Datenschutz in Brasilien – dringender Handlungsbedarf für alle Gesellschaften in Brasilien

Brasilien hat bereits 2018 ein allgemeines Datenschutzgesetz („Lei Geral de Proteção de Dados” – LGPD) verabschiedet, das im August 2020 in Kraft treten wird. Auch wenn das noch in weiter Ferne zu liegen scheint, sind alle brasilianischen Gesellschaften gut beraten, sich unmittelbar auf die neue Rechtslage vorzubereiten.

Anders als in Europa hatte Brasilien bisher wenig Sensibilität für Datenschutz, so dass sich die Gesell­schaften dort völlig neu aufstellen müssen, um den neuen Regeln genüge zu leisten. Das erfordert einen gehörigen Aufwand, den bisher v.a. die meisten kleineren und mittleren Gesellschaften unterschätzen.

Viele europäische Tochtergesellschaften in Brasilien folgen bereits internen Datenschutzregeln der Mutter­häuser, aber auch sie müssen letztlich die brasilianischen Vorgaben umsetzen. Das brasilianische Daten­schutz­gesetz folgt in großen Teilen der europäischen Regelung.

Grundsätzlich sind zwei Typen von Daten geschützt:

1. Personenbezogene Daten und
2. besonders schutzbedürftige Daten („dado pessoal sensível”).

Alle Gesellschaften, die in Brasilien personenbezogene Daten sammeln oder verarbeiten, unterliegen dem neuen Gesetz, d.h. es dürfte nur wenige Gesellschaften geben, die sich nicht um die Anwendung des neuen Gesetzes sorgen müssten. Folgende Schritte sollten daher alle Gesellschaften unverzüglich einleiten:

1. Due Diligence (mapping)

Identifizierung der Daten, die gesammelt und verarbeitet werden und zu welchen Zwecken. Es empfiehlt sich dafür ein interdisziplinäres Team mit IT-Know-how, juristischen sowie prozessualen Kenntnissen zusammenzusetzen.

2. Filter der Daten

Hat man erstmal ein Bild der Daten, sollten unnötig gesammelte Daten eliminiert werden, um nur die tatsächlich für die Tätigkeit notwendigen Daten zu verwalten.

3. Prozessabläufe definieren

Es müssen interne Prozessabläufe und Richtlinien der Datenverarbeitung für den gesamten Lebenszyklus der Daten (von der Erhebung bis zur Löschung) innerhalb des Unternehmens definiert werden, um den Daten­schutz zu gewähren. Die natürlichen Personen können jederzeit Zugang, Korrekturen und Löschung zu den Informationen fordern.

4. Investition in Sicherheitsmaßnahmen

Zugangskontrollen, Verschlüsslungen, Back-ups etc. sind u.a. technisch notwendige Maßnahmen, die erwartungsgemäß neue Investitionen erfordern. Nichtsdestotrotz spielen interne Weiterbildung und Sensibilisierung der Mitarbeiter eine entscheidende Rolle.

5. Überprüfung

Ständige Überprüfung und Anpassung der internen Richtlinien und Abläufe.

6. „Impact report” („relatório de impacto”)

Wenn von den Behörden verlangt, muss die Gesellschaft in der Lage sein einen sog. „impact report” zu erstellen, um nachzuweisen, welche Daten zu welchem Zweck wie gespeichert werden.

Zuletzt sei darauf hingewiesen, dass bei Verletzung des Datenschutzes hohe Strafen – bis zu zwei Prozent des Umsatzes je Verletzung – erhoben werden können.