Axel Spies

Brasilien: Neues Datenschutzgesetz tritt Anfang 2020 in Kraft


Am 14.8.2018 hat der brasilianische Präsident Michel Temer Brasiliens erstes umfassendes Datenschutzgesetz in Kraft gesetzt. Die Verabschiedung des Gesetzes ist das Ergebnis langjähriger Bemühungen Brasiliens, den in den europäischen Gesetzen enthaltenen umfassenderen Datenschutzrechten zu entsprechen – auch und gerade unter Berücksichtigung der DS-GVO.

Das neue brasilianische Gesetz (Gesetz 13.709 / 2018, Lei Geral de Proteção de Dados oder LGPD) ändert das brasilianische Bürgerrechtsrahmengesetz für das Internet (Gesetz Nr. 12.965), das 2014 verabschiedet wurde. Das LGPD wird voraussichtlich im Februar 2020 in Kraft treten. Ob und wann Brasilien damit nach den Regeln des Art. 45 DS-GVO einen EU-Beschluss über die Angemessenheit des Datenschutzes erreichen kann, steht nicht fest.



Das LGPD ist in 65 Artikel gegliedert und ähnelt in der Anlage der DS-GVO. Das Gesetz umfasst die Verarbeitung personenbezogener Daten (mit besonderen Schutzvorkehrungen für sensible personenbezogene Daten und personenbezogene Daten von Kindern) und begründet ein grundlegendes Persönlichkeitsschutzrecht für betroffene Personen einschließlich des Rechts, von den Verantwortlichen über die Datenverarbeitung informiert zu werden. Es ähnelt auch der DS-GVO in ihrer extraterritorialen Breite und schützt personenbezogene Daten, selbst wenn sie außerhalb Brasiliens gesammelt werden, solange sie für den Zweck der Bereitstellung von Waren innerhalb Brasiliens verarbeitet werden.

 

Nach Art. 33 LGPD ist die internationale Übermittlung personenbezogener Daten nur in folgenden Fällen zulässig:

  • in Länder oder internationale Organisationen, die einen angemessen Schutz personenbezogener Daten bieten, der den Bestimmungen dieses Gesetzes entspricht;
  • wenn der für die Verarbeitung Verantwortliche Garantien für die Einhaltung der in diesem Gesetz vorgesehenen Grundsätze, Rechte des Inhabers und der Datenschutzregelung vorweist, und zwar in Form von:
  1. spezifischen Vertragsklauseln für die bestimmte Übertragung;
  2. Standardvertragsklauseln;
  3. globale Unternehmensstandards und
  4. ordnungsgemäß ausgestellte Zertifikate und Verhaltenskodizes.


Die LGPD enthält Sicherheitsmaßnahmen und Benachrichtigungsanforderungen im Falle einer Verletzung der Datensicherheit, nach der die für die Verarbeitung Verantwortlichen die nationale Behörde und betroffenen Personen im Falle eines Bruchs der Datensicherheit, der den betroffenen Personen Schaden zufügen könnte, benachrichtigen müssen. Ähnlich der DS-GVO enthält das brasilianische Gesetz Leitlinien für die Verarbeitung personenbezogener Daten durch Behörden und für die Verarbeitung personenbezogener Daten sowie Verbote gegen die internationale Übermittlung von Daten unter bestimmten Umständen.



Die Sanktionen gegen Verstöße beinhalten eine Geldbuße von bis zu 2% der „Konzerngruppen-Einnahmen in Brasilien für das vorangegangene Geschäftsjahr" und / oder eine tägliche Geldbuße. Diese Geldstrafen dürfen insgesamt nicht mehr als 50 Mio. Reais pro Verstoß betragen. Zu den nicht monetären Strafen gehört die Bekanntmachung der Übertretung und ggf. das Blockieren oder Löschen der fraglichen personenbezogenen Daten, bis die Einhaltung erreicht ist.



Bei der Unterzeichnung der Verordnung hat Präsident Temer gegen die Gesetzesteile, die eine unabhängige Datenschutzbehörde zur Durchsetzung des LGPD vorsehen, ein Veto eingelegt. Er argumentiert, dass der Gesetzgeber nicht die Befugnis hat, eine solche Behörde zu schaffen. Daher ist es derzeit unklar, wie diese Gesetzesteile durchgesetzt werden. Nachrichtenquellen berichten, dass Temer angedeutet hat, dass er dem Kongress zügig eine Gesetzesvorlage schicken wird, die eine neue Datenschutzbehörde schafft und die Lücke füllt.

Dr. Axel Spies ist Rechtsanwalt in der Kanzlei Morgan Lewis & Bockius, Washington DC und Mitherausgeber der ZD.