LGPD – Lei Geral de Proteção de Dados (Brasilianisches Datenschutzgesetz)
Die brasilianische LGPD ist das umfassende Datenschutzgesetz Brasiliens, in Kraft seit September 2020, und orientiert sich stark an der europäischen DSGVO.
Zusammenfassung
Die Lei Geral de Proteção de Dados (LGPD) ist Brasiliens umfassendes Datenschutzgesetz. Es wurde 2018 verabschiedet und trat im September 2020 in Kraft. Die LGPD orientiert sich stark an der europäischen DSGVO und etabliert ein einheitliches Datenschutzregime für öffentliche und private Einrichtungen in Brasilien.
- Rechtmäßige Rechtsgrundlagen: 10 definierte Rechtsgrundlagen für die Datenverarbeitung, darunter Einwilligung, Vertragserfüllung, berechtigte Interessen und Compliance.
- Betroffenenrechte: Auskunft, Berichtigung, Löschung, Portabilität, Widerruf der Einwilligung und Information über Datenweitergabe.
- Aufsichtsbehörde: Autoridade Nacional de Proteção de Dados (ANPD).
- Bußgelder: Bis zu 2 % des brasilianischen Jahresumsatzes des Unternehmens, maximal 50 Millionen BRL pro Verstoß.
Geschichte
Brasilien verfügte lange über kein einheitliches Datenschutzrecht – einzelne Regelungen waren über verschiedene Gesetze wie den Marco Civil da Internet (2014) und den Código de Defesa do Consumidor verstreut. Die Debatte um ein umfassendes Datenschutzgesetz gewann Anfang der 2010er Jahre an Fahrt, nicht zuletzt durch die Enthüllungen von Edward Snowden 2013 über die Überwachung brasilianischer Kommunikation durch US-Geheimdienste.
Die LGPD wurde am 14. August 2018 verabschiedet. Der ursprüngliche Inkrafttretungstermin wurde mehrfach verschoben, zuletzt pandemiebedingt. Die materiellen Bestimmungen traten am 18. September 2020 in Kraft, die Sanktionsvorschriften folgten am 1. August 2021. Die Aufsichtsbehörde ANPD wurde 2020 eingerichtet und hat seitdem aktiv Leitlinien und Regulierungen erlassen.
Geltungsbereich
Die LGPD gilt für jede Verarbeitung personenbezogener Daten, die in Brasilien stattfindet oder deren Zweck die Bereitstellung von Waren oder Dienstleistungen in Brasilien ist, oder die Daten von in Brasilien befindlichen Personen betrifft – unabhängig vom Sitz des Verantwortlichen. Erfasst werden sowohl öffentliche als auch private Stellen.
Ausnahmen bestehen u.a. für:
- Rein private, nicht wirtschaftliche Datenverarbeitung durch natürliche Personen
- Verarbeitung ausschließlich zu journalistischen, akademischen, künstlerischen oder literarischen Zwecken
- Verarbeitung für Zwecke der öffentlichen Sicherheit, Landesverteidigung und nationalen Sicherheit
- Daten von außerhalb Brasiliens stammenden Personen, die nicht in Brasilien gesammelt wurden
Kernanforderungen
- Rechtsgrundlage: Jede Verarbeitung muss auf einer der 10 gesetzlich definierten Rechtsgrundlagen beruhen.
- Transparenz: Klare und zugängliche Information über die Datenverarbeitung.
- Betroffenenrechte: Bestätigung der Verarbeitung, Auskunft, Berichtigung, Anonymisierung/Sperrung/Löschung, Portabilität, Information über Drittempfänger, Widerruf der Einwilligung, Widerspruchsrecht.
- Datenschutzbeauftragter (DPO): Bestellung eines „Encarregado“ empfohlen; für bestimmte Verantwortliche verpflichtend (Festlegung durch ANPD).
- Datenschutz durch Technik und Voreinstellung: Privacy by Design und Privacy by Default.
- Meldung von Datenpannen: Benachrichtigung der ANPD und betroffener Personen bei schwerwiegenden Vorfällen.
- Internationale Datentransfers: Nur unter bestimmten Voraussetzungen zulässig (Angemessenheitsentscheidung, vertragliche Garantien, Einwilligung).
- Datenschutz-Folgenabschätzung (RIPD): Pflicht bei Hochrisikoaktiviäten.