Das Lei Geral de Protecao de Dados Pessoais (LGPD), Gesetz Nr. 13.709/2018, ist Brasiliens umfassendes Datenschutzgesetz. Seit September 2020 in Kraft, mit verwaltungsrechtlichen Sanktionen seit August 2021 anwendbar, legt die LGPD klare Regeln fest, wie Organisationen personenbezogene Daten erheben, speichern, verarbeiten und weitergeben mussen. Mit der Autoridade Nacional de Protecao de Dados (ANPD), die aktiv reguliert und durchsetzt, ist das Verstandnis Ihrer Pflichten keine Option mehr — es ist eine betriebliche und rechtliche Notwendigkeit. Fur deutsche Unternehmen, die in Brasilien tatig sind oder Daten brasilianischer Einwohner verarbeiten, kommt die LGPD zu den bestehenden Verpflichtungen aus der DSGVO und dem Bundesdatenschutzgesetz (BDSG) hinzu, die vom Bundesbeauftragten fur den Datenschutz und die Informationsfreiheit (BfDI) uberwacht werden.
Grundsatze der LGPD
Artikel 6 der LGPD legt zehn Grundsatze fest, die alle Verarbeitungstatigkeiten personenbezogener Daten leiten mussen:
1. Zweckbindung (Finalidade). Die Verarbeitung muss fur legitime, spezifische und ausdruckliche Zwecke erfolgen, die der betroffenen Person mitgeteilt werden. Keine Datenerhebung ohne dokumentiertes Ziel.
2. Angemessenheit (Adequacao). Die Verarbeitung muss mit den mitgeteilten Zwecken vereinbar sein. Die erhobenen Daten mussen relevant und verhaltnismassig sein.
3. Erforderlichkeit (Necessidade). Die Verarbeitung muss auf das fur die Erreichung ihrer Zwecke erforderliche Minimum beschrankt sein. Dieses Prinzip entspricht der Datenminimierung der DSGVO (Artikel 5(1)(c)) und bekampft ubermassige Datenerhebung.
4. Freier Zugang (Livre acesso). Betroffene mussen einfachen und kostenlosen Zugang zu Informationen uber Form und Dauer der Verarbeitung sowie zu der Gesamtheit ihrer personenbezogenen Daten haben.
5. Datenqualitat (Qualidade dos dados). Genauigkeit, Klarheit, Relevanz und Aktualitat der Daten mussen gemaess dem Zweck der Verarbeitung gewahrleistet sein.
6. Transparenz (Transparencia). Klare, prazise und leicht zugangliche Informationen uber die Verarbeitung und die jeweiligen Verarbeitungsbeauftragten mussen bereitgestellt werden. Dieses Prinzip entspricht der Transparenzpflicht der DSGVO (Artikel 12-14).
7. Sicherheit (Seguranca). Technische und organisatorische Massnahmen mussen zum Schutz personenbezogener Daten vor unbefugtem Zugriff und versehentlichen oder rechtswidrigen Situationen eingesetzt werden.
8. Pravention (Prevencao). Massnahmen mussen ergriffen werden, um Schaden durch die Verarbeitung personenbezogener Daten zu verhindern.
9. Nichtdiskriminierung (Nao discriminacao). Die Verarbeitung darf nicht fur rechtswidrige oder missbrauchliche diskriminierende Zwecke durchgefuhrt werden.
10. Rechenschaftspflicht (Responsabilizacao e prestacao de contas). Der Verarbeitungsbeauftragte muss die Einfuhrung wirksamer Massnahmen nachweisen, die die Einhaltung der Vorschriften belegen konnen.
Wer muss die LGPD einhalten
Die LGPD hat eine weitreichende extraterritoriale Anwendung (Artikel 3). Sie gilt fur jede Verarbeitungstatigkeit personenbezogener Daten, die:
- Auf brasilianischem Territorium durchgefuhrt wird
- Die Bereitstellung oder das Angebot von Waren oder Dienstleistungen an Personen in Brasilien zum Ziel hat
- Personenbezogene Daten betrifft, die auf brasilianischem Territorium erhoben wurden
Extraterritoriale Reichweite. Ein Unternehmen mit Sitz in Deutschland, Frankreich oder den USA, das Produkte oder Dienstleistungen fur brasilianische Verbraucher anbietet oder Daten von Personen in Brasilien erhebt, unterliegt der LGPD. Diese Reichweite ist vergleichbar mit der der DSGVO (Artikel 3 DSGVO), die der BfDI und die Landesdatenschutzbeauftragten fur deutsche Unternehmen durchsetzen.
Ausnahmen. Die LGPD gilt nicht fur die Verarbeitung durch eine naturliche Person fur ausschliesslich private und nichtwirtschaftliche Zwecke, fur ausschliesslich journalistische, kunstlerische oder akademische Zwecke oder durch den Staat fur Zwecke der offentlichen Sicherheit, der Landesverteidigung und der strafrechtlichen Ermittlung (Artikel 4).
Rechtsgrundlagen fur die Verarbeitung
Die LGPD legt in Artikel 7 zehn Rechtsgrundlagen fest, die die Verarbeitung personenbezogener Daten genehmigen. Jede Verarbeitungstatigkeit muss auf mindestens einer von ihnen beruhen:
1. Einwilligung der betroffenen Person. Muss frei, informiert, eindeutig und fur einen bestimmten Zweck erteilt werden. Die Einwilligung kann jederzeit widerrufen werden.
2. Erfullung einer gesetzlichen oder regulatorischen Pflicht.
3. Durchfuhrung offentlicher Politiken durch die offentliche Verwaltung.
4. Forschungsstudien durch Forschungseinrichtungen.
5. Vertragserfullung oder vorvertragliche Massnahmen im Zusammenhang mit einem Vertrag, an dem die betroffene Person beteiligt ist.
6. Regelmaessige Ausubung von Rechten in gerichtlichen, verwaltungsrechtlichen oder schiedsgerichtlichen Verfahren.
7. Schutz des Lebens oder der korperlichen Unversehrtheit der betroffenen Person oder eines Dritten.
8. Gesundheitsschutz in Verfahren, die von Angehorigen der Gesundheitsberufe oder Gesundheitseinrichtungen durchgefuhrt werden.
9. Berechtigtes Interesse des Verantwortlichen oder eines Dritten. Erfordert eine Verhaltnismassigkeitsprufung (Artikel 10), die die Interessen des Verantwortlichen mit den Rechten und Erwartungen der betroffenen Person abwagt. Dieses Konzept ahnelt dem berechtigten Interesse der DSGVO (Artikel 6(1)(f)), zu dem der BfDI detaillierte Leitlinien veroffentlicht hat.
10. Kreditschutz.
Fur sensible Daten (Artikel 11) sind die Rechtsgrundlagen eingeschrankter: ausdruckliche Einwilligung oder Erforderlichkeit fur die Erfullung einer rechtlichen Pflicht, die Durchfuhrung offentlicher Politiken, Forschung, Rechtsausubung, Lebensschutz oder Gesundheitsschutz.
Rechte der betroffenen Personen
Artikel 18 der LGPD garantiert betroffenen Personen einen umfassenden Katalog von Rechten:
Bestatigung und Auskunft. Die betroffene Person kann die Bestatigung der Existenz einer Verarbeitung und Zugang zu ihren personenbezogenen Daten verlangen.
Berichtigung. Recht auf Berichtigung unvollstandiger, ungenauer oder veralteter Daten.
Anonymisierung, Sperrung oder Loschung. Recht auf Anonymisierung, Sperrung oder Loschung unnotiger, ubermassiger oder nicht konformer Daten.
Datenubertragbarkeit. Recht auf Ubertragung der Daten an einen anderen Dienst- oder Produktanbieter auf ausdrucklichen Antrag.
Loschung. Recht auf Loschung personenbezogener Daten, die auf der Grundlage der Einwilligung verarbeitet wurden.
Auskunft uber die Weitergabe. Recht auf Information uber offentliche und private Stellen, an die der Verantwortliche Daten weitergegeben hat.
Widerruf der Einwilligung. Recht auf jederzeitigen Widerruf der Einwilligung durch ausdruckliche Erklarung.
Diese Rechte sind weitgehend gleichwertig mit denen der DSGVO (Artikel 15-22), die in Deutschland vom BfDI und den Landesdatenschutzbeauftragten uberwacht werden.
Datenschutzbeauftragter (Encarregado)
Artikel 41 der LGPD verpflichtet den Verantwortlichen zur Benennung eines Datenschutzbeauftragten (Encarregado). Zu seinen Aufgaben gehoren:
- Entgegennahme von Beschwerden und Mitteilungen der betroffenen Personen und Bereitstellung von Klarstellungen
- Entgegennahme von Mitteilungen der ANPD und Ergreifung geeigneter Massnahmen
- Beratung von Mitarbeitern und Auftragnehmern zu Datenschutzpraktiken
- Wahrnehmung weiterer vom Verantwortlichen zugewiesener oder durch erganzende Vorschriften festgelegter Aufgaben
Die ANPD kann erganzende Regeln zur Befreiung von der DPO-Benennung fur Verarbeitungsbeauftragte kleinen Umfangs festlegen. In Deutschland uberwacht der BfDI die gleichwertige Rolle des Datenschutzbeauftragten gemaess DSGVO (Artikel 37) und BDSG.
Datenschutz-Folgenabschatzung
Artikel 38 der LGPD sieht vor, dass die ANPD vom Verantwortlichen die Erstellung eines Datenschutz-Folgenabschatzungsberichts (RIPD) verlangen kann. Dieser Bericht muss enthalten:
- Eine Beschreibung der Arten der erhobenen Daten
- Die fur die Erhebung verwendete Methodik
- Informationssicherheitsmassnahmen
- Die Analyse des Verantwortlichen hinsichtlich Massnahmen, Garantien und Risikominderungsmechanismen
Obwohl die ANPD die Kriterien fur die verpflichtende RIPD-Erstellung noch nicht vollstandig geregelt hat, wird Unternehmen, die Daten in grossem Umfang verarbeiten oder sensible Daten handhaben, dringend empfohlen, dieses Dokument proaktiv zu erstellen. Dies ahnelt der Datenschutz-Folgenabschatzung (DSFA) der DSGVO (Artikel 35), die der BfDI fur Verarbeitungen mit hohem Risiko empfiehlt.
Internationale Datenubermittlungen
Die LGPD regelt internationale Ubermittlungen personenbezogener Daten in Artikel 33. Ubermittlungen sind zulassig, wenn:
- Sie an Lander oder internationale Organisationen mit angemessenem Schutzniveau erfolgen
- Der Verantwortliche Garantien fur die Einhaltung der LGPD-Grundsatze bietet (spezifische Vertragsklauseln, Standardvertragsklauseln, verbindliche unternehmensinterne Vorschriften)
- Durch ausdruckliche Einwilligung der betroffenen Person
- Zur Erfullung einer gesetzlichen oder regulatorischen Pflicht
- Fur internationale Rechtshilfe
Die ANPD arbeitet an der Regulierung der Ubermittlungsmechanismen, einschliesslich Standardvertragsklauseln und Angemessenheitskriterien, in Anlehnung an die Mechanismen der DSGVO. Deutsche Unternehmen, die Daten zwischen Deutschland, der EU und Brasilien ubermitteln, mussen daher die Konformitat unter beiden Regelungen sicherstellen.
Sanktionen und Bussgelder
Artikel 52 der LGPD legt ein System verwaltungsrechtlicher Sanktionen fest, die von der ANPD verhangt werden konnen:
Verwarnung. Mit Angabe der Frist fur die Einfuhrung von Korrekturmassnahmen.
Einfaches Bussgeld. Bis zu 2 % des Umsatzes der privaten juristischen Person, Gruppe oder des Konglomerats in Brasilien im letzten Geschaftsjahr, ohne Steuern, begrenzt auf insgesamt 50 Millionen BRL pro Verstoss.
Tagliches Bussgeld. Unterliegt dem gleichen Gesamtlimit von 50 Millionen BRL.
Veroffentlichung des Verstosses. Nach ordnungsgemasser Untersuchung und Bestatigung.
Sperrung der personenbezogenen Daten im Zusammenhang mit dem Verstoss bis zur Regularisierung.
Loschung der personenbezogenen Daten im Zusammenhang mit dem Verstoss.
Teilweise Aussetzung des Datenbankbetriebs fur maximal 6 Monate, verlangerbar um einen gleichen Zeitraum.
Aussetzung der Datenverarbeitungstatigkeit fur maximal 6 Monate, verlangerbar um einen gleichen Zeitraum.
Teilweises oder vollstandiges Verbot von Tatigkeiten im Zusammenhang mit der Datenverarbeitung.
Die ANPD hat bereits Sanktionen gegen brasilianische Unternehmen verhangt, darunter Verwarnungen und Compliance-Anordnungen. Zum Vergleich: der BfDI und die deutschen Datenschutzaufsichtsbehorden konnen nach DSGVO Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhangen.
Vier Ansatze fur die LGPD-Compliance
Einen spezialisierten Anwalt beauftragen
Kosten: 15.000 bis 50.000 BRL fur ein umfassendes Compliance-Programm. Zeitrahmen: 4 bis 8 Wochen.
Ein auf Datenschutz spezialisierter Anwalt kann eine vollstandige Kartierung der Datenflusse durchfuhren, interne Richtlinien entwerfen, Teams schulen und eine Incident-Response-Struktur aufbauen. Empfohlen fur Unternehmen mit grossen Datenmengen oder sensiblen Daten.
Ein generisches KI-Tool verwenden
Scheinbare Kosten: 0 BRL. Tatsachliche Kosten: die Compliance-Lucken, die es schafft.
Generische KI-Tools konnen Text generieren, der einer Datenschutzrichtlinie ahnelt, konnen aber Ihre tatsachlichen Datenflusse nicht prufen oder die Abdeckung der zehn Rechtsgrundlagen und LGPD-Grundsatze gewahrleisten.
Eine kostenlose Vorlage kopieren
Kosten: 0 BRL. Risiko: hoch.
Kostenlose Vorlagen sind generisch, oft veraltet und nie an Ihre spezifische Tatigkeit angepasst. Die ANPD erwartet, dass Ihre Datenschutzrichtlinie Ihre tatsachlichen Verarbeitungspraktiken widerspiegelt.
Einen spezialisierten Rechtsdokumentengenerator verwenden
Kosten: 19,90 € bis 49,90 €. Zeitrahmen: unter 10 Minuten.
Ein spezialisierter Generator stellt gezielte Fragen zu Ihrem Unternehmen und erstellt eine Datenschutzrichtlinie, die den LGPD-Anforderungen entspricht, einschliesslich Rechtsgrundlagen, Betroffenenrechten und Transparenzpflichten.
Um die Konformitat Ihrer Website schnell zu uberprufen, nutzen Sie unseren kostenlosen Compliance-Scanner. Lesen Sie auch unseren Vergleich LGPD vs DSGVO fur die wesentlichen Unterschiede, und unseren Leitfaden zur Datenschutzrichtlinie nach LGPD.
Fazit
Die LGPD hat die Datenschutzlandschaft in Brasilien grundlegend verandert. Mit klaren Grundsatzen, definierten Rechtsgrundlagen, umfassenden Betroffenenrechten und Sanktionen von bis zu 50 Millionen BRL ist die Einhaltung keine Option mehr — sie ist eine gesetzliche Pflicht mit realen Konsequenzen. Fur deutsche Unternehmen, die in Brasilien tatig sind oder Daten brasilianischer Einwohner verarbeiten, kommt die LGPD zu den Verpflichtungen der DSGVO und des BDSG hinzu, die vom BfDI uberwacht werden. Die ANPD ist bei der Durchsetzung und Regulierung aktiv, und der regulatorische Rahmen entwickelt sich weiter. Jeder Tag ohne Compliance ist ein Tag unnotiger Exposition gegenuber regulatorischen und reputationsbezogenen Risiken. Handeln Sie jetzt, um Ihr Unternehmen und das Vertrauen Ihrer Kunden zu schutzen.