Bestimmungen des LGPD-Gesetzes
-
Festlegung der Leitprinzipien für die Verarbeitung personenbezogener Daten
-
Ausstattung der Verbraucher*innen mit einer Reihe von Rechten in Bezug auf ihre Daten
-
Regeln für die Meldung von Datenschutzverletzungen
-
Das Gesetz sieht auch die Einrichtung einer brasilianischen nationalen Datenschutzbehörde (Autoridade Nacional de Proteção de Dados = ANPD) vor
Das „Lei Geral de Proteção de Dados“ (LGPD) ist ein langes und detailliertes Gesetz, das den Geschäftsalltag in Brasilien erheblich beeinflusst. Ein solides Verständnis des LGDP ist ein Muss für jedes Geschäft mit brasilianischen Klienten, Kund*innen und Partnern. Die Höchststrafe für die Weitergabe personenbezogener Daten beträgt 50 Millionen R$ oder bis zu 2 Prozent des Jahresumsatzes des Unternehmens.
Im Folgenden werden wir uns das Gesetz etwas genauer ansehen. Fangen wir an:
Für wen gilt das LGPD?
Das LGPD gilt für Organisationen weltweit, die in irgendeiner Weise mit Menschen in Brasilien in Verbindung stehen. Ob es sich um Kunden, Mitarbeitende, Geschäftspartner oder Auftragnehmer handelt. Internationale Datenschutzgesetze haben oft das Merkmal, dass sie ein Element der Extraterritorialität enthalten, genau wie DSGVO oder CCPA.
Wenn ein Unternehmen direkt oder indirekt mit persönlich identifizierbaren Informationen von Personen außerhalb des Unternehmens zu tun hat, muss die Kontrolle und Verwaltung dieser Daten in vollem Umfang mit dem Gesetz übereinstimmen.
Unter externen Personen zählen alle Interessengruppen, die ein Unternehmen haben kann, wie z. B.: Kundinnen, Lieferanten, Besucherinnen, Dienstleister, Führungskräfte usw. Da jedes Unternehmen mit Daten von Außenstehenden zu tun hat, kann man sagen, dass die Anforderungen dieses Gesetzes für jedes Unternehmen gelten. Das LGPD ist nicht auf Unternehmen mit einer bestimmten Größe oder einem bestimmten Umsatz beschränkt.
Das LGDP gilt für Sie oder Ihre Organisation, wenn:
-
Personenbezogene Daten in Brasilien verarbeitet, erhoben oder in Brasilien gesammelt werden
-
Personenbezogene Daten von Personen in Brasilien verarbeitet werden
-
Waren oder Dienstleistungen für brasilianische Kund*innen und Verbrauch*innen angeboten werden
Ausnahmen vom LGPD:
LGPD findet keine Anwendung, wenn:
-
Sie die Verarbeitung personenbezogener Daten ausschließlich zu privaten, gemeinnützigen, journalistischen, künstlerischen und/oder akademischen Zwecken durchgeführt haben
-
Die Verarbeitung personenbezogener Daten ausschließlich zum Zweck der öffentlichen und staatlichen Sicherheit, der Landesverteidigung oder der Ermittlung und Verfolgung von Straftaten erfolgt
-
Daten, die entweder in ein anderes Land als das Ursprungsland übermittelt werden oder von außerhalb Brasiliens stammen und nicht zur Weitergabe bestimmt sind – diese können mit brasilianischen Datenverarbeitern geteilt werden
Welche Rechte gibt es in Brasilien nach dem LGPD?
Das LGDP sieht neun Rechte für Einzelpersonen in Bezug auf ihre personenbezogenen Daten vor.
Der Datenverantwortliche schützt und erleichtert die Rechte der Einzelnen in Bezug auf die personenbezogenen Daten.
Die neun „Rechte der betroffenen Person“:
-
Recht der Person auf Zustimmung, dass ihre personenbezogenen Daten verarbeitet werden
-
Recht auf Zugang zu personenbezogenen Daten
-
Recht auf Berichtigung unvollständiger, unrichtiger oder veralteter personenbezogener Daten
-
Recht auf Anonymisierung, Sperrung oder Löschung unnötiger, übermäßiger oder widersprüchlicher personenbezogener Daten
-
das Recht, von dem Datenverantwortlichen zu verlangen, dass die personenbezogenen Daten zu einem anderen Dienst- oder Produktanbieter übertragen werden (Datenübertragbarkeit)
-
das Recht auf Löschung ihrer personenbezogenen Daten (mit Ausnahmen, gemäß Artikel 16)
-
das Recht auf Informationen über öffentliche oder private Stellen, mit denen ihre personenbezogenen Daten geteilt werden, sowie über die Gründe für die Weitergabe dieser Daten
-
Recht auf Information über die eigenen Rechte und auf Verweigerung der Zustimmung zur Verarbeitung der eigenen personenbezogenen Daten und die Folgen einer Verweigerung
-
das Recht, die Zustimmung zur Verarbeitung der personenbezogenen Daten zu widerrufen
Die Europäische Datenschutz-Grundverordnung DSGVO diente als Vorlage für das Lei Geral de Proteção de Dados. Was die DSGVO für die Einwohnerinnen Europas ist, ist das LGDP für die Einwohnerinnen Brasiliens. Das LGPD ist der DSGVO in vielerlei Hinsicht ähnlich, es gibt jedoch einige Unterschiede.
Im Folgenden werden wir einen kurzen Vergleich dieser beiden Gesetze anstellen und die wichtigsten Unterschiede hervorheben.
LGDP vs. DSGVO
1. Für wen gilt das Gesetz?
LGDP: Einwohner von Brasilien
DSGVO: In der EU ansässige Personen
2. Was ist die Rechtsgrundlage für die Verarbeitung?
Das LGPD enthält einige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die nicht von der DSGVO abgedeckt sind. Dazu gehören: Kreditschutz, Kreditanalyse, Gesundheitsschutz, Anonymisierung personenbezogener Daten (soweit möglich) und Ausübung von Rechten in Verwaltungs-, Schiedsgerichts- oder Gerichtsverfahren.
3. Wer muss sich daran halten?
LGDP: Jede Organisation, die personenbezogene Daten von brasilianischen Einwohnern verarbeitet, unabhängig von ihrem Standort
GDPR: Jede Organisation, die personenbezogene Daten von in Europa ansässigen Personen verarbeitet, unabhängig von ihrem Standort
4. Ist ein DSB erforderlich?
LGDP: unter bestimmten Umständen erforderlich
GDPR: DSB ist obligatorisch