LGPD-Compliance in Brasilien: Datenschutz für lateinamerikanische Betriebe

Brasiliens Lei Geral de Proteção de Dados Pessoais (LGPD – Gesetz Nr. 13.709/2018) trat am 18. September 2020 in Kraft und wird ab August 2021 durch die Autoridade Nacional de Proteção de Dados (ANPD) durchgesetzt. Brasilien ist gemessen an der Bevölkerung das fünftgrößte Land der Welt und die sechstgrößte Volkswirtschaft, weshalb die Einhaltung der LGPD für jede Organisation mit brasilianischen Niederlassungen unerlässlich ist. Kunden oder Mitarbeiter.

In enger Anlehnung an die EU-DSGVO führt LGPD Rechtsgrundlagen für die Verarbeitung, Rechte der betroffenen Personen, eine DPO-Anforderung, grenzüberschreitende Übertragungsbeschränkungen und Geldstrafen von bis zu 2 % des brasilianischen Jahresumsatzes mit einer Obergrenze von 50 Mio. R$ (ca. 10 Mio. USD) pro Verstoß ein. Die ANPD hat ihre ersten erheblichen Bußgelder verhängt und branchenspezifische Leitlinien veröffentlicht – die Durchsetzung ist nicht mehr theoretisch.

Wichtige Erkenntnisse

• LGPD gilt für jede Organisation, die personenbezogene Daten von Einzelpersonen in Brasilien verarbeitet, unabhängig davon, wo die Organisation ihren Sitz hat
• Es gibt zehn Rechtsgrundlagen für die Verarbeitung – keine davon ist ein Standard; Sie müssen die Grundlage für jede Aktivität dokumentieren
• Die Einwilligung gemäß LGPD muss frei, informiert, eindeutig und für einen bestimmten Zweck erfolgen – vorab angekreuzte Kästchen sind nicht qualifiziert
• Sensible personenbezogene Daten (Rasse, Religion, Gesundheit, Biometrie, politische Meinungen, sexuelle Orientierung) erfordern eine ausdrückliche Einwilligung oder bestimmte Ausnahmen
• Die Ernennung eines DSB (Encarregado) ist für die meisten Verantwortlichen und Auftragsverarbeiter obligatorisch
• Grenzüberschreitende Übertragungen sind eingeschränkt – zulässige Mechanismen umfassen Angemessenheitsentscheidungen, Standardvertragsklauseln und Zertifizierungssysteme
• ANPD-Bußgelder belaufen sich auf 2 % des brasilianischen Umsatzes und sind auf 50 Mio. R$ pro Verstoß begrenzt
• Das LGPD wurde durch das Gesetz 13.853/2019 aktualisiert, das die Unabhängigkeit des ANPD stärkte und die Durchsetzungsbestimmungen präzisierte

---

LGPD-Geltungsbereich und territoriale Anwendung

LGPD gilt für jede Verarbeitung personenbezogener Daten, die:

1. Wird auf brasilianischem Territorium durchgeführt
2. Der Zweck besteht darin, Personen mit Sitz in Brasilien Waren oder Dienstleistungen anzubieten
3. Beinhaltet in Brasilien erfasste personenbezogene Daten

Wie Artikel 3 der DSGVO bedeutet dieser extraterritoriale Geltungsbereich, dass ein US-Unternehmen, das einen portugiesischsprachigen E-Commerce-Shop für brasilianische Kunden betreibt, die LGPD für die Daten dieser Kunden einhalten muss. Ein multinationaler Konzern mit brasilianischen Mitarbeitern muss die Datenverarbeitung seiner Mitarbeiter einhalten.

Ausnahmen von der LGPD umfassen:

• Die Verarbeitung erfolgt ausschließlich für private Zwecke, nicht für wirtschaftliche Zwecke
• Verarbeitung zu journalistischen, künstlerischen oder wissenschaftlichen Zwecken
• Verarbeitung für die öffentliche Sicherheit, die Landesverteidigung oder strafrechtliche Ermittlungen (durch spezifische Rechtsvorschriften abgedeckt)
• Daten, die ihren Ursprung außerhalb Brasiliens haben und nicht Gegenstand der Kommunikation oder gemeinsamen Nutzung mit brasilianischen Vertretern sind

Allerdings werden diese Ausnahmen eng ausgelegt. Die meisten kommerziellen Verarbeitungen sind nicht qualifiziert.

---

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Artikel 7 des LGPD legt zehn Rechtsgrundlagen für die Verarbeitung personenbezogener Daten fest. Dies unterscheidet sich von der DSGVO (die sechs umfasst) und spiegelt den spezifischen Gesetzgebungskontext Brasiliens wider. Jede Verarbeitungstätigkeit muss anhand einer dieser Grundlagen dokumentiert werden:

Berechtigte Interessen nach LGPD sind enger gefasst als nach DSGVO: Verantwortliche müssen das berechtigte Interesse gegen die Grundrechte und Grundfreiheiten der betroffenen Person abwägen. Aus den Leitlinien des ANPD geht hervor, dass dies einen dokumentierten dreiteiligen Test ähnlich der DSGVO erfordert und dass kommerzielle Zwecke allein nicht automatisch in Frage kommen.

Sensible personenbezogene Daten (Artikel 11) umfassen Daten über Rasse oder ethnische Herkunft, religiöse Überzeugung, politische Meinung, Mitgliedschaft in einer Gewerkschaft oder religiösen Organisation, Gesundheitsdaten, Sexualleben, genetische oder biometrische Daten. Für die Verarbeitung sensibler Daten ist eine ausdrückliche Einwilligung oder eine von sieben spezifischen Rechtsgrundlagen (gesetzliche Verpflichtung, Forschung, medizinische Versorgung etc.) erforderlich. Der Einwilligungsstandard für sensible Daten ist höher – explizit, getrennt von anderen Einwilligungen und zweckspezifisch.

---

Rechte der betroffenen Person gemäß LGPD

Artikel 18 des LGPD gewährt betroffenen Personen neun Rechte:

Hauptunterschiede zur DSGVO:

• LGPD beinhaltet ein Recht, die Konsequenzen einer Einwilligungsverweigerung zu erfahren – es erfordert vor der Erhebung eine Offenlegung darüber, was passiert, wenn ein Benutzer die Einwilligung ablehnt
• „Ohne unangemessene Verzögerung“ ist weniger präskriptiv als der 30-Tage-Zeitplan der DSGVO – es wird erwartet, dass die ANPD-Verordnungen Zeitpläne festlegen
• Portabilitätsrechte hängen von der technischen Machbarkeit und den ANPD-Vorschriften ab

Ausübung von Rechten: Betroffene Personen richten Anträge an den Verantwortlichen. Der Verantwortliche muss innerhalb von 15 Tagen (für Bestätigungs- und Zugriffsanfragen) gemäß ANPD Resolution CD/ANPD Nr. 4/2023 antworten. Bei anderen Rechten müssen die Verantwortlichen gemäß den ANPD-Vorschriften unverzüglich reagieren.

---

Pflichten des Verantwortlichen und Auftragsverarbeiters

Data Controller (Controlador): Determines the purposes and means of processing. Hat primäre LGPD-Verpflichtungen, einschließlich Dokumentation der Rechtsgrundlagen, Datenschutzhinweise, Erfüllung der Rechte betroffener Personen, Ernennung eines Datenschutzbeauftragten, ANPD-Berichterstattung und Sicherheitsmaßnahmen.

Datenverarbeiter (Operador): Verarbeitet Daten im Auftrag eines Verantwortlichen im Rahmen eines Vertrags. Auftragsverarbeiter haften für Verstöße, wenn sie den Anweisungen des Verantwortlichen nicht Folge leisten oder gegen die LGPD verstoßen. Verantwortliche dürfen nur Auftragsverarbeiter einsetzen, die ausreichende Garantien für die Einhaltung der LGPD bieten.

Anforderungen an die Auftragsverarbeitervereinbarung (Artikel 39): Verantwortliche und Auftragsverarbeiter müssen über einen schriftlichen Vertrag verfügen, der Folgendes abdeckt:

• Anweisungen zur Verarbeitung personenbezogener Daten
• Sicherheitspflichten
• Vertraulichkeitsanforderungen
• Unterstützung der Rechte der betroffenen Person
• Datenherausgabe- bzw. Löschungspflichten bei Vertragsbeendigung

Gemeinsame Verantwortliche: LGPD befasst sich nicht ausdrücklich mit Vereinbarungen über gemeinsame Verantwortliche (im Gegensatz zu Artikel 26 der DSGVO), aber die ANPD-Leitlinien weisen darauf hin, dass Situationen gemeinsamer Verarbeitung vertraglich mit einer klaren Zuweisung von Verantwortlichkeiten geregelt werden sollten.

---

Datenschutzbeauftragter (Encarregado)

Gemäß Artikel 41 müssen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten (Encarregado) ernennen. Im Gegensatz zur DSGVO sieht die LGPD keine Schwellenwerte vor – die Anforderung scheint allgemein für Verantwortliche und Auftragsverarbeiter zu gelten. Die ANPD hat darauf hingewiesen, dass für kleinere Organisationen und Einzelunternehmen möglicherweise geringere Pflichten gelten, und mit der ANPD-Resolution CD/ANPD Nr. 2/2022 wurden vereinfachte Bestimmungen für kleine Datenverarbeiter festgelegt.

Verantwortlichkeiten des Datenschutzbeauftragten (Encarregado):

• Als Kommunikationskanal zwischen dem Verantwortlichen, den betroffenen Personen und der ANPD fungieren
• Nehmen Sie Beschwerden betroffener Personen entgegen und kommunizieren Sie mit betroffenen Personen über ihre Rechte
• Erhalten Sie Mitteilungen von der ANPD und ergreifen Sie geeignete Maßnahmen
• Beratung interner Mitarbeiter zu Datenschutzpraktiken
• Erledigung anderer Aufgaben, die vom Verantwortlichen festgelegt oder in den ANPD-Vorschriften festgelegt sind

Veröffentlichungspflicht: Verantwortliche müssen die Identität und Kontaktinformationen des Encarregado öffentlich offenlegen, normalerweise in der Datenschutzrichtlinie.

Kann intern oder extern sein: Im Gegensatz zur DSGVO verbietet die LGPD keine Interessenkonflikte für die Rolle des Datenschutzbeauftragten, obwohl Best Practices darauf hindeuten, dass der Datenschutzbeauftragte über ausreichende Unabhängigkeit verfügen sollte. Externe DPO-Dienste von qualifizierten Beratern werden häufig genutzt.

---

Sicherheitsanforderungen

Artikel 46 verlangt von Verantwortlichen und Auftragsverarbeitern, Sicherheits-, technische und administrative Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff und unbeabsichtigten oder rechtswidrigen Situationen der Zerstörung, des Verlusts, der Veränderung, der Kommunikation oder jeder Form unsachgemäßer oder rechtswidriger Behandlung zu schützen.

Die ANPD Resolution CD/ANPD Nr. 4/2023 und die dazugehörigen Leitlinien legen Mindestsicherheitsanforderungen fest. Zu den wichtigsten technischen Maßnahmen gehören:

Zugriffskontrollen:

• Authentifizierungsmechanismen proportional zur Sensibilität der Daten
• Berechtigungsbeschränkung (minimal notwendiger Zugriff)
• Aktivitätsprotokollierung für den Zugriff auf sensible Daten

Verschlüsselung:

• Verschlüsselung sensibler personenbezogener Daten im Speicher
• Verschlüsselung zur Übertragung personenbezogener Daten
• Schlüsselverwaltungsverfahren

Datenlebenszyklusverwaltung:

• Dokumentierte Aufbewahrungsfristen
• Sichere Löschung oder Anonymisierung am Ende der Aufbewahrungsfrist

Organisatorische Maßnahmen:

• LGPD-Schulung für alle Mitarbeiter, die mit personenbezogenen Daten umgehen
• Berücksichtigung von „Privacy by Design“ in neuen Systemen
• Regelmäßige Sicherheitsbewertungen und Audits
• Verfahren zur Reaktion auf Vorfälle

---

Benachrichtigung über Verstöße

Artikel 48 verpflichtet die für die Verarbeitung Verantwortlichen, die ANPD und betroffene betroffene Personen über Sicherheitsvorfälle zu informieren, die zu erheblichen Risiken oder Schäden für betroffene Personen führen können. Das LGPD legt keinen spezifischen Benachrichtigungszeitraum fest – das Gesetz besagt, dass die Benachrichtigung „innerhalb einer angemessenen Frist“ erfolgen muss. Die ANPD Resolution CD/ANPD Nr. 2/2023 zur Meldung von Vorfällen sieht eine vorläufige Meldepflicht von zwei Werktagen für Vorfälle vor, die eine große Anzahl betroffener Personen betreffen oder sensible Daten betreffen, mit einer detaillierten Meldung innerhalb von fünf Werktagen.

Benachrichtigungsinhalt an ANPD:

• Art der betroffenen Daten und Anzahl der betroffenen Personen
• Wahrscheinliche Folgen des Vorfalls
• Maßnahmen, die zur Behebung der Situation umgesetzt oder geplant wurden
• Identifizierung des DSB (Encarregado)

Benachrichtigung der betroffenen Personen: Wenn der Vorfall den betroffenen Personen erheblichen Schaden zufügen könnte, kann die ANPD eine Benachrichtigung der betroffenen Personen verlangen, einschließlich der Art des Vorfalls und der zur Schadensminderung ergriffenen Maßnahmen.

---

Grenzüberschreitende Datenübertragungen

Artikel 33 des LGPD schränkt die internationale Übermittlung personenbezogener Daten ein. Zu den zulässigen Mechanismen gehören:

Aktueller Stand der Angemessenheitsentscheidungen: Bis Anfang 2026 hat die ANPD noch keine Angemessenheitsentscheidungen für bestimmte Länder (einschließlich der EU) erlassen, dies wird jedoch diskutiert. In der Praxis verwenden die meisten Organisationen Einwilligungen oder spezifische Vertragsklauseln, während sie auf die Standardvertragsklauseln der ANPD warten.

EU-Übertragungen: Trotz der DSGVO-Ähnlichkeiten des LGPD gibt es keine gegenseitige Angemessenheitsanerkennung. EU→Brasilien-Übertragungen erfordern DSGVO-kompatible Mechanismen. Brasilien→EU-Überweisungen erfordern LGPD-kompatible Mechanismen. Für multinationale Datenströme müssen beide Rahmenbedingungen erfüllt sein.

---

Durchsetzung und Strafen der ANPD

Die ANPD (Autoridade Nacional de Proteção de Dados) wurde im Jahr 2023 aufgrund von Gesetzesänderungen operativ unabhängig von der Bundesregierung. Zu den Durchsetzungsbefugnissen gehören:

Verwaltungsrechtliche Sanktionen (Artikel 52):

• Warnung mit Angabe der Korrekturmaßnahme und des Zeitraums – Einfache Geldstrafe: bis zu 2 % des Umsatzes des Unternehmens in Brasilien im letzten Geschäftsjahr, begrenzt auf 50 Millionen R$ (~10 Millionen USD) pro Verstoß
• Tägliche Geldstrafe für anhaltende Verstöße (insgesamt bis zu 50 Millionen R$)
• Veröffentlichung des Verstoßes
• Sperrung der Verarbeitung personenbezogener Daten
• Löschung personenbezogener Daten

Erste erhebliche Bußgelder: Die ANPD verhängte ihre ersten Bußgelder im Jahr 2023 gegen einen Telekommunikationsbetreiber und eine Gesundheitsplattform und zeigte damit ihre Bereitschaft, sowohl gegen große Konzerne als auch gegen kleinere Organisationen durchzusetzen. Bisher lagen die Geldstrafen zwischen 14.400 und 14,4 Millionen R$.

Untersuchungsprozess: ANPD kann von Amts wegen, auf der Grundlage von Beschwerden oder durch obligatorische Meldung von Verstößen Untersuchungen einleiten. Das Sanktionsverfahren umfasst eine Benachrichtigung der betroffenen Organisation, die Möglichkeit, sich zu verteidigen, und abgestufte Strafen auf der Grundlage von Zusammenarbeit und Abhilfe.

---

LGPD-Compliance-Checkliste

• LGPD-Anwendbarkeitsanalyse abgeschlossen
• Datenmapping / RoPA für alle Verarbeitungsaktivitäten dokumentiert
• Rechtsgrundlage für jede Verarbeitungstätigkeit dokumentiert
• Gesonderte Rechtsgrundlage für sensible personenbezogene Daten dokumentiert
• Einwilligungsmechanismen überprüft – vorab angekreuzte Kästchen entfernt, zweckspezifisch
• Datenschutzrichtlinie/-hinweis auf Portugiesisch veröffentlicht (für brasilianische Benutzer) mit allen erforderlichen Offenlegungen
• DPO (Encarregado) ernannt und Kontaktinformationen veröffentlicht
• Verfahren zu den Rechten betroffener Personen dokumentiert und getestet (15-tägige Antwort auf Zugriff/Bestätigung)
• Auftragsverarbeiterverträge überprüft und mit den LGPD-erforderlichen Bestimmungen aktualisiert
• Grenzüberschreitende Übertragungsmechanismen für alle internationalen Datenströme bewertet
• Sicherheitsmaßnahmen werden im Verhältnis zur Datensensibilität dokumentiert und umgesetzt
• Verfahren zur Reaktion auf Vorfälle und zur Meldung von Verstößen (2 Tage vorläufig, 5 Tage vollständig) dokumentiert
• Aufbewahrungspläne dokumentiert und automatisierte Löschung konfiguriert
• Mitarbeiterschulung zu LGPD abgeschlossen und dokumentiert
• Privacy by Design-Überprüfung für neue Produkte und Funktionen

---

Häufig gestellte Fragen

Gilt LGPD für mein Unternehmen, wenn wir nicht in Brasilien ansässig sind?

Ja, wenn Ihre Verarbeitung in Brasilien erfasste Daten umfasst oder wenn Sie Personen in Brasilien Waren oder Dienstleistungen anbieten. Der extraterritoriale Geltungsbereich des LGPD ähnelt dem Ansatz der DSGVO. Ein Unternehmen, das vollständig außerhalb Brasiliens tätig ist, aber eine portugiesischsprachige Website für brasilianische Kunden betreibt oder brasilianische Remote-Mitarbeiter beschäftigt, muss die LGPD für die Daten dieser Personen einhalten.

Wie hoch ist die LGPD-Strafe im Vergleich zur DSGVO?

Die Höchststrafe für LGPD beträgt 2 % des brasilianischen Jahresumsatzes und ist auf 50 Millionen R$ (~10 Millionen USD) pro Verstoß begrenzt. Der Höchstbetrag der DSGVO beträgt 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Für große multinationale Unternehmen können die DSGVO-Bußgelder wesentlich höher ausfallen als die LGPD-Bußgelder. Allerdings bedeutet die Formulierung „pro Verstoß“ des LGPD – bei der jede betroffene betroffene Person möglicherweise einen separaten Verstoß darstellen könnte –, dass die Gesamtgefährdung bei Vorfällen großen Ausmaßes sehr erheblich sein kann.

Ist die LGPD-Einwilligung dasselbe wie die DSGVO-Einwilligung?

Ähnliches Konzept, jedoch mit einigen Unterschieden. Beide erfordern eine freie, informierte, spezifische und eindeutige Einwilligung. Die Zustimmung des LGPD muss schriftlich oder auf andere Weise zum Nachweis der Zustimmung erfolgen (die ANPD hat noch keine Leitlinien zu digitalen Einwilligungsformularen fertiggestellt). Im Gegensatz zur DSGVO gibt es beim LGPD keinen spezifischen „frei gegebenen“ Test für Beschäftigungskontexte – obwohl das Machtungleichgewicht in Beschäftigungsverhältnissen relevant dafür ist, ob die Einwilligung wirklich freiwillig erfolgte. Für sensible Daten erfordern sowohl LGPD als auch DSGVO einen erhöhten Standard für die ausdrückliche Einwilligung.

Wie gilt LGPD für Gesundheitsdaten in Brasilien?

Gesundheitsdaten werden gemäß LGPD als sensible personenbezogene Daten eingestuft. Die Verarbeitung erfordert eine ausdrückliche Einwilligung oder unterliegt bestimmten Rechtsgrundlagen, einschließlich des Gesundheitsschutzes (Artikel 11, II, c – durchgeführt durch Angehörige der Gesundheitsberufe oder -einrichtungen). Gesundheitsorganisationen in Brasilien müssen außerdem sektorspezifische Vorschriften der brasilianischen Gesundheitsregulierungsbehörde (ANVISA) und des Bundesrats für Medizin (CFM) einhalten. LGPD- und Gesundheitssektorvorschriften gelten parallel.

Gibt es vereinfachte Compliance-Verpflichtungen für kleine Unternehmen?

Ja. Mit der ANPD-Resolution CD/ANPD Nr. 2/2022 wurden vereinfachte Compliance-Verpflichtungen für „kleine Datenverarbeiter“ eingeführt – definiert als natürliche Personen oder private juristische Personen mit einem Jahresumsatz von bis zu 4 Millionen R$ bzw. bis zu 16 Millionen R$ für einige Arten. Zu den vereinfachten Pflichten gehören reduzierte Meldepflichten und gelockerte DPO-Anforderungen. Die Kernpflichten einschließlich der Dokumentation der Rechtsgrundlagen, der Rechte der betroffenen Person und der Sicherheitsmaßnahmen bleiben jedoch weiterhin bestehen.

---

Nächste Schritte

Brasilien ist einer der größten digitalen Märkte Lateinamerikas und die Einhaltung der LGPD wird von brasilianischen Unternehmenskunden und staatlichen Beschaffungsprozessen zunehmend gefordert. Ganz gleich, ob Sie zum ersten Mal nach Brasilien expandieren oder bestehende Compliance-Lücken schließen, das Team von ECOSIRE kann Ihnen bei der Bewältigung der LGPD-Anforderungen helfen.

Von der Datenzuordnung und Dokumentation der Rechtsgrundlagen bis hin zur Implementierung von Privacy-by-Design in Ihren Technologieplattformen decken unsere Dienstleistungen den gesamten Compliance-Lebenszyklus ab.

Weitere Informationen: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Die LGPD-Anforderungen entwickeln sich durch ANPD-Vorschriften und Durchsetzungsrichtlinien ständig weiter. Wenden Sie sich an einen qualifizierten brasilianischen Rechtsberater, um spezifische Ratschläge für Ihre Organisation zu erhalten.