellen, und müssen angemessene Maßnahmen ergreifen, um ungenaue oder veraltete Informationen zu korrigieren oder zu löschen.

6. Prinzip der Sicherheit

Inhaber von Datenbanken müssen geeignete technische, organisatorische und rechtliche Maßnahmen umsetzen, um die Sicherheit personenbezogener Daten zu gewährleisten und deren Veränderung, Verlust, unbefugte Verarbeitung oder unbefugten Zugriff zu verhindern. Das Sicherheitsniveau muss der Art der Daten und den mit ihrer Verarbeitung verbundenen Risiken angemessen sein.

7. Prinzip des Rechtsschutzes

Betroffene müssen über wirksame Rechtsmittel verfügen, um ihre Rechte in Bezug auf ihre personenbezogenen Daten auszuüben. Dies umfasst den Zugang zu verwaltungsrechtlichen und gerichtlichen Wegen, um Beschwerden einzureichen und Abhilfe zu suchen, wenn ihre Datenschutzrechte verletzt wurden.

8. Prinzip des Schutzniveaus

Bei internationalen Übermittlungen personenbezogener Daten muss das Empfängerland ein dem peruanischen Recht gleichwertiges Schutzniveau gewährleisten. Dieses Prinzip stellt sicher, dass personenbezogene Daten bei grenzüberschreitenden Übermittlungen ihren Schutz nicht verlieren.

Betroffenenrechte (ARCO)

Das Gesetz 29733 gewährt Betroffenen ein umfassendes Paket von Rechten, die unter dem Akronym ARCO (Acceso, Rectificación, Cancelación, Oposición) zusammengefasst werden. Diese Rechte ermächtigen Einzelpersonen, die Kontrolle über ihre persönlichen Informationen zu behalten.

  • Auskunftsrecht: Betroffene können Auskunft über die über sie gespeicherten personenbezogenen Daten verlangen, einschließlich des Verarbeitungszwecks und etwaiger Empfänger der Daten
  • Recht auf Berichtigung: Einzelpersonen können die Berichtigung ungenauer, unvollständiger oder veralteter personenbezogener Daten verlangen
  • Recht auf Löschung: Betroffene können die Löschung oder Unterdrückung ihrer personenbezogenen Daten verlangen, wenn diese für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind
  • Widerspruchsrecht: Einzelpersonen können der Verarbeitung ihrer personenbezogenen Daten widersprechen, wenn sie berechtigte Gründe dafür haben

Inhaber von Datenbanken müssen auf ARCO-Anfragen innerhalb von maximal zwanzig Arbeitstagen antworten. Unser Modul Datenschutz-Manager bietet strukturierte Workflows für die effiziente Bearbeitung dieser Anfragen innerhalb der regulatorischen Fristen.

Pflichten der Inhaber von Datenbanken

Organisationen, die Datenbanken für personenbezogene Daten führen, haben spezifische Pflichten gemäß dem Gesetz 29733. Dazu gehören die Registrierung ihrer Datenbanken im Nationalen Register, die Einholung einer gültigen Einwilligung vor der Datenerhebung, die Umsetzung geeigneter Sicherheitsmaßnahmen und die Sicherstellung, dass Daten nur für die erklärten Zwecke verarbeitet werden. Inhaber von Datenbanken müssen auch eine Person benennen, die für die Bearbeitung von Betroffenenanfragen und die Einhaltung des Gesetzes verantwortlich ist.

Bei der Beauftragung von Auftragsverarbeitern bleibt der Inhaber der Datenbank für die Sicherstellung der Compliance verantwortlich. Es müssen Verarbeitungsvereinbarungen vorliegen, die den Umfang der Verarbeitung, Sicherheitsmaßnahmen und Vertraulichkeitspflichten festlegen.

ANPDP-Aufsicht und Durchsetzung

Die Autoridad Nacional de Protección de Datos Personales (ANPDP), die dem Ministerium für Justiz und Menschenrechte unterstellt ist, dient als Perus Aufsichtsbehörde für den Datenschutz. Die ANPDP ist zuständig für die Überwachung der Einhaltung des Gesetzes 29733, die Führung des Nationalen Registers für Datenbanken personenbezogener Daten, die Beilegung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen.

Die ANPDP hat die Befugnis, Inspektionen durchzuführen, Informationen von Datenbankinhabern anzufordern und verbindliche Richtlinien zu erlassen. Ihre Durchsetzungsfähigkeiten haben sich seit ihrer Gründung erheblich verstärkt, wobei die Zahl der Untersuchungen und Sanktionen von Jahr zu Jahr zunimmt.

Decreto Supremo 003-2013-JUS

Die Durchführungsverordnung im Decreto Supremo 003-2013-JUS bietet detaillierte Anleitung zur praktischen Anwendung der Bestimmungen des Gesetzes 29733. Diese Verordnung konkretisiert die Einwilligungsanforderungen, die Verfahren zur Ausübung der ARCO-Rechte, Sicherheitsmaßnahmen, internationale Datenübermittlungen und das Registrierungsverfahren für Datenbanken personenbezogener Daten. Das Dekret legt auch spezifische Fristen für die Einhaltung fest und definiert die technischen Standards, die Organisationen erfüllen müssen.

Sanktionen und Bußgelder

Das Gesetz 29733 sieht ein gestuftes Sanktionssystem mit drei Kategorien von Verstößen vor. Leichte Verstöße können zu Bußgeldern von 0,5 bis 5 UIT (Unidades Impositivas Tributarias) führen. Schwere Verstöße ziehen Bußgelder von 5 bis 50 UIT nach sich. Sehr schwere Verstöße, wie die Verarbeitung sensibler Daten ohne Einwilligung oder die Behinderung der Aufsichtsfunktionen der ANPDP, können zu Bußgeldern von 50 bis 100 UIT führen. Über finanzielle Sanktionen hinaus kann die ANPDP die Aussetzung von Datenverarbeitungsaktivitäten anordnen und die Umsetzung von Korrekturmaßnahmen verlangen.

Der UIT-Wert wird jährlich von der peruanischen Regierung angepasst. Zu den aktuellen Sätzen stellen die Höchststrafen für sehr schwere Verstöße ein erhebliches finanzielles Risiko für nicht konforme Organisationen dar.

Registrierung von Datenbanken für personenbezogene Daten

Eine der markantesten Anforderungen des peruanischen Datenschutzrahmens ist die obligatorische Registrierung von Datenbanken für personenbezogene Daten beim Nationalen Register der ANPDP. Alle öffentlichen und privaten Einrichtungen, die Datenbanken für personenbezogene Daten führen, müssen diese registrieren und dabei Angaben zum Zweck der Datenbank, den gespeicherten Datenkategorien, den vorhandenen Sicherheitsmaßnahmen und etwaigen internationalen Datenübermittlungen machen. Die Nichtregistrierung stellt einen Verstoß gegen das Gesetz dar.

Das Registrierungsverfahren erfordert eine sorgfältige Dokumentation der Merkmale jeder Datenbank. Unser Datenschutz-Manager hilft Organisationen, umfassende Aufzeichnungen zu führen, die diese Registrierungsanforderung erleichtern.

Praktische Schritte zur Compliance

Die Erreichung der Compliance mit dem Gesetz 29733 erfordert einen strukturierten Ansatz, der alle Aspekte des regulatorischen Rahmens abdeckt. Hier sind die wesentlichen Schritte, die Organisationen unternehmen sollten:

  1. Führen Sie eine Dateninventur durch: Identifizieren Sie alle Datenbanken für personenbezogene Daten in Ihrer Organisation und erfassen Sie, welche Daten erhoben werden, wie sie verarbeitet werden, wo sie gespeichert sind und wer Zugriff hat
  2. Registrieren Sie Ihre Datenbanken: Reichen Sie Registrierungsanträge beim Nationalen Register der ANPDP für alle identifizierten Datenbanken ein
  3. Überprüfen Sie die Einwilligungsmechanismen: Stellen Sie sicher, dass vor der Erhebung personenbezogener Daten eine gültige, informierte Einwilligung eingeholt wird, und dokumentieren Sie alle Einwilligungsnachweise systematisch
  4. Implementieren Sie Sicherheitsmaßnahmen: Setzen Sie technische und organisatorische Schutzmaßnahmen ein, die der Sensibilität der verarbeiteten Daten angemessen sind
  5. Richten Sie ARCO-Verfahren ein: Erstellen Sie klare Workflows für die Bearbeitung von Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsanfragen innerhalb der Frist von zwanzig Arbeitstagen
  6. Überprüfen Sie internationale Übermittlungen: Bewerten Sie, ob personenbezogene Daten außerhalb Perus übermittelt werden, und stellen Sie sicher, dass angemessene Schutzmaßnahmen bestehen
  7. Schulen Sie Ihr Personal: Stellen Sie sicher, dass Mitarbeiter ihre Datenschutzpflichten durch regelmäßige Sensibilisierungsschulungen verstehen
  8. Benennen Sie einen Compliance-Beauftragten: Bestimmen Sie eine Person oder ein Team, das für die Überwachung der Datenschutz-Compliance verantwortlich ist, oder erwägen Sie die Beauftragung eines externen DSB-Dienstes
  9. Dokumentieren Sie alles: Führen Sie detaillierte Aufzeichnungen über Verarbeitungsaktivitäten, Einwilligungsnachweise, Sicherheitsmaßnahmen und Compliance-Belege

Fazit

Perus Gesetz 29733 schafft einen robusten Datenschutzrahmen, der proaktive Compliance von Organisationen verlangt, die personenbezogene Daten verarbeiten. Da die ANPDP ihre Durchsetzungsaktivitäten verstärkt und Sanktionen erhebliche finanzielle Konsequenzen nach sich ziehen, können es sich Unternehmen nicht leisten, ihre Pflichten zu vernachlässigen. Durch das Verständnis der acht Leitprinzipien, die Wahrung der Betroffenenrechte und die Umsetzung umfassender Compliance-Maßnahmen können Organisationen ihren gesetzlichen Verpflichtungen nachkommen und gleichzeitig dauerhaftes Vertrauen bei peruanischen Verbrauchern aufbauen. Eine digitale Compliance-Plattform wie die ResGuard Compliance Map kann diesen Prozess optimieren, indem sie das Datenschutzmanagement zentralisiert und eine kontinuierliche Überwachung Ihrer Compliance-Position bietet.

Peru Gesetz 29733 Datenschutz ANPDP Compliance

Weiterlesen

Verwandte Artikel

Registrierung von Datenbanken in Peru

So registrieren Sie Datenbanken für personenbezogene Daten bei der ANPDP und halten die laufende Compliance ein.

ANPDP-Compliance-Pflichten

Perus Datenschutzbehörde und ihre Durchsetzungsbefugnisse verstehen.

Grenzüberschreitende Datenübermittlungen

Navigieren Sie die Komplexitäten der Übermittlung personenbezogener Daten über internationale Grenzen.

Bleiben Sie Informiert

Entdecken Sie Unsere Compliance-Lösungen

Durchstöbern Sie alle unsere Cyber-Compliance-Ressourcen oder erfahren Sie, wie unsere Plattform und Expertendienste Ihrer Organisation helfen können, Compliance zu erreichen und aufrechtzuerhalten.

Alle Artikel Kontakt
Kontaktformular