Simon Coulthard August 07, 2020
In Brasilien gibt es über 140 Millionen Internetnutzer, was den größten Internetmarkt Lateinamerikas und den viertgrößten der Welt in Bezug auf die Zahl der Nutzer darstellt. In Brasilien gibt es über 40 gesetzliche Regelungen auf Bundesebene, die sich auf Datenschutz und Privatsphäre beziehen, so dass wir die Existenz eines gesetzlichen Rahmens in dieser Hinsicht nicht leugnen können.
Diese Gesetze sind jedoch sektorbezogen, d.h. sie beziehen sich speziell auf das Bankwesen, Immobilien, Verbraucherschutz und ähnliche Bereiche.
LGPD (Lei Geral de Proteção de Dados Pessoais; übersetzt: Das allgemeine Gesetz für den Schutz von Persönlichen Daten) - soll die segmentierte Rechtslandschaft durch einen allgemeinen Regelungsrahmen ersetzen, der alle anderen einschließt.
Die Rolle des LGPD besteht darin, den Menschen in Brasilien eine Reihe allgemeiner Rechte in vereinfachter Form zu geben, die die heute geltenden sektoralen Gesetze ersetzen werden. Das Gesetzespaket ist nach dem Vorbild der Europäischen Datenschutzgrundverordnung (DSGVO) gestaltet, wobei die Ähnlichkeiten zwischen diesen beiden offensichtlich und leicht zu erkennen sind.
Diese Ähnlichkeit hat dazu geführt, dem LGPD einen neuen Namen zu geben, nämlich den der "Brasilianischen DSGVO". Diese Ähnlichkeit ist keineswegs übertrieben, denn wenn man die Bestimmungen der DSGVO befolgt, kann man fast aufatmen, denn die meisten davon finden sich im LGPD wieder.
Es gibtjedoch einige Unterschiede. Es ist also wichtig, die Bestimmungen der LGPD und die Unterschiede zwischen diesem Gesetz und der DSGVO zu untersuchen. Auf diese Weise werden Sie nicht überrascht sein, wenn die Bestimmungen der LGPD in Kraft treten.
Um Ihnen diesen Prozess zu erleichtern, werden wir im Folgenden die wesentlichen Unterschiede zwischen LGDP und DSGVO auflisten. Zunächst werden wir Ihnen aber darlegen, was das LGPD ist und in welchen Fällen es genau gilt.
Das brasilianische Datenschutzgesetz heißt Lei Geral de Proteção de Dados Pessoais, was soviel bedeutet wie "das Allgemeine Datenschutzgesetz".
Es wird offiziell mit LGPDP abgekürzt, obwohl es allgemein als LGPD bekannt ist.
Es wurde am 14. August 2018 verabschiedet und schließlich im Juli 2019 von Präsident Bolsonaro ratifiziert. Es enthält fünfundsechzig Artikel.
Das Datum des Inkrafttretens des LGPD-Antrags sollte der 16. August 2020 sein, aber aufgrund mehrerer legislativer Blockaden muss noch bis spätestens 27. August 2020 darüber abgestimmt werden. Einige Artikel können erst ab August 2021 angewendet werden. Das ist auch der Zeitpunkt, an dem wir die ersten Sanktionen für diejenigen sehen werden.
Das LGPD bringt dringend benötigte Klarstellungen des brasilianischen Rechtsrahmens. Das LGPD zielt darauf ab, mehr als 40 verschiedene Statuten zu vereinheitlichen, die derzeit personenbezogene Daten gesetzlich regeln, indem bestimmte Vorschriften ersetzt und andere ergänzt werden. Diese Vereinheitlichung der zuvor verstreuten und oft widersprüchlichen Vorschriften ist nur eine Ähnlichkeit mit der Allgemeinen Datenschutzverordnung der EU, dem Dokument, von dem sie inspiriert wurde.
Das LGPD konzentriert sich auf die nationalen Besonderheiten, was sich daran zeigt, dass die Rechtsgrundlagen dieses Datenschutzgesetzes auf Haftung, Zweckbeschränkung, Minimierung der Datenverarbeitung, Sicherheit und Privatsphäre beruhen.
Artikel 18 erläutert die neun Grundrechte, die betroffene Personen haben, nämlich
Obwohl das DSGVO dafür bekannt ist, dass es den betroffenen Personen acht Grundrechte zugesteht, unterscheiden sie sich nicht wesentlich von den in dem LGPD genannten Rechten. Der Hauptunterschied besteht darin, dass das LGPD ausdrücklich "Das Recht auf Auskunft über öffentliche und private Stellen, mit denen der für die Verarbeitung Verantwortliche Daten ausgetauscht hat" erwähnt, während das DSGVO dieses Recht allgemeiner formuliert hat, nämlich "Das Recht, Auskunft zu erhalten".
Das neue brasilianische Datenschutzgesetz gilt für jede private oder öffentliche Person oder Firma, die persönliche Daten verarbeitet, die:
Das LGPD beinhaltet auch einen extraterritorialen Aspekt und wird für globale Unternehmen gelten, die die oben genannten Kriterien erfüllen. Der Standort dieser Unternehmen ist nicht relevant.
Das LGPD-Gesetz ist in den folgenden Fällen nicht anwendbar:
Es gibt viele Ähnlichkeiten zwischen LGPD und der DSGVO. Eine davon ist, dass das LGPD, wie auch die DSGVO, weltweit anwendbar ist, da jede Webseite, die personenbezogene Daten von Einzelpersonen in Brasilien verarbeitet, sich daran halten muss. Es gibt jedoch auch einige Unterschiede.
Der wahrscheinlich bedeutendste Unterschied zwischen LGPD und DSGVO bezieht sich darauf, was als rechtliche Grundlage für die Datenverarbeitung gilt. Die DSGVO hat sechs Rechtsgrundlagen für die Verarbeitung. Ein für die Datenverarbeitung Verantwortlicher muss eine von ihnen als Rechtfertigung für die Verwendung der Informationen einer betroffenen Person wählen. Im Gegensatz zur DSGVO erwähnt das LGPD eine Liste von 10 rechtlichen Gründen für die Datenverarbeitung:
Der Kreditschutz als rechtliche Grundlage für die Datenverarbeitung ist ein wesentlicher Unterschied zur DSGVO.
Es muss jedoch darauf hingewiesen werden, dass die rechtliche Entscheidung gegen die SCHUFA, Deutschlands größte Auskunftei, darauf hindeutet, dass diese Agenturen gegen die DSGVO verstoßen.
In der DSGVO wird eine so genannte DPIA (Data Protection Impact Assessment) eingeführt, um die potenziellen Risiken der Datenverarbeitung zu bewerten. Es ist auch notwendig, dass die Verarbeiter diese Datenschutzbehörden benachrichtigen, wenn die mit der Datenverarbeitung verbundenen hohen Risiken bewertet werden.
Die LGPD legt auch die DPIA fest, gibt aber weder an, wie sie verwendet werden, noch legt sie Anforderungen für die Warnung einer Verwaltungsbehörde fest.
Die LGPD erlegt den Unternehmen die Verpflichtung auf, einen Datenschutzbeauftragten (DSB) zu haben, während dies in der DSGVO nur unter bestimmten Umständen vorgeschrieben ist.
Die Fristen für die Meldung von Datenverstößen sind in der DSGVO eindeutig auf 72 Stunden festgelegt, während die LGPD die Meldung von Datenverstößen an die Behörden innerhalb einer "angemessenen Frist" frei vorsieht.
Im Vergleich zur DSGVO ist die LGPD bei der Verhängung von Bußgeldern und der Bestrafung von Verstößen und Nichteinhaltung wesentlich weniger streng.
Die Höchststrafen für die Nichteinhaltung der DSGVO werden auf 20 Millionen EUR oder 4% des gesamten Jahresumsatzes eines Unternehmens festgelegt, wobei der höchste Betrag berücksichtigt wird. Die LGPD setzt ihre Höchststrafen auf 50 Millionen brasilianische Real (ca. 11 Millionen Euro) oder 2% des Jahresumsatzes des Unternehmens fest.
Die LGPD behandelt die internationale Übermittlung personenbezogener Daten ähnlich wie das Allgemeine Datenschutzgesetz, wobei geprüft wird, ob das Ausland über ein angemessenes Niveau an Datenschutzgesetzen verfügt. Und natürlich auf der Grundlage der vorherigen, eindeutigen und ausdrücklichen Zustimmung der betroffenen Person.
Allerdings giltdie LGPD (im Gegensatz zur DSGVO) nicht für die Übermittlung von Daten durch Brasilien ohne weitere Verarbeitung.
In diesem globalen Kontext, in dem persönliche Daten zu einem wesentlichen Aspekt des Datenschutzes im Internet werden, ist es sehr wichtig, dass Ihre Webseite und Ihr Analysewerkzeug all diese Bestimmungen einhalten.
TWIPLA ist zu 100% DSGVO-, CCPA- und LGPD-konform. Wir verwenden ein unabhängiges Cookieless-Tracking-System, das verschiedene Auszeichnungen erhalten hat. Der Webseiten-Eigentümer ist der alleinige Eigentümer der Informationen und hat die absolute Kontrolle darüber. Es gibt kein Cross-Tracking und wir verkaufen keine Daten an Dritte.
Mehr über unsere Datenschutzpolitik können Sie im Abschnitt Recht, Datenschutz und Zertifikate nachlesen.
Gewinnen Sie erstklassige Einblicke und bieten Sie innovativen Datenschutz und Sicherheit