FAQ LGPD

FAQ LGPD

Das Lei Geral de Proteção de Dados Pessoais (LGPD) ist Brasiliens neues allgemeines Datenschutzgesetz, das von der nationalen Datenschutzbehörde (Autoridade...
by Usercentrics
3. Mai 2021
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Das Lei Geral de Proteção de Dados Pessoais (LGPD) ist Brasiliens neues allgemeines Datenschutzgesetz, das von der nationalen Datenschutzbehörde (Autoridade Nacional de Proteção de Dados) verabschiedet wurde. Es trat am 16. August 2020 in Kraft. Das LGPD ist der europäischen DSGVO sehr ähnlich und besteht aus 65 Artikel, die die Verwendung und Verarbeitung von personenbezogenen Daten regeln.

 

Wir haben Ihnen die wichtigsten Fragen rund um das Thema LGPD zusammengestellt:

FAQ LGPD

LGPD steht für Lei Geral de Proteção de Dados und ist das geltende Datenschutzgesetz in Brasilien. Es ist am 16. August 2020 in Kraft getreten und wird ab dem 1. August 2021 rechtlich durchsetzbar.

Der Hauptunterschied zwischen den beiden Richtlinien ist, dass das LGPD mehrere Rechtsgrundlagen hat.

Neben den 6 Rechtsgrundlagen, die auch in der DSGVO enthalten sind, gibt es 4 weitere Rechtsgrundlagen:

  • – Zur Durchführung von Studien durch Forschungseinrichtungen sollte die Anonymisierung der personenbezogenen Daten, wenn möglich, gewährleistet sein,
  • – Zur Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schiedsgerichtsverfahren,
  • – Zum Schutz der Gesundheit, in Verfahren, die von medizinischem Personal oder von Gesundheitseinrichtungen durchgeführt werden,
  • – Zum Schutz von Krediten.

Im Hinblick auf die Rechte der betroffenen Person besteht der einzige Unterschied darin, dass es in Brasilien kein Recht auf Einschränkung der Verarbeitung gibt (Art. 18 GDPR). Es gibt auch kein direktes Recht, der Verarbeitung zu widersprechen, jedoch muss der Nutzer in der Lage sein, seine Einwilligung zu widerrufen.

Es gibt zehn Rechtsgrundlagen, welche die Verarbeitung von personenbezogenen Daten erlauben. Die am häufigsten verwendete Rechtsgrundlage für die Nutzung von Cookies oder anderen Technologien, die personenbezogene Daten verarbeiten, auf einer Webseite, sind Einwilligung und berechtigtes Interesse.  Bei den Diensten, die im Rahmen eines berechtigten Interesses genutzt werden können, handelt es sich um solche, die für die Funktionalität der Website unerlässlich sind oder zu Leistungs- und Analysezwecken genutzt werden.

Das General Data Protection Regime (das „GDP“) stellt keine besonderen Anforderungen an die Bereitstellung der Cookie-Beschreibungen für die Nutzer.

Die Einholung einer Cookie-Einwilligung ist nur erforderlich, wenn die von Cookies erfassten Informationen als personenbezogene Daten gelten. Damit die Einwilligung gültig ist, muss sie vorher (bevor die Verarbeitung stattfindet), ausdrücklich (durch Mittel, bei denen die betroffene Person ihre eindeutige Absicht offenbart) und in Kenntnis der Sachlage erfolgen. Die betroffenen Personen müssen informiert werden über (i) den Namen und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen; (ii) ihre Rechte und die Möglichkeiten, diese auszuüben; (iii) wo die geltende Datenschutzrichtlinie eingesehen werden kann; (iv) dass die Genehmigung zur Verarbeitung sensibler Daten völlig freiwillig ist; (v) die spezifischen Daten, die gesammelt und verarbeitet werden – insbesondere, wenn es sich um sensible Daten handelt – und (vi) wie die Daten verwendet werden und zu welchen Zwecken. Die Informationen und die Zustimmungserklärung müssen in portugiesischer Sprache zur Verfügung gestellt werden, wenn die Website in portugiesischer Sprache angeboten wird.

Ja. Da es in Brasilien keine spezifischen Anforderungen für die Einholung einer Cookie-Einwilligung gibt, ist der auf der Usercentrics-Webseite verwendete Two-Layer-Ansatz ausreichend, um die in den brasilianischen Datenschutzgesetzen festgelegten Transparenz- und Zustimmungsanforderungen zu erfüllen.

Ja. Der Widerruf der Cookie-Einwilligung muss so einfach sein wie die Erteilung. Diese Anforderung kann durch Schalter, wie sie auf der Usercentrics-Webseite verwendet werden, umgesetzt werden.

In Brasilien gibt es keine spezifischen Vorschriften für den Inhalt des Cookie-Banners.

In jedem Fall wird Folgendes empfohlen:

(i) Erlauben Sie die Annahme bestimmter Kategorien von Cookies, wenn die Einwilligung eingeholt wird;

(ii) Platzieren Sie den Cookie-Banner an prominenter Stelle auf der Website;

(iii) Vermeiden Sie „Nudging“-Techniken, um die Präferenzen des Benutzers zu beeinflussen;

(iv) Fügen Sie den Link zum Cookie-Datenschutz in das Banner ein.

Ja. Eine solche Implementierung ist ausreichend. Es gibt keine Anforderungen an den Speicherort für die Cookie-Einwilligung.

Die brasilianische nationale Datenschutzbehörde („ANPD“) wurde bereits gegründet, ist aber noch nicht operativ tätig. Dementsprechend wurde noch keine Anleitung herausgegeben und es gibt keine offizielle Website der ANPD.

Hier finden Sie jedoch einen Link mit allgemeinen Informationen zur ANPD:

https://www.gov.br/secretariageral/pt-br/noticias/2020/agosto/governo-federal-publica-a-estrutura-regimental-da-autoridade-nacional-de-protecao-de-dados

In Brasilien gibt es keine spezifischen Regeln in Bezug auf die Verwendung von Cookies. Da die durch Cookies gesammelten Daten jedoch als personenbezogene Daten gelten, finden Datenschutzgesetze wie das brasilianische Internetgesetz und vor allem die LGPD Anwendung.

Das LGPD gilt für jede Verarbeitung personenbezogener Daten, die von einer Einzelperson oder Organisation, ob öffentlich oder privat, getätigt wird und ist unabhängig davon, wo das Land seinen Hauptsitz hat, vorausgesetzt, dass: (i) der Verarbeitungsvorgang in Brasilien durchgeführt wird; (ii) der Zweck des Verarbeitungsvorgangs darin besteht, Waren oder Dienstleistungen anzubieten oder bereitzustellen oder Daten von Personen zu verarbeiten, die sich in Brasilien befinden (d. h. das Anbieten von Waren oder Dienstleistungen und das Ansprechen von Marketingkampagnen in brasilianischen Reais oder in portugiesischer Sprache); oder (iii) die personenbezogenen Daten in Brasilien erhoben werden (d. h. wenn sich die betroffene Person zum Zeitpunkt der Erhebung in Brasilien befindet).

Abschnitt 14 des LGPD besagt, dass die Verarbeitung personenbezogener Daten von Kindern (Personen zwischen 0 und 12 Jahren) und Jugendlichen (zwischen 13 und 18 Jahren) gemäß des LGPD und der geltenden spezifischen Gesetzgebung (z. B. dem brasilianischen Zivilgesetzbuch und dem Kinder- und Jugendstatut) in ihrem besten Interesse erfolgen muss.

Abschnitt 14 (1) LGPD erwähnt ausdrücklich, dass die Verarbeitung von personenbezogenen Daten von Kindern mit der spezifischen und ausdrücklichen Zustimmung von mindestens einem der Elternteile oder des gesetzlichen Vertreters erfolgen muss. Die für die Verarbeitung Verantwortlichen müssen angemessene Anstrengungen unternehmen, um diese Zustimmung zu bestätigen/zu validieren.

Die ANPD kann administrative Sanktionen anwenden, die ab August 2021 durchsetzbar sein werden. Diese Sanktionen sind in Abschnitt 52 des LGPD definiert und umfassen Folgendes:

(i) Verwarnung;

(ii) einmalige Geldstrafe in Höhe von bis zu 2 % des Nettoumsatzes des Konzerns des zuwiderhandelnden Unternehmens in Brasilien im vorangegangenen Geschäftsjahr, ohne Steuern, bis zu einem Höchstbetrag von 50.000.000,00 BRL pro Verstoß;

(iii) tägliche Geldstrafe, die ebenfalls dem zuvor festgelegten Höchstbetrag unterliegt;

(iv) Pressemitteilung;

(v) Sperrung oder Löschung von personenbezogenen Daten;

(vi) Aussetzung oder Verbot von Verarbeitungstätigkeiten.

Auch wenn Verwaltungssanktionen erst ab August 2021 durchsetzbar sein werden, können Betroffene ihre Rechte bereits jetzt vor Gericht oder bei Verbraucherschutzstellen geltend machen. Verbraucherschutzorgane und Staatsanwaltschaften können auch einige der Bestimmungen des LGPD oder des Verbraucherschutzgesetzes in Angelegenheiten des Verbraucherschutzes und der Rechte der Betroffenen durchsetzen.

Ähnliche Artikel