Am 1. Dezember 2026 tritt das chilenische Ley 21.719 vollständig in Kraft und schafft die erste eigenständige Datenschutzbehörde des Landes sowie ein Sanktionsregime mit Bußgeldern von bis zu 20.000 UTM, umgerechnet knapp 1,4 Milliarden chilenische Pesos, pro gravísima-Verstoß. Fünf Monate zuvor läuft in Brasilien ein Wahlkalender, der das gesetzgeberische Zeitfenster im August 2026 schließt. Bis dahin muss das Marco Legal da Inteligência Artificial die Abgeordnetenkammer passieren, sonst verschiebt es sich auf 2027. Mexiko wiederum hat seine Datenschutzaufsicht bereits vollständig aufgelöst.
Kein südamerikanisches Land verfügt bislang über ein eigenständiges KI-Gesetz. Der brasilianische Entwurf PL 2338/2023 wurde im Dezember 2024 vom Senat verabschiedet und hängt seit April 2025 in einem Sonderausschuss der Abgeordnetenkammer fest. Kolumbiens PL 043/2025 trägt einen präsidialen Dringlichkeitsvermerk und schlägt eine neue KI-Behörde innerhalb des Ministeriums MinCiencias vor, befindet sich aber noch im Ausschuss. Argentinien hat mehrere konkurrierende Gesetzentwürfe in der Deputiertenkammer, keiner davon verabschiedet. Das Fehlen KI-spezifischer Gesetze bedeutet jedoch keine Freiheit von Haftungsrisiken: bestehende Datenschutzgesetze, sektorale Rundschreiben und eine neu aufgelöste Aufsichtsbehörde übernehmen bereits die Durchsetzungsarbeit, uneinheitlich und von Land zu Land verschieden.
Das Ergebnis ist eine Region, in der die fünf größten Rechtsordnungen nach fünf unterschiedlichen Zeitplänen agieren, und in der die Lücke zwischen "noch kein KI-Gesetz" und "noch keine KI-bezogene Haftung" der Ort ist, an dem die meisten Compliance-Verstöße entstehen.
Welche südamerikanischen Länder haben bereits ein KI-spezifisches Gesetz in Kraft?
Keine der fünf größten Rechtsordnungen, Stand Mitte 2026. Brasiliens Marco Legal da Inteligência Artificial, PL 2338/2023, wurde am 10. Dezember 2024 mit symbolischer Mehrheit vom Bundessenat gebilligt und anschließend an die Abgeordnetenkammer weitergeleitet, die am 4. April 2025 unter dem Berichterstatter Abgeordneten Aguinaldo Ribeiro einen Sonderausschuss einsetzte. Mitte 2026 wartet der Entwurf noch auf den Bericht des Berichterstatters, und Brasiliens Präsidentschaftswahl am 4. Oktober 2026 schafft faktisch ein gesetzgeberisches Zeitfenster, das sich um August 2026 schließt. Stimmt die Kammer bis dahin nicht ab, rechnen Beobachter mit einer Verschiebung auf 2027.
Kolumbiens Vorhaben, PL 043/2025 im Senat und PL 324/2025 in der Kammer, wurde im September und Oktober 2025 eingebracht, mit einem im selben Monat angehängten präsidialen Dringlichkeitsvermerk. Es sieht eine risikobasierte Klassifizierung nach dem Vorbild des EU AI Act vor, eine regulatorische Sandbox sowie eine neue Autoridad Nacional para la IA im Ministerium für Wissenschaft, Technologie und Innovation, und verbleibt in den gemeinsamen Comisiones Sextas von Senado und Cámara. Argentinien hat mehrere parallele Vorschläge, von Senatorin Silvia Sapag und Abgeordnetem Daniel Gollán, die KI-Systeme nach Risikostufen einteilen und Social Scoring sowie manipulative Systeme verbieten sollen, keiner davon verabschiedet. In Mexiko steht kein KI-Entwurf kurz vor der Verabschiedung: Vorschläge zur Änderung von Artikel 73 der Verfassung, um dem Bund eine ausdrückliche Gesetzgebungskompetenz für KI zu verleihen, wurden 2025 eingebracht und sind weiterhin anhängig.
Was ändert sich, wenn Chiles Ley 21.719 am 1. Dezember 2026 vollständig in Kraft tritt?
Chile erhält seine erste eigenständige, autonome Datenschutzbehörde, die Agencia de Protección de Datos Personales, mit echten Sanktionsbefugnissen gegenüber jeder Organisation, die personenbezogene Daten von Personen in Chile verarbeitet, unabhängig vom Sitz des Unternehmens. Ley 21.719 wurde am 13. Dezember 2024 im Diario Oficial veröffentlicht, nachdem eine Comisión Mixta die Fassungen von Senat und Kammer zusammengeführt hatte, und sieht eine 24-monatige vacatio legis vor, die am 1. Dezember 2026 endet. Eine 2025 per Dekret eingesetzte interministerielle Beratungskommission zur Umsetzung hat die ersten verbindlichen Anweisungen der Behörde ausgearbeitet, und der zur Leitung der Behörde nominierte Direktionsrat wartete Stand Mai 2026 noch auf die Bestätigung durch den Senat. Der Amtsantritt wird um Oktober 2026 erwartet, wenige Wochen bevor die vollständige Durchsetzung beginnt.
Das Sanktionsregime ist gemäß den Artikeln 34 bis bis 35 gestaffelt: leve-Verstöße ziehen eine schriftliche Verwarnung oder ein Bußgeld von bis zu 5.000 UTM nach sich, grave-Verstöße, etwa die Verarbeitung personenbezogener Daten ohne gültige Rechtsgrundlage oder die versäumte Meldung einer Verletzung an die Behörde innerhalb von 72 Stunden, bis zu 10.000 UTM, und gravísima-Verstöße, einschließlich der Verarbeitung sensibler Daten wie Gesundheits-, biometrischer oder Gewerkschaftszugehörigkeitsdaten ohne Rechtsgrundlage, bis zu 20.000 UTM. Wiederholte gravísima-Verstöße größerer Unternehmen können stattdessen mit einem Bußgeld von bis zu 4% des jährlichen chilenischen Umsatzes belegt werden, sofern dies die dreifache Multiplikatorgrenze übersteigt. Speziell für KI ergänzt das Gesetz durchsetzbare Rechte rund um automatisierte Entscheidungsfindung und Profiling, die im ersetzten Ley 19.628 aus dem Jahr 1999 fehlten.
Was regelt KI in Brasilien, solange das Marco Legal im Kongress feststeckt?
Die Lei Geral de Proteção de Dados, vor allem über Artikel 20, der jeder betroffenen Person das Recht einräumt, die Überprüfung einer Entscheidung zu verlangen, die ausschließlich durch automatisierte Verarbeitung personenbezogener Daten getroffen wurde, einschließlich Entscheidungen, die das Verbraucher-, Kredit- oder Berufsprofil einer Person prägen. Ein Versuch von 2019, eine solche Überprüfung durch eine natürliche Person vorzuschreiben, wurde vom Präsidenten per Veto abgelehnt, und der Kongress bestätigte dieses Veto am 2. Oktober 2019 mit nur einer Stimme Mehrheit im Senat. Die LGPD schreibt daher keine menschliche Überprüfung ausdrücklich vor, wobei die ANPD und brasilianische Gerichte die Transparenzpflichten aus Artikel 20 im Allgemeinen so auslegen, dass sie eine echte, dokumentierte menschliche Kontrolle erfordern und keine bloß formale Bestätigung.
Die Durchsetzung ist inzwischen weit über die erste öffentliche Geldbuße der ANPD im Juli 2023 hinausgewachsen. Nach den Bemessungsregeln der Resolução CD/ANPD 4/2023 kann die ANPD ein Bußgeld von bis zu 2% des brasilianischen Umsatzes des betroffenen Unternehmens im letzten Geschäftsjahr verhängen, gedeckelt auf 50 Millionen Reais pro Verstoß, zuzüglich Tagesbußgeldern bei fortgesetzter Nichteinhaltung. Die häufigsten Auslöser in ANPD-Verfahren sind Versäumnisse bei der Meldung von Verletzungen nach Artikel 48, Verarbeitung ohne gültige Rechtsgrundlage nach Artikel 7 sowie das Fehlen eines vorgeschriebenen Datenschutzbeauftragten nach Artikel 41. Unternehmen, die heute KI in Brasilien einsetzen, werden nach dem jahrzehntealten Regelwerk der LGPD beurteilt, nicht nach den Risikostufen, die das Marco Legal einführen würde.
Wie reguliert Kolumbien KI ohne ein eigenständiges Gesetz?
Über das Circular Externa 002 der Superintendencia de Industria y Comercio vom 21. August 2024, das schon heute verbindlich ist, obwohl PL 043/2025 sich noch im Ausschuss befindet. Die SIC, die als kolumbianische nationale Datenschutzbehörde nach Ley 1581 de 2012 fungiert, stellte mit dem Rundschreiben klar, dass die Habeas-Data-Grundsätze uneingeschränkt auf personenbezogene Daten anzuwenden sind, die innerhalb von KI-Systemen verarbeitet werden, unabhängig von der zugrunde liegenden Technologie, und verlangt von Organisationen, idoneidad, necesidad, razonabilidad und proporcionalidad nachzuweisen, sobald personenbezogene Daten in ein KI-Modell oder eine automatisierte Entscheidung einfließen.
Das bedeutet, dass ein Unternehmen, das KI in Kolumbien einsetzt, bereits heute eine dokumentierte Compliance-Pflicht hat, die sich aus Ley 1581 und Circular 002/2024 ergibt, lange bevor die Risikoklassifizierung und die neue KI-Behörde aus PL 043/2025 in Kraft treten. Der Entwurf sieht Hochrisikokategorien vor, die nach vorgesehenem Verwendungszweck und Schwere des potenziellen Schadens festgelegt werden, sowie eine regulatorische Sandbox, mit der die künftige Autoridad Nacional para la IA kontrollierte Tests genehmigen kann. Bis zur Verabschiedung ist das SIC-Rundschreiben Kolumbiens durchsetzbares KI-Datenregelwerk, und es ist dasjenige, das Aufsichtsbehörden tatsächlich anwenden.
Was hat die Auflösung von Mexikos INAI für die Durchsetzung des Datenschutzes verändert?
Sie hat die unabhängige, verfassungsrechtlich autonome Datenschutzaufsicht des Landes beseitigt und deren Aufgaben an eine Stelle innerhalb der Exekutive übertragen. Eine Verfassungsreform vom 28. November 2024 löste sieben autonome Institutionen auf, darunter das Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. Am 20. Februar 2025 veröffentlichte Mexiko neue Fassungen der Ley Federal de Protección de Datos Personales en Posesión de los Particulares und der Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, beide traten am 21. März 2025 in Kraft. Die Ressourcen, laufenden Verfahren und Durchsetzungsfunktionen des INAI gingen auf die Secretaría Anticorrupción y Buen Gobierno über, die nun Beschwerden untersucht und Sanktionen nach beiden Gesetzen verhängt.
Inhaltlich blieben der ARCO-Rechterahmen und die Rechtsgrundlagen für die Verarbeitung weitgehend unverändert, doch keines der beiden Gesetze wurde mit Blick auf automatisierte Entscheidungsfindung, algorithmische Intransparenz oder das massenhafte Training mit öffentlichen Webdaten verfasst, da beide aus den Jahren 2010 und 2017 stammen. Vorschläge zur Änderung von Artikel 73 der Verfassung, um dem Kongress eine ausdrückliche Gesetzgebungskompetenz für KI zu verleihen, wurden 2025 eingebracht und sind weiterhin anhängig. Vorerst antwortet ein Unternehmen, das KI mit Berührung mexikanischer personenbezogener Daten betreibt, gegenüber einem Sekretariat, das ein Datenschutzgesetz anwendet, das vor der Existenz generativer KI verfasst wurde.
Wie sollte ein Compliance-Team fünf unkoordinierte Regime gleichzeitig verfolgen?
Zunächst gilt es, "bereits durchsetzbar" von "anhängig" zu trennen. Chiles Ley 21.719 wird am 1. Dezember 2026 durchsetzbar, Artikel 20 der brasilianischen LGPD und die Bemessungsregeln der ANPD sind bereits heute durchsetzbar, Kolumbiens SIC Circular 002/2024 ist bereits heute durchsetzbar, Mexikos Datenschutzgesetze von 2025 sind bereits heute unter einer neuen Aufsichtsbehörde durchsetzbar, und jeder eigenständige KI-Entwurf in der Region, ob in Brasilien, Kolumbien oder Argentinien, bleibt anhängig.
| Rechtsordnung | Aktuell KI-relevantes Instrument | Status des eigenständigen KI-Gesetzes | Wichtiges Datum 2026 |
|---|---|---|---|
| Brasilien | LGPD Art. 20 (automatisierte Entscheidungen) + ANPD-Bemessung (Res. 4/2023) | PL 2338/2023, anhängig im Kammerausschuss | Gesetzgeberisches Zeitfenster schließt sich um August 2026 |
| Chile | Ley 19.628 (bis zur Ablösung) | Kein eigenständiger KI-Entwurf, Datenschutzgesetz deckt Profiling ab | Ley 21.719 vollständig in Kraft ab 1. Dezember 2026 |
| Kolumbien | SIC Circular Externa 002/2024 + Ley 1581/2012 | PL 043/2025S, anhängig in Comisiones Sextas | Präsidialer Dringlichkeitsvermerk seit September 2025 aktiv |
| Argentinien | Ley 25.326 (2000) | Mehrere anhängige Entwürfe, keiner verabschiedet | AAIP-nahe Reformentwürfe bis 2026 im Kongress |
| Mexiko | LFPDPPP und LGPDPPSO, beide seit 21. März 2025 in Kraft | Kein eigenständiger KI-Entwurf kurz vor Verabschiedung | Secretaría Anticorrupción y Buen Gobierno nun alleinige Durchsetzungsbehörde |
Manuell bedeutet das, fünf amtliche Gesetzblätter parallel zu lesen und jedes davon erneut zu prüfen, sobald ein Ausschuss einen neuen Gesetzentwurf vorlegt oder eine Behörde ein neues Rundschreiben erlässt. Obsidians Überwachung je Rechtsordnung wurde genau für diese Arbeitslast entwickelt: sie verfolgt jede amtliche Quelle im Moment der Veröffentlichung, kennzeichnet die konkrete resolução, circular, ley oder decreto, die einen bereits auf der Watchlist eines Unternehmens stehenden Rahmen betrifft, und macht aus fünf unkoordinierten nationalen Verläufen ein einziges Dashboard mit datierten Warnmeldungen.
Für Teams, die dieselbe belegte Antwort direkt in einem Workflow statt in einem Dashboard benötigen, sind diese Daten auch über den MCP verfügbar, sodass ein KI-Assistent, der bereits andere Compliance-Aufgaben übernimmt, bestätigen kann, ob Chiles Behörde ihre erste verbindliche Anweisung bereits veröffentlicht hat, ohne dass eine Person die Quelle vorab erneut prüfen muss. Obsidians KI fungiert in diesem Austausch als regulatorische Begleiterin, niemals als Ersatz für die Compliance-Verantwortliche, die die Antwort abzeichnet: sie sorgt lediglich dafür, dass die belegte Tatsache vor der Frist ankommt statt danach.
Was sollte ein Team für KI- und Daten-Governance als Nächstes tun?
Exposition nach Instrument abbilden, nicht nach Länderbezeichnung. Ein Team in Chile braucht einen Umsetzungsplan für Ley 21.719, aufgebaut um das Durchsetzungsdatum vom 1. Dezember 2026. Ein Team in Brasilien braucht einen Prüfprozess für Artikel 20 der LGPD, der schon heute einer ANPD-Prüfung standhält, unabhängig vom Schicksal des Marco Legal. Ein Team in Kolumbien muss idoneidad, necesidad und proporcionalidad nach Circular 002/2024 bereits jetzt dokumentieren, nicht erst wenn PL 043/2025 Gesetz wird. Ein Team in Mexiko muss wissen, dass seine Aufsichtsbehörde nun ein Sekretariat innerhalb der Exekutive ist und kein autonomes Institut, was sich darauf auswirkt, wie eine Beschwerde tatsächlich behandelt wird.
Obsidians Tarife sind für genau diese Art der Verfolgung von KI- und Daten-Governance über mehrere Rechtsordnungen hinweg konzipiert, amtliche Quelle für amtliche Quelle, damit die nächste ANPD-Entscheidung, das nächste SIC-Rundschreiben oder die nächste Anweisung der Agencia de Protección de Datos das Compliance-Team erreicht, bevor sie zur Schlagzeile wird.