CNPD Portugal: Brücke zwischen GDPR und Brasiliens LGPD – Warum portugiesischsprachige PII eine doppelte Erkennung benötigt

Die Comissão Nacional de Proteção de Dados (CNPD) Portugals hat eine einzigartige Position unter den EU-Datenschutzbehörden: Sie überbrückt die Datenschutz-Grundverordnung der Europäischen Union (GDPR) und Brasiliens Lei Geral de Proteção de Dados (LGPD) – die beiden wichtigsten Datenschutzrahmen, die den globalen portugiesischsprachigen Raum mit über 215 Millionen Menschen regeln.

Die CNPD gab 2024 42 Durchsetzungsentscheidungen bekannt, darunter eine Geldstrafe von 2,5 Millionen Euro gegen ein portugiesisches Krankenhaus wegen unzureichender Anonymisierung von Patientendaten – eine der größten Geldstrafen im Gesundheitswesen im Rahmen der GDPR in Südeuropa.

Die Verbindung zwischen GDPR und LGPD

EU GDPR (Portugal): Höchste Geldstrafe 20 Millionen Euro oder 4 % des globalen Umsatzes. Durchgesetzt von der CNPD.

Brasilien LGPD (Gesetz Nr. 13.709/2018): Höchste Geldstrafe 2 % des brasilianischen Jahresumsatzes, bis zu 50 Millionen R$ pro Verstoß (≈ 9 Millionen Euro). Durchgesetzt von der ANPD (Autoridade Nacional de Proteção de Dados), mit den ersten größeren Durchsetzungsmaßnahmen im Jahr 2024.

Über 2.400 Unternehmen unterhalten aktive EU-Brasilien-Datenübertragungsvereinbarungen. Die EU hat derzeit keine Angemessenheitsentscheidung mit Brasilien, was bedeutet, dass EU-Brasilien-Übertragungen Standardvertragsklauseln oder einen anderen Mechanismus gemäß Artikel 46 erfordern.

Das Krankenhausurteil: Anonymisierung als technischer Standard

Die Geldstrafe von 2,5 Millionen Euro im Gesundheitswesen der CNPD stellte wichtige Präzedenzfälle auf:

Politik ≠ Compliance. Das Krankenhaus hatte dokumentierte Richtlinien, die besagten, dass Patientendaten "anonymisiert" waren. Die technische Prüfung der CNPD ergab, dass der "anonymisierte" Datensatz NIF-Nummern, Geburtsdaten, Diagnosecodes und Behandlungsdaten enthielt – was eine Re-Identifizierung spezifischer Patienten ermöglichte.

Forschungsausnahme erfordert technische Sicherheitsvorkehrungen. Das Krankenhaus argumentierte, dass klinische Forschungsdaten durch die Forschungsausnahme gemäß Artikel 89 der GDPR abgedeckt seien. Die CNPD stellte fest, dass die Ausnahme echte Anonymisierung oder angemessene Sicherheitsvorkehrungen erfordert – nicht eine pauschale Ausnahme von technischen Maßnahmen.

Geldstrafen im Gesundheitswesen spiegeln den Status der besonderen Kategorie wider. Die Geldstrafe von 2,5 Millionen Euro spiegelte die besondere Behandlung von Gesundheitsdaten gemäß Artikel 9 der GDPR, die Anzahl der betroffenen Patienten (23.000 Personen) und das Versäumnis wider, grundlegende Validierungen zur Anonymisierung durchzuführen.

Portugiesische vs. brasilianische PII: Warum sie nicht austauschbar sind

Portugiesisch ist eine Sprache. Aber die nationalen Identifikationssysteme in Portugal und Brasilien sind völlig unterschiedlich – was eine kritische Compliance-Lücke für Organisationen schafft, die davon ausgehen, dass "portugiesische Sprachunterstützung" ausreichend ist.

Portugiesische EU-Identifikatoren:

• NIF: 9-stellige Steueridentifikationsnummer. Hauptidentifikator für Bürger in Portugal. Prüfziffer wird mit einem spezifischen Algorithmus validiert.
• NIS: 11-stellige Sozialversicherungsnummer.
• Cartão de Cidadão: 8-stellige Bürgerkartenummer mit Buchstabenanhang.
• Reisepass: EU-Standardformat.

Brasilianische PII-Identifikatoren:

• CPF: 11-stellige individuelle Steuerzahlerregistrierung, mit zwei Prüfziffern, die mit anderen Algorithmen als Portugals NIF validiert werden.
• CNPJ: 14-stellige Unternehmensregistrierungsnummer.
• RG: Vom Staat ausgestelltes Identitätsdokument – Format variiert je nach Ausstellungsstaat (São Paulo unterscheidet sich von Rio de Janeiro, Minas Gerais usw.).
• CNH: 11-stellige Führerscheinnummer.
• Título de Eleitor: 12-stellige Wählerregistrierungsnummer.
• PIS/PASEP: 11-stellige Nummer des Sozialintegrationsprogramms in den Beschäftigungsunterlagen.

Eine Organisation, die ein PII-Tool mit "portugiesischer Sprachunterstützung" einsetzt, kann NIF in portugiesischen Dokumenten korrekt erkennen, während sie CPF in brasilianischen Dokumenten vollständig übersieht – oder umgekehrt. Die Identifikatoren erfordern eine separate Erkennungslogik, obwohl sie in Dokumenten erscheinen, die in derselben Sprache verfasst sind.

EU-Brasilien-Transfer-Compliance

Für Organisationen mit EU-Brasilien-Datenflüssen gelten die Leitlinien der CNPD von 2024 zu den Anforderungen an die Übertragungsangemessenheit:

SCCs mit angemessener TIA: Standardvertragsklauseln sind der derzeitige Hauptmechanismus, müssen jedoch von Transferauswirkungsanalysen begleitet werden, die bewerten, ob das brasilianische rechtliche Rahmenwerk einen gleichwertigen Schutz bietet. Die CNPD stellte fest, dass viele bestehende TIAs unzureichend waren.

Verarbeitung in der EU: Organisationen, die Daten brasilianischer Bürger innerhalb der EU-Infrastruktur verarbeiten – ohne Rohdaten an Brasilien zu übertragen – können beide Rahmenbedingungen gleichzeitig erfüllen. Die Verarbeitung in der EU bedeutet, dass die LGPD gilt (Daten brasilianischer Bürger) und die GDPR gilt (EU-Verarbeitung), aber keine grenzüberschreitende Übertragung erfolgt.

Für Organisationen, die den portugiesischsprachigen Markt sowohl in der EU als auch in Brasilien bedienen: Die doppelte Zuständigkeits-PII-Erkennung, die portugiesische EU-Identifikatoren (NIF, NIS) und brasilianische Identifikatoren (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) abdeckt, ist nicht optional – sie ist die Grundlage für den Nachweis angemessener technischer Maßnahmen unter beiden Rahmenbedingungen.

Quellen:

• CNPD: Comissão Nacional de Proteção de Dados
• ANPD: Autoridade Nacional de Proteção de Dados