anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

ANPD Brasil LGPD Durchsetzung 2024: Südamerikas GDPR...

Die ANPD Brasiliens verhängte 2024 ihre ersten großen Geldstrafen. Die LGPD deckt 215 Millionen Brasilianer ab – mehr als Deutschland...

June 5, 202610 min Lesezeit
Brazil LGPDANPD enforcementCPF CNPJ detectionBrazilian privacy lawSouth America compliance

ANPD Brasilien: LGPD-Durchsetzung 2024

Brasiliens Datenschutzbehörde ANPD hat 2024 mit der aktiven Durchsetzung begonnen. Sie verhängte die ersten größeren Bußgelder nach dem LGPD — Gesetz Nr. 13.709/2018. 215 Millionen Brasilianer sind von diesem Gesetz erfasst. Das Land hat 180 Millionen Internetnutzer — die größte digitale Wirtschaft Lateinamerikas. LGPD-Compliance ist jetzt ein reales Durchsetzungsthema, kein zukünftiges.

LGPD: Brasiliens Datenschutzgesetz

Das LGPD basiert auf der DSGVO, weist aber wichtige Unterschiede auf.

Maximale Bußgelder: Bis zu 2 % des brasilianischen Jahresumsatzes. Der Höchstbetrag liegt bei R$50 Millionen (≈€9 Mio.) pro Verstoß. Die DSGVO verwendet 4 % des weltweiten Umsatzes. Die Brasilien-Basis des LGPD bedeutet niedrigere Höchststrafen für multinationale Unternehmen. Für rein brasilianische Unternehmen ist das relative Risiko jedoch höher.

Sensible Kategorien: Die Liste des LGPD ähnelt Art. 9 DSGVO. Sie umfasst Rasse, politische Ansichten, Religion, Gesundheitsdaten, genetische Daten, Biometrie und sexuelle Orientierung. Die ANPD-Leitlinien 2024 haben diese Regeln auf Art. 11 ausgedehnt.

Betroffenenrechte: Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Zudem Auskunft über die Datenweitergabe. Das LGPD fügt ein Recht hinzu, das die DSGVO nicht kennt: das Recht zu erfahren, ob KI bei einer Entscheidung eingesetzt wurde.

Durchsetzungsbeginn: Die ANPD verhängte 2024 erste Sanktionen. Hauptziele: Telekommunikation, Finanzunternehmen und Gesundheitsversorger. Multinationale Unternehmen in Brasilien stehen 2025 im Fokus.

Einen umfassenderen Überblick bietet unser Leitfaden zur globalen PII-Compliance.

Brasilianische PII-Identifikatoren

Brasiliens ID-System ist komplex. Als Bundesrepublik variieren einige Dokumente je nach Bundesstaat.

CPF: Eine 11-stellige Steuernummer (Format: XXX.XXX.XXX-XX). Zwei Prüfziffern mit Modulo-Arithmetik. Der CPF ist Brasiliens universeller Hauptausweis für Bank-, Steuer-, Gesundheits- und Behördendienste. Alle 215 Millionen Brasilianer besitzen einen.

CNPJ: Eine 14-stellige Unternehmensregisternummer (Format: XX.XXX.XXX/XXXX-XX). Zwei Prüfziffern. Erscheint in Geschäftsunterlagen im Zusammenhang mit Vertretern des Unternehmens.

RG: Ein staatlich ausgestellter Personalausweis. Format variiert je nach Bundesstaat. Der RG aus São Paulo unterscheidet sich von dem aus Rio de Janeiro — und so weiter über 26 Bundesstaaten und den Bundesdistrikt. Ein Tool, das nur ein Staatsformat kennt, übersieht die meisten brasilianischen RG-Nummern.

CNH: Eine 11-stellige Führerscheinnummer mit einer Prüfziffer.

Título de Eleitor: Eine 12-stellige Wähler-ID. Sie kodiert die Wahlregistrierungszone.

PIS/PASEP: Eine 11-stellige Sozialversicherungsnummer. Erscheint in Lohn- und Gehaltsunterlagen.

SUS-Nummer: Eine 15-stellige Gesundheitssystem-ID. Jeder Brasilianer hat eine. Sie erscheint in allen Gesundheitsdokumenten.

Unser globaler PII-Identifikatorenleitfaden behandelt den CPF neben SSN, Aadhaar und anderen nationalen IDs.

LGPD vs. DSGVO: Wichtige Unterschiede

Beide Rechtsrahmen schützen personenbezogene Daten, unterscheiden sich aber in wichtigen Punkten.

Rechtsgrundlagen: Das LGPD hat 10 Rechtsgrundlagen, die DSGVO 6. LGPD enthält den „Kreditschutz" — eine Grundlage, die mit Brasiliens Fintech-Kultur zusammenhängt. Kein DSGVO-Äquivalent existiert.

Keine EU-Angemessenheitsentscheidung für Brasilien: Die EU hat Brasilien keine Angemessenheitsentscheidung erteilt. EU–Brasilien-Übermittlungen erfordern Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften — wie bei Übermittlungen in die USA.

Einwilligungsregeln: Die LGPD-Einwilligung muss spezifisch, informiert, frei und klar sein — ähnlich der DSGVO. Für sensible Kategorien erlaubt das LGPD eine breitere Einwilligung als die zweckspezifische DSGVO-Regelung, sofern der Zweck klar angegeben ist.

ANPD-Durchsetzungsschwerpunkte 2025

Die ANPD hat ihre Prioritäten für 2025 auf Basis der Ergebnisse aus 2024 veröffentlicht.

Gesundheitsdaten

Art. 11 verlangt ausdrückliche Einwilligung — oder eine klare Rechtsgrundlage — für die Verarbeitung von Gesundheitsdaten. Die ANPD stellte fest, dass viele Gesundheits-Apps und -Anbieter diese Grundlage für SUS-Nummern und Krankenakten nicht hatten.

Finanzdienstleistungen

CPF-Nummern in Kreditanträgen, Bonitätsberichten und Versicherungspolicen sind Hauptziele. Die ANPD prüft, ob Aufbewahrungsfristen den angegebenen Zwecken entsprechen.

Tech-Plattform-Compliance

Social-Media-, E-Commerce- und Streaming-Plattformen in Brasilien stehen 2025 im Fokus. Die ANPD untersucht Profiling-Praktiken und grenzüberschreitende Übermittlungen.

Was jetzt zu tun ist

Die Basis für brasilianische Compliance ist die CPF- und CNPJ-Erkennung mit Prüfziffernvalidierung. Ergänzen Sie die RG-Erkennung mit bundesstaatenspezifischer Formatlogik. Fügen Sie CNH-, Título de Eleitor- und SUS-Nummern-Support für vollständige Abdeckung hinzu. Weitere Details finden Sie in unserem LGPD-Anonymisierungsleitfaden.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.