Was ist das LGPD – Brasiliens allgemeines Datenschutzgesetz?

Wie andere Datenschutzgesetze schafft auch das LGPD einen rechtlichen Rahmen für die Steuerung der Erhebung und Verwendung personenbezogener Daten. Es handelt sich jedoch nicht nur um eine Kopie der DSGVO, die sich in mehreren wesentlichen Punkten unterscheidet.

Im Folgenden erörtern wir die Grundlagen des LGPD und die Auswirkungen auf Unternehmen, die innerhalb und außerhalb Brasiliens tätig sind.

Zuvor gab es in Brasilien mehr als 40 Bundesgesetze, die personenbezogene Daten regeln. Primäres Ziel des LGPD war es, diese verschiedenen Gesetze in einem einzigen übergeordneten Rechtsrahmen für den Datenschutz zusammenzufassen.

Auf diese Weise wollte der brasilianische Gesetzgeber die Kontrolle und die Rechte der brasilianischen Bürger über ihre personenbezogenen Daten verbessern. Aber auch, um das komplexe Geflecht früherer Gesetze zu vereinfachen und das regulatorische Umfeld für internationale und inländische Unternehmen zu erleichtern.

Diejenigen, die bereits DSGVO-konform sind, werden auch mit dem LGPD konform sein. Es gibt jedoch wesentliche Unterschiede. Das LGPD ist um neun Schlüsselrechte herum organisiert, die zusammen personenbezogene Daten definieren und zehn Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten schaffen.

Die Neun Rechte sind in Artikel 18 des LGPD beschrieben. Darin werden die Rechte brasilianischer Staatsbürger auf Folgendes festgelegt:

1. Bestätigen Sie das Vorhandensein der Verarbeitung ihrer Daten
2. Greifen Sie auf ihre Daten zu
3. Korrigieren unvollständiger, ungenauer oder veralteter Daten
4. Anonymisierung, Sperrung oder Löschung unnötiger oder überschüssiger Daten oder von Daten, die unter Verstoß gegen die Bestimmungen des LGPD verarbeitet wurden
5. Übertragbarkeit von Daten an einen anderen Dienstleister oder Produktanbieter – auf Antrag der betroffenen Person
6. Ihre personenbezogenen Daten löschen
7. Informieren Sie sich über die öffentlichen und privaten Stellen, an die der für die Verarbeitung Verantwortliche personenbezogene Daten weitergegeben hat
8. Informieren Sie sich über die Möglichkeit, die Einwilligung zu verweigern und die Folgen
9. Einwilligung widerrufen

Diese Rechte ähneln im Großen und Ganzen denen, die in der DSGVO beschrieben sind.

Die DSGVO zeichnet sich durch ihre „extraterritorialen Auswirkungen“ aus, die alle Unternehmen weltweit, die sich an EU-Bürger richten, zur Einhaltung verpflichten. Ähnliche Effekte gibt es im LGPD.

In Artikel 3 beschreibt das LGPD die Organisationen, für die das LGPD gilt:

Für diejenigen, die mit der EU-DSGVO vertraut sind, gibt es einige bemerkenswerte Unterschiede. In erster Linie gilt das LGPD nicht nur für die personenbezogenen Daten brasilianischer Staatsbürger, sondern für alle Personen, die sich auf brasilianischem Hoheitsgebiet befinden.

Darüber hinaus hat das LGPD wie die DSGVO einen territorialen Geltungsbereich über die brasilianischen Grenzen hinaus. Jede Organisation, die einer in Brasilien ansässigen Person Waren oder Dienstleistungen anbietet, muss in Übereinstimmung mit dem LGPD handeln.

Nicht jeder wird durch das LGPD reguliert. Die Verordnung gilt nicht, wenn

Wie bereits erwähnt, gibt es nach Artikel 7 des LGPD zehn Rechtsgrundlagen für die rechtmäßige Datenverarbeitung:

1. Mit Einwilligung der betroffenen Person
2. Zur Erfüllung einer gesetzlichen oder behördlichen Verpflichtung durch den für die Verarbeitung Verantwortlichen
3. Durch die öffentliche Verwaltung für die Verarbeitung und gemeinsame Nutzung von Daten, die für die Umsetzung der öffentlichen Politik erforderlich sind, die in Gesetzen oder Verordnungen vorgesehen sind oder auf Verträgen, Vereinbarungen oder ähnlichen Instrumenten beruhen, vorbehaltlich des Kapitels IV des LGPD
4. Für die Durchführung von Studien durch Forschungseinrichtungen, wobei nach Möglichkeit die Anonymisierung personenbezogener Daten sichergestellt wird
5. Wenn dies für die Ausführung eines Vertrags oder eines vorbereitenden Verfahrens im Zusammenhang mit einem Vertrag, dessen Vertragspartei die betroffene Person ist, erforderlich ist, auf Antrag der betroffenen Person
6. Für die regelmäßige Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schiedsverfahren, letzteres nach dem brasilianischen Schiedsgerichtsgesetz
7. Zum Schutz des Lebens oder der Körperlichkeit der betroffenen Person oder eines Dritten
8. Zum Schutz der Gesundheit, ausschließlich in einem Verfahren, das von Angehörigen der Gesundheitsberufe, Gesundheitsdiensten oder Gesundheitsbehörden durchgeführt wird
9. Wenn dies zur Erfüllung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen
10. Zum Schutz von Krediten

Anstatt die umfassende Verarbeitung personenbezogener Daten im Rahmen der Verordnung zu erlauben, erlauben die brasilianischen Behörden die rechtmäßige Verarbeitung personenbezogener Daten nur unter den oben genannten Umständen.

Die Nichtbeachtung des Buchstabens des LGPD kann zu einer Geldstrafe von bis zu 50 Millionen Real (ca. 8 Millionen Euro) oder 2 % des Umsatzes eines Unternehmens in Brasilien führen. Das ist deutlich niedriger als die Strafen im Rahmen der DSGVO, die 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen können – je nachdem, welcher Betrag höher ist.

Mit über 138 Millionen Internetnutzern in Brasilien ist Brasilien der viertgrößte Internetmarkt der Welt. Daher wird die Einhaltung des LGPD oft von Organisationen mit internationaler Reichweite verlangt.

Glücklicherweise hat die brasilianische Regierung die DSGVO überschattet, was bedeutet, dass der zusätzliche Aufwand für die meisten Unternehmen minimal ist. Dennoch ist es wichtig, sich der wichtigsten Unterschiede zwischen diesen wegweisenden Vorschriften bewusst zu sein. Andernfalls drohen Ihnen auf beiden Seiten des Atlantiks erhebliche Geldstrafen.