Umfassender und strenger Datenschutz: Das brasilianische LGPD

Das Lei Geral de Proteção de Dados Pessoais (LGPD) ist Brasiliens Allgemeines Datenschutzgesetz, das darauf abzielt, einen neuen rechtlichen Rahmen für die Verwendung von personenbezogenen Daten in Brasilien zu schaffen, sowohl online als auch offline, im privaten und öffentlichen Sektor, unabhängig vom Standort der Organisation, die die Informationen verarbeitet. Seine Inhalte dienen dem Schutz der Privatsphäre, der Gewährleistung von Offenheit, der Förderung von Fortschritt und Entwicklung, der Harmonisierung von Standards, der Rechtssicherheit und der Förderung der Wettbewerbsfähigkeit des Marktes.

Es wurde am 18. September 2020 verabschiedet und trat rückwirkend am 16. August 2020 in Kraft. Sanktionen wurden ab dem 1. August 2021 vollstreckbar, und betroffene Personen und Behörden konnten ihre Rechte ab dem 18. September 2020 geltend machen. Es soll die derzeitige uneinheitliche Rechtslandschaft (mit über 40 föderalen, sektorbasierten Normen) durch einen zentralen Rechtsrahmen ersetzen oder ergänzen. Hierfür wurde zunächst eine nationale Datenschutzbehörde begründet, die Autoridad Nacional de Protección de Datos (ANPD), die das Gesetz verabschiedete und seitdem durchsetzt.

Das LGPD wird von manchen Quellen auch als “brasilianisches GDPR” (General Data Protection Regulation, engl. für DSGVO) bezeichnet oder als “Antwort auf die DSGVO” und wurde tatsächlich auch im Sinne der Erreichung der „Konformität“ mit der Europäischen Datenschutz-Grundverordnung konzipiert, um Daten mit der EU austauschen zu können. Allerdings muss hinzugefügt werden, dass das brasilianische Gesetz in vielen Punkten mit den europäischen Anforderungen übereinstimmt, sich aber in anderen unterscheidet und über die der DSGVO hinausgeht.

Da das LGPD ein langes und detailliertes Gesetz ist, das den Geschäftsalltag in Brasilien erheblich beeinflusst, ist es unabdingbar, sich mit ihm auseinander zu setzen, wenn man geschäftlich mit brasilianischen Kunden und Partnern handelt.

Im vorliegenden Artikel wollen wir nun darauf eingehen, wie das LGPD den Missbrauch personenbezogener Daten verhindert, und regelt, wie Unternehmen und Organisationen diese Daten erheben, nutzen und verarbeiten dürfen und welche Konsequenzen das für Ihr Unternehmen haben kann. Falls Sie eine kostenlose Erstberatung wünschen, dann klicken Sie bitte hier. 

I. Was beinhaltet das LGPD? Die rechtlichen Grundlagen

Das LGPD besteht aus 65 Artikeln. Wir wollen nun auf einige davon eingehen.

1. Gesetzliche Grundlagen zum Schutz personenbezogener Daten

Die Artikel 17-22 statten Verbraucher mit neuen Rechten aus, d. h. derjenigen, deren Daten erfasst und/oder verarbeitet werden, also hauptsächlich Einzelpersonen oder natürliche Personen.

In Artikel 2 sind die gesetzlichen Grundlagen zum Schutz personenbezogener Daten aufgeführt:

1. Achtung der Privatsphäre

2. informationelle Selbstbestimmung

3. Recht auf Meinungsfreiheit, Information, Kommunikation und Meinung

4. Unverletzlichkeit der Intimsphäre, der Ehre und des Ansehens

5. wirtschaftliche und technologische Entwicklung und Innovation

6. freies Unternehmertum, freier Wettbewerb und Verbraucherschutz

7. Menschenrechte, freie Entfaltung der Persönlichkeit, Würde und Ausübung der Staatsbürgerschaft durch natürliche Personen

2. Rechtsgrundlagen des brasilianischen Datenschutzgesetzes

Artikel 7 umfasst die Rechtsgrundlagen bzw. Anlässe, unter denen eine Datenverarbeitung erfolgen kann. Nach dem LGPD dürfen Daten nur verarbeitet werden, wenn es mindestens eine Rechtsgrundlage dafür gibt. Die 10 rechtlichen Grundlagen sind:

1. Einwilligung des Nutzers

2. Die Erfüllung einer gesetzlichen oder regulatorischen Anforderung, die für den Datenverantwortlichen gilt

3. Die Ausführung öffentlicher Dokumente (wenn diese Dokumente durch Gesetze, Verordnungen oder vertragliche Vereinbarungen unterstützt werden)

4. Die Durchführung von Studien durch Forschungseinrichtungen – soweit möglich unter Gewährleistung der Anonymisierung der verwendeten personenbezogenen Daten*

5. Die Erfüllung einer vertraglichen Vereinbarung, an der der Nutzer beteiligt ist (oder deren Vorstufen)

6. Die ordnungsgemäße Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schlichtungsverfahren *

7. Der Schutz des Lebens oder der körperlichen Sicherheit des Nutzers oder einer dritten Person

8. Der Schutz der Gesundheit – bei einem Verfahren, das von Angehörigen der Gesundheitsberufe, Gesundheitsdiensten oder der Gesundheitsbehörde* durchgeführt wird

9. Die berechtigten Interessen des Verantwortlichen oder Dritter, sofern nicht die Interessen, Rechte und Freiheiten des Nutzers überwiegen

10. Kreditschutz, einschließlich der Anforderungen der einschlägigen Gesetzgebung*

Anzumerken ist, dass dies keine hierarchische Auflistung ist und dass die am besten geeignete Grundlage aufgrund der spezifischen Umstände gewählt werden sollte.

3. “Berechtigtes Interesse” als Rechtsgrundlage

a. Definition

Auf eine der Rechtsgrundlagen wollen wir genauer eingehen, da sie – auch in anderen Datenschutzgesetzen – sehr beliebt ist, weil sie weniger Arbeit für den Verantwortlichen und andere verursacht: Berechtigtes Interesse. Doch was bedeutet „berechtigtes Interesse“?

Allgemeinen gesprochen bezeichnet „berechtigtes Interesse“ die Verwendung personenbezogener Daten in einer Weise, die von den Verbrauchern vernünftigerweise erwartet werden kann. „Interesse“ ist jedoch ein sehr weit gefasster Begriff und kann kommerzielle Interessen ebenso umfassen wie das Gemeinwohl.

Ein “berechtigtes Interesse” im Sinne des LGPD (Artikel 10) würde unter mehreren weit gefassten Bedingungen gelten:

• die Datenverarbeitung hat einen eindeutigen Nutzen, ist aber nicht gesetzlich vorgeschrieben

• es besteht ein geringes Risiko, dass die Verarbeitung die Privatsphäre der betroffenen Personen verletzt

• die betroffenen Personen können vernünftigerweise davon ausgehen, dass ihre Daten verwendet werden

b. Nutzung

Jedoch können Sie sich nicht einfach aus Bequemlichkeit auf ein “berechtigtes Interesse” als Rechtsgrundlage berufen. Die Verarbeitung muss für einen bestimmten Zweck erforderlich sein, und es ist zusätzliche Transparenz notwendig. Die Anwendung des “berechtigten Interesses” erfordert eine Balance zwischen den Rechten der betroffenen Personen und den Interessen der Verantwortlichen (und möglicher Dritter). Seit der Ausarbeitung des Gesetzes kursieren Bedenken, dass das “berechtigte Interesse” ein Freibrief für die Verantwortlichen sei.

Deshalb wurde ein dreistufiger Test ausgearbeitet, der als bewährte Methode gilt:

1. Zweckprüfung (welches ist das “berechtigte Interesse”?)

2. Erforderlichkeitsprüfung (ist die Verarbeitung für den festgelegten Zweck erforderlich?)

3. Abwägungsprüfung (welche Interessen hat die betroffene Person?)

c. Berechtigtes Interesse und Datenschutz-Folgenabschätzungen (DSFA)

Das LGPD gibt der ANPD die Möglichkeit (Artikel 38), von den Verantwortlichen die Erstellung einer Datenschutz-Folgenabschätzung bzw. eines Berichts zu verlangen, wenn die von dem Verantwortlichen gewählte Rechtsgrundlage ein “berechtigtes Interesse” ist. Damit sollen die Risiken der Verarbeitung ermittelt und gemindert werden. Die Verarbeitung darf nicht risikoreicher sein als die, für die eine Einwilligung erforderlich ist. Besteht jedoch nicht die Notwendigkeit, die Nutzer zu informieren, um ihre Einwilligung einzuholen, ist nicht die gleiche Transparenz für die Nutzer erforderlich. Derzeit gibt es hierüber eine Debatte; ob eine Datenschutz-Folgenabschätzung in solchen Fällen das richtige Verfahren sei oder ob eine Bewertung des “berechtigten Interesses” geeigneter wäre.

4. Grundlagen der Daten-Verarbeitung

Das LGPD verlangt, dass Sie personenbezogene Daten nur für legitime, spezifische, ausdrückliche und klar kommunizierte Zwecke verarbeiten. Die Grundsätze für die Datenverarbeitung sind denen der DSGVO weitgehend ähnlich:

• Es muss einen Zweck für die Verarbeitung geben. Das bedeutet, dass jede Datenverarbeitungsaktivität für legitime, spezifische, explizite und klar kommunizierte Zwecke durchgeführt werden muss – Sie dürfen keine zusätzliche Verarbeitung vornehmen, die nicht mit den kommunizierten ursprünglichen Zwecken übereinstimmt.

• Angemessenheit. Sowohl die Art und Weise der Datenverarbeitung als auch die verarbeiteten Daten selbst müssen in einem vertretbaren Verhältnis zu den Zwecken der Verarbeitung stehen.

• Beschränkung des Zwecks. Dies ähnelt dem Konzept der Datenminimierung unter der DSGVO und bedeutet einfach, dass Sie nur Daten verarbeiten dürfen, die für die Erfüllung der von Ihnen angegebenen Verarbeitungszwecke erforderlich sind.

• Freiheit bei der Ausübung von Rechten und freier Zugang zu Informationen. Nutzer müssen in der Lage sein, ihre Rechte nach dem LGPD frei auszuüben und ungehinderten, einfachen Zugang zu allen Informationen über die Verarbeitung ihrer personenbezogenen Daten zu haben – kostenlos.

• Datenintegrität/Qualität. Sie, der für die Datenverarbeitung Verantwortliche, müssen die Richtigkeit der verarbeiteten Daten sicherstellen und diese entsprechend dem Zweck der Verarbeitung aktuell und relevant halten.

• Transparenz. Informationen über Ihre Datenverarbeitung müssen klar, genau und für Nutzer leicht zugänglich sein. Die Nutzer müssen auch in der Lage sein, Informationen über die Dritten, mit denen die Daten geteilt werden, zu erhalten.

• Sicherheit. Sowohl der für die Datenverarbeitung Verantwortliche als auch etwaige Auftragsverarbeiter (Betreiber) müssen sicherstellen, dass technische und organisatorische Maßnahmen vorhanden sind, die personenbezogene Daten vor unberechtigtem Zugriff, versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung und unberechtigter Weitergabe oder Verbreitung zu schützen.

• Prävention. Es liegt in der Verantwortung des Verantwortlichen sowie des Auftragsverarbeiters, durch technische und organisatorische Maßnahmen zu verhindern, dass durch die Verarbeitung personenbezogener Daten ein Schaden entsteht.

• Vermeidung von Diskriminierung. Es darf keine Datenverarbeitung aus diskriminierenden Gründen erfolgen.

• Verantwortungsbewusstsein. Als Datenverantwortlicher müssen Sie das geltende Recht einhalten und dies auch nachweisen können.

II. Kerndefinitionen und Begrifflichkeiten des LGPD 

Wir möchten nun die relevantesten Begriffe des LGPD vorstellen (Artikel 5):

1. Personenbezogene Daten

Analog der DSGVO sind personenbezogene Daten im Kontext des LGPD alle Daten, die mit einer identifizierten oder identifizierbaren Person in Verbindung gebracht werden können. Insgesamt werden alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen, als personenbezogene Daten betrachtet. Dazu gehören auch Daten, die mit anderen Informationen kombiniert werden können, um eine beliebige Person zu identifizieren.
Zu den nicht-personenbezogenen Daten gehören z. B. Firmenregistrierungsnummern, generische Firmen-E-Mail-Adressen und anonymisierte Daten.

2. Sensible personenbezogene Daten

Das LGPD unterscheidet „sensible“ Daten von „normalen“ personenbezogenen Daten und wendet auf diese Kategorie von personenbezogenen Daten gesonderte Regelungen an. Sensible Daten sind alle Daten, die sich auf die rassische oder ethnische Herkunft, die religiöse Überzeugung, die politische Meinung, die Gesundheit oder das Sexualleben beziehen; oder Daten, die eine eindeutige und dauerhafte Identifizierung des Nutzers ermöglichen, wie genetische oder biometrische Daten.

Da die Verarbeitung sensibler Daten den Nutzer mit größerer Wahrscheinlichkeit dem Risiko einer Diskriminierung aussetzt, müssen sensible Daten mit zusätzlichen Sicherheitsmaßnahmen verarbeitet werden, wobei sehr spezifische Rechtsgrundlagen für die Verarbeitung vorhanden sein müssen.

Im Allgemeinen können Sie sensible Daten nur verarbeiten, wenn der Nutzer (oder sein Elternteil/Erziehungsberechtigter, sofern die Person minderjährig ist) seine Einwilligung für die jeweilige Verarbeitung gegeben hat.

Folgende Ausnahmen gelten für die Verarbeitung sensibler Daten, sodass die Einwilligung umgangen werden kann:

• Erfüllung einer gesetzlichen Verpflichtung, die dem Verantwortlichen für die Datenverarbeitung obliegt;

• gemeinsame Verarbeitung, die für die öffentliche Verwaltung erforderlich ist, um gesetzliche oder regulatorische öffentliche Dokumente auszuführen;

• Durchführung von Studien durch eine Forschungseinrichtung – wobei, wann immer möglich, sichergestellt wird, dass die sensiblen personenbezogenen Daten anonymisiert werden;

• der Schutz des Lebens oder der körperlichen Sicherheit des Nutzers oder eines Dritten;

• Gesundheitsschutz, ausschließlich, in Verfahren, die von Angehörigen der Gesundheitsberufe, Gesundheitsdiensten oder einer Gesundheitsbehörde durchgeführt werden;

• die gesundheitliche Überwachung in einem Verfahren, das von Angehörigen der Gesundheitsberufe oder Gesundheitseinrichtungen durchgeführt wird;

• die reguläre Ausübung von Rechten – einschließlich vertraglicher, gerichtlicher, administrativer sowie über Schiedsverfahren gewährter Rechte; oder

• Betrugsprävention und Sicherheit des Nutzers (z.B. zur Identifizierung und Authentifizierung der Registrierung in elektronischen Systemen) – soweit die Rechte der Nutzer geschützt sind und nicht Rechte und Freiheiten des Nutzers überwiegen.

3. Anonymisierte Daten

Vollständig anonymisierte Daten (Daten, die mit vertretbarem Aufwand weder direkt noch indirekt zur Identifizierung einer Person führen können) fallen nicht in den Anwendungsbereich der LGPD. Wenn der Anonymisierungsprozess jedoch reversibel ist oder wenn die Daten für die Erstellung von Verhaltensprofilen verwendet werden, gilt das LGPD trotzdem.

Der Prozess der Anonsymisierung bezieht sich auf „angemessene und verfügbare technische Mittel zum Zeitpunkt der Verarbeitung“, um identifizierbare Markierungen aus den Daten zu entfernen, so dass sie „die Möglichkeit einer direkten oder indirekten Verbindung mit einer Person verlieren“. Im Rahmen der Datenschutzgesetze ist auch die Forderung nach einer möglichen Deanonymisierung der Daten, d. h. einer Wiederherstellung der Identifizierbarkeit, üblich.

4. Verarbeitung

Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie z. B. „Erfassung, Herstellung, Empfang, Klassifikation, Verwendung, Zugriff, Vervielfältigung, Übermittlung, Verbreitung, Verarbeitung, Archivierung, Speicherung, Löschung, Bewertung oder Kontrolle von Daten, Veränderung, Kommunikation, Übertragung, Verbreitung oder Entnahme“.

5. Betroffene Person

Eine natürliche Person bzw. Einzelperson, deren Daten verarbeitet werden.

6. Verantwortlicher

Eine natürliche bzw. juristische Person, entweder öffentlich oder privat (kann sich also auf ein Unternehmen oder eine sonstige Organisation beziehen), die Entscheidungen über die Verarbeitung personenbezogener Daten trifft.

7. Verarbeiter

Eine natürliche bzw. juristische Person des öffentlichen oder privaten Rechts (kann sich also auf ein Unternehmen oder eine sonstige Organisation beziehen), die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. In einigen anderen Gesetzen als „Auftragsverarbeiter“ bezeichnet.

8. Gemeinsame Nutzung von Daten

Die „Kommunikation, die Verbreitung, die internationale Übermittlung, die Vernetzung personenbezogener Daten oder die gemeinsame Verarbeitung personenbezogener Datenbanken durch öffentliche Einrichtungen und Rechtsträger in Übereinstimmung mit ihren gesetzlichen Befugnissen oder zwischen diesen und privaten Rechtsträgern auf der Grundlage einer besonderen Genehmigung für eine oder mehrere von diesen öffentlichen Rechtsträgern zugelassene Verarbeitungsmodalitäten oder zwischen privaten Rechtsträgern“.

Internationale Übermittlungen sind ein wichtiges Thema, wenn Länder keine angemessenen Vereinbarungen hinsichtlich des Datenschutzes getroffen haben. Die gemeinsame Nutzung ist auch für Unternehmen wichtig, die ihr Geld mit dem Verkauf von Daten verdienen, da die betroffenen Personen in der Regel zustimmen müssen, bevor ihre Daten an Dritte veräußert werden können.

III. Welche Verbraucher-Rechte definiert das LGPD?

In Artikel 18 werden die Rechte der betroffenen Person gegenüber dem Verantwortlichen dargelegt:

• Bestätigung. Die Nutzer haben das Recht, das Inkrafttreten der Verarbeitung bestätigen zu lassen.

• Zugang. Die Nutzer haben das Recht auf Zugang zu ihren Daten, die von dem Verantwortlichen für die Datenverarbeitung verarbeitet werden.

• Datenübertragbarkeit. Die Nutzer haben das Recht auf Übertragbarkeit ihrer Daten zu einem anderen Dienst- oder Produktanbieter, auf ausdrücklichen Wunsch, in Übereinstimmung mit den Anforderungen der nationalen Behörde und unter Wahrung der Geschäfts- und Betriebsgeheimnisse.

• Berichtigung. Nutzer haben das Recht, ihre personenbezogenen Daten zu berichtigen, wenn diese ungenau oder unvollständig sind.

• Anonymisierung. Der Nutzer hat das Recht auf Anonymisierung, Sperrung oder Beseitigung unnötiger oder übermäßiger personenbezogener Daten bzw. von Daten, die nicht in Übereinstimmung mit dem LGPD verarbeitet werden.

• Löschung. Nutzer haben das Recht, ihre personenbezogenen Daten löschen zu lassen, wenn die Verarbeitung dieser Daten auf einer Einwilligung beruhte.

• Information. Nutzer haben das Recht, über Unterauftragsverarbeiter und andere Dritte, die auf ihre personenbezogenen Daten zugreifen oder diese verarbeiten, informiert zu werden. Die Nutzer haben außerdem das Recht, über ihre Wahlmöglichkeiten bei der Einwilligung und die Folgen einer Verweigerung der Einwilligung informiert zu werden.

• Widerruf. Der Nutzer hat das Recht, seine Einwilligung zu widerrufen oder zurückzunehmen.

• Beschwerde einreichen. Nutzer haben das Recht, sich bei der Datenschutzbehörde (DPA) zu beschweren.

• Einspruch. Nutzer haben das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die gesetzlichen Anforderungen nicht erfüllt sind.

• Überprüfung beantragen. Nutzer haben das Recht, die Überprüfung von Entscheidungen zu verlangen, die ausschließlich auf der Grundlage einer automatisierten Verarbeitung personenbezogener Daten getroffen wurden und ihre Interessen betreffen. Dazu gehören Entscheidungen, die zur Bestimmung ihres personengebundenen, beruflichen, Verbraucher- und Kreditprofils oder der Aspekte ihrer Persönlichkeit verwendet werden.

IV. Einwilligung durch Opt-in

1. Definition

Die Einwilligung (Artikel 5) wird definiert als die „freie, in Kenntnis der Sachlage und unmissverständliche Äußerung, mit der die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck einwilligt“. Die Begriffe „frei, in Kenntnis der Sachlage und unmissverständlich“ sind auch in anderen Datenschutzgesetzen grundlegend für die Definition einer wirksamen Einwilligung.

2. Anforderungen und Bedingungen zur Einwilligung nach dem LGPD

In Artikel 8 werden die Bedingungen für die Erlangung, die erneute Erlangung und den Nachweis des Erhalts der Einwilligung sowie die Bedingungen für den Widerruf der Einwilligung dargelegt. Gemäß LGPD muss die Möglichkeit des Widerrufs bzw. der Rücknahme der Einwilligung durch den Nutzer muss jederzeit gegeben sein.

Hierfür wird ein Opt-in Modell für das Einwilligungsmanagement verwendet, was bedeutet, dass Unternehmen Daten erst dann erfassen oder verarbeiten können, wenn der Nutzer dem zustimmt. Diese Anforderung gilt sowohl für personenbezogene Daten wie Namen und E-Mail-Adressen als auch für detaillierte erhobene Daten, wie sie von Website-Cookies erfasst werden. Auf internationaler Ebene setzen auch andere Gesetze wie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und POPIA in Südafrika dieses Modell der Einwilligung ein.

Das LGPD enthält wie viele andere Datenschutzgesetze auch besondere Bestimmungen für Kinder und ihre Daten (Artikel 14). In Bezug auf die Einwilligung von Kindern unter 18 Jahren müssen Sie die ausdrückliche und eindeutige Einwilligung eines Elternteils oder Erziehungsberechtigten einholen. Sie müssen alle angemessenen Anstrengungen unternehmen (unter Verwendung verfügbarer Technologie), um zu überprüfen, ob die Person, die die Einwilligung erteilt, tatsächlich die elterliche Verantwortung für das Kind hat.

3. Ausnahmeregelungen in Bezug auf die Einwilligung

a. Öffentlich verfügbare Daten

Vor der LGPD-Gesetzgebung war es Unternehmen erlaubt, personenbezogene Daten, die über das Internet oder eine andere öffentliche Quelle veröffentlicht wurden, aus beliebigen Gründen zu erfassen und zu verarbeiten; nach dem LGPD ist dies jedoch nicht mehr erlaubt.

Gemäß den LGPD-Richtlinien dürfen öffentliche personenbezogene Daten nur auf zwei Arten erhoben und verwendet werden:

• für denselben Zweck, für den die Daten ursprünglich verarbeitet wurden – in diesem Fall ist die Einwilligung des Nutzers nicht erforderlich; oder

• für einen anderen Zweck und zwar ausschließlich dann, wenn Sie, der Verantwortliche für die Datenverarbeitung, legitimerweise eine gültige Rechtsgrundlage für die Verarbeitung anwenden können (mehr dazu unten).

Hinweis: Aufgrund der obigen Ausführungen wird das „Scraping“ oder die Erfassung öffentlich verfügbarer Daten für Marketingzwecke usw. durch das LGPD wahrscheinlich eingeschränkt werden.

b. Sensible Daten

Wenn es um die Verarbeitung sensibler Daten geht, kann die Einwilligung nur dann umgangen werden, wenn diese Verarbeitung absolut notwendig ist für:

• Erfüllung einer gesetzlichen Verpflichtung, die dem Verantwortlichen für die Datenverarbeitung obliegt;

• gemeinsame Verarbeitung, die für die öffentliche Verwaltung erforderlich ist, um gesetzliche oder regulatorische öffentliche Dokumente auszuführen;

• Durchführung von Studien durch eine Forschungseinrichtung – wobei, wann immer möglich, sichergestellt wird, dass die sensiblen personenbezogenen Daten anonymisiert werden;

• der Schutz des Lebens oder der körperlichen Sicherheit des Nutzers oder eines Dritten;

• Gesundheitsschutz, ausschließlich, in Verfahren, die von Angehörigen der Gesundheitsberufe, Gesundheitsdiensten oder einer Gesundheitsbehörde durchgeführt werden;

• die gesundheitliche Überwachung in einem Verfahren, das von Angehörigen der Gesundheitsberufe oder Gesundheitseinrichtungen durchgeführt wird;

• die reguläre Ausübung von Rechten – einschließlich vertraglicher, gerichtlicher, administrativer sowie über Schiedsverfahren gewährter Rechte; oder

• Betrugsprävention und Sicherheit des Nutzers (z.B. zur Identifizierung und Authentifizierung der Registrierung in elektronischen Systemen) – soweit die Rechte der Nutzer geschützt sind und nicht Rechte und Freiheiten des Nutzers überwiegen.

c. Daten von Kindern

Gemäß LGPD gelten Ausnahmen vom Erfordernis der Einwilligung zur Verarbeitung der Daten von Kindern unter 12 Jahren, wenn die Verarbeitung erforderlich ist, um mit den Eltern oder Erziehungsberechtigten Kontakt aufzunehmen oder das Kind zu schützen. Die Daten dürfen nur einmal verwendet und nicht gespeichert werden, bzw. dürfen nicht ohne die entsprechende Einwilligung an Dritte weitergegeben werden.

V. Wer ist vom Datenschutzgesetz LGPD betroffen? Territorialer Geltungsbereich der LGPD

Wie oben bereits erwähnt, bezieht sich das LGPD auf Personen mit Wohnsitz in Brasilien. Somit muss jedes Unternehmen, das mit brasilianischen Kunden, Mitarbeitenden, Dienstleistern, Geschäftspartnern oder Auftragnehmern interagiert und direkt oder indirekt Daten von ihnen sammelt, dafür sorgen, dass die Verarbeitung ihrer Daten in vollem Umfang mit dem Gesetz übereinstimmt. Dies gilt auch für Unternehmen oder Websites, die überall auf der Welt tätig sind, da der Standort Ihres Unternehmens nicht relevant ist (Artikel 3). Auch in anderen internationalen Datenschutzgesetzen ist diese Bestimmung der Extraterritorialität üblich (z.B. DSGVO oder CCPA).

Konkret heißt das, dass das LGPD für Sie gilt, wenn:

• Ihre Datenverarbeitungsaktivitäten in Brasilien durchgeführt werden (z. B. nutzen Sie Server mit Sitz in Brasilien);

• Sie Personen, die sich in Brasilien befinden, Waren oder Dienstleistungen an oder liefern diese liefern, unabhängig von deren Nationalität; oder

• Sie Daten verarbeiten, die sich auf Personen beziehen, die sich in Brasilien befinden (auch wenn sich die Person nur zum Zeitpunkt der Datenerfassung in Brasilien befand und seitdem den Standort gewechselt hat).

Anders als in anderen internationalen Datenschutzgesetzen ist das LGPD nicht auf Unternehmen mit einer bestimmten Größe oder einem bestimmten Umsatz beschränkt.

VI. Welche Anforderungen und Verpflichtungen ergeben sich für Unternehmen?

1. Einführung eines Datenschutzbeauftragten

Gemäß LGPD müssen Sie als Verantwortlicher einen behördlichen Datenschutzbeauftragten ernennen, der für die Einhaltung der Verpflichtungen des Unternehmens verantwortlich ist. Es gibt keine Ausnahmen von dieser Regel.

DSB sind Personen, die für Folgendes verantwortlich sind:

• Entgegennahme von Beschwerden und Mitteilungen von Nutzern, Bereitstellung von Klarstellungen und Ergreifung entsprechender Maßnahmen;

• Schulung und Beratung der Mitarbeiter und Auftragnehmer des Verantwortlichen für die Datenverarbeitung in Bezug auf die Maßnahmen, die zum Schutz der verarbeiteten personenbezogenen Daten ergriffen werden müssen;

• Entgegennahme von Mitteilungen der Datenschutzbehörde ANPD und Verabschiedung entsprechender Maßnahmen; und

• Erfüllung sonstiger Pflichten, „die vom Datenverantwortlichen bestimmt oder in ergänzenden Vorschriften festgelegt werden“.

Artikel 40 regelt die Anforderungen an einen Datenschutzbeauftragten. Es ist nicht erforderlich, dass der Datenschutzbeauftragte eine natürliche Person ist, so dass diese Aufgabe auch von einem Ausschuss oder einer Gruppe wahrgenommen oder vom Unternehmen ausgelagert werden kann. Das Gesetz sieht keine Vorgaben für die Größe eines Unternehmens oder die Art seiner Geschäftstätigkeit oder Datenverarbeitung in Bezug auf die Pflicht zur Bestellung eines DSB vor. Es ist jedoch möglich, dass die ANPD diese Vorgaben im Laufe der Zeit anpasst. 

Gemäß Artikel 41 müssen die Identität und die Daten des DSB öffentlich zugänglich sein. Der DSB muss nicht über besondere Qualifikationen oder Erfahrungen verfügen, obwohl sich auch dies in Zukunft ändern kann und bestimmte Qualifikationen oder Erfahrungen die Erfüllung seiner Aufgaben erleichtern können.

2. Transparenz

Analog der DSGVO ist Transparenz ein Kernprinzip des LGPD; so haben die Nutzer das Recht auf einen erleichterten Zugang zu Informationen über die Verarbeitung ihrer personenbezogenen Daten – die in einer klaren, angemessenen und auffälligen Weise zur Verfügung gestellt werden müssen.

Diese Offenlegungen umfassen:

• den spezifischen Zweck der Verarbeitung;

• die Art der Verarbeitung und die Dauer der Verarbeitung;

• die identifizierenden Details des Verantwortlichen für die Datenverarbeitung;

• die Kontaktinformationen des für die Verarbeitung Verantwortlichen;

• Informationen darüber, mit wem die Daten geteilt werden und warum;

• die Verantwortlichkeiten aller Auftragsverarbeiter oder Beauftragten, die die Verarbeitung durchführen werden;

• die Rechte des Nutzers (der betroffenen Person), mit ausdrücklicher Erwähnung der Nutzerrechte gemäß Art. 18 des LGPD (oben erwähnt), wie diese Rechte ausgeübt werden können und ob personenbezogene Daten verarbeitet werden, um auf eine Anfrage zur Ausübung dieser Rechte zu reagieren.

3. (Grenzüberschreitende) Datenübermittlungen

Artikel 33 legt fest, wann Daten international übermittelt werden dürfen. Wie bereits erwähnt, gilt das LGPD extraterritorial, d. h. wenn sich betroffene Personen zum Zeitpunkt der Datenverarbeitung in Brasilien aufhalten, gilt das LGPD, auch wenn die Verarbeitung außerhalb Brasiliens stattfindet. Dann gilt die Datenübermittlung als erfolgt.

Das LGPD erlaubt die grenzüberschreitende Übermittlung personenbezogener Daten, wenn ein angemessenes Schutzniveau dieser Daten gegeben ist. In der Praxis bedeutet dies, dass die Übertragung erlaubt ist, wenn davon ausgegangen wird, dass das empfangende Land eine Gesetzgebung hat, die ein angemessenes Schutzniveau bietet. Die Beurteilung des Angemessenheitsniveaus des empfangenden Landes oder der internationalen Organisation erfolgt durch die Datenschutzbehörde (Data Protection Authority, DPA).

Wenn das Angemessenheitsniveau nicht erfüllt ist, kann es dennoch möglich sein, die Daten ins Ausland zu übertragen. So können Unternehmen personenbezogene Daten unter den folgenden Bedingungen nach außerhalb Brasiliens übermitteln (z. B. zur Verarbeitung):

1. Der Verantwortliche bietet und gewährleistet die Einhaltung der Grundsätze des LGPD und der Rechte der betroffenen Personen, einschließlich der Vertragsklauseln

2. wenn die Übermittlung für die internationale rechtliche Zusammenarbeit zwischen öffentlichen Nachrichtendiensten, Ermittlungs- und Strafverfolgungsbehörden im Einklang mit dem internationalen Recht erforderlich ist

3. wenn die Übermittlung zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten erforderlich ist

4. wenn die ANPD die Übermittlung genehmigt hat

5. wenn eine internationale Vereinbarung zur Zusammenarbeit besteht, die die Übermittlung ermöglicht

6. wenn die Übermittlung zur Durchführung der öffentlichen Ordnung oder zur rechtlichen Zuordnung der öffentlichen Dienstleistung erforderlich ist

7. wenn die betroffene Person zuvor in Kenntnis der Sachlage ihre Einwilligung zu der Übermittlung und deren Zweck(en) gegeben hat

8. wenn dies zur Erfüllung der Bedingungen der Punkte II, V und VI des Artikels 7 erforderlich ist

9. wenn der für die Datenverarbeitung Verantwortliche die informierte, ausdrückliche, vorherige Einwilligung des Nutzers erhält, die von den anderen Verarbeitungszwecken und –anfragen getrennt sein muss

Bis die ANPD voll funktionsfähig ist und viele Bedingungen des LGPD überprüft hat, sind Unternehmen möglicherweise auf bestimmte Bedingungen für die Datenübermittlung beschränkt (oder auf die Verwendung von nur zwei empfohlenen Bedingungen): die ausdrückliche Einwilligung in Kenntnis der Sachlage oder die Notwendigkeit der Durchführung einer Übermittlung. Das LGPD sieht noch weitere Übermittlungsmechanismen vor, aber die oben genannten sind die für Unternehmen im Rahmen ihrer Geschäftstätigkeit relevanten.

4. Aufzeichnungen der Datenverarbeitungs-Aktivitäten

Gemäß LGPD müssen sowohl die Verantwortlichen der Datenverarbeitung als auch die Auftragsverarbeiter Aufzeichnungen über ihre Aktivitäten zur Verarbeitung personenbezogener Daten führen – insbesondere, wenn die Verarbeitung auf einem “berechtigten Interesse” beruht, wie wir oben bereits erläuterten. Alle Verantwortlichen und Auftragsverarbeiter – unabhängig von Größe, Häufigkeit der Verarbeitung oder Art der verarbeiteten Daten – müssen dieser Aufzeichnungspflicht nachkommen. Ausnahmen können jedoch von der Datenschutzbehörde gewährt werden. 

5. Meldung von Datenschutzverletzungen

Gemäß LGPD müssen die für die Datenverarbeitung Verantwortlichen oder die Auftragsverarbeiter Sicherheits-, technische und administrative Maßnahmen ergreifen, um personenbezogene Daten vor unbefugten Zugriffen und versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, Weitergabe oder jeglicher Art von unrechtmäßiger Verarbeitung zu schützen.

Tritt eine Datenschutzverletzung auf (Artikel 48), muss der für die Verarbeitung Verantwortliche diese innerhalb eines „angemessenen“ Zeitraums an die ANPD melden, sofern sie möglicherweise zu einer Gefährdung oder Schädigung der betroffenen Personen führt oder geführt hat. Die ANPD-Vorgaben aus dem Jahr 2021 besagen, dass diese Informationen innerhalb von zwei Arbeitstagen nach Kenntnisnahme des Zwischenfalls kommuniziert werden müssen. Die für die Daten verantwortliche Person oder das Unternehmen muss den Zwischenfall bewerten und die Art, Kategorie und Anzahl der betroffenen Personen bestimmen. 

Die Benachrichtigung muss mindestens Folgendes enthalten:

• eine Beschreibung der Art der betroffenen personenbezogenen Daten;

• Angaben zu den betroffenen Nutzern;

• Informationen über die technischen und sicherheitstechnischen Maßnahmen, die zum Schutz der Daten eingesetzt werden – unter Wahrung des Geschäfts- und Betriebsgeheimnisses;

• die mit dem Vorfall verbundenen Risiken;

• die Gründe für eine Verzögerung bei der Meldung des Vorfalls an die Datenschutzbehörde (in Fällen, in denen die Benachrichtigung nicht sofort erfolgte); und

• die Maßnahmen, die ergriffen wurden oder werden, um die Auswirkungen des Schadens zu beheben oder zu vermindern.

Die ANPD prüft die Schwere der Zwischenfälle und kann den Verantwortlichen anweisen, erforderlichenfalls Maßnahmen zur Wahrung der Rechte der betroffenen Personen zu ergreifen, einschließlich einer umfassenden Offenlegung des Zwischenfalls gegenüber den Medien oder Maßnahmen zur Abschwächung oder Umkehrung der Auswirkungen des Zwischenfalls.

Die ANPD kann spezielle Regeln und Ausnahmen für das LGPD für Kleinunternehmer, Start-ups und ähnliche Unternehmen erlassen, die für einige Aspekte wie die Kommunikation von Sicherheitszwischenfällen an die ANPD und betroffene Personen oder Fristen für die Beantwortung von Anfragen der betroffenen Personen oder der ANPD eine gewisse Flexibilität bieten würden.

6. Datenschutz-Folgenabschätzung (DPIA)

Eine Datenschutz-Folgenabschätzung ist ein Prozess, der dem für die Datenverarbeitung Verantwortlichen dabei hilft, die Anforderungen des Datenschutzes zu erfüllen – und der sicherstellt, dass die wichtigsten Grundsätze effektiv eingehalten werden.

Gemäß dem LGPD enthält die DPIA-Dokumentation im Allgemeinen die Beschreibung der Aktivitäten der Verarbeitung personenbezogener Daten, die Risiken für die Bürgerrechte und -freiheiten erzeugen könnten, sowie Maßnahmen, Schutzmaßnahmen und Mechanismen zur Minderung dieses Risikos.

Das DPIA-Dokument muss mindestens Folgendes enthalten:

• eine Beschreibung der Kategorien der verarbeiteten Daten;

• die Methoden, die zur Erfassung der Daten verwendet werden;

• die verwendeten Sicherheitsmaßnahmen; und

• eine Beschreibung der Maßnahmen, die zur Minderung der mit der Verarbeitung der personenbezogenen Daten verbundenen Risiken eingesetzt werden.

Das Gesetz gibt nicht ausdrücklich an, wann eine Datenschutzfolgenabschätzung erforderlich ist, aber die Datenschutzbehörde kann jederzeit verlangen, dass eine Datenschutzfolgenabschätzung durchgeführt und von dem für die Datenverarbeitung Verantwortlichen vorgelegt wird.

7. Datenschutz-Management-Programm zur Einhaltung des LGPD

Das LGPD schreibt vor, dass sowohl die für die Datenverarbeitung Verantwortlichen als auch die Auftragsverarbeiter interne Prozesse und Dokumente einrichten müssen, die die Einhaltung des Gesetzes sicherstellen. Dazu gehören ein Datenschutz-Überwachungs-Programm und Maßnahmen, die dessen Wirksamkeit belegen.

Das Überwachungsprogramm sollte mindestens Folgendes beinhalten:

• die Verpflichtung des für die Verarbeitung Verantwortlichen zeigen, die Einhaltung von Regeln und bewährten Verfahren sicherzustellen;

• auf den gesamten Umfang der personenbezogenen Daten, die sich unter der Kontrolle des jeweiligen Auftragsverarbeiters befinden, anwendbar sein – unabhängig von den Mitteln, die zur Erfassung der Daten verwendet werden;

• an die besondere Struktur, den Umfang und das Volumen der Vorgänge sowie an die Sensibilität der verarbeiteten Daten angepasst sein;

• angemessene Dokumente und Schutzmaßnahmen einführen, die auf einem Prozess der systematischen Bewertung der Auswirkungen auf und Risiken für die Privatsphäre basieren;

• haben den Zweck, durch ein Vertrauensverhältnis zum Nutzer zu schaffen;

• sicherstellen, dass Mechanismen zur Beteiligung des Nutzers in die allgemeine Governance-Struktur des Programms integriert sind, und interne und externe Überwachungsmechanismen einrichten und anwenden;

• über Pläne und Lösungen verfügen, um auf Vorfälle zu reagieren; und

• ständig auf der Grundlage von Informationen aktualisiert werden, die aus der kontinuierlichen Überwachung und regelmäßigen Bewertungen gewonnen werden.

Der für die Datenverarbeitung Verantwortliche muss in der Lage sein, die Effektivität seines Datenschutzprogramms bei Bedarf unter Beweis zu stellen – insbesondere, wenn er von der nationalen Behörde dazu aufgefordert wird.

8. Nachverarbeitungstätigkeiten gemäß dem brasilianischen Datenschutzgesetz

Beendigung der Datenverarbeitung

Artikel 15 legt fest, wann die Verarbeitung personenbezogener Daten zu beenden ist. Dies gilt unter anderem, wenn:

• der spezifische Zweck der Verarbeitung verwirklicht wurde oder die Daten zur Erfüllung dieses Zwecks nicht mehr benötigt werden

• der Zeitraum der Verarbeitung endet

• die betroffene Person von ihrem Recht Gebrauch macht, ihre Einwilligung zur Verarbeitung zu widerrufen

• die ANPD feststellt, dass ein Verstoß gegen die Bestimmungen des LGPD vorliegt

Löschung personenbezogener Daten

Die Löschung der erhobenen personenbezogenen Daten ist gemäß der Beendigung der Verarbeitung in Artikel 16 geregelt. Im Allgemeinen müssen personenbezogene Daten nach Beendigung der Verarbeitung gelöscht werden. Ausnahmen hiervon, wenn die Daten nicht sofort gelöscht werden, sind:

• zur Erfüllung der gesetzlichen oder behördlichen Verpflichtung des Verantwortlichen

• für Forschungszwecke, wobei nach Möglichkeit eine Anonymisierung gewährleistet sein muss

• Übermittlung an Dritte, sofern die gesetzlichen Bestimmungen hierfür eingehalten werden

• ausschließliche Verwendung durch den Verantwortlichen, sofern die Daten anonymisiert sind und kein Zugriff durch Dritte erfolgt

VII. Ausnahmen vom Geltungsbereich des brasilianischen Datenschutzgesetzes

Artikel 4 legt fest, wann das LGPD nicht anwendbar ist. Dies ist z. B. der Fall, wenn die Verarbeitung personenbezogener Daten:

1. ausschließlich zu privaten, gemeinnützigen Zwecken erfolgt

2. ausschließlich zu journalistischen, künstlerischen und/oder akademischen Zwecken durchgeführt wird

3. ausschließlich zum Zweck der öffentlichen und staatlichen Sicherheit, der Landesverteidigung oder der Ermittlung und Verfolgung von Straftaten erfolgt

4. von außerhalb Brasiliens erfolgt und nicht Gegenstand der Kommunikation oder des Austauschs mit brasilianischen Datenverarbeitungsbeauftragten oder Gegenstand einer internationalen Übermittlung in ein anderes Land als das Herkunftsland ist (vorausgesetzt, das Herkunftsland bietet ein angemessenes Maß an Datenschutz)

IX. Welche Konsequenzen drohen Unternehmen bei Nichteinhaltung des LGPD?

Wenn das LGPD gilt, sind die Risiken einer Nichteinhaltung beträchtlich. Wie oben bereits erläutert ist die nationale Datenschutzbehörde ANPD für die Beurteilung von Verstößen und die Verhängung von Sanktionen zuständig, wenn die Bestimmungen des LGPD nicht eingehalten wurden.

Diese Sanktionen können Geldstrafen von bis zu 2 Prozent des Jahresumsatzes des Unternehmens in Brasilien umfassen bzw. bis zu einem Höchstbetrag von 50 Millionen BRL pro Verstoß (ca. 8-9 Millionen EUR oder ca. 9-10 Millionen USD). Die meisten Unternehmen können sich diese hohen Strafen nicht leisten.

Streng sind aber auch die nicht-monetären Sanktionen:

• Veröffentlichung des Verstoßes

• Sperrung oder Löschung der Verarbeitungstätigkeiten oder der personenbezogenen Daten, auf die sich der Verstoß bezieht (Beispiel: Wenn der Verstoß in Bezug auf die Erfassung von E-Mail-Adressen auftrat, kann das den Verlust der gesamten zugehörigen E-Mail-Liste bedeuten.)

• Sperrung der Datenbank (für bis zu 6 Monate), die mit dem Vorfall in Verbindung steht, was alle anderen Aktivitäten pausieren kann, die die besagte Datenbank nutzen könnten

Darüber hinaus stattet das LGPD (wie die DSGVO) Verbraucher mit einem privaten Klagerecht aus; dem Recht, zivilrechtlichen Schadenersatz (finanziell oder moralisch) für die Verletzung des Datenschutzgesetzes zu verlangen. Gemäß Artikel 42 ist ein Verantwortlicher, der gegen das LGPD verstößt („vermögensrechtlicher, moralischer, individueller oder kollektiver Schaden“), somit verpflichtet, den Schaden zu beheben.

X. Wie erreiche ich LGPD Compliance?

Zusammenfassend halten wir fest, was Sie in die Wege leiten sollten, um LGPD konform zu handeln:

• Ernennen Sie einen Datenschutzbeauftragten, um die Datenverarbeitung und -sicherheit zu überwachen, und veröffentlichen Sie deutlich deren Namen und Kontaktdaten auf Ihrer Website.

• Richten Sie ein Opt-In-Modell ein und fragen Sie nach der Einwilligung. Seien Sie klar, aktiv kommunizierend und transparent, wie und warum Kundendaten verarbeitet werden, und erleichtern Sie das Einwilligen bzw. Ablehnen.

• Speichern Sie Daten nur so lange, wie sie für die Abwicklung einer Transaktion benötigt werden, und nicht länger.

• Dokumentieren Sie Ihren gesamten Verarbeitungsprozess bzw. wie Sie personenbezogene Daten sammeln, speichern, verwenden und teilen. Denn die ANPD kann Sie auffordern, diese Dokumentation vorzulegen.

• Verhindern Sie mögliche Verstöße präventiv, um die Sperrung oder den Verlust von Daten (-banken) und kostspielige Rechtsverfahren zu vermeiden.

XI. LGPD-Konformität durch eine Consent Management Platform (CMP)

Das LGDP ist bereits ein wirksames Gesetz, das den Missbrauch personenbezogener Daten verhindert, indem es regelt, wie Unternehmen und Organisationen personenbezogene Daten erheben, nutzen und verarbeiten dürfen. Es ist entscheidend, dass Sie die Verarbeitung personenbezogener Daten in Ihrem Unternehmen bewerten und wissen, wie die Anforderungen des LGPD auf Sie zutreffen.

Wir von DWC helfen Ihnen gerne, herauszufinden, welche der Bestimmungen des LGPD für Ihr Unternehmen gelten – auch vor möglichen Gesetzesänderungen in der Zukunft, die beim Datenschutz üblich sind. Machen Sie jetzt einen Termin für eine kostenlose Erstberatung!

Gesetzesquelle: https://lgpd-brazil.info/chapter_01/article_02