Das Datenschutzgesetz „Lei Geral de Proteção de Dados“ (LGPD) ist ein rechtlicher Rahmen zur Regulierung der Erfassung und Verwendung personenbezogener Daten. Es trat in Brasilien am 16. August 2020 in Kraft. Das Gesetz wurde von der nationalen Datenschutzbehörde Autoridade Nacional de Proteção de Dados (ANPD) verabschiedet und von ihr durchgesetzt.
Das LGPD ist nicht das erste oder einzige Datenschutzgesetz in Südamerika, aber es ist das wahrscheinlich bekannteste. Das LGPD wurde durch die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union beeinflusst und hat seinen Geltungsbereich in einigen Bereichen über die Vorgaben der DSGVO hinaus erweitert. Auch die ANPD wird an der Weiterentwicklung der Vorgaben beteiligt sein.
Was ist das brasilianische Datenschutzgesetz (LGPD)?
Das Datenschutzgesetz (LGPD) (in Portugiesisch) ist ein Bundesgesetz in Brasilien, das 40 bereits bestehende Gesetze zur Regulierung der Verarbeitung personenbezogener Daten von Einzelpersonen vereinheitlichen soll. Es wurde am 18. September 2020 verabschiedet und trat rückwirkend am 16. August 2020 in Kraft. Sanktionen wurden ab dem 1. August 2021 vollstreckbar, und betroffene Personen und Behörden konnten ihre Rechte ab dem 18. September 2020 geltend machen.
Das LGPD besteht aus 65 Artikeln. Die Artikel 17-22 befassen sich mit den Rechten der betroffenen Personen, d. h. derjenigen, deren Daten erfasst und/oder verarbeitet werden, also hauptsächlich Einzelpersonen oder natürliche Personen. Das Gesetz enthält zehn Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, vier mehr als die DSGVO.
In Artikel 2 sind die gesetzlichen Grundlagen zum Schutz personenbezogener Daten aufgeführt:
- Achtung der Privatsphäre
- informationelle Selbstbestimmung
- Recht auf Meinungsfreiheit, Information, Kommunikation und Meinung
- Unverletzlichkeit der Intimsphäre, der Ehre und des Ansehens
- wirtschaftliche und technologische Entwicklung und Innovation
- freies Unternehmertum, freier Wettbewerb und Verbraucherschutz
- Menschenrechte, freie Entfaltung der Persönlichkeit, Würde und Ausübung der Staatsbürgerschaft durch natürliche Personen
Für wen gilt das brasilianische Datenschutzgesetz?
Gemäß Artikel 3 gilt das LGPD für jede Datenverarbeitung, die in Brasilien zum Zwecke des Angebots von Waren und Dienstleistungen oder zur Verarbeitung von Daten oder von Personen, die sich in Brasilien befinden, erfolgt. Die Art der Verarbeitung ist nicht relevant.
Das LGPD gilt für die Datenverarbeitung durch jede beliebige natürliche Person oder einen öffentlichen oder privaten Rechtsträger (in der Regel ein Unternehmen oder eine Organisation). Die Organisation, die die Datenverarbeitung vornimmt, muss nicht physisch in Brasilien präsent sein oder ihren Hauptsitz dort haben. Es kommt nur darauf an, dass die betroffenen Personen dort ansässig sind und die Verarbeitung dort stattfindet. Diese Komponente der Extraterritorialität ist bei internationalen Datenschutzgesetzen üblich.
Ausnahmen vom Geltungsbereich des brasilianischen Datenschutzgesetzes
Artikel 4 legt fest, wann das LGPD nicht anwendbar ist. Dies ist z. B. der Fall, wenn die Verarbeitung personenbezogener Daten:
- von einer natürlichen Person ausschließlich zu privaten und nichtwirtschaftlichen Zwecken durchgeführt wird
- ausschließlich zu journalistischen, künstlerischen und/oder wissenschaftlichen Zwecken erfolgt
- ausschließlich zu Zwecken der öffentlichen Sicherheit, der Landesverteidigung, der Staatssicherheit oder der Ermittlung und Verfolgung von Straftaten erfolgt
- von außerhalb Brasiliens erfolgt und nicht Gegenstand der Kommunikation oder des Austauschs mit brasilianischen Datenverarbeitungsbeauftragten oder Gegenstand einer internationalen Übermittlung in ein anderes Land als das Herkunftsland ist (vorausgesetzt, das Herkunftsland bietet ein angemessenes Maß an Datenschutz)
Welche Rechte haben die Verbraucher gemäß dem brasilianischen Datenschutzgesetz?
In Artikel 18 werden die Rechte der betroffenen Person gegenüber dem Verantwortlichen dargelegt:
- Das Recht zu überprüfen, ob ihre personenbezogenen Daten verarbeitet werden
- Das Recht, auf personenbezogenen Daten zuzugreifen
- Das Recht, unvollständige, unrichtige oder veraltete personenbezogene Daten zu berichtigen
- Das Recht, unnötige, unverhältnismäßig viele oder nicht konforme personenbezogene Daten anonymisieren, sperren oder löschen zu lassen
- Das Recht zu verlangen, dass ein Verantwortlicher ihre personenbezogenen Daten an einen anderen Anbieter von Dienstleistungen oder Produkten übermittelt (Datenübertragbarkeit)
- Das Recht, ihre personenbezogenen Daten zu löschen (vorbehaltlich der in Artikel 16 genannten Ausnahmen)
- Das Recht, Daten über öffentliche oder private Rechtsträger zu erhalten, an die ihre personenbezogenen Daten weiter übermittelt wurden, und darüber, wie dies geschehen ist
- Das Recht, Auskunft über ihr Recht, die Zustimmung zur Verarbeitung ihrer personenbezogenen Daten zu verweigern, und über die Folgen einer Verweigerung zu erhalten
- Das Recht, die Einwilligung zur Verarbeitung ihrer personenbezogenen Daten zu widerrufen
Wichtige Definitionen aus dem brasilianischen Datenschutzgesetz
Wichtige Definitionen im LGPD sind in Artikel 5 beschrieben. Dies sind einige der wichtigsten oder am häufigsten verwendeten Definitionen.
Personenbezogene Daten
Informationen bzw. Daten (von ihr oder über sie erfasste) in Bezug auf eine identifizierte oder identifizierbare natürliche Person.
Sensible personenbezogene Daten
Personenbezogene Daten, die zur Identifizierung einer Person eingesetzt werden könnten und die sich auf „Herkunft, religiöse Überzeugung, politische Meinung, Gewerkschaftszugehörigkeit beziehen. Oder Daten über religiöse, philosophische oder politische Einrichtungen, Gesundheit oder Sexualleben, genetische oder biometrische Daten, wenn diese mit einer natürlichen Person verknüpft sind.“ (Generell besteht bei personenbezogenen Daten die Möglichkeit, bei Missbrauch größeren Schaden anzurichten).
Verarbeitung
Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie z. B. „Erfassung, Herstellung, Empfang, Klassifikation, Verwendung, Zugriff, Vervielfältigung, Übermittlung, Verbreitung, Verarbeitung, Archivierung, Speicherung, Löschung, Bewertung oder Kontrolle von Daten, Veränderung, Kommunikation, Übertragung, Verbreitung oder Entnahme“.
Betroffene Person
Eine natürliche Person bzw. Einzelperson, deren Daten verarbeitet wird.
Verantwortlicher
Eine natürliche bzw. juristische Person, entweder öffentlich oder privat (kann sich also auf ein Unternehmen oder eine sonstige Organisation beziehen), die Entscheidungen über die Verarbeitung personenbezogener Daten trifft.
Verarbeiter
Eine natürliche bzw. juristische Person des öffentlichen oder privaten Rechts (kann sich also auf ein Unternehmen oder eine sonstige Organisation beziehen), die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. In einigen anderen Gesetzen als „Auftragsverarbeiter“ bezeichnet.
Gemeinsame Nutzung von Daten
Die „Kommunikation, die Verbreitung, die internationale Übermittlung, die Vernetzung personenbezogener Daten oder die gemeinsame Verarbeitung personenbezogener Datenbanken durch öffentliche Einrichtungen und Rechtsträger in Übereinstimmung mit ihren gesetzlichen Befugnissen oder zwischen diesen und privaten Rechtsträgern auf der Grundlage einer besonderen Genehmigung für eine oder mehrere von diesen öffentlichen Rechtsträgern zugelassene Verarbeitungsmodalitäten oder zwischen privaten Rechtsträgern“.
Internationale Übermittlungen sind ein wichtiges Thema, wenn Länder keine angemessenen Vereinbarungen hinsichtlich des Datenschutzes getroffen haben. Die gemeinsame Nutzung ist auch für Unternehmen wichtig, die ihr Geld mit dem Verkauf von Daten verdienen, da die betroffenen Personen in der Regel zustimmen müssen, bevor ihre Daten an Dritte veräußert werden können.
Anonymisierung
Dieser Prozess bezieht sich auf „angemessene und verfügbare technische Mittel zum Zeitpunkt der Verarbeitung“, um identifizierbare Markierungen aus den Daten zu entfernen, so dass sie „die Möglichkeit einer direkten oder indirekten Verbindung mit einer Person verlieren“. Im Rahmen der Datenschutzgesetze ist auch die Forderung nach einer möglichen Deanonymisierung der Daten, d. h. einer Wiederherstellung der Identifizierbarkeit, üblich.
Definition der Einwilligung gemäß dem brasilianischen Datenschutzgesetz
Artikel 5 umreißt die wichtigsten Definitionen des LGPD, und die Einwilligung wird definiert als die „freie, in Kenntnis der Sachlage und unmissverständliche Äußerung, mit der die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck einwilligt“.
Die Begriffe „frei, in Kenntnis der Sachlage und unmissverständlich“ sind auch in anderen Datenschutzgesetzen grundlegend für die Definition einer wirksamen Einwilligung.
In Artikel 8 werden die Bedingungen für die Erlangung, die erneute Erlangung und den Nachweis des Erhalts der Einwilligung sowie die Bedingungen für den Widerruf der Einwilligung dargelegt.
Einwilligung oder Ablehnung
Das LGPD verwendet ein Opt-in Modell für die Einwilligung der Nutzer, was bedeutet, dass Organisationen in den meisten Fällen Daten erst dann erfassen oder verarbeiten können, wenn der Nutzer – ein Online-Einkäufer, Website-Besucher, App-Nutzer usw. – dem zustimmt. Diese Anforderung gilt sowohl für personenbezogene Daten wie Namen und E-Mail-Adressen als auch für detaillierte und „hinter den Kulissen“ erhobene Daten, wie sie von Website-Cookies erfasst werden.
Auf internationaler Ebene setzen auch andere Gesetze wie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und POPIA in Südafrika dieses Modell der Einwilligung ein. In den Vereinigten Staaten hingegen wurde bisher auf bundesstaatlicher Ebene (u. a. in Kalifornien, Virginia und Colorado) ein Opt-out Modell in Bezug auf die Einwilligung der Nutzer eingeführt. Organisationen, die diesen Vorschriften unterliegen, sind vorbehaltlich einiger Sonderfälle nicht verpflichtet, vor der Erfassung von Daten die Einwilligung der Nutzer einzuholen. Sie sind lediglich verpflichtet, vor dem Verkauf der Daten eine Einwilligung einzuholen (ebenfalls mit einigen spezifischen Ausnahmen).
Rechtsgrundlagen des brasilianischen Datenschutzgesetzes
In Artikel 7 werden die Rechtsgrundlagen oder Umstände genannt, unter denen eine Datenverarbeitung erfolgen kann. Wie bereits erwähnt, gibt es zehn, vier mehr als in der DSGVO. Die erste davon ist die Einwilligung, auf die wir bereits eingegangen sind. Zu den sonstigen wirksamen Rechtsgrundlagen gehören die gesetzliche oder behördliche Verpflichtung des hierfür Verantwortlichen, die Erfüllung eines Vertrags und der Schutz des Lebens oder der Sicherheit der betroffenen Personen.
Die vollständige Liste umfasst:
- mit Einwilligung der betroffenen Person
- zur Erfüllung der gesetzlichen oder behördlichen Pflichten des Verantwortlichen
- für die öffentliche Verwaltung und die Durchführung öffentlicher Maßnahmen, die in Gesetzen, Vorschriften oder Verträgen festgelegt sind
- für Forschungsstudien (wenn möglich anonymisiert)
- um einen Vertrag zu erfüllen
- zur Ausübung des brasilianischen Rechts
- zum Schutz des Lebens oder der persönlichen Sicherheit
- von medizinischen Fachkräften oder Sanitätern, um die Gesundheit einer Person zu schützen
- im berechtigten Interesse des Verantwortlichen oder einer dritten Partei, es sei denn, dies würde die gesetzlichen Rechte der betroffenen Person verletzen
- zum Schutz der Kreditwürdigkeit
“Berechtigtes Interesse” im brasilianischen Datenschutzgesetz
Das “berechtigte Interesse” als Rechtsgrundlage für die Datenverarbeitung ist in anderen Datenschutzgesetzen sehr beliebt, da es weniger Arbeit für den Verantwortlichen und andere bedeutet – die Einwilligung muss z. B. nicht eingeholt und verwaltet werden. Es sollte auch beachtet werden, dass es keine hierarchische Auflistung der zehn Rechtsgrundlagen für die Datenverarbeitung im Rahmen des LGPD gibt und dass die am besten geeignete Grundlage aufgrund der spezifischen Umstände gewählt werden sollte. Das “berechtigte Interesse” sollte nicht die erste Wahl oder das letzte Mittel sein.
Was bedeutet „berechtigtes Interesse“?
Im Allgemeinen bezeichnet „berechtigtes Interesse“ die Verwendung personenbezogener Daten in einer Weise, die vernünftigerweise erwartet werden kann (in der Regel von der betroffenen Person), die für den Verantwortlichen und die betroffene Person von Vorteil, jedoch nicht gesetzlich vorgeschrieben ist. „Interesse“ ist ein sehr weit gefasster Begriff und kann alles umfassen, von kommerziellen Interessen bis hin zum öffentlichen Wohl.
Ein “berechtigtes Interesse” im Sinne des LGPD (Artikel 10) würde unter mehreren weit gefassten Bedingungen gelten:
- die Datenverarbeitung hat einen eindeutigen Nutzen, ist aber nicht gesetzlich vorgeschrieben
- es besteht ein geringes Risiko, dass die Verarbeitung die Privatsphäre der betroffenen Personen verletzt
- die betroffenen Personen können vernünftigerweise davon ausgehen, dass ihre Daten verwendet werden
Organisationen können sich nicht einfach aus Bequemlichkeit auf ein “berechtigtes Interesse” als Rechtsgrundlage berufen. Die Verarbeitung muss für einen bestimmten Zweck erforderlich sein, und es ist zusätzliche Transparenz notwendig. Die Anwendung des “berechtigten Interesses” erfordert einen Ausgleich zwischen den Rechten der betroffenen Personen und den Interessen der Verantwortlichen (und möglicher Dritter).
Das Konzept des “berechtigten Interesses” ist in Brasilien weniger ausgereift als in der EU, so dass es eine ständige Diskussion darüber gibt, was ein “berechtigtes Interesse” ist und unter welchen Umständen es angewendet werden sollte. Seit der Ausarbeitung des Gesetzes gibt es Bedenken, dass das “berechtigte Interesse” ein Freibrief für die Verantwortlichen ist.
Es gibt einen dreistufigen Test, der als bewährte Methode gilt, bevor man sich für ein berechtigtes Interesse als Rechtsgrundlage für die Datenverarbeitung entscheidet:
- Zweckprüfung (welches ist das “berechtigte Interesse”?)
- Erforderlichkeitsprüfung (ist die Verarbeitung für den festgelegten Zweck erforderlich?)
- Abwägungsprüfung (welche Interessen hat die betroffene Person?)
Berechtigtes Interesse und Datenschutz-Folgenabschätzungen (DSFA)
Das LGPD gibt der ANPD die Möglichkeit, von den Verantwortlichen die Erstellung einer Datenschutz-Folgenabschätzung/eines Berichts (Artikel 38) zu verlangen, wenn die von dem Verantwortlichen gewählte Rechtsgrundlage ein “berechtigtes Interesse” ist. Damit sollen die Risiken der Verarbeitung ermittelt und gemindert werden. Die Verarbeitung darf nicht risikoreicher sein als die, für die eine Einwilligung erforderlich ist. Besteht jedoch nicht die Notwendigkeit, die Nutzer zu informieren, um ihre Einwilligung einzuholen, ist nicht die gleiche Transparenz für die Nutzer erforderlich.
Es gibt eine Debatte darüber, ob eine Datenschutz-Folgenabschätzung in solchen Fällen das richtige Verfahren ist oder ob eine Bewertung des “berechtigten Interesses” geeigneter wäre.
Pflichten der Unternehmen gemäß dem brasilianischen Datenschutzgesetz
Wenn ein Datenschutzgesetz in Kraft tritt, stellt sich für die Organisationen die Frage, für wen es gilt und welche Bedingungen für seine Einhaltung gelten.
Artikel 6 regelt die Grundsätze der Datenverarbeitung im LGPD:
- Zweck: Durchführung der Verarbeitung für rechtmäßige, spezifische, ausdrückliche und in Kenntnis der Sachlage erfolgte Zwecke der betroffenen Person, ohne dass eine zusätzliche Verarbeitung erfolgt.
- Angemessenheit: Die Verarbeitung ist mit den Zwecken vereinbar, über die die betroffene Person je nach Kontext der Verarbeitungsaktivität informiert wurde.
- Erforderlichkeit: Die Aktivität ist auf das zur Erreichung des Zwecks/der Zwecke erforderliche Mindestmaß beschränkt, wobei der Umfang der relevanten Daten in einem angemessenen Verhältnis zu dem/den angegebenen Zweck(en) der Verarbeitung steht.
- Freier Zugriff: Den betroffenen Personen wird garantiert, dass sie frei und problemlos Auskunft über die Vollständigkeit ihrer personenbezogenen Daten sowie über die Art und Dauer der Verarbeitungsaktivitäten erhalten.
- Datenqualität: Die Richtigkeit, Eindeutigkeit, Relevanz und Aktualisierung der Daten der betroffenen Personen wird entsprechend den Erfordernissen und der Erfüllung des Zwecks ihrer Verarbeitung gewährleistet.
- Transparenz: Den betroffenen Personen werden klare, genaue und leicht zugängliche Daten über die Verarbeitung und die jeweiligen Verantwortlichen garantiert, solange die Geschäfts- und Betriebsgeheimnisse gewahrt bleiben.
- Sicherheit: Es werden technische und administrative Maßnahmen eingesetzt, um personenbezogene Daten vor unbefugtem Zugriff, zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, Kommunikation oder Verbreitung zu schützen.
- Prävention: Es werden Maßnahmen ergriffen, um Schäden durch die Verarbeitung personenbezogener Daten zu verhindern.
- Nichtdiskriminierung: Die Verarbeitungsaktivitäten dürfen nicht zu unrechtmäßigen oder missbräuchlichen diskriminierenden Zwecken erfolgen.
- Verantwortung und Rechenschaftspflicht: Es werden wirksame Maßnahmen ergriffen, um die Einhaltung der Vorschriften zum Schutz personenbezogener Daten und die Wirksamkeit dieser Maßnahmen nachzuweisen.
Insgesamt sind die Verantwortlichkeiten der Unternehmen ziemlich standardisiert. Vor der Erfassung von Daten ist sicherzustellen, dass ein klarer und rechtmäßiger Zweck für die Datenverarbeitung festgelegt wird und eine Rechtsgrundlage für die Verarbeitung besteht. Es dürfen nur die Daten erfasst und verarbeitet werden, die unbedingt benötigt werden, und zwar nur für den angegebenen Zweck und die angegebene Zeitspanne, für die sie benötigt werden. Die Daten müssen sicher erfasst, abgerufen und gespeichert werden. Die betroffenen Personen haben das Recht zu erfahren, welche ihrer Daten wie und von wem verarbeitet werden, sowie diesem einzuwilligen oder die Verarbeitung abzulehnen. Sie haben außerdem das Recht, auf alle erfassten Daten zuzugreifen, ihre Richtigkeit zu überprüfen oder ihre Löschung zu verlangen. Die Einhaltung der Vorschriften ist für betroffene Personen in Brasilien und für die Datenverarbeitung in Brasilien erforderlich, unabhängig davon, wo die Organisation, die die Daten verarbeitet, ihren Sitz hat.
Datenschutzbeauftragter (DSB)
Das LGPD verlangt von Organisationen, dass sie den Datenschutz nach dem Konzept des „bereits eingebauten Datenschutzes“ umsetzen, und ein Datenschutzbeauftragter ist entscheidend für diese Aktivitäten. Jeder Verantwortliche (nicht aber Auftragsverarbeiter) ist verpflichtet, einen behördlichen Datenschutzbeauftragten zu ernennen, der für die Einhaltung der Verpflichtungen des Unternehmens verantwortlich ist.
Artikel 40 regelt die Anforderungen an einen Datenschutzbeauftragten. Aufgrund einer Durchführungsverordnung ist es nicht mehr erforderlich, dass der Datenschutzbeauftragte eine natürliche Person ist, so dass diese Aufgabe auch von einem Ausschuss oder einer Gruppe wahrgenommen oder vom Unternehmen ausgelagert werden kann. Das Gesetz sieht keine Vorgaben für die Größe eines Unternehmens oder die Art seiner Geschäftstätigkeit oder Datenverarbeitung in Bezug auf die Pflicht zur Bestellung eines DSB vor. Es ist jedoch möglich, dass die ANPD diese Vorgaben im Laufe der Zeit anpasst.
Gemäß Artikel 41 müssen die Identität und die Daten des DSB öffentlich zugänglich sein. Der DSB muss nicht über besondere Qualifikationen oder Erfahrungen verfügen, obwohl sich auch dies in Zukunft ändern kann und bestimmte Qualifikationen oder Erfahrungen die Erfüllung seiner Aufgaben erleichtern können.
Der DSB steht in Kontakt mit den betroffenen Personen, nimmt deren Kommunikation oder Beschwerden entgegen und stellt ihnen Daten zur Verfügung oder ergreift Maßnahmen, die sie betreffen. Er nimmt auch die Kommunikation der nationalen Behörde, der ANPD, entgegen und ergreift Maßnahmen für sie.
Der DSB stellt sicher, dass die Mitarbeiter der Organisation und relevante Dritte, wie z. B. Auftragnehmer, in Bezug auf die Anforderungen an die Datenverarbeitung und die Sicherheitsmaßnahmen geschult werden und diese einhalten. Darüber hinaus nimmt er in der Regel zudem sonstige von der ANPD geforderte Aufgaben wahr.
Datenübermittlungen
Die Anforderungen an die Datenübermittlung und die Verantwortung gemäß dem LGPD ähneln denen der DSGVO. Artikel 33 legt fest, wann Daten international übermittelt werden dürfen. Wie bereits erwähnt, gilt das LGPD extraterritorial, d. h. wenn sich betroffene Personen zum Zeitpunkt der Datenverarbeitung in Brasilien aufhalten, gilt das LGPD, auch wenn die Verarbeitung außerhalb Brasiliens stattfindet, und die Datenübermittlung gilt als erfolgt.
Organisationen können personenbezogene Daten unter den folgenden Bedingungen nach außerhalb Brasiliens übermitteln (z. B. zur Verarbeitung):
- Länder oder Organisationen, die einen angemessenen, für die ANPD akzeptablen Schutz personenbezogener Daten bieten
- Der Verantwortliche bietet und gewährleistet die Einhaltung der Grundsätze des LGPD und der Rechte der betroffenen Personen, einschließlich der Vertragsklauseln
- wenn die Übermittlung für die internationale rechtliche Zusammenarbeit zwischen öffentlichen Nachrichtendiensten, Ermittlungs- und Strafverfolgungsbehörden im Einklang mit dem internationalen Recht erforderlich ist
- wenn die Übermittlung zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten erforderlich ist
- wenn die ANPD die Übermittlung genehmigt hat
- wenn eine internationale Vereinbarung zur Zusammenarbeit besteht, die die Übermittlung ermöglicht
- wenn die Übermittlung zur Durchführung der öffentlichen Ordnung oder zur rechtlichen Zuordnung der öffentlichen Dienstleistung erforderlich ist
- wenn die betroffene Person zuvor in Kenntnis der Sachlage ihre Einwilligung zu der Übermittlung und deren Zweck(en) gegeben hat
- wenn dies zur Erfüllung der Bedingungen der Punkte II, V und VI des Artikels 7 erforderlich ist
Bis die ANPD voll funktionsfähig ist und viele Bedingungen des LGPD überprüft hat, sind Unternehmen möglicherweise auf bestimmte Bedingungen für die Datenübermittlung beschränkt (oder auf die Verwendung von nur zwei empfohlenen Bedingungen): die ausdrückliche Einwilligung in Kenntnis der Sachlage oder die Notwendigkeit der Durchführung einer Übermittlung. Das LGPD sieht noch weitere Übermittlungsmechanismen vor, aber die oben genannten sind die für Unternehmen im Rahmen ihrer Geschäftstätigkeit relevanten.
Meldung von Datenschutzverletzungen
Tritt eine Datenschutzverletzung auf, muss der für die Verarbeitung Verantwortliche diese innerhalb eines „angemessenen“ Zeitraums an die ANPD melden, sofern sie möglicherweise zu einer Gefährdung oder Schädigung der betroffenen Personen führt oder geführt hat. Die ANPD-Leitlinien aus dem Jahr 2021 besagen, dass diese Informationen innerhalb von zwei Arbeitstagen nach Kenntnisnahme des Zwischenfalls kommuniziert werden müssen. Zwischenfälle bei der Sicherheit personenbezogener Daten werden in Artikel 48 behandelt.
Mitteilungen an die ANPD müssen Folgendes enthalten:
- eine Beschreibung der Art der betroffenen personenbezogenen Daten
- Informationen über die betroffenen Personen
- Informationen über die Sicherheitsmaßnahmen, die getroffen wurden
- Durch den Zwischenfall entstandene Risiken
- Gründe für eine verzögerte Kommunikation (falls vorhanden)
- Maßnahmen, die ergriffen wurden oder werden, um die Verletzung zu beheben und eine Wiederholung zu verhindern
Die für die Daten verantwortliche Person oder das Unternehmen muss den Zwischenfall bewerten und die Art, Kategorie und Anzahl der betroffenen Personen bestimmen.
Die ANPD prüft die Schwere der Zwischenfälle und kann den Verantwortlichen anweisen, erforderlichenfalls Maßnahmen zur Wahrung der Rechte der betroffenen Personen zu ergreifen, einschließlich einer umfassenden Offenlegung des Zwischenfalls gegenüber den Medien oder Maßnahmen zur Abschwächung oder Umkehrung der Auswirkungen des Zwischenfalls.
Die ANPD kann spezielle Regeln und Ausnahmen für das LGPD für Kleinunternehmer, Start-ups und ähnliche Unternehmen erlassen, die für einige Aspekte wie die Kommunikation von Sicherheitszwischenfällen an die ANPD und betroffene Personen oder Fristen für die Beantwortung von Anfragen der betroffenen Personen oder der ANPD eine gewisse Flexibilität bieten würden.
Brasiliens Datenschutzgesetz und Kinder
Das LGPD enthält wie viele Datenschutzgesetze besondere Bestimmungen für Kinder und ihre Daten (Artikel 14). Dies steht im Einklang mit den Bestimmungen zum Schutz von Kindern in anderen brasilianischen Gesetzen und auch in der Verfassung. Im Sinne des LGPD ist eine Person unter 18 Jahren ein Kind.
Die Daten von Kindern können verarbeitet werden, wobei jedoch ihr Wohl zu berücksichtigen ist und die Einwilligung der Eltern (oder eines gesetzlichen Vertreters) vor Beginn jeder Verarbeitungsaktivität erforderlich ist.
Die Verantwortlichen müssen die angeforderten Daten in klarer und zugänglicher Form zur Verfügung stellen und auf den Zweck der Erfassung und Verwendung der Daten eingehen. Die Verantwortlichen sind verpflichtet, unter Verwendung verfügbarer Technologien angemessene Anstrengungen zu unternehmen, um die Einwilligung der Eltern oder des gesetzlichen Vertreters zu verifizieren.
Die Bedingungen für die Einwilligung der Eltern in die Verarbeitung der Daten von Kindern sind die gleichen wie für Erwachsene – frei, in Kenntnis der Sachlage, unzweideutig, spezifisch und ausdrücklich. Kinder dürfen nicht zur Bereitstellung personenbezogener Daten aufgefordert werden, die über das unbedingt erforderliche Maß zur Nutzung von Online-Apps, Spielen oder sonstigen ähnlichen Aktivitäten hinausgehen.
Eine gewisse Ausnahme von dieser Vorschrift besteht, wenn die Datenerfassung vor der Einwilligung zur Kontaktaufnahme mit den Eltern oder dem gesetzlichen Vertreter erforderlich ist, um die Einwilligung zur Datenverarbeitung des Kindes einzuholen. Die Daten dürfen nur einmal verwendet und nicht ohne Einwilligung gespeichert oder an Dritte weitergegeben werden.
Nachverarbeitungstätigkeiten gemäß dem brasilianischen Datenschutzgesetz
Beendigung der Datenverarbeitung
Artikel 15 legt fest, wann die Verarbeitung personenbezogener Daten zu beenden ist. Dies gilt unter anderem, wenn:
- der spezifische Zweck der Verarbeitung verwirklicht wurde oder die Daten zur Erfüllung dieses Zwecks nicht mehr benötigt werden
- der Zeitraum der Verarbeitung endet
- die betroffene Person von ihrem Recht Gebrauch macht, ihre Einwilligung zur Verarbeitung zu widerrufen
- die ANPD feststellt, dass ein Verstoß gegen die Bestimmungen des LGPD vorliegt
Löschung personenbezogener Daten
Die Löschung der erhobenen personenbezogenen Daten ist gemäß der Beendigung der Verarbeitung in Artikel 16 geregelt. Im Allgemeinen müssen personenbezogene Daten nach Beendigung der Verarbeitung gelöscht werden. Ausnahmen hiervon, wenn die Daten nicht sofort gelöscht werden, sind:
- zur Erfüllung der gesetzlichen oder behördlichen Verpflichtung des Verantwortlichen
- für Forschungszwecke, wobei nach Möglichkeit eine Anonymisierung gewährleistet sein muss
- Übermittlung an Dritte, sofern die gesetzlichen Bestimmungen hierfür eingehalten werden
- ausschließliche Verwendung durch den Verantwortlichen, sofern die Daten anonymisiert sind und kein Zugriff durch Dritte erfolgt
Sanktionen und Durchsetzung gemäß dem brasilianischen Datenschutzgesetz
Die ANPD ist für die Beurteilung von Verstößen und die Verhängung von Sanktionen zuständig, wenn eine Nichteinhaltung der Bestimmungen des LGPD festgestellt wurde. Diese Sanktionen können Geldstrafen von bis zu 2 Prozent des Jahresumsatzes des Unternehmens in Brasilien umfassen bzw. bis zu einem Höchstbetrag von 50 Millionen brasilianischen Real pro Verstoß (ca. 8-9 Millionen EUR oder ca. 9-10 Millionen USD).
Die ANPD kann zudem den Zugang zu Daten oder die weitere Datenverarbeitung sperren oder die Löschung der erfassten personenbezogenen Daten verlangen. Einzelpersonen haben ein privates Klagerecht, d. h. das Recht, zivilrechtliche Schadensersatzansprüche für Verletzungen der Privatsphäre geltend zu machen.
Beheben von Schäden der betroffenen Person
Gemäß Artikel 42 ist ein Verantwortlicher oder ein Betreiber, der gegen das Gesetz zum Schutz personenbezogener Daten verstößt („vermögensrechtlicher, moralischer, individueller oder kollektiver Schaden“), verpflichtet, den Schaden zu beheben. Wie bereits erwähnt, können auch einzelne betroffene Personen Schadensersatzansprüche geltend machen, wenn sie durch eine Datenschutzverletzung einen Schaden erlitten haben.
Im Falle eines Verstoßes, durch den betroffene Personen geschädigt werden, ist der Verantwortliche am ehesten schadensersatzpflichtig. Wenn der Betreiber jedoch seine Datenschutzpflichten nicht erfüllt oder die Anweisungen des Verantwortlichen nicht befolgt hat, ist er „[mit dem Verantwortlichen] gesamtschuldnerisch für den durch die Verarbeitung entstandenen Schaden verantwortlich“.
Unternehmen, die Zugang zum brasilianischen Markt erhalten möchten, sind verpflichtet, die LGPD zu erfüllen.
Schlussfolgerung
Das Datenschutzgesetz Brasiliens ist relativ neu, besitzt aber durch den Einfluss der DSGVO und der bestehenden brasilianischen Gesetze eine solide Grundlage. Die ANPD, das maßgebliche Gremium des Landes, wird ebenfalls eine wichtige Rolle bei der Ausarbeitung und Weiterentwicklung des Gesetzes spielen.
Selbstverständlich entwickelt sich die Technologie weiter, und die Gesetze müssen sich mit ihr weiterentwickeln. Cookies von Dritten, internationaler Handel, Kinderschutz und sonstige Überlegungen sind jetzt und in Zukunft wichtig.
Unternehmen müssen der Einhaltung von Datenschutzbestimmungen Vorrang einräumen und gleichzeitig ein Gleichgewicht zwischen Umsatzzielen und dem Aufbau von Kundenbeziehungen herstellen. Die Risiken einer Nichteinhaltung sind beträchtlich, und die meisten Unternehmen können sich Strafen in Millionenhöhe nicht leisten.
Zum Glück gibt es Tools wie Plattformen zur Verwaltung der Einwilligung, die Unternehmen bei der Einhaltung der LGPD-Anforderungen und der Kommunikation mit den Nutzern unterstützen.
Wenn Sie Fragen zu den Auswirkungen des LGPD auf Ihr Unternehmen oder zur Verwaltung von Einwilligungen für Websites und Anwendungen haben, helfen wir Ihnen gerne weiter. Kontaktieren Sie unsere Experten!