Zum Inhalt springen Zur Navigation springen
Neuer brasilianischer Datenschutz

Neuer brasilianischer Datenschutz

Am 14. August 2018, hat Brasilien ein neues allgemeines Datenschutzrecht (Lei Geral de Proteção de Dados) verabschiedet. Doch wie hoch ist das Datenschutzniveau, dass damit erreicht wird? Folgen die Brasilianer nun dem Weg der europäischen Datenschutz-Grundverordnung?

Brasilien und Datenschutz?

Das letzte Mal, dass wir im Blog über Brasilien berichtet haben ist schon etwas länger her. Doch jetzt gibt es Nachrichten über ein Regelwerk, welches ein neues Datenschutzniveau in Brasilien verspricht. Folgt also jetzt, nach den Anpassungen des japanischen Datenschutzsystems, auch Brasilien den durch die EU gestiegenen Anforderungen an den Datenschutz?

Umfang des Regelwerkes

Das neue brasilianische Lei Geral de Proteção de Dados, wird wie auch die DSGVO flächendeckende Reglungen zum Schutz personenbezogener Daten, sowohl für den öffentlichen als auch für den privaten Sektor, online wie offline, einführen. Dabei werden auch Erlaubnistatbestände für eine Datenverarbeitung geschaffen und Betroffenenrechte festgelegt. Neben den brasilianischen Unternehmen und Behörden wird das Gesetz auch für ausländische Unternehmen gelten, die mindestens eine Niederlassung in Brasilien haben oder Dienstleistungen für den brasilianischen Markt anbieten.

Im Folgenden wird ein Überblick über den Inhalt der neuen Regelungen gegeben:

Begriff der personenbezogenen Daten (dados pessoais)

Personenbezogene Daten sind danach alle Daten, die isoliert oder im Zusammenhang mit anderen Daten, zur Identifizierung einer natürlichen Person führen können (Art. 5° inciso I). Damit dürften danach auch pseudonymisierte Daten als personenbezogene Daten gelten. Anonymisierte Daten, die unter Berücksichtigung der zum Zeitpunkt der Datenverarbeitung verfügbaren Zeit, Kosten und technischen Möglichkeiten nicht zu einer Identifizierung der Betroffenen herangezogen werden können, fallen nicht darunter.

Begriff der sensiblen personenbezogenen Daten (dado pessoal sensível)

Auch sollen besonders sensible Daten besonders geschützt werden. Sensible personenbezogene Daten sind nach Art. 5° inciso II solche Daten, über die rassische oder ethnische Herkunft, die religiöse Überzeugung, die politische Meinung, Gewerkschaftszugehörigkeit oder Zugehörigkeit zu einer Organisation mit religiösen Charakter, die Gesundheit, das Sexualleben, oder Daten die eine eindeutige und dauerhafte Identifizierung des Betroffenen ermöglichen, wie etwa genetische- oder biometrische Daten.

Allgemeine Grundsätze des Datenschutzes (princípios gerais de proteção)

Es werden zehn Grundsätze in Art. 6° aufgestellt, die bei der Datenverarbeitung berücksichtigt werden sollten, wie z.B. Zweckbindung, Notwendigkeit, die Qualität der Daten, Transparenz, Sicherheit, Nichtdiskriminierung und das Prinzip der Rechenschaftspflicht, wonach der für die Verarbeitung Verantwortliche und der Datenverarbeiter wirksame Maßnahmen des Datenschutzes umfassend und transparent nachweisen können müssen. Dies kann durch Datenschutzüberprüfungen erfolgen, die auch gesetzlich geregelt sind.

Betroffenenrechte (direitos do titular)

Die Betroffenen haben das Recht auf Zugang zu den Daten, Berichtigung, Löschung oder Ausschluss, Widerspruch gegen die Behandlung und das Recht auf Information und Erklärung über die Verwendung der Daten. Wie durch die DSGVO wird auch in Brasilien der Betroffene ein Recht auf Datenübertragbarkeit haben, welches ermöglicht, nicht nur eine Kopie der Daten anzufordern, sondern sie auch in einem systemkompatiblen Format zur Verfügung zu erhalten, das eine Übertragung der Daten auf andere Dienste, erleichtern soll.

Internationale Datenübertragungen (transferência internacional de dados)

Auch eine Übertragung von Daten in Länder, in denen kein angemessenes Schutzniveau besteht, soll ermöglicht werden. Dies ist in Kapitel V des Gesetzes geregelt. Die Daten müssen dafür entweder auf Grundlage einer Einwilligung der Betroffenen übermittelt werden, oder der Verantwortliche muss durch verbindliche Unternehmensregeln und Standardklauseln garantieren, dass die Grundsätze des Datenschutzes eingehalten werden.

Datenschutzbeauftragter (encarregado pelo tratamento de dados pessoais)

Das Gesetz lässt in Art. 41 den Schluss zu, dass künftig jede datenverarbeitende Stelle, einen Datenschutzbeauftragten benennen muss. Allerdings kann die Datenschutzbehörde (die noch geschaffen werden muss) ergänzende Voraussetzungen vorgeben, bei deren Vorliegen ein Unternehmen keinen DSB benennen müssen.

Folgenabschätzung (relatório de impacto à proteção de dados pessoais) und Verarbeitungsverzeichnis (registro das operações de tratamento de dados pessoais)

Auch eine Art Folgenabschätzung wird für Datenverarbeitungstätigkeiten, die bestimmte Risiken für die betroffenen Personen mit sich bringen können, durchgeführt werden müssen. Dabei sind Maßnahmen und Schutzvorkehrungen zur Begrenzung der Risiken aufzuführen.

Des Weiteren sind auch Aufzeichnungen erforderlich, die an ein Verarbeitungsverzeichnis erinnern, denn es ist jeder Schritt der Datenverarbeitung, die Arten der Daten, die jeweilige Rechtsgrundlage, Zwecke, Speicherdauer und die Maßnahmen der Informationssicherheit, zu dokumentieren.

Informationssicherheitsstandards

Verantwortliche und Datenverarbeiter haben zudem geeignete sicherheitstechnische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Die Datenschutzbehörde kann dazu technische Mindeststandards festlegen. Auch Privacy by design und by default sollen in Brasilien gelten.

Bußgelder (Sanções Administrativas) und Meldepflichten

Die an der Datenverarbeitung Beteiligten werden gesamtschuldnerisch haften. Bei Verstößen können Sanktionen nach Art. 52 in Höhe von 2 Prozent des Unternehmensumsatzes des letzten Geschäftsjahres, begrenzt auf insgesamt fünfzig Millionen Reais (ca. 11,3 Millionen Euro) verhängt werden. Datenschutzverletzungen sind innerhalb eines angemessenen Zeitraumes an die Datenschutzbehörde zu melden, welche je nach Schwere des Falles die Meldung an alle betroffenen Personen oder auch an die breite Öffentlichkeit anordnen kann.

Mögliche Folgen des Gesetzes

Der Umfang und die vom brasilianischen Gesetzgeber vorgesehenen Regelungen erinnern stark an die Datenschutz-Grundverordnung. Dies lässt darauf schließen, dass eine gegenseitige Anerkennung eines angemessenen Datenschutzniveaus durch die EU-Kommission und die zukünftig zuständige brasilianische Behörde, einen Datentransfer zwischen brasilianischen- und Unternehmen aus der EU in Zukunft vereinfachen könnte. Dies würde wohl auch die wirtschaftlichen Aussichten Brasiliens verbessern.

Das Gesetz ist ab Anfang 2020 unmittelbar anzuwenden. Es wird also wie bei der DSGVO eine Frist geben, die den brasilianischen Unternehmen Zeit gibt ihre Prozesse datenschutzkonform zu gestalten und an das neue Recht anzupassen. Europäische Unternehmen können wohl mittlerweile ein Lied davon singen, dass eine solche Frist besser genutzt werden sollte, um nicht in Torschlusspanik noch einen Datenschutzbeauftragten und auch intern Mitarbeiter zu finden, die die neuen Anforderungen ambitioniert umsetzen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.