DSGVO vs LGPD: EU- und brasilianische Datenschutzgesetze im Vergleich
Brasiliens LGPD (Lei Geral de Protecao de Dados) wurde eng an die DSGVO angelehnt und trat 2020 in Kraft. Während beide Gesetze ähnliche Datenschutzprinzipien teilen, definiert die LGPD 10 Rechtsgrundlagen für die Verarbeitung (im Vergleich zu 6 bei der DSGVO) und hat eine andere Strafstruktur. Die ANPD (Autoridade Nacional de Protecao de Dados) dient als Brasiliens Durchsetzungsbehörde.
| Merkmal | GDPR | LGPD |
|---|---|---|
| Geografischer Geltungsbereich | Europäische Union und EWR-Mitgliedstaaten | Brasilien (gilt für die Verarbeitung von Daten von Personen in Brasilien) |
| Für wen es gilt | Jede Organisation, die Daten von EU-Bürgern verarbeitet | Jede Organisation, die personenbezogene Daten von Personen in Brasilien verarbeitet, unabhängig vom Standort |
| Einwilligungsanforderungen | Opt-in-Einwilligung erforderlich; 6 Rechtsgrundlagen für die Verarbeitung | Opt-in-Einwilligung erforderlich; 10 Rechtsgrundlagen für die Verarbeitung |
| Cookie- und Tracking-Regeln | Nicht wesentliche Cookies erfordern eine ausdrückliche vorherige Einwilligung gemäß ePrivacy-Richtlinie | Kein spezifisches Cookie-Gesetz, aber Einwilligungsprinzipien gelten für Online-Tracking |
| Individuelle Rechte | Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung, Widerspruch | Auskunft, Berichtigung, Anonymisierung, Löschung, Übertragbarkeit, Information über Weitergabe, Überprüfung automatisierter Entscheidungen |
| Höchststrafen | Bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes | Bis zu 2 % des Umsatzes in Brasilien, begrenzt auf 50 Millionen BRL pro Verstoß |
| Aufsichtsbehörde | Nationale Datenschutzbehörden in jedem EU-Mitgliedstaat | ANPD (Autoridade Nacional de Protecao de Dados) |
Wichtige Unterschiede
Die LGPD sieht 10 Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor, verglichen mit den 6 der DSGVO. Zusätzlich zu den bekannten Grundlagen Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse und berechtigtes Interesse umfasst die LGPD Kreditschutz, Gesundheitsschutz, Forschung durch Studieneinrichtungen und die regelmäßige Ausübung von Rechten in gerichtlichen oder verwaltungsrechtlichen Verfahren.
Die Strafen unterscheiden sich erheblich in der Höhe. DSGVO-Bußgelder können bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes erreichen. LGPD-Strafen sind auf 2 % des Unternehmensumsatzes in Brasilien (nicht weltweit) begrenzt, bis zu maximal 50 Millionen BRL pro Verstoß. Obwohl dies erheblich ist, wird es allgemein als weniger streng als die auf den weltweiten Umsatz bezogene Berechnung der DSGVO angesehen.
Beide Gesetze gewähren ähnliche individuelle Rechte, aber die LGPD umfasst ein spezifisches Recht auf Information über öffentliche und private Stellen, mit denen Daten geteilt wurden, und ein Recht auf Überprüfung automatisierter Entscheidungen. Die DSGVO hat ein breiteres Recht auf Datenübertragbarkeit und detailliertere Bestimmungen zum automatisierten Entscheidungsverfahren, einschließlich Profiling.
Wie Pryvii Ihnen hilft
Pryvii unterstützt das Scannen sowohl nach DSGVO- als auch nach LGPD-Anforderungen. Es überprüft Ihre Website auf portugiesischsprachige Datenschutzhinweise, angemessene Einwilligungsmechanismen und erforderliche Offenlegungen zur Datenweitergabe an Dritte. Der Multi-Vorschriften-Scan hebt Lücken hervor, die für jedes Gesetz spezifisch sind.
Häufig gestellte Fragen
Ist die LGPD im Grunde eine Kopie der DSGVO?
Die LGPD wurde stark von der DSGVO beeinflusst und teilt viele Prinzipien, ist aber nicht identisch. Wesentliche Unterschiede umfassen mehr Rechtsgrundlagen für die Verarbeitung (10 vs. 6), eine andere Strafstruktur (begrenzt auf 2 % des Brasilien-Umsatzes) und einige einzigartige Bestimmungen zum Kreditschutz und zur Verarbeitung von Gesundheitsdaten.
Benötige ich einen DSB unter beiden Gesetzen?
Die DSGVO verlangt einen Datenschutzbeauftragten unter bestimmten Umständen, etwa wenn die Verarbeitung durch eine öffentliche Stelle erfolgt oder eine umfangreiche systematische Überwachung beinhaltet. Die LGPD verlangt von allen Verantwortlichen die Ernennung eines DSB (genannt Encarregado), obwohl die ANPD dies für kleine Unternehmen gelockert hat.
Kann ich Daten zwischen der EU und Brasilien übermitteln?
Datenübermittlungen erfordern angemessene Schutzmaßnahmen unter beiden Gesetzen. Brasilien hat noch keine DSGVO-Angemessenheitsentscheidung der EU. Übermittlungen stützen sich in der Regel auf Standardvertragsklauseln oder andere genehmigte Mechanismen. Die LGPD schränkt auch internationale Übermittlungen ein und verlangt einen angemessenen Schutz im Empfängerland.
Verwandte Vergleiche
Überprüfen Sie Ihre Compliance
Scannen Sie Ihre Website in wenigen Minuten auf Konformität mit mehreren Vorschriften.