Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Was ist das LGPD und wie können Sie die Anforderungen erfüllen?

Anleitung zum brasilianischen allgemeinen Datenschutzgesetz (LGPD)

Wie funktioniert das LGPD, sind Sie davon betroffen und wie können Sie die Anforderungen des LGPD erfüllen? In den folgenden Abschnitten erklären wir Ihnen diese Fragen in verständlicher und anschaulicher Form.

KURZFASSUNG

Was ist das LGPD und wie können Sie dieses umsetzen?

Das brasilianische Allgemeine Datenschutzgesetz, das Lei Geral de Proteção de Dados Pessoais (LGPD) , kann als Brasiliens Antwort auf die DSGVO betrachtet werden – wobei das brasilianische Gesetz in vielen Punkten mit den europäischen Anforderungen übereinstimmt, während es sich in anderen unterscheidet. Es soll die derzeitige uneinheitliche Rechtslandschaft (mit über 40 föderalen, sektorbasierten Normen; auf Portugiesisch) durch einen zentralen Rechtsrahmen ersetzen oder ergänzen.

Das LGPD zielt darauf ab, einen neuen rechtlichen Rahmen für die Verwendung von personenbezogenen Daten in Brasilien zu schaffen, sowohl online als auch offline, im privaten und öffentlichen Sektor.

Im Allgemeinen verlangt das LGPD, dass Sie personenbezogene Daten nur für legitime, spezifische, ausdrückliche und klar kommunizierte Zwecke verarbeiten. Wie bei der DSGVO gelten die Grundsätze der Transparenz und der Datenminimierung (nur die Daten zu verwenden, die Sie benötigen).

Trotz eines früheren Vorschlags, das Datum der Inkraftsetzung des LGPD auf Dezember zu verschieben, wurde dieser Vorschlag nach einer Abstimmung im Senat aus dem Umwandlungsgesetz (PLV) 34/2020 herausgenommen. Der brasilianische Präsident hat den Gesetzentwurf inzwischen abgesegnet und das Inkrafttreten der LGPD auf den 18. September 2020 festgelegt. In diesem Zusammenhang wurde ein Dekret zur Schaffung der nationalen Datenschutzbehörde, der Autoridad Nacional de Protección de Datos (ANPD; auf Portugiesisch).

Die brasilianische DSB (ANPD) hat eine aktualisierte Version ihres “Leitfaden für Beauftragte für die Verarbeitung personenbezogener Daten und Datenschutzbeauftragte” herausgegeben, in der die Grundsätze der LGPD und frühere Anleitungen erläutert werden. Lesen Sie die Aktualisierungen hier.

SPEZIELLE DEFINITIONEN, DIE IM FOLGENDEN VERWENDET WERDEN
  • Der Begriff „Nutzer“ bezeichnet hier eine natürliche Person, deren personenbezogene Daten von einem Verantwortlichen oder einem Auftragsverarbeiter (formell als Anbieter Betroffener bezeichnet) verarbeitet werden.
  • Der Begriff „Verantwortlicher“ bezeichnet jede natürliche oder juristische Person des öffentlichen oder privaten Rechts, die an der Festlegung des Zwecks und der Art und Weise der Verarbeitung der personenbezogenen Daten beteiligt ist.
  • Der Begriff „Auftragsverarbeiter“ oder „Betreiber“ bezeichnet jede natürliche oder juristische Person, die an der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beteiligt ist.
  • Der Begriff Datenschutzbehörde (DPA) diesem Dokument bezieht sich auf die brasilianische Datenschutzbehörde (ANPD; auf Portugiesisch)

Zum Beispiel kann ein Internetunternehmen Nutzerdaten über seine Website erfassen und diese über einen Cloud-Dienst eines Drittanbieters speichern. In diesem Szenario ist das Internetunternehmen der Verantwortliche für die Daten und die Organisation, die den Cloud-Dienst betreibt, der Auftragsverarbeiter.

Wo gilt das LGPD? (Territorialer Geltungsbereich der LGPD)

Wie die DSGVO hat auch das LGPD einen territorialen Geltungsbereich, der sich außerhalb Brasiliens erstreckt. Das bedeutet, dass Sie die Anforderungen möglicherweise auch dann erfüllen müssen, wenn Sie oder Ihr Unternehmen nicht in Brasilien ansässig sind. Praktisch gesehen, gilt das LGPD für Sie, wenn:

  • Ihre Datenverarbeitungsaktivitäten werden in Brasilien durchgeführt (z. B. nutzen Sie Server mit Sitz in Brasilien);
  • Sie bieten Personen, die sich in Brasilien befinden, Waren oder Dienstleistungen an oder liefern diese, unabhängig von deren Nationalität; oder
  • Sie verarbeiten Daten, die sich auf Personen beziehen, die sich in Brasilien befinden (auch wenn sich die Person nur zum Zeitpunkt der Datenerfassung in Brasilien befand und seitdem den Standort gewechselt hat).

Generell können Sie davon ausgehen, dass die LGPD auf Sie anwendbar ist, wenn Sie entweder personenbezogene Daten von Personen verarbeiten, die sich in Brasilien befinden, oder personenbezogene Daten von beliebigen Personen, unabhängig von ihrer Nationalität, innerhalb des brasilianischen Territoriums verarbeiten.

Ausnahmen des Geltungsbereichs

Es gibt einige Ausnahmen bezüglich der Anwendbarkeit des LGPD, auch wenn der für die Datenverarbeitung Verantwortliche in den territorialen Geltungsbereich des Gesetzes fällt. Diese Ausnahmen sind im Folgenden aufgeführt. Die LGPD ist nicht anwendbar, wenn:

  • die Verarbeitung der personenbezogenen Daten durch eine natürliche Person erfolgt ausschließlich zu privaten, nichtkommerziellen Zwecken; oder
  • die personenbezogenen Daten ausschließlich für einen der folgenden Zwecke verarbeitet werden:
    • journalistischer oder künstlerischer Ausdruck,
    • akademische Forschung,
    • öffentliche Sicherheit,
    • nationale Verteidigung und Sicherheit,
    • Ermittlung und Verfolgung von Straftaten.

Was sind „personenbezogene Daten“ unter dem LGPD?

Das LGPD verwendet eine breite Definition von personenbezogenen Daten. Wie bei der DSGVO sind personenbezogene Daten im Kontext des LGPD alle Daten, die mit einer identifizierten oder identifizierbaren Person in Verbindung gebracht werden können. Insgesamt werden alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen, als personenbezogene Daten betrachtet. Dazu gehören auch Daten, die mit anderen Informationen kombiniert werden können, um eine beliebige Person zu identifizieren.

WIE VERHÄLT ES SICH MIT DEM LGPD UND ANONYMISIERTEN DATEN?

Vollständig anonymisierte Daten (Daten, die mit vertretbarem Aufwand weder direkt noch indirekt zur Identifizierung einer Person führen können) fallen nicht in den Anwendungsbereich der LGPD. Wenn der Anonymisierungsprozess jedoch reversibel ist oder wenn die Daten für die Erstellung von Verhaltensprofilen verwendet werden, gilt das LGPD trotzdem.

Beispiele für personenbezogene Daten sind unter anderem grundlegende Identitätsdaten wie Namen, Gesundheit, genetische und biometrische Daten, Webdaten wie IP-Adressen, persönliche E-Mail-Adressen, politische Meinungen und Daten zur sexuellen Orientierung.
Zu den nicht-personenbezogenen Daten gehören z. B. Firmenregistrierungsnummern, generische Firmen-E-Mail-Adressen wie info@company.com und anonymisierte Daten.

Anmerkung zu sensiblen Daten unter dem LGPD

Die LGPD unterscheidet „sensible“ Daten von „normalen“ personenbezogenen Daten und wendet auf diese Kategorie von personenbezogenen Daten gesonderte Regelungen an. Sensible Daten sind alle Daten, die sich auf die rassische oder ethnische Herkunft, die religiöse Überzeugung, die politische Meinung, die Gesundheit oder das Sexualleben beziehen; oder Daten, die eine eindeutige und dauerhafte Identifizierung des Nutzers ermöglichen, wie genetische oder biometrische Daten.

Da die Verarbeitung sensibler Daten den Nutzer mit größerer Wahrscheinlichkeit dem Risiko einer Diskriminierung aussetzt, müssen sensible Daten mit zusätzlichen Sicherheitsmaßnahmen verarbeitet werden, wobei sehr spezifische Rechtsgrundlagen für die Verarbeitung vorhanden sein müssen.

Im Allgemeinen können Sie sensible Daten nur verarbeiten, wenn der Nutzer (oder sein Elternteil/Erziehungsberechtigter, sofern die Person minderjährig ist) seine Einwilligung für die jeweilige Verarbeitung gegeben hat. Es gelten einige Ausnahmen.

? Tipp: Sie können das bewegliche Menü auf der linken Seite verwenden, um zu den Abschnitten zu springen, die Sie als nächstes lesen möchten (z.B. „wie Sie die Anforderungen erfüllen können“)

DIE WICHTIGSTEN ANFORDERUNGEN DES LGPD UND WIE MAN DIESE EINHÄLT

Grundlegende Aspekte des LGPD

Grundlagen der Verarbeitung

Die Grundsätze für die Datenverarbeitung sind denen der DSGVO weitgehend ähnlich. Im Besonderen:

  • Es muss einen Zweck für die Verarbeitung geben. Das bedeutet, dass jede Datenverarbeitungsaktivität für legitime, spezifische, explizite und klar kommunizierte Zwecke durchgeführt werden muss – Sie dürfen keine zusätzliche Verarbeitung vornehmen, die nicht mit den kommunizierten ursprünglichen Zwecken übereinstimmt.
  • Angemessenheit. Sowohl die Art und Weise der Datenverarbeitung als auch die verarbeiteten Daten selbst müssen in einem vertretbaren Verhältnis zu den Zwecken der Verarbeitung stehen.
  • Beschränkung des Zwecks. Dies ähnelt dem Konzept der Datenminimierung unter der DSGVO und bedeutet einfach, dass Sie nur Daten verarbeiten dürfen, die für die Erfüllung der von Ihnen angegebenen Verarbeitungszwecke erforderlich sind.
  • Freiheit bei der Ausübung von Rechten und freier Zugang zu Informationen. Nutzer müssen in der Lage sein, ihre Rechte nach dem LGPD frei auszuüben und ungehinderten, einfachen Zugang zu allen Informationen über die Verarbeitung ihrer personenbezogenen Daten zu haben – kostenlos.
  • Datenintegrität/Qualität. Sie, der für die Datenverarbeitung Verantwortliche, müssen die Richtigkeit der verarbeiteten Daten sicherstellen und diese entsprechend dem Zweck der Verarbeitung aktuell und relevant halten.
  • Transparenz. Informationen über Ihre Datenverarbeitung müssen klar, genau und für Nutzer leicht zugänglich sein. Die Nutzer müssen auch in der Lage sein, Informationen über die Dritten, mit denen die Daten geteilt werden, zu erhalten.
  • Sicherheit. Sowohl der für die Datenverarbeitung Verantwortliche als auch etwaige Auftragsverarbeiter (Betreiber) müssen sicherstellen, dass technische und organisatorische Maßnahmen vorhanden sind, die personenbezogene Daten vor unberechtigtem Zugriff, versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung und unberechtigter Weitergabe oder Verbreitung zu schützen.
  • Prävention. Es liegt in der Verantwortung des Verantwortlichen sowie des Auftragsverarbeiters, durch technische und organisatorische Maßnahmen zu verhindern, dass durch die Verarbeitung personenbezogener Daten ein Schaden entsteht.
  • Vermeidung von Diskriminierung. Es darf keine Datenverarbeitung aus diskriminierenden Gründen erfolgen.
  • Verantwortungsbewusstsein. Als Datenverantwortlicher müssen Sie das geltende Recht einhalten und dies auch nachweisen können.

Rechtsgrundlage für die Verarbeitung von Daten nach dem LGPD

Nach dem LGPD dürfen Daten nur verarbeitet werden, wenn es mindestens eine Rechtsgrundlage dafür gibt.

Die rechtlichen Grundlagen sind:

  • Einwilligung des Nutzers
  • Die Erfüllung einer gesetzlichen oder regulatorischen Anforderung, die für den Datenverantwortlichen gilt
  • Die Ausführung öffentlicher Dokumente (wenn diese Dokumente durch Gesetze, Verordnungen oder vertragliche Vereinbarungen unterstützt werden)
  • Die Durchführung von Studien durch Forschungseinrichtungen – soweit möglich unter Gewährleistung der Anonymisierung der verwendeten personenbezogenen Daten*
  • Die Erfüllung einer vertraglichen Vereinbarung, an der der Nutzer beteiligt ist (oder deren Vorstufen)
  • Die ordnungsgemäße Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schlichtungsverfahren *
  • Der Schutz des Lebens oder der körperlichen Sicherheit des Nutzers oder einer dritten Person
  • Der Schutz der Gesundheit – bei einem Verfahren, das von Angehörigen der Gesundheitsberufe, Gesundheitsdiensten oder der Gesundheitsbehörde* durchgeführt wird
  • Die berechtigten Interessen des Verantwortlichen oder Dritter, sofern nicht die Interessen, Rechte und Freiheiten des Nutzers überwiegen
  • Kreditschutz, einschließlich der Anforderungen der einschlägigen Gesetzgebung*

*Nicht als Rechtsgrundlage unter der DSGVO enthalten.

Einwilligung nach dem LGPD

Da die Einwilligung ein so kritisches Thema ist und oft sehr relevant ist, wenn es um die Online-Datenverarbeitung geht, werfen wir im Folgenden einen Blick auf die konkreten Anforderungen an die Einwilligung nach dem LGPD.

Nach den Anforderungen des LGPD muss die Einwilligung „frei, informiert und unmissverständlich“ sein. Das bedeutet, dass die Einwilligung nicht erzwungen werden darf, die vom Nutzer geforderte einwilligende Handlung sollte klar sein und die Nutzer müssen vor der Erteilung der Einwilligung angemessen informiert werden. Die Einwilligung muss außerdem für einen bestimmten Zweck erteilt werden und die Möglichkeit des Widerrufs bzw. der Rücknahme der Einwilligung durch den Nutzer muss jederzeit gegeben sein.

Nach der LGPD muss die Einwilligung frei, informiert und eindeutig sein.

In Bezug auf die Einwilligung von Kindern unter 12 Jahren müssen Sie die ausdrückliche und eindeutige Einwilligung eines Elternteils oder Erziehungsberechtigten einholen. Die Einwilligung kann von einem 13- bis 18-Jährigen* gegeben werden, vorausgesetzt, dass die Verarbeitung seiner personenbezogenen Daten in seinem besten Interesse erfolgt. Sie müssen alle angemessenen Anstrengungen unternehmen (unter Verwendung verfügbarer Technologie), um zu überprüfen, ob die Person, die die Einwilligung erteilt, tatsächlich die elterliche Verantwortung für das Kind hat.

*Hinweis: In Brasilien liegt das anerkannte Alter für die volle Geschäftsfähigkeit bei 18 Jahren.

Öffentlich verfügbare Daten

Vor der LGPD-Gesetzgebung war es Unternehmen erlaubt, personenbezogene Daten, die über das Internet oder eine andere öffentliche Quelle veröffentlicht wurden, aus beliebigen Gründen zu erfassen und zu verarbeiten; nach dem LGPD ist dies jedoch nicht mehr erlaubt.

Gemäß den LGPD-Richtlinien dürfen öffentliche personenbezogene Daten nur auf zwei Arten erhoben und verwendet werden:

  • für denselben Zweck, für den die Daten ursprünglich verarbeitet wurden – in diesem Fall ist die Einwilligung des Nutzers nicht erforderlich; oder
  • für einen anderen Zweck und zwar ausschließlich dann, wenn Sie, der Verantwortliche für die Datenverarbeitung, legitimerweise eine gültige Rechtsgrundlage für die Verarbeitung anwenden können (mehr dazu unten).

Hinweis: Aufgrund der obigen Ausführungen wird das „Scraping“ oder die Erfassung öffentlich verfügbarer Daten für Marketingzwecke usw. durch das LGPD wahrscheinlich eingeschränkt werden.

Sensible Daten

Wenn es um die Verarbeitung sensibler Daten geht, kann die Einwilligung nur dann umgangen werden, wenn diese Verarbeitung absolut notwendig ist für:

  • Erfüllung einer gesetzlichen Verpflichtung, die dem Verantwortlichen für die Datenverarbeitung obliegt;
  • gemeinsame Verarbeitung, die für die öffentliche Verwaltung erforderlich ist, um gesetzliche oder regulatorische öffentliche Dokumente auszuführen;
  • Durchführung von Studien durch eine Forschungseinrichtung – wobei, wann immer möglich, sichergestellt wird, dass die sensiblen personenbezogenen Daten anonymisiert werden;
  • der Schutz des Lebens oder der körperlichen Sicherheit des Nutzers oder eines Dritten;
  • Gesundheitsschutz, ausschließlich, in Verfahren, die von Angehörigen der Gesundheitsberufe, Gesundheitsdiensten oder einer Gesundheitsbehörde durchgeführt werden;
  • die gesundheitliche Überwachung in einem Verfahren, das von Angehörigen der Gesundheitsberufe oder Gesundheitseinrichtungen durchgeführt wird;
  • die reguläre Ausübung von Rechten – einschließlich vertraglicher, gerichtlicher, administrativer sowie über Schiedsverfahren gewährter Rechte; oder
  • Betrugsprävention und Sicherheit des Nutzers (z.B. zur Identifizierung und Authentifizierung der Registrierung in elektronischen Systemen) – soweit die Rechte der Nutzer geschützt sind und nicht Rechte und Freiheiten des Nutzers überwiegen.

Daten von Kindern

Nach der LGPD gelten Ausnahmen vom Erfordernis der Einwilligung zur Verarbeitung der Daten von Kindern, wenn die Verarbeitung erforderlich ist, um mit den Eltern oder Erziehungsberechtigten Kontakt aufzunehmen oder das Kind zu schützen. Die Daten dürfen nur einmal verwendet und nicht gespeichert werden, bzw. dürfen nicht ohne die entsprechende Einwilligung an Dritte weitergegeben werden.

Rechte des Nutzers gemäß dem LGPD

Nach dem LGPD haben die Nutzer („Betroffene“) das Recht auf:

  • Bestätigung. Die Nutzer haben das Recht, das Inkrafttreten der Verarbeitung zu bestätigen.
  • Zugang. Die Nutzer haben das Recht auf Zugang zu ihren Daten, die von dem Verantwortlichen für die Datenverarbeitung verarbeitet werden.
  • Datenübertragbarkeit. Die Nutzer haben das Recht auf Übertragbarkeit ihrer Daten zu einem anderen Dienst- oder Produktanbieter, auf ausdrücklichen Wunsch, in Übereinstimmung mit den Anforderungen der nationalen Behörde und unter Wahrung der Geschäfts- und Betriebsgeheimnisse.
  • Berichtigung. Nutzer haben das Recht, ihre personenbezogenen Daten zu berichtigen, wenn diese ungenau oder unvollständig sind.
  • Anonymisierung. Der Nutzer hat das Recht auf Anonymisierung, Sperrung oder Beseitigung unnötiger oder übermäßiger personenbezogener Daten bzw. von Daten, die nicht in Übereinstimmung mit dem LGPD verarbeitet werden.
  • Löschung. Nutzer haben das Recht, ihre personenbezogenen Daten löschen zu lassen, wenn die Verarbeitung dieser Daten auf einer Einwilligung beruhte.
  • Information. Nutzer haben das Recht, über Unterauftragsverarbeiter und andere Dritte, die auf ihre personenbezogenen Daten zugreifen oder diese verarbeiten, informiert zu werden. Die Nutzer haben außerdem das Recht, über ihre Wahlmöglichkeiten bei der Einwilligung und die Folgen einer Verweigerung der Einwilligung informiert zu werden.
  • Widerruf. Der Nutzer hat das Recht, seine Einwilligung zu widerrufen oder zurückzunehmen.
  • Beschwerde einreichen. Nutzer haben das Recht, sich bei der Datenschutzbehörde (DPA) zu beschweren.
  • Einspruch. Nutzer haben das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die gesetzlichen Anforderungen nicht erfüllt sind.
  • Überprüfung beantragen. Nutzer haben das Recht, die Überprüfung von Entscheidungen zu verlangen, die ausschließlich auf der Grundlage einer automatisierten Verarbeitung personenbezogener Daten getroffen wurden und ihre Interessen betreffen. Dazu gehören Entscheidungen, die zur Bestimmung ihres personengebundenen, beruflichen, Verbraucher- und Kreditprofils oder der Aspekte ihrer Persönlichkeit verwendet werden.

Pflichten des Verantwortlichen und des Auftragsverarbeiters nach dem LGPD

Grenzüberschreitende Datenübertragungen

Wenn Sie LGPD-geschützte Daten außerhalb Brasiliens übertragen müssen, gibt es einige Richtlinien, die Sie berücksichtigen sollten. Das LGPD erlaubt die grenzüberschreitende Übermittlung personenbezogener Daten, wenn ein angemessenes Schutzniveau dieser Daten gegeben ist.

In der Praxis bedeutet dies, dass die Übertragung erlaubt ist, wenn davon ausgegangen wird, dass das empfangende Land eine Gesetzgebung hat, die ein angemessenes Schutzniveau bietet. Die Beurteilung des Angemessenheitsniveaus des empfangenden Landes oder der internationalen Organisation erfolgt durch die Datenschutzbehörde (Data Protection Authority, DPA).

Wenn die Angemessenheitsstufe nicht erfüllt ist, kann es dennoch möglich sein, die Daten ins Ausland zu übertragen, wenn eine der folgenden Bedingungen erfüllt ist:

  • der für die Datenverarbeitung Verantwortliche erhält die informierte, ausdrückliche, vorherige Einwilligung des Nutzers – die von den anderen Verarbeitungszwecken und –anfragen getrennt sein muss;
  • der Verantwortliche für die Datenverarbeitung gewährleistet die Einhaltung des LGPD über einen speziellen Vertragsteil, Standardvertragsklauseln oder globale Unternehmensregeln;
  • der Datentransfer Standards erfüllt, die über gültige Zertifikate und Verhaltenskodizes festgelegt sind, die regelmäßig von der DPA genehmigt werden;
  • die Datenschutzbehörde die Übermittlung direkt genehmigt;
  • die Übermittlung für die internationale rechtliche Zusammenarbeit zwischen öffentlichen Nachrichten-, Ermittlungs- und Strafverfolgungsbehörden (in Übereinstimmung mit internationalem Recht) erforderlich ist;
  • die Übermittlung ist erforderlich, um das Leben oder die körperliche Sicherheit des Nutzers oder eines Dritten zu schützen;
  • der Transfer für die Durchsetzung öffentlicher Dokumente erforderlich ist;
  • die Übermittlung aus einer Verpflichtung resultiert, die im Rahmen einer internationalen Kooperationsvereinbarung eingegangen wurde;
  • die Übermittlung für die Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder für die Ausübung von Rechten in Gerichts- oder Schiedsverfahren erforderlich ist; oder
  • die Übermittlung zur Erfüllung eines Vertrages mit dem Nutzer erforderlich ist.

Aufzeichnungen der Datenverarbeitungs-Aktivitäten

Nach dem LGPD müssen sowohl die für die Verantwortlichen der Datenverarbeitung als auch die Auftragsverarbeiter Aufzeichnungen über ihre Aktivitäten zur Verarbeitung personenbezogener Daten führen – insbesondere, wenn die Verarbeitung auf einem berechtigten Interesse beruht. Alle Verantwortlichen und Auftragsverarbeiterunabhängig von Größe, Häufigkeit der Verarbeitung oder Art der verarbeiteten Daten – müssen dieser Aufzeichnungspflicht nachkommen. Ausnahmen können jedoch von der Datenschutzbehörde gewährt werden.

Alle für die Verarbeitung Verantwortlichen und Auftragsverarbeiter müssen dieser Aufzeichnungspflicht nachkommen.

Datenschutz-Folgenabschätzung (DPIA)

Im Wesentlichen ist eine Datenschutz-Folgenabschätzung (DPIA) ein Prozess, der dem für die Datenverarbeitung Verantwortlichen dabei hilft, die Anforderungen des Datenschutzes zu erfüllen – und der sicherstellt, dass die wichtigsten Grundsätze effektiv eingehalten werden.

Gemäß dem LGPD enthält die DPIA-Dokumentation im Allgemeinen die Beschreibung der Aktivitäten der Verarbeitung personenbezogener Daten, die Risiken für die Bürgerrechte und -freiheiten erzeugen könnten, sowie Maßnahmen, Schutzmaßnahmen und Mechanismen zur Minderung dieses Risikos.

Das DPIA-Dokument muss mindestens Folgendes enthalten:

  • eine Beschreibung der Kategorien der verarbeiteten Daten;
  • die Methoden, die zur Erfassung der Daten verwendet werden;
  • die verwendeten Sicherheitsmaßnahmen; und
  • eine Beschreibung der Maßnahmen, die zur Minderung der mit der Verarbeitung der personenbezogenen Daten verbundenen Risiken eingesetzt werden.

Das Gesetz gibt nicht ausdrücklich an, wann eine Datenschutzfolgenabschätzung erforderlich ist, aber die Datenschutzbehörde kann jederzeit verlangen, dass eine Datenschutzfolgenabschätzung durchgeführt und von dem für die Datenverarbeitung Verantwortlichen vorgelegt wird.

Ernennung eines Datenschutzbeauftragten

Gemäß dem LGPD müssen Sie, der Verantwortliche, einen Datenschutzbeauftragten (DSB) ernennen. Es gibt keine Ausnahmen von dieser Regel. DPOs sind Personen, die für Folgendes verantwortlich sind:

  • Entgegennahme von Beschwerden und Mitteilungen von Nutzern, Bereitstellung von Klarstellungen und Ergreifung entsprechender Maßnahmen;
  • Beratung der Mitarbeiter und Auftragnehmer des Verantwortlichen für die Datenverarbeitung in Bezug auf die Maßnahmen, die zum Schutz der verarbeiteten personenbezogenen Daten ergriffen werden müssen;
  • Entgegennahme von Mitteilungen der Datenschutzbehörde und Verabschiedung entsprechender Maßnahmen; und
  • Erfüllung sonstiger Pflichten, „die vom Datenverantwortlichen bestimmt oder in ergänzenden Vorschriften festgelegt werden“.

Datensicherheit und Datenverletzungen

Nach dem LGPD müssen die für die Datenverarbeitung Verantwortlichen, die Auftragsverarbeiter oder jeder andere an der Verarbeitung personenbezogener Daten beteiligte Akteur Sicherheits-, technische und administrative Maßnahmen ergreifen, um personenbezogene Daten vor unbefugten Zugriffen und versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, Weitergabe oder jeglicher Art von unrechtmäßiger Verarbeitung zu schützen.

Jeder Sicherheitsvorfall, der ein Risiko oder einen Schaden für die Nutzer verursachen könnte, muss innerhalb eines angemessenen Zeitrahmens an die Datenschutzbehörde kommuniziert werden.

Die Benachrichtigung muss mindestens Folgendes enthalten:

  • eine Beschreibung der Art der betroffenen personenbezogenen Daten;
  • Angaben zu den betroffenen Nutzern;
  • Informationen über die technischen und sicherheitstechnischen Maßnahmen, die zum Schutz der Daten eingesetzt werden – unter Wahrung des Geschäfts- und Betriebsgeheimnisses;
  • die mit dem Vorfall verbundenen Risiken;
  • die Gründe für eine Verzögerung bei der Meldung des Vorfalls an die Datenschutzbehörde (in Fällen, in denen die Benachrichtigung nicht sofort erfolgte); und
  • die Maßnahmen, die ergriffen wurden oder werden, um die Auswirkungen des Schadens zu beheben oder zu vermindern.

Nach der Mitteilung des Verstoßes kann die Datenschutzbehörde den für die Datenverarbeitung Verantwortlichen anweisen, die Medien zu alarmieren oder andere Schritte zu unternehmen, um die schädlichen Auswirkungen des Vorfalls zu mindern.

Transparenz

Wie bei der DSGVO ist Transparenz ein Kernprinzip des LGPD. Unter dem LGPD haben Nutzer das Recht auf erleichterten Zugang zu Informationen über die Verarbeitung ihrer personenbezogenen Daten – die in einer klaren, angemessenen und auffälligen Weise zur Verfügung gestellt werden müssen.

Diese Offenlegungen umfassen:

  • den spezifischen Zweck der Verarbeitung;
  • die Art der Verarbeitung und die Dauer der Verarbeitung;
  • die identifizierenden Details des Verantwortlichen für die Datenverarbeitung;
  • die Kontaktinformationen des für die Verarbeitung Verantwortlichen;
  • Informationen darüber, mit wem die Daten geteilt werden und warum;
  • die Verantwortlichkeiten aller Auftragsverarbeiter oder Beauftragten, die die Verarbeitung durchführen werden;
  • die Rechte des Nutzers (der betroffenen Person), mit ausdrücklicher Erwähnung der Nutzerrechte gemäß Art. 18 des LGPD (oben erwähnt), wie diese Rechte ausgeübt werden können und ob personenbezogene Daten verarbeitet werden, um auf eine Anfrage zur Ausübung dieser Rechte zu reagieren.

Rechenschaftspflicht: Datenschutz durch Design und Voreinstellung

Die LGPD besagt, dass sowohl die für die Datenverarbeitung Verantwortlichen als auch die Auftragsverarbeiter interne Prozesse und Dokumente einrichten können, die die Einhaltung des Gesetzes sicherstellen. Dazu gehören ein Datenschutz-Management-Programm und Maßnahmen, die dessen Wirksamkeit belegen.

Das Überwachungsprogramm sollte, als ein Minimum, Folgendes beinhalten:

  • die Verpflichtung des für die Verarbeitung Verantwortlichen zeigen, die Einhaltung von Regeln und bewährten Verfahren sicherzustellen;
  • auf den gesamten Umfang der personenbezogenen Daten, die sich unter der Kontrolle des jeweiligen Auftragsverarbeiters befinden, anwendbar sein – unabhängig von den Mitteln, die zur Erfassung der Daten verwendet werden;
  • an die besondere Struktur, den Umfang und das Volumen der Vorgänge sowie an die Sensibilität der verarbeiteten Daten angepasst sein;
  • angemessene Dokumente und Schutzmaßnahmen einführen, die auf einem Prozess der systematischen Bewertung der Auswirkungen auf und Risiken für die Privatsphäre basieren;
  • haben den Zweck, durch Transparenz ein Vertrauensverhältnis zum Nutzer zu schaffen;
  • sicherstellen, dass Mechanismen zur Beteiligung des Nutzers in die allgemeine Governance-Struktur des Programms integriert sind, und interne und externe Überwachungsmechanismen einrichten und anwenden;
  • über Pläne und Lösungen verfügen, um auf Vorfälle zu reagieren; und
  • ständig auf der Grundlage von Informationen aktualisiert werden, die aus der kontinuierlichen Überwachung und regelmäßigen Bewertungen gewonnen werden.

Der für die Datenverarbeitung Verantwortliche muss in der Lage sein, die Effektivität seines Datenschutzprogramms bei Bedarf unter Beweis zu stellen – insbesondere, wenn er von der nationalen Behörde dazu aufgefordert wird.

Konsequenzen bei Nichteinhaltung

Die rechtlichen Konsequenzen für die Nichteinhaltung können Geldstrafen in Höhe von 2 % des Jahresumsatzes eines Unternehmens bis zu 50 Millionen brasilianischen Reais (derzeit etwa 8 Mio. € oder 9 Mio. US$) pro Verstoß umfassen. Aber vielleicht ebenso besorgniserregend sind die möglichen Korrekturmaßnahmen, die gegen diejenigen ergriffen werden können, die gegen die Anforderungen verstoßen haben.

Die rechtlichen Konsequenzen für die Nichteinhaltung können Geldstrafen von 2 % des Jahresumsatzes eines Unternehmens bis zu 50 Mio. BRL (8 Mio. €) umfassen.

Im Rahmen des LGPD hat die brasilianische Datenschutzbehörde Korrekturbefugnisse, die das Ausstellen von Verwarnungen und Bußgeldern, die Veröffentlichung des Verstoßes und die Sperrung oder Löschung der Verarbeitungstätigkeiten oder der personenbezogenen Daten, auf die sich der Verstoß bezieht, umfassen – dies bedeutet, dass, wenn der Verstoß in Bezug auf die Erfassung von E-Mail-Adressen auftrat, der für die Datenverarbeitung Verantwortliche den Verlust der gesamten zugehörigen E-Mail-Liste riskieren könnte. Die brasilianische Datenschutzbehörde kann auch verlangen, dass die Datenbank, die mit dem Vorfall in Verbindung steht, teilweise für bis zu 6 Monate gesperrt wird, was möglicherweise alle anderen Aktivitäten stoppt, die die besagte Datenbank nutzen könnten.

Darüber hinaus ermöglicht das LGPD, wie die DSGVO, Nutzern mit einem Klagegrund, zivilrechtlichen Schadenersatz (finanziell oder moralisch) für die Verletzung des Datenschutzgesetzes zu verlangen.

Wie Sie den Anforderungen des LGPD entsprechen können

Checkliste zur Einhaltung der LGPD-Anforderungen

Identifizieren (und dokumentieren) Sie Ihre Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Verantwortliche müssen für jede Verarbeitungstätigkeit eine Rechtsgrundlage festlegen und die Rechtsgrundlage in ihren Aufzeichnungen über die Verarbeitung dokumentieren.

Führen Sie ein Verzeichnis der Datenverarbeitungstätigkeiten (erforderlich gemäß Art. 37). Das LGPD enthält zwar keine spezifischen Anforderungen an die Form oder den Inhalt dieser Aufzeichnungen, aber sie werden wahrscheinlich ähnlich sein wie das Register der Verarbeitung, das gemäß Art. 30 der DSGVO. iubenda macht die Erstellung und Pflege von Datenverarbeitungsprotokollen einfach. Lesen Sie hier mehr.

Nehmen Sie die erforderlichen Angaben in Ihre Datenschutzerklärung auf. Erforderlich (Art. 9), um die Transparenzanforderungen der LGPD zu erfüllen. Erfahren Sie mehr über die Möglichkeit, mit unserem Generator für Datenschutzrichtlinien per Mausklick die LGPD-Offenlegung einzustellen.

Erfassen und pflegen Sie einen gültigen Nachweis der Einwilligung (erforderlich gemäß Art. 8). Wie bei der DSGVO liegt auch bei dem LGPD die Beweislast für den Nachweis einer gültigen Einwilligung bei Ihnen, dem für die Datenverarbeitung Verantwortlichen. iubenda macht die Erstellung und Pflege von Einwilligungsnachweisen so einfach wie möglich. Lesen Sie hier mehr.

Ernennen Sie einen Datenschutzbeauftragten (DSB) – erforderlich gemäß Art. 41. Nach der LGPD ist es verpflichtend, dass alle für die Datenverarbeitung Verantwortlichen einen Datenschutzbeauftragten ernennen, der dann mit den hier genannten Tätigkeiten betraut wird. Derzeit schreibt das Gesetz nicht vor, dass der DSB physisch in Brasilien ansässig sein muss, und lässt auch die Möglichkeit offen, dass die für die Datenverarbeitung Verantwortlichen externe Berater als DSB einsetzen können.

Entwickeln Sie interne Dokumente und Verfahren zur Wahrung der Rechte von Nutzern und zur Beantwortung entsprechender Nutzeranfragen. Verantwortliche müssen in angemessener Weise auf Anfragen von Betroffenen zur Ausübung ihrer Rechte gemäß der LGPD reagieren, einschließlich Zugang, Korrektur, Anonymisierung, Löschung und Portabilität.

Implementieren Sie ein Sicherheitsprotokoll. Sowohl Verantwortliche als auch Auftragsverarbeiter müssen Sicherheitsmaßnahmen ergreifen , um den Schutz personenbezogener Daten zu gewährleisten. Die DPA kann in Zukunft Richtlinien für technische Mindeststandards bereitstellen. Andere rechtliche Rahmenwerke nach brasilianischem Recht bieten zusätzliche Anleitungen in Bezug auf bestehende Standards, wie z. B. das brasilianische Rahmenwerk für Bürgerrechte im Internet, auch bekannt als Marco Civil da Internet (das Prinzipien, Garantien, Rechte und Pflichten für die Nutzer des Internets in Brasilien regelt).

Entwickeln Sie einen Plan zur Reaktion auf Vorfälle und zur Behebung von Problemen (in Übereinstimmung mit Art. 50). Verantwortliche und Auftragsverarbeiter müssen einen Plan zur Reaktion auf Vorfälle implementieren, der sicherstellt, dass der Verantwortliche in der Lage ist, die verpflichtenden Anforderungen zur Meldung von Vorfällen zu erfüllen (siehe unten).

Wenn eine Datenverletzung ein erhebliches Risiko oder einen Schaden für die Nutzer darstellt, müssen Sie die Datenschutzbehörde und die Nutzer benachrichtigen (gemäß Art. 50).

Führen Sie Datenschutz-Folgenabschätzungen (DPIAs) durch. DPIAs können in Situationen verpflichtend sein, die als risikoreich eingestuft werden, oder auf Verlangen der Behörde, wenn die Verarbeitung von Daten auf einem berechtigten Interesse beruht.

Implementieren Sie einen eingebauten und standardmäßigen Datenschutz. Unter der LGPD ist es verpflichtend, standardmäßig Maßnahmen einzurichten, die den Schutz personenbezogener Daten gewährleisten. In der Praxis sollten die Standardeinstellungen diejenigen sein, die das höchste Schutzniveau garantieren.

Erfüllen Sie die Anforderungen für den grenzüberschreitenden Datentransfer. Vergewissern Sie sich, dass Sie alle geltenden Beschränkungen für grenzüberschreitende Datenübertragungen kennen und die entsprechenden Anforderungen einhalten. Weitere Details finden Sie hier.

Wie iubenda Ihnen helfen kann, die LGPD-Anforderungen zu erfüllen

Einer der grundlegenden Schritte im Hinblick auf die Erfüllung der Anforderungen ist die Sicherstellung, dass Ihre Dokumente den gesetzlichen Anforderungen entsprechen. Bei iubenda verfolgen wir einen umfassenden Ansatz zur Einhaltung von Datengesetzen. Wir entwickeln Lösungen unter Berücksichtigung der strengsten Anforderungen und geben Ihnen alle Möglichkeiten, diese nach Bedarf anzupassen. Wir helfen Ihnen bei der Erfüllung Ihrer rechtlichen Anforderungen, reduzieren das Risiko von Rechtsstreitigkeiten und schützen Ihre Kunden – das schafft Vertrauen und Glaubwürdigkeit.

Hier erfahren Sie, worauf Sie achten müssen, um eine vollständige Compliance zu erreichen:

Datenschutzerklärung

Alle mit iubenda generierten Datenschutzerklärungen ermöglichen es Ihnen, mit den Anforderungen der LGPD übereinzustimmen, da diese die Option enthalten, die von dem LGPD definierten rechtlichen Standards einfach auf brasilianische Nutzer anzuwenden.

Mit unserem Generator für Datenschutz- und Cookie-Richtlinien können Sie eine ansprechende, rechtssichere und präzise Datenschutzerklärung erstellen und diese nahtlos in Ihre Website oder App integrieren. Sie können einfach per Mausklick eine von mehreren vorgefertigten Klauseln hinzufügen oder mit Hilfe des integrierten Formulars ganz einfach Ihre eigenen benutzerdefinierten Klauseln schreiben.

Unsere Lösung erleichtert es Ihnen, die LGPD-Anforderungen zu erfüllen, indem sie mit einem Klick aktiviert werden kann:

  • Anzeige von LGPD-bezogener Sprache, Offenlegungen und Anweisungen, wie gesetzlich vorgeschrieben; und
  • Automatische Aktualisierung Ihrer eingebetteten Datenschutzerklärung mit dem LGPD-Text, sobald dieser im Generator aktiviert wurde – Sie müssen den Code auf Ihrer Website nicht erneut einbinden!

Die Datenschutzerklärung enthält auch die Option, eine Cookie-Richtlinie einzubinden (diese ist notwendig, wenn Ihre Website oder App Cookies verwendet und EU-Nutzer hat). Die Dokumente sind an Ihre Bedürfnisse anpassbar und werden von einem internationalen Rechtsteam aus der Ferne gewartet.

 

Weitere Informationen zum Thema Datenschutzerklärungen finden Sie hier.

Verzeichnis von Datenverarbeitungstätigkeiten

Die Einhaltung der Anforderungen des LGPD kann in der praktischen Umsetzung eine technische Herausforderung sein. Dies gilt insbesondere für das interne Datenschutzmanagement.

Unsere Lösung hilft Ihnen, alle Ihre Datenverarbeitungsaktivitäten einfach zu erfassen und zu verwalten, so dass Sie die vorgeschriebenen LGPD-Anforderungen leicht einhalten und Ihren gesetzlichen Verpflichtungen nachkommen können. Es ermöglicht Ihnen, Aufzeichnungen über die Verarbeitungstätigkeiten zu erstellen: Sie können Verarbeitungstätigkeiten aus über 1500 vorgefertigten Optionen hinzufügen, diese nach Bereichen unterteilen (Unterbereiche, innerhalb derer die Datenverarbeitungstätigkeiten gleich sind), Verantwortlichen und anderen Mitgliedern Rollen zuweisen und Rechtsgrundlagen und andere LGPD-erforderliche Aufzeichnungen dokumentieren.

Für eine Liste der vollständigen Funktionen des Verzeichnis von Datenverarbeitungstätigkeiten klicken Sie hier oder lesen Sie den Leitfaden hier.

Verwaltung von Einwilligungen und Führung detaillierter Aufzeichnungen in Bezug auf diese

Um Datenschutzgesetze wie dem LGPD und der DSGVO gerecht zu werden, müssen Sie einen Nachweis der Einwilligung aufbewahren, um zu zeigen, dass die Einwilligung den Anforderungen entsprechend erfasst wurde.

Unsere Consent Database vereinfacht diesen Prozess, indem sie Ihnen hilft, den Nachweis der Einwilligung zu speichern und die Einwilligung und Datenschutzeinstellungen für jeden Ihrer Nutzer zu verwalten. Sie ermöglicht es Ihnen, jeden Aspekt der Einwilligung (einschließlich des rechtlichen oder datenschutzrechtlichen Hinweises und des Einwilligungsformulars, das dem Benutzer zum Zeitpunkt der Einholung der Einwilligung vorgelegt wurde) und die damit verbundenen Präferenzen des Nutzers zu verfolgen.

Zur Verwendung aktivieren Sie einfach die Consent Database in Ihrem Dashboard nd erhalten den API-Schlüssel, dann installieren Sie sie über HTTP-API oder JS-Widget und schon sind Sie in der Lage, Einwilligungen jederzeit abzurufen und aktuell zu halten.

Für eine Liste aller Funktionen der Consent Database klicken Sie hier oder lesen Sie den Leitfaden hier.

Privacy Controls and Cookie Solution

💡 Falls Sie in Brasilien tätig sind oder brasilianische Nutzer haben, ist es empfohlen, einen Cookie-Banner anzuzeigen und die Einwilligung Ihrer Nutzer vor der Installation von nicht-technischen Cookies einzuholen.

Unsere Privacy Controls and Cookie Solution können Sie ganz einfach generieren! Außerdem können Sie Ihr Cookie-Banner problemlos anpassen, nahtlos Einwilligungen erfassen und eine vorherige Blockierung mit asynchroner Reaktivierung implementieren. 

Erstellen Sie Ihre Website in wenigen Minuten nach den Anforderungen des LGPD

Generierung starten

Bitte beachten Sie, dass die Gesetze von Zeit zu Zeit geändert und aktualisiert werden. Daher ist es wichtig sicherzustellen, dass Ihre Dokumente die neuesten Anforderungen erfüllen. Aus diesem Grund verwenden wir die Einbettungsmethode und NICHT Copy & Paste. Mit dieser Methode können Sie sicher sein, dass Ihre Dokumente auf dem neuesten Stand sind und von unserem Rechtsteam aus der Ferne gepflegt werden.

Sehen Sie auch