Bra­si­li­en: LGPD am 18. Sep­tem­ber 2020 in Kraft

Bra­si­li­en hat sein neu­es Daten­schutz­ge­setz – das Gesetz Nr. 13.709 vom 14. August 2018, All­ge­mei­nes Gesetz zum Schutz per­so­nen­be­zo­ge­ner Daten (“Lei Geral de Pro­te­ção de Dados”, “LGPD”) heu­te, am 18. Sep­tem­ber 2020, in Kraft gesetzt. Mit dem Inkraft­tre­ten von Durch­set­zungs­be­stim­mun­gen wird für den 1. August 2021 gerechnet.

• LGPD auf portugiesisch
• eng­li­sche Über­set­zung (für Mit­glie­der der IAPP)
• deut­sche Über­set­zung (via DeepL)
• offi­zi­el­le Web­site zum LGPD

Das LGPD gleicht in vie­len Punk­ten der DSGVO, ist aber kei­ne Direktübernahme.

Ver­ar­bei­tun­gen durch Unter­neh­men ohne Nie­der­las­sung in Bra­si­li­en unter­ste­hen in räum­li­cher Hin­sicht dem LGPD, wenn sie:

• auf dem Gebiet Bra­si­li­ens aus­ge­führt werden;
• ihr Zweck dar­in besteht, natür­li­chen Per­so­nen in Bra­si­li­en Waren oder Lei­stun­gen anzubieten;
• Per­so­nen­da­ten betref­fen, die in Bra­si­li­en beschafft wor­den sind. Das trifft zu, wenn sich die betrof­fe­ne Per­son zum Zeit­punkt der Beschaf­fung in Bra­si­li­en auf­ge­hal­ten hat – der Tat­be­stand über­schnei­det sich also mit jenem der Ver­hal­tens­be­ob­ach­tung nach Art. 3 Abs. 2 lit. b DSGVO.

Das LGPD ent­hält aber eine bemer­kens­wer­te Aus­nah­me des Gel­tungs­be­reichs, der in der DSGVO ohne Vor­bild ist: Es ist nicht anwend­bar auf die Ver­ar­bei­tung von Per­so­nen­da­ten, die

• ausser­halb Bra­si­li­ens beschafft wurden,
• nicht grenz­über­schrei­tend über­mit­telt werden,
• nicht Gegen­stand einer Kom­mu­ni­ka­ti­on sind (?), und
• nicht gemein­sam mit einem bra­si­lia­ni­schen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter genutzt wer­den; sofern 
• der Staat der Ver­ar­bei­tung über ein ange­mes­se­nes Schutz­ni­veau verfügt.

Eini­ge wei­te­re Unter­schie­de zur DSGVO, basie­rend auf Anga­ben von dataguidance.com:

• Anony­me Daten kön­nen aus­nahms­wei­se als Per­so­nen­da­ten gel­ten, wenn sie ver­wen­det wer­den, um ein Per­sön­lich­keits­pro­fil zu erstel­len oder anzu­rei­chern (was nach der DSGVO aber auch gilt, denn durch die Ver­bin­dung mit einer Per­son dürf­ten Sach- zu Per­so­nen­da­ten werden);
• kon­kre­te Vor­ga­ben für Ver­trä­ge zwi­schen Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern fehlen;
• das LGPD ent­hält eine beson­de­re Rechts­grund­la­ge für die Ver­ar­bei­tung (i) beson­ders schüt­zens­wer­ter Per­so­nen­da­ten durch For­schungs­ein­rich­tun­gen zu For­schungs­zwecken und (ii) für die Ver­ar­bei­tung gewöhn­li­cher Per­so­nen­da­ten zur Bonitätsprüfung;
• eine KMU-Aus­nah­me von der Pflicht zur Füh­rung eines Ver­ar­bei­tungs­ver­zeich­nis­ses fehlt;
• Schwel­len­kri­te­ri­en für die Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung feh­len, und die Auf­sichts­be­hör­de kann anord­nen, dass eine sol­che durch­ge­führt wird. Bestim­mun­gen zur Kon­sul­ta­ti­on der Auf­sichts­be­hör­de fehlen;
• die Pflicht zur Bestel­lung eines DPO gilt nur für Ver­ant­wort­li­che, hier aber aus­nahms­los (wobei die Auf­sichts­be­hör­de Aus­füh­rungs­be­stim­mun­gen erlas­sen kann);
• die Auf­sichts­be­hör­de kann Min­dest­vor­ga­ben zur Daten­si­cher­heit erlassen;
• eine Maxi­mal­frist zur Mel­dung von Daten­si­cher­heits­ver­let­zun­gen fehlt;
• Betrof­fe­nen­be­geh­ren sind unver­züg­lich zu beant­wor­ten; ist das nicht mög­lich, muss dies begrün­det mit­ge­teilt wer­den. Aus­kunfts­be­geh­ren sind grds. inner­halb von 15 Tagen zu beantworten;
• die Infor­ma­ti­ons­pflicht ist etwas wei­ter als nach der DSGVO;
• Bus­sen kön­nen ein­fach oder pro Tag der Ver­let­zung (z.B. im Fall der Miss­ach­tung einer Ver­fü­gung) ver­hängt wer­den, jeweils bis zum Betrag von ca. CHF 8.5 Mio.