Wenn Ihr Unternehmen Kunden sowohl in Brasilien als auch in der Europaischen Union bedient, unterliegen Sie zwei der weltweit bedeutendsten Datenschutzrahmen: dem brasilianischen Lei Geral de Protecao de Dados Pessoais (LGPD, Gesetz Nr. 13.709/2018) und der europaischen Datenschutz-Grundverordnung (DSGVO). Obwohl beide Gesetze ahnliche Ziele verfolgen und die LGPD von der DSGVO beeinflusst wurde, gibt es wesentliche Unterschiede, die Ihre Compliance-Strategie direkt betreffen. Dieser Leitfaden vergleicht die beiden Rahmenwerke, um Ihnen beim Aufbau eines integrierten Ansatzes zu helfen, mit besonderem Fokus auf die deutsche Perspektive und die Rolle des BfDI.
Ursprunge und Grundlagen
DSGVO. 2016 verabschiedet und seit Mai 2018 in Kraft, ist die DSGVO eine Verordnung, die in allen 27 EU-Mitgliedstaaten unmittelbar gilt. Sie beruht auf dem Grundsatz, dass der Datenschutz ein Grundrecht ist (Artikel 8 der EU-Grundrechtecharta). Sie ist ausfuhrlich, detailliert und wird durch umfangreiche Rechtsprechung und Leitlinien nationaler Behorden erganzt. In Deutschland uberwachen der BfDI und die Landesdatenschutzbeauftragten die Einhaltung, erganzt durch das Bundesdatenschutzgesetz (BDSG).
LGPD. 2018 erlassen und seit September 2020 in Kraft, wurde die LGPD weitgehend von der DSGVO inspiriert, aber an den brasilianischen Rechtskontext angepasst. Sie integriert Elemente des Verbraucherschutzgesetzes, des Marco Civil da Internet und der Bundesverfassung (Artikel 5, Absatze X und XII). Die ANPD, 2020 gegrundet, baut den vollstandigen Regulierungsrahmen noch auf.
Anwendungsbereich
Geschutzte Personen
DSGVO: Jede naturliche Person (betroffene Person) in der Europaischen Union, unabhangig von Staatsangehorigkeit oder Wohnsitz.
LGPD: Jede naturliche Person, deren personenbezogene Daten in Verarbeitungsvorgangen verarbeitet werden, die auf brasilianischem Territorium durchgefuhrt werden, auf das Angebot von Waren oder Dienstleistungen an Personen in Brasilien abzielen oder in Brasilien erhobene Daten betreffen (Artikel 3).
Welche Unternehmen mussen sich an die Vorschriften halten
DSGVO: Jede Organisation weltweit, die personenbezogene Daten von Personen in der EU verarbeitet, sofern sie Waren oder Dienstleistungen fur EU-Einwohner anbietet oder deren Verhalten uberwacht (Artikel 3). Kein Umsatzschwellenwert oder Mindestdatenvolumen.
LGPD: Jede Organisation weltweit, die Verarbeitungsvorgange unter den Bedingungen von Artikel 3 durchfuhrt. Ebenfalls ohne Umsatzschwellenwert.
Beide Gesetze haben extraterritoriale Reichweite, was bedeutet, dass Unternehmen ausserhalb Brasiliens oder der EU zur Einhaltung verpflichtet sein konnen. Der BfDI und die Landesdatenschutzbeauftragten haben bereits Falle mit nicht-europaischen Unternehmen bearbeitet.
Rechtsgrundlagen fur die Verarbeitung
Dies ist einer der Bereiche, in denen sich die beiden Gesetze am meisten ahneln, aber mit wichtigen Unterschieden.
DSGVO: Sechs Rechtsgrundlagen (Artikel 6) — Einwilligung, Vertragserfullung, rechtliche Verpflichtung, lebenswichtige Interessen, offentliches Interesse und berechtigte Interessen.
LGPD: Zehn Rechtsgrundlagen (Artikel 7) — die sechs der DSGVO plus Kreditschutz, Gesundheitsschutz, Forschungsstudien durch Forschungseinrichtungen und regelmasige Rechtsausubung.
| Rechtsgrundlage | DSGVO | LGPD |
|---|---|---|
| Einwilligung | Artikel 6(1)(a) | Artikel 7, I |
| Rechtliche Verpflichtung | Artikel 6(1)(c) | Artikel 7, II |
| Vertragserfullung | Artikel 6(1)(b) | Artikel 7, V |
| Berechtigtes Interesse | Artikel 6(1)(f) | Artikel 7, IX |
| Schutz lebenswichtiger Interessen | Artikel 6(1)(d) | Artikel 7, VII |
| Offentliches Interesse | Artikel 6(1)(e) | Artikel 7, III |
| Kreditschutz | Nicht vorgesehen | Artikel 7, X |
| Gesundheitsschutz | In lebenswichtigen Interessen enthalten | Artikel 7, VIII (eigenstandige Grundlage) |
| Forschung | Im offentlichen Interesse enthalten | Artikel 7, IV (eigenstandige Grundlage) |
| Rechtsausubung | In rechtlicher Verpflichtung enthalten | Artikel 7, VI (eigenstandige Grundlage) |
Die LGPD ist bei ihren Rechtsgrundlagen granularer und schafft eigenstandige Grundlagen fur Situationen, die die DSGVO als Unterkategorien breiterer Grundlagen behandelt.
Einwilligung
DSGVO: Muss freiwillig, fur den bestimmten Fall, informiert und unmissverstandlich sein (Artikel 7). Die Beweislast liegt beim Verantwortlichen. Die Einwilligung fur sensible Daten muss ausdrucklich sein (Artikel 9).
LGPD: Muss frei, informiert und unmissverstandlich sein, schriftlich oder durch andere Mittel erteilt, die den Willen des Betroffenen belegen (Artikel 8). Fur sensible Daten muss die Einwilligung spezifisch und hervorgehoben sein (Artikel 11).
Die praktischen Unterschiede sind subtil, aber relevant. Die DSGVO verlangt, dass die Einwilligung fur jeden Zweck „bestimmt” ist, wahrend die LGPD sie „fur bestimmte Zwecke” verlangt. Die LGPD legt auch fest, dass die schriftliche Einwilligung in einer von den ubrigen Vertragsklauseln getrennten Klausel erscheinen muss. Der BfDI hat detaillierte Leitlinien zur Einwilligung im Rahmen der DSGVO veroffentlicht.
Rechte der betroffenen Personen
Beide Gesetze gewahren einen robusten Katalog von Rechten, allerdings mit bemerkenswerten Unterschieden:
| Recht | DSGVO | LGPD |
|---|---|---|
| Auskunft | Artikel 15 | Artikel 18, I und II |
| Berichtigung | Artikel 16 | Artikel 18, III |
| Loschung | Artikel 17 (Recht auf Vergessenwerden) | Artikel 18, IV (Anonymisierung, Sperrung oder Loschung) |
| Datenubertragbarkeit | Artikel 20 | Artikel 18, V |
| Widerspruch | Artikel 21 | Artikel 18, IV (teilweise) |
| Uberprufung automatisierter Entscheidungen | Artikel 22 | Artikel 20 |
| Auskunft uber Weitergabe | Implizit in Artikeln 13-14 | Artikel 18, VII (ausdruckliches Recht) |
| Antwortfrist | 1 Monat (verlangerbar auf 3) | 15 Tage fur die Bestatigung; angemessene Frist fur Ubrige |
Bemerkenswerter Unterschied: Die LGPD garantiert ausdrucklich das Recht auf Information uber Einrichtungen, an die Daten weitergegeben wurden (Artikel 18, VII), wahrend die DSGVO dies im Rahmen der Transparenzpflichten behandelt. Die LGPD sieht auch eine Uberprufung automatisierter Entscheidungen (Artikel 20) vor, allerdings ohne die Anforderung menschlicher Intervention, die die DSGVO in Artikel 22 festlegt.
Sensible Daten
DSGVO: Besondere Kategorien personenbezogener Daten (Artikel 9) — rassische oder ethnische Herkunft, politische Meinungen, religiose oder weltanschauliche Uberzeugungen, Gewerkschaftszugehorigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Sexualleben oder sexuelle Orientierung. Die Verarbeitung ist verboten, ausser unter bestimmten Ausnahmen.
LGPD: Sensible Daten (Artikel 5, II) — rassische oder ethnische Herkunft, religiose Uberzeugung, politische Meinung, Gewerkschaftszugehorigkeit oder Zugehorigkeit zu einer religiosen, weltanschaulichen oder politischen Organisation, Gesundheitsdaten, Sexualleben, genetische oder biometrische Daten.
Die Kategorien sind ahnlich, aber nicht identisch. Die LGPD umfasst „weltanschauliche Uberzeugung” und „Zugehorigkeit zu weltanschaulichen oder politischen Organisationen”, die kein direktes Aquivalent in der DSGVO haben. Die DSGVO umfasst ausdrucklich „politische Meinungen”, wahrend die LGPD „politische Meinung” verwendet.
Internationale Datenubermittlungen
DSGVO: Ubermittlungen ausserhalb des EWR erfordern einen Angemessenheitsbeschluss, Standardvertragsklauseln (SVK), verbindliche unternehmensinterne Vorschriften (BCR) oder einen anderen genehmigten Mechanismus (Kapitel V). Das Verfahren ist streng und gut geregelt. Deutsche Datenschutzbehorden haben diese Mechanismen nach dem Schrems-II-Urteil besonders streng uberwacht.
LGPD: Artikel 33 listet mehrere Bedingungen fur internationale Ubermittlungen auf, darunter Lander mit angemessenem Schutzniveau, spezifische Vertragsklauseln, Standardklauseln, verbindliche Unternehmensregelungen und spezifische Einwilligung. Die ANPD regelt die Mechanismen noch, und der Rahmen ist nicht so entwickelt wie der europaische.
In der Praxis konnen Unternehmen, die bereits uber DSGVO-SVK verfugen, diese fur die LGPD anpassen, sollten aber die endgultigen Regelungen der ANPD abwarten, um volle Konformitat zu gewahrleisten.
Sanktionen und Durchsetzung
| Aspekt | DSGVO | LGPD |
|---|---|---|
| Hochstes Bussgeld | 20 Mio. EUR oder 4 % des weltweiten Umsatzes | 50 Mio. BRL oder 2 % des Umsatzes in Brasilien |
| Berechnungsgrundlage | Weltweiter Umsatz | Umsatz in Brasilien (nicht weltweit) |
| Behorde | Nationale DPAs (BfDI, LfDIs etc.) | ANPD |
| Direkte Sanktionsbefugnis | Ja | Ja |
| Nicht-monetare Sanktionen | Verarbeitungsverbot | Sperrung, Loschung, Aussetzung, Verbot |
| Private Klage | Ja (Artikel 82) | Ja (Zivilgesetzbuch + Verbraucherschutzgesetz) |
Die DSGVO sieht potenziell deutlich hohere Geldbussen vor (weltweite vs. nur brasilienbezogene Berechnungsgrundlage). Deutsche Datenschutzaufsichtsbehorden haben bereits erhebliche Bussgelder verhangt. Die LGPD bietet jedoch schwerwiegende nicht-monetare Sanktionen — die Aussetzung oder das Verbot von Verarbeitungstatigkeiten kann fur ein Unternehmen verheerender sein als ein Bussgeld.
DPO / Encarregado
DSGVO: Pflicht fur Behorden, grosse systematische Uberwachung oder grossangelegte Verarbeitung sensibler Daten (Artikel 37). Das BDSG erweitert die DPO-Pflicht auf Unternehmen mit mindestens 20 Personen, die standig mit automatisierter Verarbeitung befasst sind.
LGPD: Pflicht fur alle Verantwortlichen (Artikel 41). Die ANPD kann Ausnahmen fur Verarbeitungsagenten kleinen Umfangs festlegen.
Die LGPD ist bei dieser Anforderung breiter: Wahrend die DSGVO die Pflicht auf bestimmte Situationen beschrankt (erganzt durch das BDSG in Deutschland), macht die LGPD sie zur allgemeinen Regel.
Compliance-Strategie fur Unternehmen in beiden Rechtsordnungen
1. Mit der DSGVO-Compliance beginnen. Die europaischen Anforderungen sind in der Regel strenger. Eine solide DSGVO-Compliance deckt die Mehrheit der LGPD-Pflichten ab. Deutsche Unternehmen, die bereits konform mit den Vorgaben des BfDI und des BDSG sind, haben einen erheblichen Vorteil.
2. LGPD-spezifische Elemente erganzen. Die vier zusatzlichen Rechtsgrundlagen, die 15-Tage-Antwortfrist fur die Bestatigung, das ausdruckliche Recht auf Information uber die Weitergabe und die nicht-monetaren Sanktionen erfordern spezifische Aufmerksamkeit.
3. Die Berechnungsgrundlage fur Sanktionen anpassen. Die DSGVO berechnet auf dem weltweiten Umsatz; die LGPD auf dem Umsatz in Brasilien. Dies kann Ihre Risikoanalyse beeinflussen.
4. Die ANPD verfolgen. Die brasilianische Behorde baut ihren Regulierungsrahmen noch auf. Regelungen zu internationalen Ubermittlungen, Folgenabschatzungen und Angemessenheitskriterien sind in Entwicklung.
5. Alles dokumentieren. Verarbeitungsverzeichnisse (Artikel 30 DSGVO), Vorfallregister (beide) und Verzeichnisse von Anfragen betroffener Personen (beide) sind fur den Nachweis der Compliance unerlasslich.
Um die Konformitat Ihrer Website in Sekunden zu prufen, nutzen Sie unseren kostenlosen Compliance-Scanner. Fur weitere Details lesen Sie unseren vollstandigen LGPD-Leitfaden und unseren Leitfaden zur Datenschutzrichtlinie nach LGPD.
Fazit
Die LGPD und die DSGVO teilen Ursprunge und Ziele, unterscheiden sich aber in Details, die in der Praxis relevant sind. Die LGPD hat mehr Rechtsgrundlagen, einen breiteren Geltungsbereich fur DPO-Anforderungen und potenziell schwerwiegendere nicht-monetare Sanktionen. Die DSGVO sieht hohere Geldbussen, detailliertere Betroffenenrechte und einen reiferen Regulierungsrahmen vor, mit der Expertise von Behorden wie dem BfDI. Fur Unternehmen, die in beiden Rechtsordnungen tatig sind, ist der effektivste Ansatz, auf der DSGVO-Compliance aufzubauen und diese um LGPD-Spezifika zu erganzen. Untotigkeit ist keine Option: Die regulatorischen Risiken auf beiden Seiten des Atlantiks wachsen weiter.