FAQ LGPD

Das Lei Geral de Proteção de Dados Pessoais (LGPD) ist Brasiliens neues allgemeines Datenschutzgesetz, das von der nationalen Datenschutzbehörde (Autoridade Nacional de Proteção de Dados) verabschiedet wurde. Es trat am 16. August 2020 in Kraft. Das LGPD ist der europäischen DSGVO sehr ähnlich und...

von Usercentrics

3. Mai 2021

Inhaltsverzeichnis

Mehr anzeigen Weniger anzeigen

Das Lei Geral de Proteção de Dados Pessoais (LGPD) ist Brasiliens neues allgemeines Datenschutzgesetz, das von der nationalen Datenschutzbehörde (Autoridade Nacional de Proteção de Dados) verabschiedet wurde. Es trat am 16. August 2020 in Kraft. Das LGPD ist der europäischen DSGVO sehr ähnlich und besteht aus 65 Artikel, die die Verwendung und Verarbeitung von personenbezogenen Daten regeln.

Wir haben Ihnen die wichtigsten Fragen rund um das Thema LGPD zusammengestellt:

FAQ LGPD

Was bedeutet LGPD?

LGPD steht für Lei Geral de Proteção de Dados und ist das geltende Datenschutzgesetz in Brasilien. Es ist am 16. August 2020 in Kraft getreten und wird ab dem 1. August 2021 rechtlich durchsetzbar.

Was sind die Unterschiede zwischen LGPD und DSGVO?

Der Hauptunterschied zwischen den beiden Richtlinien ist, dass das LGPD mehrere Rechtsgrundlagen hat.

Neben den 6 Rechtsgrundlagen, die auch in der DSGVO enthalten sind, gibt es 4 weitere Rechtsgrundlagen:

– Zur Durchführung von Studien durch Forschungseinrichtungen sollte die Anonymisierung der personenbezogenen Daten, wenn möglich, gewährleistet sein,
– Zur Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schiedsgerichtsverfahren,
– Zum Schutz der Gesundheit, in Verfahren, die von medizinischem Personal oder von Gesundheitseinrichtungen durchgeführt werden,
– Zum Schutz von Krediten.

Im Hinblick auf die Rechte der betroffenen Person besteht der einzige Unterschied darin, dass es in Brasilien kein Recht auf Einschränkung der Verarbeitung gibt (Art. 18 GDPR). Es gibt auch kein direktes Recht, der Verarbeitung zu widersprechen, jedoch muss der Nutzer in der Lage sein, seine Einwilligung zu widerrufen.

Welche Rechtsgrundlagen gibt es für Unternehmen, um Cookies auf einer Website zu verwenden? Welche Dienste können bei berechtigtem Interesse genutzt werden?

Es gibt zehn Rechtsgrundlagen, welche die Verarbeitung von personenbezogenen Daten erlauben. Die am häufigsten verwendete Rechtsgrundlage für die Nutzung von Cookies oder anderen Technologien, die personenbezogene Daten verarbeiten, auf einer Webseite, sind Einwilligung und berechtigtes Interesse. Bei den Diensten, die im Rahmen eines berechtigten Interesses genutzt werden können, handelt es sich um solche, die für die Funktionalität der Website unerlässlich sind oder zu Leistungs- und Analysezwecken genutzt werden.

Wie lauten die rechtlichen Anforderungen in Bezug auf (1) die Bereitstellung der Cookie-Beschreibungen für Benutzer (einschließlich der Anforderungen an die Sprache der Beschreibungen) und (2) die Einholung der Cookie-Einwilligung in ihrem Zuständigkeitsbereich (insbesondere ist eine Opt-in-Zustimmung erforderlich, wenn die Einwilligung eingeholt werden muss)? Was sind die Anforderungen an den Cookie-Bannertext?

Das General Data Protection Regime (das „GDP“) stellt keine besonderen Anforderungen an die Bereitstellung der Cookie-Beschreibungen für die Nutzer.

Die Einholung einer Cookie-Einwilligung ist nur erforderlich, wenn die von Cookies erfassten Informationen als personenbezogene Daten gelten. Damit die Einwilligung gültig ist, muss sie vorher (bevor die Verarbeitung stattfindet), ausdrücklich (durch Mittel, bei denen die betroffene Person ihre eindeutige Absicht offenbart) und in Kenntnis der Sachlage erfolgen. Die betroffenen Personen müssen informiert werden über (i) den Namen und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen; (ii) ihre Rechte und die Möglichkeiten, diese auszuüben; (iii) wo die geltende Datenschutzrichtlinie eingesehen werden kann; (iv) dass die Genehmigung zur Verarbeitung sensibler Daten völlig freiwillig ist; (v) die spezifischen Daten, die gesammelt und verarbeitet werden – insbesondere, wenn es sich um sensible Daten handelt – und (vi) wie die Daten verwendet werden und zu welchen Zwecken. Die Informationen und die Zustimmungserklärung müssen in portugiesischer Sprache zur Verfügung gestellt werden, wenn die Website in portugiesischer Sprache angeboten wird.

Kann die Einwilligung zu Cookies durch die Implementierung eines Two-Layer-Ansatzes eingeholt werden, der aus Cookie-Kategorien in Layer 1 und Beschreibungen der spezifischen Cookies in Layer 2 besteht?

Ja. Da es in Brasilien keine spezifischen Anforderungen für die Einholung einer Cookie-Einwilligung gibt, ist der auf der Usercentrics-Webseite verwendete Two-Layer-Ansatz ausreichend, um die in den brasilianischen Datenschutzgesetzen festgelegten Transparenz- und Zustimmungsanforderungen zu erfüllen.

Kann ein Switch, z.B. eine Schaltfläche, die entweder nach links oder nach rechts bewegt werden kann, um die Einwilligung zu erteilen oder abzulehnen, verwendet werden, um das Opt-in und Opt-out zu erfassen?

Ja. Der Widerruf der Cookie-Einwilligung muss so einfach sein wie die Erteilung. Diese Anforderung kann durch Schalter, wie sie auf der Usercentrics-Webseite verwendet werden, umgesetzt werden.

Wie viele Buttons sind in einem Cookie-Banner (z. B. Akzeptieren/Ablehnen/Nur Analytics-Cookies akzeptieren) in der LGPD Rechtsprechung vorgeschrieben? Gibt es Vorgaben zur Positionierung, Farbauswahl o. ä. ( z. B. Nudging)?

In Brasilien gibt es keine spezifischen Vorschriften für den Inhalt des Cookie-Banners.

In jedem Fall wird Folgendes empfohlen:

(i) Erlauben Sie die Annahme bestimmter Kategorien von Cookies, wenn die Einwilligung eingeholt wird;

(ii) Platzieren Sie den Cookie-Banner an prominenter Stelle auf der Website;

(iii) Vermeiden Sie „Nudging“-Techniken, um die Präferenzen des Benutzers zu beeinflussen;

(iv) Fügen Sie den Link zum Cookie-Datenschutz in das Banner ein.

Was sind die Anforderungen an den Nachweis der Cookie-Einwilligung in Ihrer Rechtsprechung? Reicht es aus, (1) die Cookie-Präferenzen lokal auf dem Endgerät des Nutzers zu speichern und (2) die Cookie-Präferenzen zusammen mit einer Zustimmungs-ID in der Datenbank des CMP-Anbieters? Gibt es Vorgaben für den Speicherort?

Ja. Eine solche Implementierung ist ausreichend. Es gibt keine Anforderungen an den Speicherort für die Cookie-Einwilligung.

Gibt es einen Leitfaden der Aufsichtsbehörden zu Cookie-Einwilligungen und Cookie-Beschreibungen? Wenn ja, können Sie bitte einen Link zu diesem Leitfaden angeben? Wenn es keinen Leitfaden gibt, können Sie bitte den Link zu der zuständigen Aufsichtsbehörde angeben?

Die brasilianische nationale Datenschutzbehörde („ANPD“) wurde bereits gegründet, ist aber noch nicht operativ tätig. Dementsprechend wurde noch keine Anleitung herausgegeben und es gibt keine offizielle Website der ANPD.

Hier finden Sie jedoch einen Link mit allgemeinen Informationen zur ANPD:

https://www.gov.br/secretariageral/pt-br/noticias/2020/agosto/governo-federal-publica-a-estrutura-regimental-da-autoridade-nacional-de-protecao-de-dados

Bitte geben Sie den materiellen und regionalen Geltungsbereich der Cookie-Regeln in Ihrem Land an, insbesondere im Hinblick auf die Anwendbarkeit der Begriffe "personenbezogene Daten" und "Verarbeitung".

In Brasilien gibt es keine spezifischen Regeln in Bezug auf die Verwendung von Cookies. Da die durch Cookies gesammelten Daten jedoch als personenbezogene Daten gelten, finden Datenschutzgesetze wie das brasilianische Internetgesetz und vor allem die LGPD Anwendung.

Das LGPD gilt für jede Verarbeitung personenbezogener Daten, die von einer Einzelperson oder Organisation, ob öffentlich oder privat, getätigt wird und ist unabhängig davon, wo das Land seinen Hauptsitz hat, vorausgesetzt, dass: (i) der Verarbeitungsvorgang in Brasilien durchgeführt wird; (ii) der Zweck des Verarbeitungsvorgangs darin besteht, Waren oder Dienstleistungen anzubieten oder bereitzustellen oder Daten von Personen zu verarbeiten, die sich in Brasilien befinden (d. h. das Anbieten von Waren oder Dienstleistungen und das Ansprechen von Marketingkampagnen in brasilianischen Reais oder in portugiesischer Sprache); oder (iii) die personenbezogenen Daten in Brasilien erhoben werden (d. h. wenn sich die betroffene Person zum Zeitpunkt der Erhebung in Brasilien befindet).

Gibt es besondere Regelungen für Minderjährige / Kinder?

Abschnitt 14 des LGPD besagt, dass die Verarbeitung personenbezogener Daten von Kindern (Personen zwischen 0 und 12 Jahren) und Jugendlichen (zwischen 13 und 18 Jahren) gemäß des LGPD und der geltenden spezifischen Gesetzgebung (z. B. dem brasilianischen Zivilgesetzbuch und dem Kinder- und Jugendstatut) in ihrem besten Interesse erfolgen muss.

Abschnitt 14 (1) LGPD erwähnt ausdrücklich, dass die Verarbeitung von personenbezogenen Daten von Kindern mit der spezifischen und ausdrücklichen Zustimmung von mindestens einem der Elternteile oder des gesetzlichen Vertreters erfolgen muss. Die für die Verarbeitung Verantwortlichen müssen angemessene Anstrengungen unternehmen, um diese Zustimmung zu bestätigen/zu validieren.

Wie lauten die Bestimmungen für Bußgelder?

Die ANPD kann administrative Sanktionen anwenden, die ab August 2021 durchsetzbar sein werden. Diese Sanktionen sind in Abschnitt 52 des LGPD definiert und umfassen Folgendes:

(i) Verwarnung;

(ii) einmalige Geldstrafe in Höhe von bis zu 2 % des Nettoumsatzes des Konzerns des zuwiderhandelnden Unternehmens in Brasilien im vorangegangenen Geschäftsjahr, ohne Steuern, bis zu einem Höchstbetrag von 50.000.000,00 BRL pro Verstoß;

(iii) tägliche Geldstrafe, die ebenfalls dem zuvor festgelegten Höchstbetrag unterliegt;

(iv) Pressemitteilung;

(v) Sperrung oder Löschung von personenbezogenen Daten;

(vi) Aussetzung oder Verbot von Verarbeitungstätigkeiten.

Auch wenn Verwaltungssanktionen erst ab August 2021 durchsetzbar sein werden, können Betroffene ihre Rechte bereits jetzt vor Gericht oder bei Verbraucherschutzstellen geltend machen. Verbraucherschutzorgane und Staatsanwaltschaften können auch einige der Bestimmungen des LGPD oder des Verbraucherschutzgesetzes in Angelegenheiten des Verbraucherschutzes und der Rechte der Betroffenen durchsetzen.