Brasiliens Allgemeines Datenschutzgesetz

In ihrem neuesten Streben nach Ordnung und Fortschritt verabschiedete Brasilien das Lei Geral de Proteção de Dados (LGPD) oder das Allgemeine Gesetz zum Schutz personenbezogener Daten. Die Gesetzgebung soll die persönlichen Informationen und die Privatsphäre der brasilianischen Bürger schützen, indem Richtlinien festgelegt werden, wie diese Daten von Organisationen verarbeitet und gesammelt werden können. (Hinweis: Nur mit Erlaubnis.) Sie hilft dabei, über 40 verschiedene frühere (manchmal widersprüchliche) Gesetze zu standardisieren und zu klären, die die Verarbeitung personenbezogener Daten regelten, und gilt sowohl für brasilianische als auch internationale Unternehmen und Organisationen.

Begriffe, die Sie für die LGPD Brasilien kennen sollten 

• Personenbezogene Daten: Alle Informationen, die eine Person identifizieren oder spezifisch für sie sind, wie ihr Name, Nachname, Spitzname, ID-Nummer usw.
• Dateninhaber oder betroffene Person: Die Person, über die die personenbezogenen Daten handeln.
• Datenverarbeitung: Jede Operation, die unter Verwendung personenbezogener Daten durchgeführt wird, wie das Sammeln, Speichern, Verwenden oder Offenlegen von Informationen.
• Datenverantwortlicher: Die Person, die für Entscheidungen darüber verantwortlich ist, wie personenbezogene Daten verwendet oder verarbeitet werden. Sie haften letztendlich für die Erfüllung oder Nichterfüllung der LGPD-Standards ihres Unternehmens.
• Einwilligung: Freie, informierte Erlaubnis oder Zustimmung. In diesem Fall die Erlaubnis des Dateninhabers, dass ihre Informationen für einen bestimmten Zweck verarbeitet werden.
• Autoridade Nacional de Proteção de Dados (ANPD) oder Nationale Datenschutzbehörde: Zweig der brasilianischen Bundesregierung, der mit der Überwachung, Einhaltung und Durchsetzung der LGPD beauftragt ist.
• Datenschutzbeauftragte: Person, die die Organisation vertritt, die personenbezogene Daten verarbeitet, und die für die Kommunikation zwischen ihrem Unternehmen, der ANPD und den Dateninhabern verantwortlich ist. Sie haben in der Regel einen Hintergrund in Recht oder IT.

Was die LGPD bewirkt 

Die LGPD verlangt von Datenverantwortlichen, technische und administrative Praktiken zu übernehmen, die regeln, wie und warum personenbezogene Daten verarbeitet werden können (elektronisch oder physisch) und die personenbezogenen Daten, die sie verarbeiten, vor unbefugtem Zugriff, Verlust, Änderung und/oder Offenlegung zu schützen.

Zehn Rechte der betroffenen Personen

Brasiliens LGPD umreißt zehn Rechte der betroffenen Personen, die die Grundlage für alle Verarbeitungsanforderungen darstellen, die von Unternehmen oder Organisationen gestellt werden:

1. Das Recht zu bestätigen, dass ihre Daten verarbeitet wurden;
2. Das Recht auf Zugriff auf ihre Daten;
3. Das Recht, unvollständige, ungenaue oder veraltete Daten zu korrigieren;
4. Das Recht, unnötige oder übermäßige Daten oder Daten, die nicht in Übereinstimmung mit der LGPD verarbeitet werden, zu anonymisieren, zu sperren oder zu löschen;
5. Das Recht, ihre Daten zu einem anderen Dienstleister oder Produktanbieter zu übertragen;
6. Das Recht, personenbezogene Daten, die mit ihrer Zustimmung verarbeitet wurden, zu löschen;
7. Das Recht auf Informationen über öffentliche und private Dritte, mit denen der Verantwortliche ihre Daten geteilt hat;
8. Das Recht auf Informationen darüber, was passiert, wenn sie die Einwilligung verweigern;
9. Das Recht, ihre Einwilligung zu widerrufen.
10. Das Recht auf Datenübertragbarkeit, das es dem Inhaber ermöglicht, eine vollständige Kopie ihrer Daten in einem von Wettbewerbern verwendbaren Format anzufordern.

Anforderungen an Datenverantwortliche/Organisationen

Die LGPD verlangt von Datenverantwortlichen/Organisationen, dass sie:

• Einen Datenschutzbeauftragten ernennen, um Anfragen oder Beschwerden von Kunden zu verwalten, deren Identität und Kontaktdaten öffentlich und clear sind, vorzugsweise auf ihrer Website;
• Ein Verzeichnis der von ihnen durchgeführten Verarbeitungsvorgänge führen;
• Personenbezogene Daten informieren, korrigieren, löschen, anonymisieren oder übertragen, wie es die betroffene Person verlangt;
• Daten nach Beendigung der Beziehung entfernen;
• Verwaltungs- und Sicherheitsmaßnahmen ergreifen, um die Datensicherheit vor Diebstahl, unbefugtem Zugriff, Unfällen oder anderen Problemen zu schützen;
• Datenverletzungen an Dateninhaber, lokale Behörden und die ANPD melden.

Es gibt zehn Grundlagen, unter denen Unternehmen personenbezogene Daten rechtmäßig verarbeiten können. Daten können verarbeitet werden:

1. Für legitime, spezifische und explizite Zwecke, denen die betroffene Person zugestimmt hat;
2. Um einer gesetzlichen oder behördlichen Verpflichtung nachzukommen;
3. Zur Durchführung von öffentlichen Richtlinien auf der Grundlage von Rechtsverträgen, Vereinbarungen oder Ähnlichem;
4. Zur Durchführung eines Vertrags auf Anfrage der betroffenen Person (wie ein Kauf oder eine Transaktion);
5. Zur Durchführung von Forschung und sicherzustellen, dass personenbezogene Daten, soweit möglich, anonymisiert wurden;
6. Zur Ausübung von Rechten in gerichtlichen, verwaltungsrechtlichen oder Schiedsverfahren;
7. Zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer dritten Person;
8. Zum Schutz der Gesundheit, wie sie von Gesundheitsfachkräften oder Gesundheitseinrichtungen durchgeführt wird;
9. Wenn es notwendig ist, die berechtigten Interessen des Verantwortlichen oder eines Dritten zu wahren;
10. Zum Schutz des Kredits.

Was die ANPD macht 

Die Autoridade Nacional de Proteção de Dados (ANPD) oder Nationale Datenschutzbehörde ist der zu bildende Zweig der brasilianischen Bundesregierung, der mit der Überwachung, Einhaltung und Durchsetzung der LGPD beauftragt ist. Obwohl sie unter der Leitung des Präsidenten steht, hat die ANPD Entscheidungsbefugnisse. Sie wird aus einem 28-köpfigen Beratungsgremium bestehen, das in mehrere Gruppen unterteilt ist: den Vorstand, den Nationalen Rat, ein Büro für innere Angelegenheiten und andere spezialisierte Einheiten für rechtliche und durchsetzungsbezogene Aufgaben.

Sie werden verantwortlich sein für:

• Bereitstellung von Interpretationen und praktischen Richtlinien zur Umsetzung der LGPD;
• Untersuchung und Prüfung von gemeldeten Beschwerden oder Verstößen und Zusammenarbeit mit dem Datenschutzbeauftragten bei der Lösung;
• Verhängung von Sanktionen bei Verstößen gegen die Datenverarbeitung;
• Durchführung von Studien, öffentlichen Debatten und Anhörungen zum Schutz personenbezogener Daten.

Wann die LGPD in Kraft trat 

Das Gesetz tritt am 1. Januar 2021 in Kraft.

Sanktionen bei Verstößen gegen die LGPD-Compliance wurden auf den 1. August 2021 verschoben.

Empfehlungen 

• Vor allem könnte es ein teurer Fehler sein, bis zur letzten Minute zu warten, um konform zu werden. Nichtkonformität könnte zu Geldstrafen von bis zu 2 % ihres Umsatzes in Brasilien für das vorherige Geschäftsjahr führen, maximal jedoch 50 Millionen brasilianische Reais pro Verstoß (ungefähr 12,9 Millionen USD oder 11,2 Millionen EUR).
• Ernennen Sie einen Datenschutzbeauftragten, um die Datenverarbeitung und -sicherheit zu überwachen, und veröffentlichen Sie deutlich deren Namen und Kontaktdaten auf Ihrer Website.
• Fragen Sie immer nach Einwilligung. Seien Sie clear und transparent, wie und warum Kundendaten verarbeitet werden, und erleichtern Sie das Ein- oder Austragen.
• Speichern Sie Daten nur so lange, wie sie für die Abwicklung einer Transaktion benötigt werden, und nicht länger.
• Dokumentieren Sie Ihren gesamten Verarbeitungsprozess: Wie sammeln, speichern, verwenden und teilen Sie personenbezogene Daten? Sie könnten aufgefordert werden, diese Dokumentation vorzulegen, also ist es besser, sie vorbereitet zu haben.
• Planen Sie regelmäßige Audits. Datenlecks sind enorm kostspielig in Ressourcen und Ruf. Aufmerksam zu sein ermöglicht es Ihnen, Fehler oder Angreifer schneller zu erkennen, und proaktiv zu sein sieht immer besser aus als erwischt zu werden.

Weitere Informationen 

• Offizielle LGPD-Website

Häufig gestellte Fragen