Was ist das brasilianische LGPD?
Die LGPD (Lei Geral de Proteção de Dados), was für General Data Protection Law steht, ist eine in Brasilien erlassene Datenschutzverordnung. Sie regelt aktiv die Verarbeitung von personenbezogene Daten, mit dem Ziel, die Rechte des Einzelnen zu schützen und den ordnungsgemäßen Umgang mit seinen Informationen sicherzustellen.
Das LGPD legt klare Richtlinien für Organisationen und Einzelpersonen fest, die in Brasilien personenbezogene Daten erheben, verwenden, speichern oder verarbeiten. Es verlangt von ihnen, vor der Erhebung der Daten die ausdrückliche Zustimmung der betroffenen Personen einzuholen, und schreibt transparente Praktiken bei der Datenverarbeitung vor.
Wer muss sich daran halten?
Das brasilianische LGPD (Lei Geral de Proteção de Dados) gilt für verschiedene Unternehmen und Personen, die personenbezogene Daten verarbeiten. Das Gesetz legt einen breiten Anwendungsbereich fest, und die folgenden Parteien sind grundsätzlich zur Einhaltung des LGPD verpflichtet:
- Controller: Jede natürliche oder juristische Person, ob öffentlich oder privat, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, fällt unter die Kategorie der Verantwortlichen. Die Verantwortlichen tragen die Hauptverantwortung für die Einhaltung des LGPD.
- Prozessoren: Auftragsverarbeiter sind Personen oder Organisationen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Sie sind verpflichtet, die Daten gemäß den Anweisungen des Verantwortlichen zu verarbeiten und die erforderlichen Sicherheitsmaßnahmen zu ergreifen.
- Betroffene Personen: Personen, deren personenbezogene Daten verarbeitet werden, genießen gemäß dem LGPD Datenschutzrechte. Sie haben das Recht, die Kontrolle über ihre Daten auszuüben und deren rechtmäßige und transparente Verarbeitung sicherzustellen.
- Datenschutzbeauftragte (DSB): Organisationen, die bestimmte Kriterien erfüllen, beispielsweise große Datenmengen oder sensible personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten ernennen. Der Datenschutzbeauftragte ist für die Überwachung der Datenschutzaktivitäten und die Einhaltung des LGPD verantwortlich.
- Nationale Datenschutzbehörde (ANPD): Die ANPD ist die Regulierungsbehörde, die für die Überwachung und Durchsetzung des LGPD zuständig ist. Sie erstellt Richtlinien, fördert das Bewusstsein und verhängt Sanktionen bei Verstößen gegen das Gesetz.
- Dienstanbieter: Auch Drittanbieter, die personenbezogene Daten im Auftrag von Organisationen verarbeiten (Verantwortliche), unterliegen der Einhaltung des LGPD. Sie müssen dieselben Datenschutz- und Sicherheitsstandards einhalten wie die Verantwortlichen.
Das LGPD gilt sowohl für inländische als auch für ausländische Unternehmen, die personenbezogene Daten von Personen in Brasilien verarbeiten, sofern die Datenverarbeitungsaktivitäten mit dem Anbieten von Waren oder Dienstleistungen für Personen in Brasilien in Zusammenhang stehen oder die Verarbeitung von in Brasilien erhobenen Daten beinhalten.
Insgesamt zielt das LGPD darauf ab, einen umfassenden Rahmen für den Schutz personenbezogener Daten zu schaffen, und seine Compliance-Anforderungen erstrecken sich auf verschiedene Stellen, die an Datenverarbeitungsaktivitäten beteiligt sind.
Die Kosten eines Verstoßes
Das LGPD legt Organisationen und Einzelpersonen, die personenbezogene Daten verarbeiten, strenge Verpflichtungen auf. Verstöße können Strafen und rechtliche Konsequenzen nach sich ziehen. Die Nationale Datenschutzbehörde (ANPD) in Brasilien ist für die Überwachung der Einhaltung des LGPD und die Untersuchung möglicher Verstöße zuständig.
Das LGPD sieht verschiedene Sanktionen gegen Organisationen oder Einzelpersonen vor, die gegen das Gesetz verstoßen. Mögliche Strafen sind:
- Warnungen: Die Nationale Datenschutzbehörde (ANPD) kann Unternehmen, die geringfügige Verstöße begangen haben, verwarnen oder als erste Maßnahme zur Einhaltung der Vorschriften Maßnahmen ergreifen. Verwarnungen geben dem Verletzer die Möglichkeit, seine Handlungen zu korrigieren und die LGPD einzuhalten.
- Geldstrafen: Das LGPD ermächtigt die ANPD, gegen Verstöße Geldbußen zu verhängen. Die maximale Geldbuße beträgt 21 TP3T des Jahresumsatzes des Verletzers in Brasilien, maximal jedoch 50 Millionen brasilianische Real (BRL). Die Höhe der Geldbuße hängt von verschiedenen Faktoren ab, wie Art und Ausmaß des Verstoßes, Größe der Organisation und ihrer finanziellen Leistungsfähigkeit.
- Aussetzung der Datenverarbeitung: In schwerwiegenden Fällen der Nichteinhaltung kann die ANPD die vorübergehende Aussetzung der Verarbeitung personenbezogener Daten durch den Verletzer anordnen. Diese Maßnahme soll die Datenverarbeitung so lange unterbrechen, bis der Verstoß behoben und die Einhaltung der Vorschriften sichergestellt ist.
- Verbot der Datenverarbeitung: Die ANPD ist befugt, dem Verletzer die Verarbeitung personenbezogener Daten gänzlich zu untersagen. Diese Strafe kann verhängt werden, wenn der Verstoß schwerwiegend ist und erhebliche Risiken für die Privatsphäre des Einzelnen birgt.
- Öffentliche Bekanntgabe von Verstößen: Die ANPD kann den Verstoß und die Identität des Verletzers nach ordnungsgemäßem Verfahren öffentlich machen. Diese Maßnahme zielt darauf ab, das Bewusstsein zu schärfen und durch die Offenlegung der Handlungen des Verletzers von der Nichteinhaltung des LGPD abzuschrecken.
Wichtig zu beachten ist, dass die ANPD die angemessene Strafe nach den Umständen des Einzelfalls festlegt. Die Schwere des Verstoßes, die Zusammenarbeit des Unternehmens mit den Behörden und die Bemühungen zur Behebung des Verstoßes können bei der Strafzumessung berücksichtigt werden.

Kennen Sie Ihre Datenschutzrechte
Gemäß dem brasilianischen LGPD (Lei Geral de Proteção de Dados) stehen Einzelpersonen verschiedene Datenschutzrechte zum Schutz ihrer personenbezogenen Daten zu. Hier sind die wichtigsten Datenschutzrechte des LGPD:
- Auskunftsrecht: Einzelpersonen haben das Recht, klare, transparente und leicht verständliche Informationen über die Zwecke und Methoden der Datenverarbeitung zu erhalten.
- Recht auf Zugang: Einzelpersonen können Zugriff auf ihre persönlichen Daten beantragen von Organisationen gespeicherten Daten und erhalten Sie detaillierte Informationen zur Verarbeitung ihrer Daten.
- Recht auf Berichtigung: Einzelpersonen haben das Recht, die Korrektur ungenauer oder veralteter personenbezogener Daten zu verlangen.
- Recht auf Löschung: Einzelpersonen können die Löschung ihrer personenbezogenen Daten verlangen wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind, wenn die Einwilligung widerrufen wird oder wenn die Datenverarbeitung unrechtmäßig ist.
- Recht auf Portabilität: Einzelpersonen können ihre personenbezogenen Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format anfordern und diese so an eine andere Organisation übermitteln.
- Recht auf Einschränkung der Verarbeitung: Einzelpersonen können unter bestimmten Umständen eine vorübergehende Aussetzung der Verarbeitung ihrer personenbezogenen Daten verlangen, beispielsweise wenn die Richtigkeit der Daten bestritten wird.
- Recht auf Widerspruch: Einzelpersonen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, insbesondere im Falle von Direktmarketing oder einer Verarbeitung auf Grundlage berechtigter Interessen.
- Recht auf Einwilligung: Einzelpersonen müssen geben ausdrückliche und informierte Zustimmungt bevor ihre personenbezogenen Daten erhoben und verarbeitet werden. Sie haben das Recht, ihre Einwilligung jederzeit zu widerrufen.
- Recht auf Datenübertragbarkeit: Einzelpersonen haben das Recht, ihre personenbezogenen Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten und sie, sofern technisch machbar, an einen anderen Verantwortlichen zu übermitteln.
- Recht auf Schutz: Einzelpersonen haben das Recht auf eine sichere Verarbeitung ihrer personenbezogenen Daten und auf Schutz vor unbefugter Zugriff, Verlust oder Offenlegung.
- Recht auf Anonymisierung, Sperrung oder Löschung: Einzelpersonen haben das Recht, die Anonymisierung, Sperrung oder Löschung unnötiger oder übermäßiger Daten zu verlangen.
- Beschwerderecht: Einzelpersonen können bei der nationalen Datenschutzbehörde oder anderen zuständigen Behörden Beschwerde einreichen, wenn sie der Ansicht sind, dass ihre Datenschutzrechte gemäß dem LGPD verletzt wurden.
Diese Datenschutzrechte zielen darauf ab, Einzelpersonen mehr Macht zu geben und ihnen die Kontrolle über ihre personenbezogenen Daten zu geben. Sie fördern Transparenz, Verantwortlichkeit und den Schutz der Privatsphäre bei der Datenverarbeitung.
Best Practices zur Einhaltung der Vorschriften
Unternehmen können proaktiv Maßnahmen ergreifen, um das Risiko von Verstößen gegen die brasilianische LGPD-Verordnung (Lei Geral de Proteção de Dados) zu verringern und die Einhaltung der Gesetze sicherzustellen. Hier sind einige wichtige Schritte, die sie unternehmen können:
- Verstehen Sie die LGPD-Anforderungen: Unternehmen sollten sich gründlich mit den Bestimmungen und Anforderungen des LGPD vertraut machen. Dazu gehört das Verständnis der Definition personenbezogener Daten, der Einwilligungserfordernisse, der Rechtsgrundlagen für die Verarbeitung, der Rechte der betroffenen Personen sowie der Pflichten in Bezug auf Datensicherheit und Meldung von Datenschutzverletzungen.
- Führen Sie ein Datenaudit durch: Führen Sie ein umfassendes Datenaudit durch, um Identifizieren und dokumentieren Sie die personenbezogenen Daten, die Ihr Unternehmen sammelt, verarbeitet und speichert. Hierzu gehört das Verständnis des Zwecks der Datenerhebung, der Rechtsgrundlage für die Verarbeitung, Datenaufbewahrung Zeiträume und alle Drittparteien, mit denen die Daten geteilt werden.
- Aktualisierung von Datenschutzrichtlinien und -hinweisen: Überprüfen und aktualisieren Sie Ihre Datenschutzrichtlinien, Hinweise und Einwilligungsmechanismen, um sie an die Anforderungen des LGPD anzupassen. Stellen Sie sicher, dass diese transparent, prägnant und für die betroffenen Personen zugänglich sind und klare Informationen darüber enthalten, wie ihre personenbezogenen Daten erhoben, verwendet und geschützt werden.
- Implementieren Sie Prozesse zur Wahrung der Rechte betroffener Personen: Richten Sie Prozesse und Verfahren ein, um die Rechte der betroffenen Personen, wie z. B. Auskunfts-, Berichtigungs-, Löschungs- und Datenportabilitätsanfragen, effektiv wahrzunehmen. Entwickeln Sie Mechanismen zur Überprüfung der Identität der betroffenen Personen und beantworten Sie diese Anfragen innerhalb der vom LGPD vorgegebenen Fristen.
- Holen Sie die ordnungsgemäße Zustimmung ein: Stellen Sie sicher, dass Sie die gültige und ausdrückliche Einwilligung der betroffenen Personen eingeholt haben, bevor Sie deren personenbezogene Daten verarbeiten. Implementieren Sie Mechanismen zur Aufzeichnung und Verwaltung der Einwilligung, die es den Betroffenen ermöglichen, ihre Einwilligung bei Bedarf zu widerrufen.
- Implementieren Sie Sicherheitsmaßnahmen: Treffen Sie geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Offenlegung zu schützen. Implementieren Sie Verschlüsselung, Zugriffskontrollen, regelmäßige Datensicherungen und andere Sicherheitsmaßnahmen, die der Sensibilität der verarbeiteten Daten entsprechen.
- Mitarbeiter schulen: Führen Sie regelmäßige Schulungen durch, um Ihre Mitarbeiter über ihre Pflichten im Rahmen des LGPD zu informieren, einschließlich Datenverarbeitungspraktiken, Sicherheitsprotokollen und dem Umgang mit Anfragen betroffener Personen. Fördern Sie eine Kultur des Datenschutzes im gesamten Unternehmen.
- Führen Sie eine Due-Diligence-Prüfung des Lieferanten durch: Überprüfen und aktualisieren Sie Verträge mit Drittanbietern und Dienstleistern, um sicherzustellen, dass sie den Anforderungen des LGPD entsprechen. Implementieren Sie Maßnahmen, um sicherzustellen, dass Datenübertragungen an Dritte sicher und rechtmäßig erfolgen.
- Richten Sie Prozesse zur Datenschutz-Folgenabschätzung (DSFA) ein: Identifizieren Sie risikoreiche Datenverarbeitungsaktivitäten und führen Sie Datenschutz-Folgenabschätzungen (DSFA) durch, um Datenschutzrisiken zu bewerten und zu minimieren. Implementieren Sie die notwendigen Sicherheitsvorkehrungen, um die identifizierten Risiken zu adressieren.
- Erstellen Sie einen Vorfallreaktionsplan: Entwickeln Sie einen Notfallplan, um Datenschutzverletzungen oder Vorfälle mit personenbezogenen Daten effektiv zu bewältigen. Dies umfasst die rechtzeitige Erkennung, Eindämmung, Untersuchung und Meldung von Datenschutzverletzungen an die zuständigen Behörden und die betroffenen Personen.
BigIDs Ansatz zur Einhaltung des brasilianischen LGPD
BigID ist ein Datenintelligenzplattform für Datenschutz, Sicherheitund Steuerung Das Unternehmen wird bei der Einhaltung der brasilianischen LGPD-Verordnung (Lei Geral de Proteção de Dados) unterstützt. BigID kann auf folgende Weise helfen:
- Datenermittlung und -inventarisierung: BigIDs Datenschutz-Suite Erkennt und ordnet personenbezogene Daten in allen Systemen und Datenspeichern Ihres Unternehmens zu. Es scannt und identifiziert personenbezogene Daten automatisch und erstellt ein umfassendes Dateninventar. Dies ermöglicht ein besseres Verständnis Ihrer personenbezogenen Daten und deren Speicherort – ein entscheidender Faktor für die Einhaltung des LGPD.
- Verwaltung der Rechte betroffener Personen: BigIDs App zur Datenlöschung Optimiert die Verwaltung der Betroffenenrechte, wie z. B. Auskunfts-, Berichtigungs-, Löschungs- und Datenportabilitätsanfragen. Es trägt zur Automatisierung der Bearbeitung dieser Anfragen bei und gewährleistet zeitnahe und konforme Antworten.
- Einwilligungsverwaltung: Die Consent Governance App von BigID erfasst, verwaltet und verfolgt die Einwilligung der betroffenen Person. So kann Ihr Unternehmen die ausdrückliche Einwilligung zur Datenverarbeitung einholen und dokumentieren und eine prüffähige Einwilligungsaufzeichnung führen. Dies unterstützt die LGPD-Anforderung an eine gültige und informierte Einwilligung.
- Datenminimierung und -aufbewahrung: BigIDs App zur Datenaufbewahrung wendet Grundsätze der Datenminimierung an, indem unnötige oder übermäßige personenbezogene Daten identifiziert und kategorisiert werden. Es unterstützt bei der Festlegung angemessener Datenaufbewahrungsfristen und der Implementierung von Richtlinien zur Datenaufbewahrung und -entsorgung. Dies steht im Einklang mit den Bestimmungen des LGPD zur Datenminimierung und -aufbewahrung.
- Datenschutzrisikobewertung: Die PIA Automatisierungs-App Bietet Funktionen zur Bewertung von Datenschutzrisiken, um Datenschutzrisiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zu bewerten und zu managen. Es hilft, risikoreiche Datenverarbeitungspraktiken zu identifizieren und ermöglicht es Unternehmen, notwendige Sicherheitsvorkehrungen zu treffen und Risiken zu minimieren. Dies entspricht den Anforderungen des LGPD zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA).
- Bereitschaft und Reaktion bei Datenschutzverletzungen: Die Breached Data Investigation App von BigID unterstützt Unternehmen bei der Vorbereitung und Reaktion auf Datenschutzverletzungen. Sie hilft bei der Erkennung und Untersuchung von Datenschutzverletzungen und ermöglicht eine schnelle Reaktion auf Vorfälle sowie die Benachrichtigung der zuständigen Behörden und betroffenen Personen. Diese Funktion unterstützt die Anforderungen des LGPD an die rechtzeitige Erkennung und Benachrichtigung von Datenschutzverletzungen.
- Automatisierte Datenschutzkontrollen: BigID bietet automatisierte Datenschutzkontrollen zur Durchsetzung von Datenzugriffskontrollen, Datenverschlüsselung und anderen Sicherheitsmaßnahmen. Es unterstützt Unternehmen bei der Implementierung technischer und organisatorischer Sicherheitsvorkehrungen zum Schutz personenbezogener Daten, was für die Einhaltung des LGPD von entscheidender Bedeutung ist.
- Berichterstattung und Analyse: BigID bietet umfassende Berichts- und Analysefunktionen, bietet Unternehmen Einblicke in ihre Datenschutzlage. Es unterstützt bei der Erstellung von Compliance-Berichten, der Überwachung von Datenschutzmetriken und der Verfolgung wichtiger Leistungsindikatoren im Zusammenhang mit der LGPD-Compliance.
Kostenlose 1:1-Demo anfordern um mehr darüber zu erfahren, wie BigID Ihrem Unternehmen dabei helfen kann, die LGPD-Konformität und alle Ihre Datenschutzinitiativen zu erreichen.