LGPD-Datenschutzrichtlinie: Vorlage

← Blog documents-legaux
9 Min. Lesezeit
Aktualisiert: 9. April 2026
WebLegal Team

Die Datenschutzrichtlinie ist das zentrale Dokument der LGPD-Compliance (Gesetz Nr. 13.709/2018). Sie verwirklicht den Transparenzgrundsatz (Artikel 6, VI) und ist das primare Instrument, mit dem Ihr Unternehmen betroffene Personen daruber informiert, wie ihre personenbezogenen Daten erhoben, verwendet, gespeichert und weitergegeben werden. Eine unzureichende Datenschutzrichtlinie ist nicht nur eine Dokumentationslucke — sie stellt einen Gesetzesverstos dar, der zu Verwaltungssanktionen, Gerichtsverfahren und Reputationsschaden fuhren kann. Dieser Leitfaden beschreibt die Pflichtelemente, haufige Fehler und Best Practices fur die Erstellung einer LGPD-konformen Datenschutzrichtlinie, mit Bezugen zur DSGVO und den Empfehlungen des BfDI.

Warum eine Datenschutzrichtlinie Pflicht ist

Die LGPD verwendet den Begriff „Datenschutzrichtlinie” nicht wortlich, aber die Artikel 6 (Grundsatze), 9 (Recht auf Information) und 18 (Betroffenenrechte) machen dieses Dokument implizit obligatorisch. Artikel 9 bestimmt, dass betroffene Personen das Recht auf erleichterten Zugang zu Informationen uber die Verarbeitung ihrer Daten haben, die in klarer, angemessener und auffaliger Weise zur Verfugung gestellt werden mussen.

In der Praxis erwarten die ANPD und brasilianische Gerichte von jeder Organisation, die personenbezogene Daten verarbeitet, dass sie eine Datenschutzrichtlinie auf ihrer Website zuganglich macht. Das Fehlen dieses Dokuments oder seine Unzulanglichkeit stellt einen Verstos gegen die Grundsatze der Transparenz und des freien Zugangs dar und setzt das Unternehmen den Sanktionen des Artikels 52 aus. Diese Anforderung ist vergleichbar mit der DSGVO (Artikel 12-14), die der BfDI und die Landesdatenschutzbeauftragten in Deutschland durchsetzen.

Pflichtelemente einer LGPD-Datenschutzrichtlinie

Auf Grundlage der Artikel 6, 9, 10 und 18 der LGPD muss Ihre Datenschutzrichtlinie folgende Elemente enthalten:

1. Identifikation des Verantwortlichen und des DSB

Geben Sie den vollstandigen Namen und die Kontaktdaten des Verantwortlichen (Ihr Unternehmen) und des Datenschutzbeauftragten (Encarregado) an. Artikel 41 verlangt die Benennung eines DSB, und Artikel 41, Absatz 1, fordert, dass seine Identitat und Kontaktinformationen offentlich bekanntgegeben werden, vorzugsweise auf der Website des Verantwortlichen.

2. Erhobene personenbezogene Daten

Listen Sie klar und spezifisch die Arten personenbezogener Daten auf, die Sie erheben. Verwenden Sie keine vagen Begriffe wie „verschiedene personliche Informationen”. Seien Sie explizit:

  • Identifikationsdaten: Name, CPF (Steuer-ID), Ausweisnummer, Geburtsdatum
  • Kontaktdaten: E-Mail, Telefon, Adresse
  • Finanzdaten: Kreditkartendaten, Transaktionshistorie
  • Navigationsdaten: IP-Adresse, Cookies, Browserverlauf, Gerateinformationen
  • Sensible Daten (falls zutreffend): Gesundheitsdaten, biometrische Daten, rassische oder ethnische Herkunft

3. Zwecke der Verarbeitung

Beschreiben Sie fur jede Kategorie erhobener Daten den spezifischen Verarbeitungszweck (Artikel 6, I). Beispiele:

  • „Kontaktdaten werden fur den Versand von Bestellbestatigungen und Servicemitteilungen erhoben”
  • „Navigationsdaten werden fur die Analyse der Website-Leistung und die Verbesserung der Benutzererfahrung erhoben”
  • „Finanzdaten werden fur die Zahlungsabwicklung erhoben”

Generische Zwecke wie „zur Verbesserung unserer Dienste” sind unzureichend. Der BfDI hat diese Anforderung der Spezifitat im Rahmen der DSGVO ebenfalls betont.

4. Verwendete Rechtsgrundlagen

Geben Sie die Rechtsgrundlage (Artikel 7) an, die jede Verarbeitungstatigkeit stutzt:

  • Einwilligung (Artikel 7, I) — fur Marketing, Newsletter, nicht-essenzielle Cookies
  • Vertragserfullung (Artikel 7, V) — fur Bestellabwicklung, Dienstleistungserbringung
  • Rechtliche Verpflichtung (Artikel 7, II) — fur steuerliche Datenaufbewahrung, arbeitsrechtliche Compliance
  • Berechtigtes Interesse (Artikel 7, IX) — fur Betrugspravention, Sicherheit

5. Weitergabe an Dritte

Identifizieren Sie die Kategorien von Dritten, an die Sie personenbezogene Daten weitergeben, und die Zwecke dieser Weitergabe:

  • Zahlungsdienstleister
  • Hosting- und Infrastrukturanbieter
  • Analyse- und Marketing-Tools
  • Offentliche Behorden (wenn gesetzlich vorgeschrieben)

6. Internationale Ubermittlungen

Wenn Sie personenbezogene Daten ausserhalb Brasiliens ubermitteln, legen Sie offen:

  • Die Lander oder Organisationen, an die Daten ubermittelt werden
  • Die Rechtsgrundlage fur die Ubermittlung (Artikel 33)
  • Die zum Schutz der Daten getroffenen Garantien

7. Aufbewahrungsfristen

Geben Sie an, wie lange jede Datenkategorie aufbewahrt wird und welche Kriterien diese Frist bestimmen (Artikel 15). Beispiel: „Transaktionsdaten werden 5 Jahre nach Dienstleistungsende gemas steuerlichen Anforderungen aufbewahrt.”

8. Rechte der betroffenen Personen

Beschreiben Sie die Rechte, die betroffene Personen gemas Artikel 18 ausuben konnen:

  • Bestatigung und Auskunft
  • Berichtigung
  • Anonymisierung, Sperrung oder Loschung
  • Datenubertragbarkeit
  • Loschung auf Einwilligungsbasis verarbeiteter Daten
  • Auskunft uber Weitergabe
  • Widerruf der Einwilligung

Geben Sie klar an, wie diese Rechte ausgeubt werden konnen: Kontaktkanal (E-Mail, Formular), Antwortfrist und Verfahren.

9. Sicherheitsmassnahmen

Beschreiben Sie in allgemeinen Worten die technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten (Artikel 46). Geben Sie keine Details preis, die die Sicherheit gefahrden konnten, aber weisen Sie nach, dass angemessene Massnahmen vorhanden sind: Verschlusselung, Zugriffskontrolle, Uberwachung, Backups.

10. Cookies und Tracking-Technologien

Wenn Ihre Website Cookies, Tracking-Pixel oder ahnliche Technologien verwendet, beschreiben Sie:

  • Die verwendeten Cookie-Arten (essenziell, analytisch, Marketing)
  • Die Zwecke jeder Art
  • Wie Nutzer ihre Cookie-Einstellungen verwalten konnen

Um die Cookie-Einwilligung konform zu verwalten, konnen Sie ein kostenloses DSGVO-konformes Cookie-Banner verwenden.

Haufige Fehler bei Datenschutzrichtlinien

1. Von einer anderen Website kopieren. Eine Datenschutzrichtlinie, die Ihre tatsachlichen Verarbeitungspraktiken nicht widerspiegelt, verstoesst gegen den Transparenzgrundsatz. Die ANPD erwartet, dass Ihre Richtlinie spezifisch fur Ihre Organisation ist. Auch deutsche Datenschutzbehorden haben Unternehmen fur generische Datenschutzrichtlinien sanktioniert.

2. Einwilligung als einzige Rechtsgrundlage verwenden. Viele Unternehmen erklaren, dass alle Verarbeitungen auf Einwilligung beruhen, obwohl sie sich tatsachlich auf Vertragserfullung oder rechtliche Verpflichtung stutzen. Dies schafft Probleme, wenn eine betroffene Person ihre Einwilligung fur eine Verarbeitung widerruft, die nicht davon abhing.

3. Den DSB auslassen. Die LGPD verlangt die Benennung eines DSB (Artikel 41). Das Weglassen dieser Information aus Ihrer Datenschutzrichtlinie ist ein klarer Verstos.

4. Internationale Ubermittlungen nicht erwahnen. Wenn Sie Dienste wie Google Analytics, AWS, Stripe oder Mailchimp nutzen, werden Ihre Daten ausserhalb Brasiliens ubermittelt. Diese Ubermittlungen mussen offengelegt werden.

5. Unzugangliche Sprache. Die LGPD verlangt, dass Informationen in klarer und angemessener Weise bereitgestellt werden (Artikel 9). Ubermassiger Fachjargon verstoesst gegen diese Anforderung. Auch der BfDI empfiehlt eine klare und verstandliche Sprache.

6. Nicht regelmasig aktualisieren. Ihre Verarbeitungspraktiken entwickeln sich: neue Dienstleister, neue Funktionen, neue Datenarten. Ihre Richtlinie muss mit diesen Anderungen Schritt halten.

Unterschied zwischen Datenschutzrichtlinie und Nutzungsbedingungen

Dies sind unterschiedliche Dokumente mit verschiedenen Zwecken:

Datenschutzrichtlinie: Erklart, wie Sie personenbezogene Daten erheben, nutzen und schutzen. Basiert auf der LGPD. Pflicht fur jede Website, die Daten erhebt.

Nutzungsbedingungen: Legen die Regeln fur die Nutzung Ihrer Website oder Ihres Dienstes fest. Basieren auf dem Burgerlichen Gesetzbuch und dem Verbraucherschutzgesetz. Definieren Verantwortlichkeiten, Nutzungsbeschrankungen und geistiges Eigentum.

Beide Dokumente sind notwendig und sollten sich gegenseitig erganzen, mit Querverweisen wo angebracht.

Vier Ansatze zur Erstellung Ihrer Datenschutzrichtlinie

Einen spezialisierten Anwalt beauftragen

Kosten: 5.000 bis 15.000 BRL. Zeitrahmen: 2 bis 4 Wochen.

Ein auf Datenschutz spezialisierter Anwalt analysiert Ihre Datenflusse, identifiziert die anwendbaren Rechtsgrundlagen und verfasst eine massgeschneiderte Richtlinie. Empfohlen fur Unternehmen mit komplexer Verarbeitung sensibler Daten oder erheblichen internationalen Ubermittlungen.

Ein generisches KI-Tool verwenden

Scheinbare Kosten: 0 BRL. Tatsachliche Kosten: eine Richtlinie, die vollstandig erscheint, aber Pflichtelemente auslasst.

Generische KI-Tools prufen Ihre tatsachlichen Datenflusse nicht und produzieren haufig Richtlinien, die DSGVO- und LGPD-Anforderungen ohne angemessene Anpassung an den brasilianischen Kontext vermischen.

Eine kostenlose Vorlage kopieren

Kosten: 0 BRL. Risiko: hoch.

Kostenlose Vorlagen sind generisch und nie an Ihre spezifische Tatigkeit angepasst. Die ANPD erwartet, dass jede Richtlinie die tatsachlichen Praktiken der Organisation widerspiegelt, nicht einen Standardtext.

Einen spezialisierten Rechtsdokumentengenerator verwenden

Kosten: 19,90 € bis 49,90 €. Zeitrahmen: unter 10 Minuten.

Ein spezialisierter Generator stellt Fragen zu Ihrem Unternehmen, Ihren Daten, Ihren Dienstleistern und Ihren Praktiken und erstellt eine Datenschutzrichtlinie, die den LGPD-Anforderungen entspricht. Er umfasst Rechtsgrundlagen, Betroffenenrechte, DSB-Informationen und Offenlegungen internationaler Ubermittlungen.

Um die Konformitat Ihrer Website schnell zu uberprufen, nutzen Sie unseren kostenlosen Compliance-Scanner. Lesen Sie auch unseren vollstandigen LGPD-Leitfaden und unseren Vergleich LGPD vs DSGVO.

Fazit

Eine Datenschutzrichtlinie ist mehr als ein juristisches Dokument — sie ist der konkrete Ausdruck des Engagements Ihres Unternehmens fur den Schutz der personenbezogenen Daten Ihrer Kunden und Nutzer. Unter der LGPD muss sie spezifisch, transparent, zuganglich und aktuell sein. Da die ANPD aktiv durchsetzt und brasilianische Gerichte zunehmend sensibel fur Datenschutzfragen sind, ist die Investition in eine angemessene Datenschutzrichtlinie eine der ertragreichsten Compliance-Massnahmen, die Sie ergreifen konnen. Fur deutsche Unternehmen, die auch der DSGVO und der Aufsicht des BfDI unterliegen, gewahrleistet ein koordinierter Ansatz die Konformitat in beiden Rechtsordnungen. Warten Sie nicht auf eine Benachrichtigung oder eine Klage, um zu handeln — schutzen Sie Ihre Kunden und Ihr Unternehmen jetzt.