Brasilien hat sein neues Datenschutzgesetz – das Gesetz Nr. 13.709 vom 14. August 2018, Allgemeines Gesetz zum Schutz personenbezogener Daten (“Lei Geral de Proteção de Dados”, “LGPD”) heute, am 18. September 2020, in Kraft gesetzt. Mit dem Inkrafttreten von Durchsetzungsbestimmungen wird für den 1. August 2021 gerechnet.
- LGPD auf portugiesisch
- englische Übersetzung (für Mitglieder der IAPP)
- deutsche Übersetzung (via DeepL)
- offizielle Website zum LGPD
Das LGPD gleicht in vielen Punkten der DSGVO, ist aber keine Direktübernahme.
Verarbeitungen durch Unternehmen ohne Niederlassung in Brasilien unterstehen in räumlicher Hinsicht dem LGPD, wenn sie:
- auf dem Gebiet Brasiliens ausgeführt werden;
- ihr Zweck darin besteht, natürlichen Personen in Brasilien Waren oder Leistungen anzubieten;
- Personendaten betreffen, die in Brasilien beschafft worden sind. Das trifft zu, wenn sich die betroffene Person zum Zeitpunkt der Beschaffung in Brasilien aufgehalten hat – der Tatbestand überschneidet sich also mit jenem der Verhaltensbeobachtung nach Art. 3 Abs. 2 lit. b DSGVO.
Das LGPD enthält aber eine bemerkenswerte Ausnahme des Geltungsbereichs, der in der DSGVO ohne Vorbild ist: Es ist nicht anwendbar auf die Verarbeitung von Personendaten, die
- ausserhalb Brasiliens beschafft wurden,
- nicht grenzüberschreitend übermittelt werden,
- nicht Gegenstand einer Kommunikation sind (?), und
- nicht gemeinsam mit einem brasilianischen Verantwortlichen oder Auftragsverarbeiter genutzt werden; sofern
- der Staat der Verarbeitung über ein angemessenes Schutzniveau verfügt.
Einige weitere Unterschiede zur DSGVO, basierend auf Angaben von dataguidance.com:
- Anonyme Daten können ausnahmsweise als Personendaten gelten, wenn sie verwendet werden, um ein Persönlichkeitsprofil zu erstellen oder anzureichern (was nach der DSGVO aber auch gilt, denn durch die Verbindung mit einer Person dürften Sach- zu Personendaten werden);
- konkrete Vorgaben für Verträge zwischen Verantwortlichen und Auftragsverarbeitern fehlen;
- das LGPD enthält eine besondere Rechtsgrundlage für die Verarbeitung (i) besonders schützenswerter Personendaten durch Forschungseinrichtungen zu Forschungszwecken und (ii) für die Verarbeitung gewöhnlicher Personendaten zur Bonitätsprüfung;
- eine KMU-Ausnahme von der Pflicht zur Führung eines Verarbeitungsverzeichnisses fehlt;
- Schwellenkriterien für die Durchführung einer Datenschutz-Folgenabschätzung fehlen, und die Aufsichtsbehörde kann anordnen, dass eine solche durchgeführt wird. Bestimmungen zur Konsultation der Aufsichtsbehörde fehlen;
- die Pflicht zur Bestellung eines DPO gilt nur für Verantwortliche, hier aber ausnahmslos (wobei die Aufsichtsbehörde Ausführungsbestimmungen erlassen kann);
- die Aufsichtsbehörde kann Mindestvorgaben zur Datensicherheit erlassen;
- eine Maximalfrist zur Meldung von Datensicherheitsverletzungen fehlt;
- Betroffenenbegehren sind unverzüglich zu beantworten; ist das nicht möglich, muss dies begründet mitgeteilt werden. Auskunftsbegehren sind grds. innerhalb von 15 Tagen zu beantworten;
- die Informationspflicht ist etwas weiter als nach der DSGVO;
- Bussen können einfach oder pro Tag der Verletzung (z.B. im Fall der Missachtung einer Verfügung) verhängt werden, jeweils bis zum Betrag von ca. CHF 8.5 Mio.