Für Datenschutzbeauftragte, die diesen Sommer alle Hände voll zu tun hatten mit der 1. Juli: Inkrafttreten des California Consumer Privacy Act (CCPA), gefolgt von der plötzliche Ungültigkeit des Privacy Shield Einige Wochen später wurde das brasilianische Datenschutzgesetz (Lei Geral de Protecao de Dados Das Inkrafttreten des Gesetzes über das Vereinigte Königreich (LGPD) ist eine dritte Überraschung.
Trotz der Anordnung des brasilianischen Präsidenten Jair Bolsonaro, den Inkrafttretenstermin des LGPD auf das Jahresende zu verschieben – und der Zustimmung des Nationalkongresses zu dieser Verschiebung – Der brasilianische Senat hob die Verzögerung schließlich auf, wodurch das Gesetz am 10. September in Kraft tritt.
So erreichen Sie LGPD-Konformität
Das LGPD stellt eine Reihe praktischer Herausforderungen für die Einhaltung dar. Die erste ist die Notwendigkeit tiefere Entdeckung. Bei herkömmlichen Ansätzen zur Datenermittlung werden personenbezogene und sensible Daten für Verarbeitungszwecke nicht konsequent identifiziert.
Eine erweiterte Definition personenbezogener Daten unter LGPD erfordert, dass Unternehmen in der Lage sein müssen, automatisch zu verknüpfen und Daten klassifizieren – und verstehen Sie, wie Kennungen auf der Grundlage von Maßstäben wie Nähe miteinander in Beziehung stehen.
Darüber hinaus erfordern die neuen Datenschutzrechte des Gesetzes für Unternehmen ein stärkeres Verständnis der Daten im Kontext, damit sie diese angemessen verarbeiten, die Berichtigungs- und Löschungsanforderungen erfüllen und Richtlinien erstellen können, die mit den strengen Rechtsgrundlagen für die Datenverarbeitung im Einklang stehen.
Neue Aufbewahrungspflichten unter LGPD erfordern die Festlegung interner Richtlinien zur Datenaufbewahrung dass Unternehmen sofort Maßnahmen ergreifen können – einschließlich der über einen Online-Dienst gesammelten Daten – und gleichzeitig in der Lage sind, doppelte und redundante Daten zu identifizieren, was in den Data-Governance-Bereich.
Mit BigID können Unternehmen diesen Herausforderungen begegnen, indem sie:
- Ihre Daten kennen: Kombinieren Sie die Identifizierung personenbezogener Daten und die Klassifizierung sensibler Daten.
- Verstehen, wessen Daten es sind: Kontextualisieren Sie Daten mit Identitätsprofilen und Datenindizierung, die personenbezogene und sensible Daten abdecken.
- Markierung und Kennzeichnung von Daten für rechtliche Zwecke: Stellen Sie sicher, dass die Datenverarbeitung gemäß den definierten Rechtsgrundlagen erfolgt.
- Minimieren doppelter oder sensibler Daten: Ermöglichen Sie die Datenminimierung durch doppelte Identifizierung und wenden Sie Aufbewahrungsregeln basierend auf einem offengelegten Zweck an.
- Verwalten von Datenrisiken: Entdecken, klassifizieren und ordnen Sie Benutzeranmeldeinformationen zu, um Kontrollen zur Reduzierung des Verletzungsrisikos anzuwenden.
- Automatisierung der Erfüllung von Datenzugriffsrechten: Automatisieren Sie die manuelle Erfüllung einzelner Datenzugriffs- und Löschanfragen.
- Berichten, wessen Daten sie haben: Aktivieren Sie Korrektur-Workflows und überprüfen Sie, ob vertrauliche Daten erfasst werden.
- Erkennen von richtlinienwidrigen, grenzüberschreitenden Datenübertragungen: Verfolgen Sie Verstöße gegen den Datenzugriff, die Datennutzung und die Datenübertragung im gesamten Unternehmen, um sofort Maßnahmen ergreifen zu können.
Die Unterschiede zwischen LGPD und GDPR
Räumlicher Geltungsbereich
Ähnlich wie die Datenschutz-Grundverordnung (DSGVO) der EU schützt die Daten von EU-Bürgern, LGPD wendet Datenschutzverpflichtungen auf jedes Unternehmen an – öffentlich oder privat, online oder offline tätig –, das personenbezogene Daten brasilianischer Einwohner verarbeitet, unabhängig vom Standort des Unternehmens.
Personenbezogene Daten und sensible personenbezogene Daten
Die Gesetze verwenden eine ähnliche Terminologie für Datenverantwortliche und -verarbeiter, und sie sind nahezu identisch in ihrer Definition von personenbezogenen Daten als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.
Mit anderen Worten: Zu den personenbezogenen Daten zählen sowohl im Sinne der DSGVO als auch des LGPD Daten, die eine Person direkt identifizieren oder identifizierbar machen. Anonymisierte Daten fallen nicht ausdrücklich in den Geltungsbereich der DSGVO oder des LGPD.
Zwar enthält das LGPD eine ähnliche Definition „sensibler personenbezogener Daten“ wie die DSGVO, doch das brasilianische Gesetz legt strengere Anforderungen fest und reduziert die Anzahl der Rechtsgrundlagen, die für die Verarbeitung dieser Art von Daten zur Verfügung stehen.
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
Die DSGVO legt sechs Rechtsgrundlagen für die Verarbeitung nicht sensibler personenbezogener Daten fest – und das LGPD bestätigt alle diese Grundlagen und fügt vier weitere hinzu, wodurch die Bedingungen, unter denen die Verarbeitung autorisiert werden kann, effektiv erweitert werden.
Zu den in der DSGVO ebenfalls festgelegten Rechtsgrundlagen des LGPD gehören:
- Zustimmung der Dateneigentümer
- zur Erfüllung einer rechtlichen Verpflichtung
- um gesetzliche Vorschriften oder öffentliche Richtlinien durchzusetzen
- um jemandes Leben oder Gesundheit zu schützen
- wenn dies zur Erfüllung eines Vertrages erforderlich ist
- zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten
Zu den neuen Rechtsgrundlagen, die durch das LGPD festgelegt werden, gehören:
- für Forschungszwecke, sofern die Daten anonymisiert sind
- zur Kreditabsicherung
- für Gesundheitszwecke durch Angehörige der Gesundheitsberufe und Einrichtungen
- zur Durchsetzung von Rechten in Gerichts- oder Verwaltungsverfahren
Zeitrahmen für die Datenaufbewahrung
Ähnlich wie bei der DSGVO dürfen Unternehmen personenbezogene Daten nur so lange aufbewahren, wie eine dieser Rechtsgrundlagen, die ihre Verarbeitung erlauben, in Kraft ist.
Wenn ein Unternehmen in Brasilien Online-Dienste anbietet, muss es die im Internetgesetz festgelegten Pflichten zur Datenaufbewahrung einhalten. Das bedeutet, dass Unternehmen die Zugriffsprotokolle von Internetanwendungen – einschließlich der IP-Adresse eines Nutzers – sechs Monate lang in einer sicheren Umgebung speichern müssen.
Rechte betroffener Personen gemäß LGPD
LGPD bietet eine Reihe von Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten. Die für die Datenverarbeitung Verantwortlichen sind gesetzlich dafür verantwortlich, den betroffenen Personen die Möglichkeit zur Ausübung dieser Rechte zu geben. Auch Datenverarbeiter können von betroffenen Personen eine Anfrage erhalten, um die Ausübung ihrer Rechte zu gewährleisten.
Zu den Rechten der betroffenen Person in Bezug auf ihre personenbezogenen Daten gehört das Recht auf:
- Bestätigung, dass personenbezogene Daten verarbeitet werden
- Zugriff auf die personenbezogenen Daten
- unvollständige, ungenaue oder veraltete Daten berichtigen
- Löschen unnötiger, übermäßiger oder nicht konformer personenbezogener Daten
- ausdrücklich die Übertragbarkeit der Daten zu einem anderen Dienst oder Anbieter verlangen
- Löschung aller personenbezogenen Daten, die mit Einwilligung der betroffenen Person verarbeitet wurden
- über Dritte informiert werden, mit denen Daten geteilt werden
- über die Möglichkeit informiert werden, die Einwilligung zu verweigern – und über die Folgen einer solchen Verweigerung
- Einwilligung widerrufen
- Fordern Sie eine Überprüfung der automatisierten Entscheidungsfindung an
In der EU müssen Unternehmen gemäß der DSGVO innerhalb eines Monats auf Auskunftsersuchen von betroffenen Personen (DSARs) reagieren, wobei für kompliziertere Anfragen gewisse Ausnahmen gelten. Der Zeitrahmen des LGPD beträgt jedoch nur die Hälfte, nämlich 15 Tage. Das LGPD verlangt außerdem sofort Antwort auf andere Anfragen betroffener Personen, abgesehen vom Zugriff.
Grenzüberschreitende Übertragungen
Das Gesetz sieht auch Beschränkungen für grenzüberschreitende Datenübermittlungen in Drittländer vor, die ein angemessenes Schutzniveau gewährleisten. Derzeit ist unklar, welche Länder dazu gehören und welche angemessenen Schutzmaßnahmen – wie etwa Standardvertragsklauseln oder verbindliche Unternehmensregeln – auf die sich Unternehmen verlassen können.
Da sich das LGPD weitgehend an der DSGVO orientiert, ist davon auszugehen, dass die Länder der Europäischen Union als angemessen gelten.
Datum und Behörde der LGPD-Durchsetzung, ANPD
Obwohl die Strafbestimmungen des LGPD erst am 1. August 2021 in Kraft treten, haben Brasilianer Anspruch auf Entschädigung, wenn sie feststellen, dass ihnen durch einen Gesetzesverstoß ein Schaden entstanden ist. Ähnlich wie die USA gilt Brasilien als prozessfreudige Gesellschaft – zwischen Klägeranwälten und über 900 Staatsanwälten werden voraussichtlich viele Zivilklagen im Namen privater Kläger und der Öffentlichkeit eingereicht werden.
Präsident Bolsonaro hat bereits eine Regulierungsstruktur und einen Rahmen für die Einrichtung einer Brasilianische Datenschutzbehörde („ANPD“), dessen Aufgabe es ist, die Maßnahmen zum Schutz personenbezogener Daten zu überwachen, entsprechende Richtlinien zu entwickeln sowie die Gesetze zu untersuchen und durchzusetzen.
Datenschutzbeauftragte
Die Rolle von Datenschutzbeauftragten (DSB) ist unter der DSGVO strenger als unter dem LGPD. Während die DSGVO bestimmte Bedingungen vorgibt, unter denen Organisationen einen DSB ernennen müssen, enthält das LGPD keine solche Vorgabe. Es ist allgemeiner festgelegt, dass „der Verantwortliche einen Beauftragten ernennt, der für die Datenverarbeitung verantwortlich ist“.
Dies deutet darauf hin, dass Organisationen, die dem LGPD unterliegen, zwar verpflichtet sind, einen Datenschutzbeauftragten zu ernennen, dessen Rollen und relative Unabhängigkeit vom Datenschutzbeauftragten jedoch unklar sind. Es besteht die Hoffnung, dass mit der Entwicklung weiterer Richtlinien und Kontrollen durch das ANPD Klarheit geschaffen wird. Dies bleibt abzuwarten.
Strafen für LGPD-Verstöße
Das LGPD bringt neben der zivilrechtlichen Haftung auch schwere Strafen mit sich, beispielsweise Geldbußen von bis zu 21TP3B des Bruttoeinkommens des Unternehmens in Brasilien im vorangegangenen Geschäftsjahr, die vorübergehende Aussetzung der Berechtigung des Unternehmens, personenbezogene Daten zu verwenden, die teilweise oder vollständige Aussetzung der Datenbank und die Aussetzung der Geschäftstätigkeit.
Folglich sollte jede Organisation, die personenbezogene Daten brasilianischer Einwohner verarbeitet, sicherstellen, dass sie Einhaltung der LGPD und achten Sie in den kommenden Monaten genau auf alle Leitlinien der Regulierungsbehörden.
Erfahren Sie, wie BigID Ihnen helfen kann Sie stellen sicher, dass Ihre Organisation die LGPD einhält, damit Sie, wie das brasilianische Sprichwort sagt, ruhig.
Autor
