Bra­si­li­en: LGPD am 18. Sep­tem­ber 2020 in Kraft

Bra­si­li­en hat sein neu­es Daten­schutz­ge­setz – das Gesetz Nr. 13.709 vom 14. August 2018, All­ge­mei­nes Gesetz zum Schutz per­so­nen­be­zo­ge­ner Daten (“Lei Geral de Pro­te­ção de Dados”, “LGPD”) heu­te, am 18. Sep­tem­ber 2020, in Kraft gesetzt. Mit dem Inkraft­tre­ten von Durch­set­zungs­be­stim­mun­gen wird für den 1. August 2021 gerech­net.

Das LGPD gleicht in vie­len Punk­ten der DSGVO, ist aber kei­ne Direkt­über­nah­me.

Ver­ar­bei­tun­gen durch Unter­neh­men ohne Nie­der­las­sung in Bra­si­li­en unter­ste­hen in räum­li­cher Hin­sicht dem LGPD, wenn sie:

  • auf dem Gebiet Bra­si­li­ens aus­ge­führt wer­den;
  • ihr Zweck dar­in besteht, natür­li­chen Per­so­nen in Bra­si­li­en Waren oder Lei­stun­gen anzu­bie­ten;
  • Per­so­nen­da­ten betref­fen, die in Bra­si­li­en beschafft wor­den sind. Das trifft zu, wenn sich die betrof­fe­ne Per­son zum Zeit­punkt der Beschaf­fung in Bra­si­li­en auf­ge­hal­ten hat – der Tat­be­stand über­schnei­det sich also mit jenem der Ver­hal­tens­be­ob­ach­tung nach Art. 3 Abs. 2 lit. b DSGVO.

Das LGPD ent­hält aber eine bemer­kens­wer­te Aus­nah­me des Gel­tungs­be­reichs, der in der DSGVO ohne Vor­bild ist: Es ist nicht anwend­bar auf die Ver­ar­bei­tung von Per­so­nen­da­ten, die

  • ausser­halb Bra­si­li­ens beschafft wur­den,
  • nicht grenz­über­schrei­tend über­mit­telt wer­den,
  • nicht Gegen­stand einer Kom­mu­ni­ka­ti­on sind (?), und
  • nicht gemein­sam mit einem bra­si­lia­ni­schen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter genutzt wer­den; sofern 
  • der Staat der Ver­ar­bei­tung über ein ange­mes­se­nes Schutz­ni­veau ver­fügt.

Eini­ge wei­te­re Unter­schie­de zur DSGVO, basie­rend auf Anga­ben von dataguidance.com:

  • Anony­me Daten kön­nen aus­nahms­wei­se als Per­so­nen­da­ten gel­ten, wenn sie ver­wen­det wer­den, um ein Per­sön­lich­keits­pro­fil zu erstel­len oder anzu­rei­chern (was nach der DSGVO aber auch gilt, denn durch die Ver­bin­dung mit einer Per­son dürf­ten Sach- zu Per­so­nen­da­ten wer­den);
  • kon­kre­te Vor­ga­ben für Ver­trä­ge zwi­schen Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern feh­len;
  • das LGPD ent­hält eine beson­de­re Rechts­grund­la­ge für die Ver­ar­bei­tung (i) beson­ders schüt­zens­wer­ter Per­so­nen­da­ten durch For­schungs­ein­rich­tun­gen zu For­schungs­zwecken und (ii) für die Ver­ar­bei­tung gewöhn­li­cher Per­so­nen­da­ten zur Boni­täts­prü­fung;
  • eine KMU-Aus­nah­me von der Pflicht zur Füh­rung eines Ver­ar­bei­tungs­ver­zeich­nis­ses fehlt;
  • Schwel­len­kri­te­ri­en für die Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung feh­len, und die Auf­sichts­be­hör­de kann anord­nen, dass eine sol­che durch­ge­führt wird. Bestim­mun­gen zur Kon­sul­ta­ti­on der Auf­sichts­be­hör­de feh­len;
  • die Pflicht zur Bestel­lung eines DPO gilt nur für Ver­ant­wort­li­che, hier aber aus­nahms­los (wobei die Auf­sichts­be­hör­de Aus­füh­rungs­be­stim­mun­gen erlas­sen kann);
  • die Auf­sichts­be­hör­de kann Min­dest­vor­ga­ben zur Daten­si­cher­heit erlas­sen;
  • eine Maxi­mal­frist zur Mel­dung von Daten­si­cher­heits­ver­let­zun­gen fehlt;
  • Betrof­fe­nen­be­geh­ren sind unver­züg­lich zu beant­wor­ten; ist das nicht mög­lich, muss dies begrün­det mit­ge­teilt wer­den. Aus­kunfts­be­geh­ren sind grds. inner­halb von 15 Tagen zu beant­wor­ten;
  • die Infor­ma­ti­ons­pflicht ist etwas wei­ter als nach der DSGVO;
  • Bus­sen kön­nen ein­fach oder pro Tag der Ver­let­zung (z.B. im Fall der Miss­ach­tung einer Ver­fü­gung) ver­hängt wer­den, jeweils bis zum Betrag von ca. CHF 8.5 Mio.