Die brasilianische Autoridade Nacional de Proteção de Dados (ANPD) trat 2024 in den aktiven Durchsetzungsmodus und verhängte ihre ersten großen Geldstrafen gemäß der Lei Geral de Proteção de Dados (LGPD) – Gesetz Nr. 13.709/2018. Mit 215 Millionen Brasilianern, die durch das Regelwerk abgedeckt sind, und Brasilien, das die größte digitale Wirtschaft in Lateinamerika (180 Millionen Internetnutzer) beherbergt, ist die Einhaltung der LGPD nun eine Durchsetzungsrealität, kein zukünftiges Anliegen.
LGPD: Brasiliens GDPR mit brasilianisch spezifischen Bestimmungen
Die LGPD wurde nach dem Vorbild der GDPR modelliert, enthält jedoch Bestimmungen, die sich erheblich im Umfang und in der Anwendung unterscheiden:
Maximalstrafen: 2 % des brasilianischen Jahresumsatzes (nicht des globalen Umsatzes), bis zu 50 Millionen R$ (≈ 9 Millionen €) pro Verstoß. Im Gegensatz zur globalen Umsatzobergrenze von 4 % der GDPR schafft die auf Brasilien bezogene Umsatzbasis der LGPD niedrigere maximale Strafen für multinationale Unternehmen – aber eine höhere relative Exposition für rein brasilianische Unternehmen.
Kategorien sensibler Daten: Die Kategorien sensibler Daten der LGPD spiegeln Artikel 9 der GDPR wider, fügen jedoch spezifische Bestimmungen für rassische/ethnische Herkunft, politische Meinung, religiösen Glauben, Gesundheitsdaten, genetische Daten, biometrische Daten und – bemerkenswert – sexuelle Orientierung und Sexualleben hinzu. Die Leitlinien der ANPD von 2024 erweiterten den Schutz sensibler Daten auf die Einwilligungsanforderung gemäß Artikel 11 der LGPD für jede Verarbeitung sensibler Daten.
Rechte der betroffenen Personen: Ähnlich wie bei der GDPR – Zugang, Berichtigung, Anonymisierung, Datenübertragbarkeit, Löschung und Informationen über die Datenweitergabe. Die LGPD Brasiliens fügt ein spezifisches Recht hinzu, zu erfahren, ob KI bei Entscheidungen zur Datenverarbeitung verwendet wurde.
Beginn der Durchsetzung durch die ANPD: Erste formale Sanktionen wurden 2024 verhängt. Telekommunikations-, Finanzdienstleistungs- und Gesundheitsorganisationen waren die Hauptziele der Durchsetzung. Die ANPD hat signalisiert, dass multinationale Unternehmen, die in Brasilien tätig sind, 2025 im Fokus stehen werden.
Brasilianische PII-Identifikatoren: Die Erkennungsherausforderung
Das nationale Identifikationssystem Brasiliens ist komplexer als in den meisten EU-Ländern – teilweise, weil Brasilien eine Bundesrepublik ist, in der die Identifikationssysteme je nach Ausstellungsstaat für einige Dokumente variieren.
CPF (Cadastro de Pessoas Físicas): 11-stellige individuelle Steueridentifikationsnummer, Format XXX.XXX.XXX-XX, mit zwei Prüfziffern, die mittels spezifischer modularer Arithmetik validiert werden. Die CPF ist Brasiliens primärer universeller Identifikator – verwendet für Bankgeschäfte, Beschäftigung, Steuern, Gesundheitsversorgung und staatliche Dienstleistungen. Alle 215 Millionen Brasilianer haben eine CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14-stellige Unternehmensregistrierungsnummer, Format XX.XXX.XXX/XXXX-XX, mit zwei Prüfziffern. Erscheint zusammen mit persönlichen Daten von Unternehmensvertretern in Geschäftsdokumenten.
RG (Registro Geral): Staatsausgestelltes zivilrechtliches Identitätsdokument. Kritisch: Das RG-Format variiert je nach Ausstellungsstaat. Das RG-Format von São Paulo unterscheidet sich von dem von Rio de Janeiro, das sich von dem von Minas Gerais unterscheidet, und so weiter in 26 Bundesstaaten + Bundesdistrikt. Ein PII-Tool, das nur ein RG-Format eines Bundesstaates erkennt, verpasst die Mehrheit der brasilianischen RG-Nummern in Dokumenten aus anderen Bundesstaaten.
CNH (Carteira Nacional de Habilitação): 11-stellige Führerscheinnummer mit Prüfziffer.
Título de Eleitor: 12-stellige Wählerregistrierungsnummer, die geografische Informationen über die Registrierungszone des Wählers kodiert.
PIS/PASEP: 11-stellige Nummer des sozialen Integrationsprogramms, die in Beschäftigungsunterlagen und Gehaltsabrechnungen verwendet wird.
SUS-Nummer (Cartão SUS): 15-stellige Nummer, die jedem Brasilianer für das einheitliche Gesundheitssystem zugewiesen wird – erscheint in allen Gesundheitsdokumenten.
LGPD vs. GDPR: Wichtige Unterschiede für brasilianisch-europäische Organisationen
Organisationen, die sowohl unter der LGPD als auch unter der GDPR tätig sind, sehen sich wichtigen Unterschieden gegenüber:
Rechtsgrundlagen für die Verarbeitung: Die LGPD bietet 10 Rechtsgrundlagen (im Vergleich zu 6 der GDPR), einschließlich "berechtigtes Interesse", "Schutz der Gesundheit" und "Schutz des Kredits" – letzteres ist einzigartig für die LGPD und spiegelt die von Fintechs geprägte Kreditkultur Brasiliens wider.
Kein Angemessenheitsmechanismus für Brasilien: Die EU hat Brasilien keine Angemessenheitsentscheidung erteilt. Datenübertragungen zwischen der EU und Brasilien erfordern Standardvertragsklauseln oder verbindliche Unternehmensregeln – dasselbe Verfahren, das für Übertragungen in die USA oder andere nicht angemessene Länder erforderlich ist.
Brasilianische Einwilligungsanforderungen: Die LGPD verlangt, dass die Einwilligung spezifisch, informiert, eindeutig und freiwillig gegeben wird – ähnlich wie bei der GDPR. Allerdings erlaubt die LGPD, dass die Einwilligung für sensible Daten breiter gefasst werden kann als die Anforderung der GDPR nach ausdrücklicher Zustimmung für jeden spezifischen Zweck, sofern der Zweck klar kommuniziert wird.
ANPDs Durchsetzungsfokus 2025
Basierend auf den veröffentlichten Durchsetzungsprioritäten der ANPD und den Ergebnissen der Untersuchungen von 2024:
Gesundheitsdaten: Artikel 11 der LGPD verlangt ausdrückliche Zustimmung oder eine spezifische Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten. Die ANPD stellte fest, dass mehrere Gesundheitsdienstleister und Gesundheits-Apps keine angemessene Rechtsgrundlage für die Verarbeitung von SUS-Nummern und medizinischen Aufzeichnungen hatten.
Finanzdienstleistungen: CPF-Nummern in Finanzdokumenten – Kreditanträge, Kreditberichte, Versicherungsverträge – sind primäre Durchsetzungsziele. Die ANPD prüft, ob die Datenaufbewahrungsrichtlinien der Finanzinstitute mit den dokumentierten Zwecken übereinstimmen.
Compliance von Technologieplattformen: Internationale Technologieplattformen (Soziale Medien, E-Commerce, Streaming-Dienste), die in Brasilien tätig sind, stehen 2025 im Fokus der ANPD, insbesondere hinsichtlich der Profilierungspraktiken und grenzüberschreitenden Datenübertragungen.
Für Organisationen, die brasilianische personenbezogene Daten verarbeiten: Die Erkennung von CPF und CNPJ mit validierten Prüfziffern ist die technische Basis. Die Hinzufügung der RG-Erkennung mit staatsspezifischer Formatkennung, CNH, Título de Eleitor und SUS-Nummer-Unterstützung bietet umfassende, LGPD-konforme Abdeckung brasilianischer PII.
Quellen: