Loading…
Wenn Sie die GDPR bereits einhalten, haben Sie 80 % des Wegs zur LGPD zurückgelegt. Beide teilen zehn Leitgrundsätze, ähnliche Rechte der betroffenen Personen und ein etwa 72-stündiges Meldewesen für Datenschutzverletzungen. Der Unterschied liegt in der Sanktionsmathematik (die LGPD deckelt Bußgelder bei 2 % des Umsatzes in Brasilien oder R$50 Mio. pro Verstoß), der durch ANPD-Resolution CD/ANPD No. 2/2022 definierten Ausnahme für kleine Verantwortliche sowie dem Fehlen eines Rechts auf Übertragbarkeit oder Widerspruch gegen automatisierte Entscheidungen. Dieser Leitfaden zeigt Ihnen genau, wo Sie GDPR-Arbeit wiederverwenden können und wo Sie einen Unterschied berücksichtigen müssen.
| Dimension | 🇪🇺 GDPR | 🇧🇷 LGPD |
|---|---|---|
| Rechtsinstrument | Verordnung (EU) 2016/679 | Lei nº 13.709/2018 |
| Datum des Inkrafttretens | 25. Mai 2018 | Materielle Bestimmungen: Aug. 2020; verwaltungsrechtliche Sanktionen: Aug. 2021 |
| Räumlicher Anwendungsbereich | EU + extraterritorial (Art. 3) | Verarbeitung in Brasilien oder gerichtet an Personen in Brasilien oder wenn die Daten in Brasilien erhoben wurden (Art. 3) |
| Rechtsgrundlagen | Sechs (Art. 6) + Bedingungen für besondere Kategorien (Art. 9) | Zehn (Art. 7) — einschließlich berechtigte Interessen, Vertrag, rechtliche Verpflichtung, öffentliche Gesundheit, Kreditschutz |
| Grundsätze | Sechs (Art. 5) | Zehn (Art. 6) — Zweck, Angemessenheit, Erforderlichkeit, freier Zugang, Datenqualität, Transparenz, Sicherheit, Prävention, Nichtdiskriminierung, Rechenschaftspflicht |
| Datenschutzbeauftragter | Verpflichtend in definierten Fällen (Art. 37) | Verpflichtend für alle Verantwortlichen; Ausnahme für kleine Verantwortliche über ANPD-Res. CD/ANPD No. 2/2022 |
| Höchstbußgeld | 20 Mio. € oder 4 % des weltweiten Umsatzes (Art. 83(5)) | Bis zu 2 % des Umsatzes in Brasilien aus dem vorangegangenen Geschäftsjahr, gedeckelt bei R$50 Mio. pro Verstoß |
| Tagesbußgelder | Keine Standardstruktur | Zulässig nach Art. 52(III) — bis zu R$50 Mio. pro Verstoß pro Tag |
| Sonstige Sanktionen | Verwarnung, Verarbeitungsverbot (Art. 58) | Öffentliche Bekanntmachung des Verstoßes, Sperrung von Daten, Löschung von Daten, teilweise/vollständige Aussetzung (Art. 52) |
| Meldung von Datenschutzverletzungen | 72 Stunden an die Aufsichtsbehörde (Art. 33) | 3 Werktage an die ANPD gemäß Resolution CD/ANPD No. 15/2024, wenn ein angemessenes Risiko/Schaden besteht |
| Aufsichtsbehörde | 27 DPAs der EU-Mitgliedstaaten + EDPB | Autoridade Nacional de Proteção de Dados (ANPD) |
| DPO/Encarregado | Datenschutzbeauftragter | Encarregado de Proteção de Dados |
| Lokaler Vertreter | EU-Vertreter nach Artikel 27 verpflichtend | Nicht förmlich erforderlich, aber die ANPD erwartet eine Kontaktstelle in Brasilien |
| Recht auf Übertragbarkeit | Ja (Art. 20) | Ja (Art. 18, V) |
| Recht auf Widerspruch gegen automatisierte Entscheidungen | Ja (Art. 22) | Recht auf Überprüfung durch eine natürliche Person (Art. 20) |
| Recht auf Information über die Weitergabe | Implizit (Art. 13–15) | Ausdrücklich (Art. 18, VII) — Liste der öffentlichen/privaten Stellen, mit denen personenbezogene Daten geteilt wurden |
| Grenzüberschreitende Übermittlung | SCCs/BCRs/Angemessenheit (Kapitel V) | Von der ANPD genehmigte Mechanismen — Resolution CD/ANPD No. 19/2024 |
| Daten von Kindern | Standardeinwilligungsalter 16 (mitgliedstaatliche Abweichung) | Spezifische Einwilligung des Elternteils/gesetzlichen Vertreters für unter 12-Jährige (Art. 14) |
| Anonymisierung | Außerhalb des Anwendungsbereichs, wenn unumkehrbar (Erwägungsgrund 26) | Außerhalb des Anwendungsbereichs (Art. 12) — jedoch strengerer Maßstab als die GDPR hinsichtlich der Unumkehrbarkeit |
| Beginn der Sanktionen | Mai 2018 | Aug. 2021 (erste ANPD-Verwarnungen und kleine Bußgelder begannen) |
Nah dran — derselbe Zweck, ähnliche Struktur, weitgehend dasselbe Vokabular — aber mit 10 Rechtsgrundlagen statt 6, 10 Grundsätzen statt 6 und einer anderen Sanktionsmathematik. Der Durchsetzungsstil der ANPD entwickelt sich zudem noch.
Größtenteils. Der Unterschied: Benennen Sie einen Encarregado de Proteção de Dados, reichen Sie das ANPD-Meldeartefakt bei wesentlichen Datenschutzverletzungen innerhalb von 3 Werktagen ein, stellen Sie sicher, dass Ihre Datenschutzerklärung die 10 Grundsätze der LGPD widerspiegelt, und nutzen Sie für grenzüberschreitende Übermittlungen von der ANPD genehmigte Mechanismen (Res. 19/2024).
Das maximale Verwaltungsbußgeld beträgt 2 % des Umsatzes in Brasilien pro Verstoß, gedeckelt bei R$50 Mio. (~10 Mio. USD). Tagesbußgelder können sich rasch summieren. Die ANPD verfügt zudem über Anordnungsbefugnisse (Datensperrung, Löschungsanordnung), die störender sein können als die Geldstrafe.
Ja — Artikel 3(II) erfasst „die Verarbeitungstätigkeit hat das Ziel, Waren oder Dienstleistungen anzubieten oder bereitzustellen“ für Personen in Brasilien, unabhängig davon, wo Sie niedergelassen sind.
Die Durchsetzung wird seit 2023 verstärkt. Die ANPD hat mehrere Resolutionen erlassen, die die Meldung von Datenschutzverletzungen, Sandboxes und Ausnahmen für kleine Verantwortliche präzisieren. Das Bußgeldniveau bleibt im Vergleich zur DSGVO moderat, doch die Entwicklung geht klar in Richtung einer aktiveren Durchsetzung.
Nach dem LGPD nicht zwingend erforderlich, aber operativ sinnvoll. Der Encarregado muss gegenüber der ANPD und den betroffenen Personen in angemessener Weise reagieren können; ein lokaler Ansprechpartner oder ein Vertretungsdienst (wie RegulatoryBridge Brazil) deckt diesen Bedarf ab.
Einmal Kontrollen zuordnen, doppelt konform sein. RegulatoryBridge bietet Ihnen eine einzige DSAR-Pipeline, einen einzigen DPO, ein einziges Breach-Runbook – beide Rahmenwerke abgedeckt.