Skip to main content
Über uns

LGPD - Die brasilianische Datenschutzgrundverordnung (DSGVO)

In Brasilien gibt es über 140 Millionen Internetnutzer, was den größten Internetmarkt Lateinamerikas und den viertgrößten der Welt in Bezug auf die Zahl der Nutzer darstellt. In Brasilien gibt es über 40 gesetzliche Regelungen auf Bundesebene, die sich auf Datenschutz und Privatsphäre beziehen, so dass wir die Existenz eines gesetzlichen Rahmens in dieser Hinsicht nicht leugnen können.

Diese Gesetze sind jedoch sektorbezogen, d.h. sie beziehen sich speziell auf das Bankwesen, Immobilien, Verbraucherschutz und ähnliche Bereiche.

LGPD (Lei Geral de Proteção de Dados Pessoais; übersetzt: Das allgemeine Gesetz für den Schutz von Persönlichen Daten) - soll die segmentierte Rechtslandschaft durch einen allgemeinen Regelungsrahmen ersetzen, der alle anderen einschließt.

Die Rolle des LGPD besteht darin, den Menschen in Brasilien eine Reihe allgemeiner Rechte in vereinfachter Form zu geben, die die heute geltenden sektoralen Gesetze ersetzen werden. Das Gesetzespaket ist nach dem Vorbild der Europäischen Datenschutzgrundverordnung (DSGVO) gestaltet, wobei die Ähnlichkeiten zwischen diesen beiden offensichtlich und leicht zu erkennen sind.

Diese Ähnlichkeit hat dazu geführt, dem LGPD einen neuen Namen zu geben, nämlich den der "Brasilianischen DSGVO". Diese Ähnlichkeit ist keineswegs übertrieben, denn wenn man die Bestimmungen der DSGVO befolgt, kann man fast aufatmen, denn die meisten davon finden sich im LGPD wieder.

Es gibtjedoch einige Unterschiede. Es ist also wichtig, die Bestimmungen der LGPD und die Unterschiede zwischen diesem Gesetz und der DSGVO zu untersuchen. Auf diese Weise werden Sie nicht überrascht sein, wenn die Bestimmungen der LGPD in Kraft treten.

Um Ihnen diesen Prozess zu erleichtern, werden wir im Folgenden die wesentlichen Unterschiede zwischen LGDP und DSGVO auflisten. Zunächst werden wir Ihnen aber darlegen, was das LGPD ist und in welchen Fällen es genau gilt.

Was ist das Allgemeine Datenschutzgesetz (LGPD)?

Das brasilianische Datenschutzgesetz heißt Lei Geral de Proteção de Dados Pessoais, was soviel bedeutet wie "das Allgemeine Datenschutzgesetz".

Es wird offiziell mit LGPDP abgekürzt, obwohl es allgemein als LGPD bekannt ist.

Es wurde am 14. August 2018 verabschiedet und schließlich im Juli 2019 von Präsident Bolsonaro ratifiziert. Es enthält fünfundsechzig Artikel.

Das Datum des Inkrafttretens des LGPD-Antrags sollte der 16. August 2020 sein, aber aufgrund mehrerer legislativer Blockaden muss noch bis spätestens 27. August 2020 darüber abgestimmt werden. Einige Artikel können erst ab August 2021 angewendet werden. Das ist auch der Zeitpunkt, an dem wir die ersten Sanktionen für diejenigen sehen werden.

Das LGPD bringt dringend benötigte Klarstellungen des brasilianischen Rechtsrahmens. Das LGPD zielt darauf ab, mehr als 40 verschiedene Statuten zu vereinheitlichen, die derzeit personenbezogene Daten gesetzlich regeln, indem bestimmte Vorschriften ersetzt und andere ergänzt werden. Diese Vereinheitlichung der zuvor verstreuten und oft widersprüchlichen Vorschriften ist nur eine Ähnlichkeit mit der Allgemeinen Datenschutzverordnung der EU, dem Dokument, von dem sie inspiriert wurde.

Das LGPD konzentriert sich auf die nationalen Besonderheiten, was sich daran zeigt, dass die Rechtsgrundlagen dieses Datenschutzgesetzes auf Haftung, Zweckbeschränkung, Minimierung der Datenverarbeitung, Sicherheit und Privatsphäre beruhen.

Die Rechte der betroffenen Personen

Artikel 18 erläutert die neun Grundrechte, die betroffene Personen haben, nämlich

  1. das Recht, das Vorliegen einer Verarbeitung zu bestätigen zu lassen;
  2. das Recht auf Zugang zu Informationen;
  3. das Recht auf Berichtigung falscher, veralteter oder unvollständiger Daten;
  4. das Recht auf Löschung, Anonymisierung oder Sperrung unnötiger Daten, die nicht in Übereinstimmung mit dem LGPD verarbeitet werden;
  5. das Recht auf die Übertragbarkeit der Daten auf einen anderen Anbieter von Dienstleistungen oder Produkten auf ausdrücklichen Wunsch;
  6. das Recht, persönliche Informationen, die mit Zustimmung der betroffenen Person verarbeitet wurden, zu löschen;
  7. das Recht auf Auskunft über öffentliche und private Stellen, mit denen der für die Verarbeitung Verantwortliche personenbezogene Daten ausgetauscht hat;
  8. das Recht auf Auskunft über die Möglichkeit der Verweigerung der Zustimmung und die Folgen einer solchen Verweigerung;
  9. das Recht die Vereinbarung über die Datenverarbeitung zu widerrufen.

Obwohl das DSGVO dafür bekannt ist, dass es den betroffenen Personen acht Grundrechte zugesteht, unterscheiden sie sich nicht wesentlich von den in dem LGPD genannten Rechten. Der Hauptunterschied besteht darin, dass das LGPD ausdrücklich "Das Recht auf Auskunft über öffentliche und private Stellen, mit denen der für die Verarbeitung Verantwortliche Daten ausgetauscht hat" erwähnt, während das DSGVO dieses Recht allgemeiner formuliert hat, nämlich "Das Recht, Auskunft zu erhalten".

Für wen ist das LGPD gedacht?

Das neue brasilianische Datenschutzgesetz gilt für jede private oder öffentliche Person oder Firma, die persönliche Daten verarbeitet, die:

  • in Brasilien stattfindet;
  • persönliche Daten in Brasilien sammelt;
  • die Lieferung von Waren oder Dienstleistungen in Brasilien betreffen oder sich auf geographisch in Brasilien ansässige Datenempfänger beziehen.

Das LGPD beinhaltet auch einen extraterritorialen Aspekt und wird für globale Unternehmen gelten, die die oben genannten Kriterien erfüllen. Der Standort dieser Unternehmen ist nicht relevant.

Wann gilt das LGPD nicht?

Das LGPD-Gesetz ist in den folgenden Fällen nicht anwendbar:

  • Bei einer Person, die Daten für persönliche Zwecke verarbeitet;
  • Bei Daten akademischer, journalistischer und künstlerischer Natur;
  • Bei Informationen, die für die öffentliche Sicherheit, die nationale Sicherheit, strafrechtliche Ermittlungen oder die Landesverteidigung verwendet werden sollen.

Wie unterscheidet sich LGPD von DSGVO?

Es gibt viele Ähnlichkeiten zwischen LGPD und der DSGVO. Eine davon ist, dass das LGPD, wie auch die DSGVO, weltweit anwendbar ist, da jede Webseite, die personenbezogene Daten von Einzelpersonen in Brasilien verarbeitet, sich daran halten muss. Es gibt jedoch auch einige Unterschiede.

LGPD vs. DSGVO - rechtliche Grundlage für die Datenverarbeitung

Der wahrscheinlich bedeutendste Unterschied zwischen LGPD und DSGVO bezieht sich darauf, was als rechtliche Grundlage für die Datenverarbeitung gilt. Die DSGVO hat sechs Rechtsgrundlagen für die Verarbeitung. Ein für die Datenverarbeitung Verantwortlicher muss eine von ihnen als Rechtfertigung für die Verwendung der Informationen einer betroffenen Person wählen. Im Gegensatz zur DSGVO erwähnt das LGPD eine Liste von 10 rechtlichen Gründen für die Datenverarbeitung:

  • mit der Einwilligung der betroffenen Person;
  • um einer rechtlichen oder administrativen Verpflichtung des für die Verarbeitung Verantwortlichen nachzukommen;
  • Zur Durchführung von öffentlichen Politiken, die in Gesetzen oder Verordnungen auf der Grundlage von Verträgen, Vereinbarungen oder ähnlichen Dokumenten vorgesehen sind;
  • Für die Durchführung von Studien, die von Forschungseinrichtungen durchgeführt werden, die, wann immer möglich, die Anonymisierung der persönlichen Informationen garantieren;
  • Zur Durchführung eines Vertrags oder eines Vorverfahrens im Zusammenhang mit einem Vertrag, dessen Vertragspartei die betroffene Person ist, auf Antrag der betroffenen Person;
  • Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schiedsgerichtsverfahren;
  • Wenn Es um den Schutz des Lebens oder der physischen Sicherheit der betroffenen Person oder eines Dritten geht;
  • Zum Schutz der Gesundheit, in einem Verfahren, das von Angehörigen der Gesundheitsberufe oder Einrichtungen des Gesundheitswesens durchgeführt wird;
  • Zur Erfüllung der legitimen Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten, es sei denn, die Grundrechte und -freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, haben Vorrang;
  • Zum Schutz des Kredits (in Bezug auf eine Kreditwürdigkeit).

Der Kreditschutz als rechtliche Grundlage für die Datenverarbeitung ist ein wesentlicher Unterschied zur DSGVO.

LGPD vs. DSGVO - Datenschutzverletzungen

In der DSGVO wird eine so genannte DPIA (Data Protection Impact Assessment) eingeführt, um die potenziellen Risiken der Datenverarbeitung zu bewerten. Es ist auch notwendig, dass die Verarbeiter diese Datenschutzbehörden benachrichtigen, wenn die mit der Datenverarbeitung verbundenen hohen Risiken bewertet werden.

Die LGPD legt auch die DPIA fest, gibt aber weder an, wie sie verwendet werden, noch legt sie Anforderungen für die Warnung einer Verwaltungsbehörde fest.

Die LGPD erlegt den Unternehmen die Verpflichtung auf, einen Datenschutzbeauftragten (DSB) zu haben, während dies in der DSGVO nur unter bestimmten Umständen vorgeschrieben ist.

Die Fristen für die Meldung von Datenverstößen sind in der DSGVO eindeutig auf 72 Stunden festgelegt, während die LGPD die Meldung von Datenverstößen an die Behörden innerhalb einer "angemessenen Frist" frei vorsieht.

LGPD vs. DSGVO - Geldbußen

Im Vergleich zur DSGVO ist die LGPD bei der Verhängung von Bußgeldern und der Bestrafung von Verstößen und Nichteinhaltung wesentlich weniger streng.

Die Höchststrafen für die Nichteinhaltung der DSGVO werden auf 20 Millionen EUR oder 4% des gesamten Jahresumsatzes eines Unternehmens festgelegt, wobei der höchste Betrag berücksichtigt wird. Die LGPD setzt ihre Höchststrafen auf 50 Millionen brasilianische Real (ca. 11 Millionen Euro) oder 2% des Jahresumsatzes des Unternehmens fest.

LGPD vs. DSGVO - territoriale Anwendungen

Die LGPD behandelt die internationale Übermittlung personenbezogener Daten ähnlich wie das Allgemeine Datenschutzgesetz, wobei geprüft wird, ob das Ausland über ein angemessenes Niveau an Datenschutzgesetzen verfügt. Und natürlich auf der Grundlage der vorherigen, eindeutigen und ausdrücklichen Zustimmung der betroffenen Person.

Allerdings giltdie LGPD (im Gegensatz zur DSGVO) nicht für die Übermittlung von Daten durch Brasilien ohne weitere Verarbeitung.

In diesem globalen Kontext, in dem persönliche Daten zu einem wesentlichen Aspekt des Datenschutzes im Internet werden, ist es sehr wichtig, dass Ihre Webseite und Ihr Analysewerkzeug all diese Bestimmungen einhalten.

Visitor Analytics ist zu 100% DSGVO-, CCPA- und LGPD-konform. Wir verwenden ein unabhängiges Cookieless-Tracking-System, das verschiedene Auszeichnungen erhalten hat. Der Webseiten-Eigentümer ist der alleinige Eigentümer der Informationen und hat die absolute Kontrolle darüber. Es gibt kein Cross-Tracking und wir verkaufen keine Daten an Dritte.

Mehr über unsere Datenschutzpolitik können Sie im Abschnitt Recht, Datenschutz und Zertifikate nachlesen.