Was ist das LGPD – Brasiliens allgemeines Datenschutzgesetz?

Table of Contents

Das LGPD ist das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais). Es wurde am 14. August 2018 vom brasilianischen Nationalkongress verabschiedet und trat im September 2020 in Kraft.

Wie andere Datenschutzgesetze schafft auch das LGPD einen rechtlichen Rahmen für die Steuerung der Erhebung und Verwendung personenbezogener Daten. Es handelt sich jedoch nicht nur um eine Kopie der DSGVO, die sich in mehreren wesentlichen Punkten unterscheidet.

Im Folgenden erörtern wir die Grundlagen des LGPD und die Auswirkungen auf Unternehmen, die innerhalb und außerhalb Brasiliens tätig sind.

Was ist das LGPD?

Zuvor gab es in Brasilien mehr als 40 Bundesgesetze, die personenbezogene Daten regeln. Primäres Ziel des LGPD war es, diese verschiedenen Gesetze in einem einzigen übergeordneten Rechtsrahmen für den Datenschutz zusammenzufassen.

Auf diese Weise wollte der brasilianische Gesetzgeber die Kontrolle und die Rechte der brasilianischen Bürger über ihre personenbezogenen Daten verbessern. Aber auch, um das komplexe Geflecht früherer Gesetze zu vereinfachen und das regulatorische Umfeld für internationale und inländische Unternehmen zu erleichtern.

Diejenigen, die bereits DSGVO-konform sind, werden auch mit dem LGPD konform sein. Es gibt jedoch wesentliche Unterschiede. Das LGPD ist um neun Schlüsselrechte herum organisiert, die zusammen personenbezogene Daten definieren und zehn Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten schaffen.

Was sind die neun Rechte des LGPD?

Die Neun Rechte sind in Artikel 18 des LGPD beschrieben. Darin werden die Rechte brasilianischer Staatsbürger auf Folgendes festgelegt:

  1. Bestätigen Sie das Vorhandensein der Verarbeitung ihrer Daten
  2. Greifen Sie auf ihre Daten zu
  3. Korrigieren unvollständiger, ungenauer oder veralteter Daten
  4. Anonymisierung, Sperrung oder Löschung unnötiger oder überschüssiger Daten oder von Daten, die unter Verstoß gegen die Bestimmungen des LGPD verarbeitet wurden
  5. Übertragbarkeit von Daten an einen anderen Dienstleister oder Produktanbieter – auf Antrag der betroffenen Person
  6. Ihre personenbezogenen Daten löschen
  7. Informieren Sie sich über die öffentlichen und privaten Stellen, an die der für die Verarbeitung Verantwortliche personenbezogene Daten weitergegeben hat
  8. Informieren Sie sich über die Möglichkeit, die Einwilligung zu verweigern und die Folgen
  9. Einwilligung widerrufen

Diese Rechte ähneln im Großen und Ganzen denen, die in der DSGVO beschrieben sind.

Für wen gilt das LGPD?

Die DSGVO zeichnet sich durch ihre „extraterritorialen Auswirkungen“ aus, die alle Unternehmen weltweit, die sich an EU-Bürger richten, zur Einhaltung verpflichten. Ähnliche Effekte gibt es im LGPD.

In Artikel 3 beschreibt das LGPD die Organisationen, für die das LGPD gilt:

– Jegliche Datenverarbeitung auf dem Gebiet Brasiliens
– Datenverarbeitung von Personen, die sich auf dem Territorium Brasiliens befinden, unabhängig davon, wo auf der Welt sich der Datenverarbeiter befindet
– Datenverarbeitung von Daten, die in Brasilien erhoben werden

Für diejenigen, die mit der EU-DSGVO vertraut sind, gibt es einige bemerkenswerte Unterschiede. In erster Linie gilt das LGPD nicht nur für die personenbezogenen Daten brasilianischer Staatsbürger, sondern für alle Personen, die sich auf brasilianischem Hoheitsgebiet befinden.

Darüber hinaus hat das LGPD wie die DSGVO einen territorialen Geltungsbereich über die brasilianischen Grenzen hinaus. Jede Organisation, die einer in Brasilien ansässigen Person Waren oder Dienstleistungen anbietet, muss in Übereinstimmung mit dem LGPD handeln.

Welche Ausnahmen gibt es vom LGPD?

Nicht jeder wird durch das LGPD reguliert. Die Verordnung gilt nicht, wenn

– Die Datenverarbeitung erfolgt ausschließlich zu personenbezogenen Zwecken (bezieht sich ausschließlich auf natürliche Personen)
– Die Datenverarbeitung erfolgt zu journalistischen, künstlerischen, literarischen oder wissenschaftlichen Zwecken.
– Die Daten werden für die nationale Sicherheit, die Landesverteidigung, die öffentliche Sicherheit, strafrechtliche Ermittlungen oder Bestrafungsmaßnahmen verarbeitet.

Welche zehn Rechtsgrundlagen gibt es für die rechtmäßige Verarbeitung personenbezogener Daten?

Wie bereits erwähnt, gibt es nach Artikel 7 des LGPD zehn Rechtsgrundlagen für die rechtmäßige Datenverarbeitung:

  1. Mit Einwilligung der betroffenen Person
  2. Zur Erfüllung einer gesetzlichen oder behördlichen Verpflichtung durch den für die Verarbeitung Verantwortlichen
  3. Durch die öffentliche Verwaltung für die Verarbeitung und gemeinsame Nutzung von Daten, die für die Umsetzung der öffentlichen Politik erforderlich sind, die in Gesetzen oder Verordnungen vorgesehen sind oder auf Verträgen, Vereinbarungen oder ähnlichen Instrumenten beruhen, vorbehaltlich des Kapitels IV des LGPD
  4. Für die Durchführung von Studien durch Forschungseinrichtungen, wobei nach Möglichkeit die Anonymisierung personenbezogener Daten sichergestellt wird
  5. Wenn dies für die Ausführung eines Vertrags oder eines vorbereitenden Verfahrens im Zusammenhang mit einem Vertrag, dessen Vertragspartei die betroffene Person ist, erforderlich ist, auf Antrag der betroffenen Person
  6. Für die regelmäßige Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schiedsverfahren, letzteres nach dem brasilianischen Schiedsgerichtsgesetz
  7. Zum Schutz des Lebens oder der Körperlichkeit der betroffenen Person oder eines Dritten
  8. Zum Schutz der Gesundheit, ausschließlich in einem Verfahren, das von Angehörigen der Gesundheitsberufe, Gesundheitsdiensten oder Gesundheitsbehörden durchgeführt wird
  9. Wenn dies zur Erfüllung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen
  10. Zum Schutz von Krediten

Anstatt die umfassende Verarbeitung personenbezogener Daten im Rahmen der Verordnung zu erlauben, erlauben die brasilianischen Behörden die rechtmäßige Verarbeitung personenbezogener Daten nur unter den oben genannten Umständen.

Welche Strafen drohen bei Nichteinhaltung des LGPD?

Die Nichtbeachtung des Buchstabens des LGPD kann zu einer Geldstrafe von bis zu 50 Millionen Real (ca. 8 Millionen Euro) oder 2 % des Umsatzes eines Unternehmens in Brasilien führen. Das ist deutlich niedriger als die Strafen im Rahmen der DSGVO, die 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen können – je nachdem, welcher Betrag höher ist.

Schlussfolgerung

Mit über 138 Millionen Internetnutzern in Brasilien ist Brasilien der viertgrößte Internetmarkt der Welt. Daher wird die Einhaltung des LGPD oft von Organisationen mit internationaler Reichweite verlangt.

Glücklicherweise hat die brasilianische Regierung die DSGVO überschattet, was bedeutet, dass der zusätzliche Aufwand für die meisten Unternehmen minimal ist. Dennoch ist es wichtig, sich der wichtigsten Unterschiede zwischen diesen wegweisenden Vorschriften bewusst zu sein. Andernfalls drohen Ihnen auf beiden Seiten des Atlantiks erhebliche Geldstrafen.

Sales & Support