Wird Brasiliens LGPD besser abschneiden als die DSGVO? Vielleicht nicht
Die europäische DSGVO (Datenschutz-Grundverordnung) hat die Bedeutung der Datenschutzgesetzgebung weltweit ins öffentliche Bewusstsein gerückt. Angeregt durch zunehmende Datenschutzbedenken mit Big Tech (Facebook, Google, Apple etc.), die schamlos in die Privatsphäre der Nutzer eingreifen, inspirierte die Ausarbeitung der DSGVO bald andere Länder, mit ihren eigenen Datenschutzgesetzen zu folgen. Die USA kamen mit CCPA, Australien mit Privacy Amendment, Japan mit der Änderung des Gesetzes zum Schutz personenbezogener Daten sowie Thailand, Südkorea, Kanada und andere.
Das jüngste dieser von der DSGVO inspirierten Gesetze ist das brasilianische allgemeine Datenschutzgesetz, Lei Geral de Proteção de Dados Pessoais (LGPD). Das LGPD, das im August 2020 eingeführt werden soll, soll die fragmentierte Natur der Datenschutzgesetze in Brasilien straffen und vereinheitlichen, mit etwa 40 solcher Gesetze, die den Datenschutz im Land branchenspezifisch regeln.
Dieser Artikel umreißt kurz die Hauptpunkte des Gesetzes, seine Unterschiede zur DSGVO und Fragen im Zusammenhang mit der Durchsetzung und Verwaltung des LGPD. Vieles von dem, was folgt, wurde von Herrn Leandro Chahde mitverfasst, einem brasilianischen Anwalt bei Advogado Zona Norte, der mit der LGPD direkt vertraut ist.
Für wen gilt die LGPD?
Wie die DSGVO gilt auch die LGPD für alle in Brasilien ansässigen Personen, unabhängig von ihrer Nationalität. Dies bedeutet, dass jedes Unternehmen oder jede Website auf der ganzen Welt, die Daten einer in Brasilien lebenden Person verarbeitet, die LGPD einhalten muss. Der extraterritoriale Charakter des Gesetzes macht es genauso wichtig wie die DSGVO, da alle Unternehmen, national oder multinational, groß oder klein, denselben Standards und Strafen unterliegen. unter LGPD.
Verbraucherrechte gemäß LGPD
Das LGPD besteht aus 10 Kapiteln mit insgesamt 65 Artikeln. Diese Artikel definieren die vom LGPD abgedeckten Rechte und Bestimmungen. Obwohl eine vollständige Behandlung des Gesetzes hier nicht möglich ist, sind die folgenden die wichtigsten Rechte von Menschen unter LGPD:
Ausdrückliche Zustimmung: Die betroffene Person muss klar über den Grund der Erhebung personenbezogener Daten und den Verwendungszweck informiert werden.
Berichtigung: Der Inhaber kann Änderungen seiner Daten verlangen (Korrekturen, Aktualisierungen und Löschungen).
Recht auf Vergessenwerden: Unabhängig vom Grund kann der Inhaber die Löschung seiner Daten innerhalb eines bestimmten Systems verlangen.
Übertragbarkeit: Der Inhaber muss in der Lage sein, seine personenbezogenen Daten von einem System auf ein anderes zu exportieren.
Recht auf Erklärung: Der Inhaber kann Informationen zu allen Algorithmen anfordern, die mit seinen Daten interagieren, um beispielsweise zu verstehen, warum ein Bankdarlehen abgelehnt wurde.
Wie unterscheidet es sich von der DSGVO?
Die DSGVO und die LGPD haben viele Gemeinsamkeiten, unterscheiden sich aber auch in mehreren wichtigen Punkten:
- Behandlung sensibler Daten: Das europäische Recht verbietet die Verarbeitung sensibler Daten und legt einige Ausnahmen von diesem Verbot fest. Zwei davon wurden nicht in das brasilianische Recht aufgenommen: (i) Daten, die vom Inhaber veröffentlicht wurden; (ii) Daten in Bezug auf aktuelle oder ehemalige Mitglieder von Stiftungen, Vereinigungen oder gemeinnützigen Organisationen, die für legitime Zwecke und mit angemessenen Sicherheitsmaßnahmen behandelt werden.
- Direktmarketing: Das brasilianische Gesetz wendet die allgemeinen Regeln der Einwilligung, Transparenz und des Widerspruchsrechts auf die Inhaber personenbezogener Daten an. The European präsentiert dagegen konkrete Prognosen. Die betroffene Person hat das Recht, jederzeit Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einzulegen, was die Profilbildung umfasst, soweit sie mit Direktwerbung in Verbindung steht.
- Beziehung zwischen Verantwortlichem und Betreiber: Obwohl das brasilianische Gesetz vorschreibt, dass der Betreiber die Datenverarbeitung gemäß den Anweisungen des Verantwortlichen durchführen muss, besteht keine Verpflichtung zur Formalisierung durch einen Vertrag. Das europäische Recht wiederum sieht vor, dass die von einem Betreiber durchgeführte Datenverarbeitung einem Vertrag oder einem anderen Rechtsakt unterliegen muss, der den Verantwortlichen mit dem Betreiber verbindet.
- Bericht über die Auswirkungen: Das brasilianische Gesetz hat nicht klargestellt, in welchen Situationen der für die Verarbeitung Verantwortliche verpflichtet ist, einen Bericht über die Auswirkungen auf den Schutz personenbezogener Daten zu erstellen und die Behandlung dieser Angelegenheit an nachfolgende Vorschriften zu delegieren. Das europäische Recht sieht vor, dass der Verantwortliche einen Bericht über die Auswirkungen auf den Schutz personenbezogener Daten vorlegen muss, wenn die Behandlung zu einem hohen Risiko für die Rechte und die Freiheit des Einzelnen führt. Die DSGVO enthält auch eine detaillierte Beschreibung dessen, was in diesem Bericht behandelt werden sollte.
- Internationale Datenübermittlung: Das brasilianische Gesetz erlaubt die Übermittlung personenbezogener Daten an Länder oder internationale Einrichtungen, die einen angemessenen Schutz personenbezogener Daten bieten. Das Gesetz hält sich in Bezug auf dieses Verfahren und die als angemessen zu betrachtenden Elemente kurz. Die LGPD legt nur allgemeine Richtlinien fest, die von den nationalen Behörden zu beachten sind. Europäische Regelungen argumentieren, dass die internationale Übermittlung von Daten unabhängig von einer konkreten Genehmigung erfolgen kann, wenn die Europäische Kommission anerkennt, dass das Drittland ein angemessenes Schutzniveau gewährleistet. Andernfalls unterliegt die internationale Übertragung angemessenen Garantien, die vom Agenten garantiert werden müssen. Alle Verfahren und Elemente, die von der Kommission für die Genehmigung der Übermittlung berücksichtigt werden, sind in der DSGVO beschrieben.
- Aufsicht über die Strafverfolgung: Der Gesetzentwurf, der den Ursprung der LGPD hatte, sah die Schaffung der nationalen Datenschutzbehörde vor, die der gleichen Linie wie die europäische Verordnung folgte. Die Bestimmungen, die seine Schaffung und Zuständigkeiten vorsahen, wurden jedoch abgelehnt, da sie im Gesetzgebungsverfahren verfassungswidrig sind. Europäische Vorschriften sehen die Einrichtung des Europäischen Datenschutzausschusses vor, der für die Sicherstellung der einheitlichen Anwendung der DSGVO verantwortlich ist.
Als die DSGVO in Kraft trat, mussten VPN-Anbieter ihre Datenschutzrichtlinien überarbeiten, um sie an die Bestimmungen der neuen Gesetzgebung anzupassen. Es wird interessant sein zu sehen, ob die LGPD von der VPN-Branche mit dem gleichen Respekt behandelt wird.
Wie effektiv wird es sein?
Die für die Regulierung und Durchsetzung des LGPD zuständige Behörde ist die Nationale Datenschutzbehörde (ANPD). Es wurden jedoch noch keine Mitglieder des Gremiums ernannt. Darüber hinaus wirft die Tatsache, dass die ANPD eng mit der Regierung verbunden sein wird, ernsthafte Bedenken hinsichtlich einer fairen Durchsetzung des Gesetzes auf.
In Brasilien sind die wichtigsten Regulierungsbehörden staatlich. Die Folge davon ist die Politisierung dieser Gremien und folglich Korruption. Günstlingswirtschaft gegenüber mächtigen Unternehmen und unfaire Einmischung der Regierung zur Förderung ihrer politischen Interessen sind daher nicht ausgeschlossen.
Die Tatsache, dass die DSGVO selbst zwei Jahre nach ihrer Verabschiedung weitgehend daran gescheitert ist, Unternehmen zur Rechenschaft zu ziehen, ist äußerst entmutigend. Das Webbrowser-Unternehmen Brave reichte eine Beschwerde bei der Europäischen Kommission ein und behauptete, dass die europäischen Regierungen es versäumt hätten, die erforderlichen Ressourcen für die Datenschutzbehörden bereitzustellen, um ihre Aufgaben zu erfüllen.
Daher sind Befürchtungen, dass LGPD das gleiche Schicksal wie die DSGVO erleiden wird, völlig berechtigt. Gleichzeitig haben wir aber auch positive Beispiele für exzellent arbeitende staatliche Stellen in Brasilien, wie zum Beispiel PROCON, das sich für die Verteidigung von Verbraucherrechten einsetzt.
Brasilien ist ein Land, das dafür bekannt ist, Gesetze zu haben, die funktionieren, und andere, die dies nicht tun. Aufgrund bisheriger Erfahrungen ist der Glaube, dass das Recht seine Rolle teilweise erfüllen wird, nicht allzu weit hergeholt. Die Regierung wird daran interessiert sein, Mittel durch Bußgelder zu erhalten, die gegen Unternehmen verhängt werden, die die im Allgemeinen Datenschutzgesetz festgelegten Parameter nicht einhalten.
Schließlich wird es sicherlich eine große Verrechtlichung des Themas durch Unternehmen geben, die sich aufgrund illegaler oder missbräuchlicher Bußgelder unfair fühlen. Es bleibt abzuwarten, ob die brasilianische Justiz technisch in der Lage sein wird, solche Konflikte zu lösen.