Wenn Sie in Brasilien arbeiten oder sich mit Ihren Dienstleistungen an Einwohner des Landes wenden, fällt Ihr Unternehmen möglicherweise unter die gesetzlichen Bestimmungen des Lei Geral de Proteção de Dados(LGPD).
Das brasilianische Datenschutzgesetz ähnelt der europäischen Datenschutz-Grundverordnung (DSGVO) und verlangt von Ihnen den Nachweis einer rechtmäßigen Grundlage für die Erhebung personenbezogener Daten.
Im Folgenden erfahren Sie mehr über die Anforderungen der LGPD, die Auswirkungen auf Unternehmen und Verbraucher sowie die Strafen bei Verstößen gegen dieses Gesetz.
- Was ist das brasilianische allgemeine Datenschutzgesetz (LGPD)?
- Allgemeines Datenschutzgesetz Brasiliens Wichtige Begriffe und Definitionen
- Was deckt das allgemeine brasilianische Datenschutzgesetz ab?
- Anforderungen des LGPD
- LGPD vs. Globale Datenschutzgesetze: Gemeinsamkeiten und Unterschiede
- Wie wirkt sich das allgemeine brasilianische Datenschutzgesetz auf die Verbraucher aus?
- Wie wirkt sich das allgemeine brasilianische Datenschutzgesetz auf Unternehmen aus?
- Wer muss das allgemeine Datenschutzgesetz Brasiliens einhalten?
- Wie können sich Unternehmen auf die LGPD vorbereiten?
- Wie wird die LGPD durchgesetzt?
- Bußgelder und Strafen nach der LGPD
- Wie hilft Termly bei der Einhaltung der LGPD?
- Gibt es in Brasilien weitere Gesetze zum Datenschutz?
- Zusammenfassung
Was ist das brasilianische Allgemeine Datenschutzgesetz (LGPD)?
Das brasilianische Allgemeine Datenschutzgesetz, Lei Geral de Proteção de Dados(LGPD), ist das wichtigste umfassende Gesetz zum Schutz der Verbraucherdaten in Brasilien.
Es beschreibt die verschiedenen Anforderungen, die Unternehmen erfüllen müssen, um personenbezogene Daten von Internetnutzern in Brasilien rechtmäßig zu sammeln, zu verarbeiten und zu nutzen, und beschreibt die Strafen für diejenigen, die gegen das Gesetz verstoßen.
Die LGPD ist offiziell auf Portugiesisch verfügbar, aber die IAPP hat eine gute inoffizielle englische Übersetzung des Gesetzes.
Wann ist die LGPD in Kraft getreten?
Das brasilianische Datenschutzgesetz wurde im Jahr 2018 verabschiedet und trat am 18. September 2020 in Kraft.
Allgemeines Datenschutzgesetz Brasiliens Wichtige Begriffe und Definitionen
Im Folgenden finden Sie einige wichtige Begriffe und Definitionen aus dem brasilianischen Datenschutzgesetz in englischer Übersetzung.
Was deckt das allgemeine brasilianische Datenschutzgesetz ab?
Das allgemeine brasilianische Datenschutzgesetz gilt für die personenbezogenen Daten von Personen in Brasilien, unabhängig davon, ob sie im Land ansässig sind oder nicht.
Der Schutz ist nicht auf digitale Daten beschränkt, sondern gilt auch für personenbezogene Daten, die offline und persönlich erhoben wurden.
Anforderungen des LGPD
Lassen Sie uns die wichtigsten Anforderungen des brasilianischen Datenschutzgesetzes erörtern.
Rechtmäßige Grundlage für die Verarbeitung von Daten
Gemäß Artikel 7 der LGPD dürfen Organisationen nur dann personenbezogene Daten von Nutzern sammeln, wenn dies für eine der folgenden Rechtsgrundlagen angemessen und notwendig ist:
- Mit Zustimmung des Nutzers
- Zur Erfüllung eines Vertrags mit dem Nutzer
- Zur Erfüllung gesetzlicher Verpflichtungen
- Bei berechtigtem Interesse
- Zur Durchführung von Studien durch eine Forschungseinrichtung
- Maßnahmen zur Betrugsprävention
- Maßnahmen zum Schutz des Kredits
- Zum Schutz des Lebens oder der Sicherheit der betroffenen Person
Es liegt in der Verantwortung des für die Verarbeitung Verantwortlichen, die Rechtmäßigkeit seiner Rechtsgrundlage für die Erhebung der personenbezogenen Daten nachzuweisen.
Zustimmung
Die Definition des Begriffs "Einwilligung" in der LGPD ähnelt der in der EU DSGVO und muss in jedem Fall gegeben sein:
- Freigegeben
- Informiert
- Aktiv
- Unzweideutig
Sie müssen die Zustimmung der Nutzer einholen und ihnen die Möglichkeit geben, ihre Meinung jederzeit zu ändern, um die Zustimmung als rechtmäßige Grundlage für die Datenverarbeitung zu nutzen.
Außerdem wird die Einwilligung häufig als Voraussetzung für die Erhebung sensibler personenbezogener Daten von Nutzern in Brasilien missverstanden.
In der LGPD werden jedoch mehrere andere Rechtsgrundlagen für eine solche Verarbeitung genannt, wobei betont wird, dass es unter diesen Rechtsgrundlagen keine Rangordnung gibt.
Die Grundprinzipien
Die LGPD umreißt zehn Grundprinzipien, die die betroffenen Einrichtungen in ihre Datenerhebungs- und -verarbeitungsaktivitäten integrieren müssen, darunter die folgenden:
- Zweck
- Angemessenheit
- Notwendigkeit
- Freier Zugang
- Qualität der Daten
- Transparenz
- Sicherheit
- Prävention
- Nicht-Diskriminierung
- Rechenschaftspflicht
Diese Grundprinzipien ähneln in Umfang, Ausmaß und Definition der Website DSGVO .
Zeitplan für die Datenaufbewahrung
Artikel 40 der LGPD besagt, dass Organisationen Daten nur so lange aufbewahren dürfen, wie es für die Erfüllung des Zwecks der Datenerhebung, wie sie dem Nutzer präsentiert wird, erforderlich ist.
Das Gesetz gibt zwar keinen konkreten Zeitraum an, aber es besagt, dass die Verarbeitung nicht fortgesetzt werden kann, wenn der ursprüngliche Zweck erfüllt ist.
Datenschutz-Bewertungen
Die brasilianische Datenschutzbehörde kann von den für die Datenverarbeitung Verantwortlichen aus verschiedenen Gründen die Durchführung von Datenschutzbewertungen verlangen.
Die Bewertung muss zumindest die Art der von den Nutzern gesammelten Informationen und die Sicherheitsmaßnahmen berücksichtigen, mit denen die Daten geschützt werden.
Internationale Datenübertragungen
Am 15. August 2023 hat die brasilianische Datenschutzbehörde Autoridade Nacional de Proteção de Dados(ANPD) einen Entschließungsentwurf zur Regelung des internationalen Datentransfers und zu den Mustern für Standardvertragsklauseln vorgelegt.
Das vorläufige Dokument forderte die Öffentlichkeit zu Beiträgen auf, um das Regelungsumfeld für den internationalen Verkehr von personenbezogenen Daten aus Brasilien zu gestalten.
Sie ist Teil von Punkt 4 der ANPD-Regelungsagenda für den Zeitraum 2023/2024.
Der Verordnungsentwurf befasst sich mit kritischen Aspekten wie den Definitionen des internationalen Datentransfers, des Exporteurs, des Importeurs und anderer Schlüsselbegriffe:
- Umreißt die Voraussetzungen für die Durchführung internationaler Übermittlungen von personenbezogenen Daten
- legt die Pflichten der Datenverarbeitungsbeauftragten fest
- Erörtert verschiedene Übertragungsmodalitäten sowie die Anwendung von Standardvertragsklauseln
Ziel der Einführung dieser Standardklauseln ist es, einen strukturierten und sicheren Rahmen für den internationalen Datenaustausch zu schaffen, der gewährleistet, dass personenbezogene Daten, die aus Brasilien übermittelt werden, im Einklang mit den Grundsätzen des LGPD geschützt werden.
Diese Entwicklung ist insofern von Bedeutung, als sie darauf abzielt, die brasilianischen Datenschutzstandards an die weltweite Praxis anzugleichen und den Unternehmen klare Leitlinien für die Einhaltung der Vorschriften zu bieten.
LGPD vs. Globale Datenschutzgesetze: Gemeinsamkeiten und Unterschiede
Brasilien ist eines von mehreren Ländern, die durch ein Datenschutzgesetz geschützt sind, und es weist einige Gemeinsamkeiten mit allen folgenden Ländern auf:
- Das kalifornische Verbraucherschutzgesetz(CCPA)
- Die europäische Datenschutz-Grundverordnung (DSGVO)
- Das argentinische Gesetz zum Schutz personenbezogener Daten(Argentina PDPA)
- Kanadas Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA)
- Südafrikas Gesetz zum Schutz persönlicher Daten(POPIA)
- Thailands Gesetz zum Schutz persönlicher Daten(PDPA)
- Australisches Datenschutzgesetz von 1988(das Datenschutzgesetz)
- Neuseelands Datenschutzgesetz 2020
Vergleichen Sie die LGPD mit den anderen globalen Datenschutzgesetzen in der nachstehenden Tabelle.
| Datenschutzgesetz | Erfordert Opt-in-Zustimmung* | Verlangt die Veröffentlichung einer Datenschutzrichtlinie | Darstellung der vertraglichen Verpflichtungen gegenüber Dritten | Zieht Unternehmen für die Datensicherheit zur Verantwortung | Hat spezifische Anforderungen für internationale Datenübertragungen | Erfordert zusätzliche Leitlinien für Kategorien von sensiblen (besonderen) Informationen |
| Thailand PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentinien PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| DSGVO | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Datenschutzgesetz von 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Datenschutzgesetz 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Mit einigen Ausnahmen für bestimmte Gesetze.
Wie wirkt sich das allgemeine brasilianische Datenschutzgesetz auf die Verbraucher aus?
Nach der brasilianischen LGPD haben die Verbraucher mehr Kontrolle darüber, wie ihre personenbezogenen Daten von externen Stellen erfasst und verwendet werden, wie in Artikel 18 erläutert.
Sie gewährt ihnen das Recht dazu:
- Übertragbarkeit von Daten
- darüber informiert werden, wie ihre Daten verwendet werden, wer sie verarbeitet und zu welchem Zweck
- die Zustimmung zur Datenverarbeitung jederzeit widerrufen
- Widerspruch gegen die Verarbeitung ihrer Daten für Direktmarketing, automatisierte Entscheidungsfindung oder Profiling
- Überprüfung von Entscheidungen, die ausschließlich auf einer automatisierten Entscheidungsfindung beruhen
Die betroffenen Unternehmen müssen den Aufforderungen der Verbraucher nachkommen, diese Rechte wahrzunehmen, oder sie riskieren harte Strafen.
Für wen gilt die LGPD?
Die LGPD gilt für die personenbezogenen Daten aller Personen in Brasilien, unabhängig von ihrer Staatsangehörigkeit.
Sie schützt Informationen, die von Einrichtungen online und offline gesammelt werden, und deckt sogar einige öffentlich zugängliche Informationen ab.
Die folgende Datenerhebung ist jedoch von den Anforderungen des brasilianischen Datenschutzgesetzes ausgenommen:
- Daten, die für persönliche oder haushaltsbezogene Tätigkeiten verarbeitet werden
- Daten, die für künstlerische, wissenschaftliche, journalistische oder literarische Zwecke verarbeitet werden
- Daten, die für die öffentliche Sicherheit, die nationale Verteidigung oder strafrechtliche Ermittlungen verwendet werden
- Die Verarbeitung von anonymisierten Daten, die keine Identifizierung einer Person ermöglichen
Wie wirkt sich das allgemeine brasilianische Datenschutzgesetz auf Unternehmen aus?
Neben den oben erwähnten Rechtsgrundlagen, Datenschutzbewertungen und Aufbewahrungsrichtlinien hat die brasilianische LGPD auch Auswirkungen auf die Datenschutz- und Cookie-Richtlinien der Unternehmen.
Wie wirkt sich die LGPD auf meine Datenschutzrichtlinie aus?
Das brasilianische Datenschutzgesetz wirkt sich auf Ihre Datenschutzpolitik aus, indem es die folgenden, in Artikel 9 aufgeführten Angaben verlangt:
- Ihr Zweck für die Verarbeitung der Daten
- die Art der Datenverarbeitung und die Dauer der Verarbeitung
- Ihre Unternehmensidentität und Kontaktinformationen
- Angaben darüber, an wen die Daten weitergegeben werden und warum
- Die Verantwortlichkeiten eines jeden Datenverarbeiters bei der Datenverarbeitung
- Welche Rechte die Nutzer an den Daten haben und wie sie diese ausüben können
Wie wirkt sich die LGPD auf meine Cookie-Richtlinie aus?
Die Transparenzanforderungen der brasilianischen LGPD wirken sich auf Ihre Cookie-Richtlinie aus, da Sie verpflichtet sind, den Nutzern klar und deutlich zu erklären:
- Welche Cookies werden verwendet?
- Warum sie verwendet werden
- Welche Daten die Cookies sammeln
- Welche Rechte die Nutzer über die Cookies haben
- Wie man diese Rechte ausübt
Vergewissern Sie sich, dass alle diese Informationen in Ihrer Cookie-Richtlinie erscheinen, die Sie in einer Klausel in Ihrer Datenschutzrichtlinie verlinken sollten, damit die Nutzer leicht auf diese Details zugreifen können.
Wer muss das allgemeine Datenschutzgesetz Brasiliens einhalten?
Die folgenden Arten von Unternehmen müssen die brasilianische LGPD einhalten:
- Jede in Brasilien tätige Organisation, einschließlich gemeinnütziger und staatlicher Einrichtungen, die über personenbezogene Daten verfügen.
- Jede Organisation mit Sitz außerhalb Brasiliens, die personenbezogene Daten von Personen im Land verarbeitet, auch wenn die Verarbeitung selbst außerhalb Brasiliens stattfindet.
Insgesamt hat das Gesetz einen sehr breiten Anwendungsbereich und gilt für Organisationen auf der ganzen Welt.
Wer ist von Brasiliens allgemeinem Datenschutzgesetz ausgenommen?
Die einzigen Ausnahmen von Brasiliens allgemeinem Datenschutzgesetz sind:
- Personen, die personenbezogene Daten für persönliche oder häusliche Zwecke verarbeiten.
- Daten, die zu künstlerischen oder wissenschaftlichen Zwecken verarbeitet werden.
- Angelegenheiten der öffentlichen Sicherheit, für die andere Regeln gelten, wie z. B. Behörden.
Wie können sich Unternehmen auf die LGPD vorbereiten?
Um sich auf die Einhaltung der LGPD vorzubereiten, müssen Unternehmen ihre Datenschutz- und Cookie-Richtlinien aktualisieren, um alle im Gesetz beschriebenen Transparenz- und Benachrichtigungsanforderungen zu erfüllen.
Sie müssen auch Ihre Rechtsgrundlage für die Erhebung personenbezogener Daten festlegen und eine consent management platform (CMP) verwenden, um eine angemessene Zustimmung der Nutzer einzuholen, wenn dies einer Ihrer Zwecke für die Verarbeitung von Informationen ist.
Fügen Sie Ihrer Website ein DSAR-Formular (Data Subject Access Request ) hinzu, damit die Nutzer ihre Rechte gemäß diesem Gesetz leicht wahrnehmen können.
Stellen Sie schließlich sicher, dass Sie geeignete Verträge verwenden, wenn Sie mit Datenverarbeitern zusammenarbeiten, und führen Sie bei Bedarf Datenschutzbewertungen durch.
Wie wird die LGPD durchgesetzt?
Die brasilianische Datenschutzbehörde, die Autoridade Nacional de Proteção de Dados(ANPD), setzt alle Aspekte des Gesetzes durch.
Sie sind für die Überwachung und Durchsetzung aller Konsequenzen bei Verstößen zuständig, was die Durchführung von Ermittlungen und die Ausstellung von Verwarnungen und Bußgeldbescheiden einschließt.
Bußgelder und Strafen nach der LGPD
Geldbußen für Verstöße gegen die LGPD können bis zu 2 % des Jahresumsatzes eines Unternehmens in Brasilien betragen.
Darüber hinaus haben Einzelpersonen das Recht, Zivilklagen zu erheben, wenn sie aufgrund eines Verstoßes einer Organisation gegen die LGPD materielle oder moralische Schäden erleiden.
Wie hilft Termly bei der Einhaltung der LGPD?
Die Consent Management Platform (CMP) von Termly kann so konfiguriert werden, dass sie die Opt-out-Anforderungen des brasilianischen Datenschutzgesetzes in Bezug auf Cookies für gezielte Werbung erfüllt.
Darüber hinaus arbeitet unser Team derzeit an einer Aktualisierung unseres Datenschutzerklärung Generator, so dass es bald die notwendigen Klauseln enthalten wird, um Unternehmen bei der Einhaltung der brasilianischen LGPD zu unterstützen.
Updates brauchen ihre Zeit, aber die Nutzer von Termly werden per E-Mail informiert, sobald die Änderungen offiziell in Kraft sind.
Unser Datenschutzerklärung Generator ist in wenigen Minuten ausgefüllt und erstellt auf der Grundlage Ihrer Antworten auf einfache Fragen zu Ihrem Unternehmen eine umfassende Police.
Es ist einfach zu bedienen, bequem, schnell und wird von unserem Rechtsteam und unseren Datenschutzexperten unterstützt.
Gibt es in Brasilien weitere Gesetze zum Datenschutz?
Neben dem LGPD gibt es in Brasilien noch mehrere andere Gesetze zum Schutz der Privatsphäre, darunter die folgenden:
- Marco Civil da Internet: Dieses Gesetz legt die Grundsätze für die Nutzung des Internets in Brasilien fest.(Quelle)
- Código de Defesa do Consumidor: Dieser Kodex enthält Bestimmungen, die Treu und Glauben und Transparenz in den Beziehungen zum Verbraucher vorschreiben.(Quelle)
- Estatuto da Criança e do Adolescente: Dieses Gesetz enthält Bestimmungen zum Schutz der personenbezogenen Daten von Kindern und Jugendlichen.(Quelle)
Zusammenfassung
Wenn Ihr Unternehmen Daten von Nutzern in Brasilien sammelt, sollten Sie sicherstellen, dass Sie die LGPD einhalten:
- Aktualisieren Sie Ihre Datenschutz- und Cookie-Richtlinien, um alle Transparenz- und Benachrichtigungsanforderungen zu erfüllen.
- Stellen Sie sicher, dass Sie bei Bedarf eine angemessene Zustimmung von den Nutzern einholen, indem Sie eine kompatible Consent Management Platform einsetzen.
- Wenn Sie sensible Daten sammeln, führen Sie die entsprechenden Datenschutzbewertungen durch.
- Verwenden Sie konforme Verträge mit allen Datenverarbeitern oder für die Verarbeitung Verantwortlichen, mit denen Sie zusammenarbeiten.
Wie lässt sich die Einhaltung von Datenschutzbestimmungen am einfachsten vereinfachen? Holen Sie sich Hilfe von Termly!
Informieren Sie sich über unser umfassendes Angebot an Compliance-Lösungen und schützen Sie Ihr Unternehmen und Ihre Kunden.
Mehr über die Autorin
Geschrieben von Heloisa Valdívia, CIPM
Als Certified Information Privacy Manager (CIPM) und erfahrene Datenschutzberaterin ist Heloísa mit der Datenschutzbranche bestens vertraut. Mit ihrer Leidenschaft für den Schutz von Daten und die Einhaltung von Vorschriften bietet sie wertvolle Einblicke und praktische Anleitungen, um die Komplexität von Datenschutzvorschriften und bewährten Verfahren zu bewältigen. Mehr über die Autorin
