Der Datenschutzbeauftragte in Brasilien

1.    Wer ist zur Benennung eines Datenschutzbeauftragten in Brasilien verpflichtet?

Der brasilianische Datenschutzbeauftragte ist die vom Unternehmen benannte Person, die für die Kommunikation zwischen dem Unternehmen, dem Inhaber der personenbezogenen Daten, und der brasilianischen Datenschutzbehörde ANPD verantwortlich ist. Die ANPD ist für die Überwachung der Erfüllung des Allgemeinen Datenschutzgesetzes (13.709/2018 Lei Geral de Proteção de Dados Pessoais (LGPD)) zuständig.

Artikel 41 LGPD verpflichtet alle Unternehmen in Brasilien, einen Datenschutzbeauftragten (DSB) zu benennen. 

Bisher gibt es keine Ausnahmen von der im vorstehenden Absatz erwähnten Regel, obwohl das Thema bereits Gegenstand einer öffentlichen Anhörung ist, bei der es um die Entlastung kleinerer Unternehmen, wie Kleinstunternehmen, Kleinunternehmen, Startups, juristischen Personen ohne Gewinnzwecke, natürliche Personen und Organisationen ohne Rechtspersönlichkeit geht. Benennen diese Unternehmen bzw. Organisationen keinen Datenschutzbeauftragten, wird geprüft, ob zumindest die Verpflichtung zur Errichtung eines Kommunikationskanals zu dem Inhaber von Daten erfüllt wurde.

Wir möchten darauf hinweisen, dass die vorgenannte Entlastung nur bezüglich der Ernennung eines Datenschutzbeauftragten erfolgt. Das LGPD ist ansonsten auch auf kleine Unternehmen und Institutionen anwendbar, die Daten verarbeiten.

Da die öffentliche Anhörung der brasilianischen Datenschutzbehörde ANPD noch nicht abgeschlossen wurde, konnte ihr Gutachten zu dieser Thematik noch nicht veröffentlicht werden.
 

2.    Welche Aufgaben hat der Datenschutzbeauftragte in Brasilien?

Laut des bereits erwähnten Artikels 41 LGPD hat der Datenschutzbeauftragte folgende Aufgaben:

a.    Beschwerden und Mitteilungen der Dateninhaber entgegennehmen, Erklärungen abgeben und Maßnahmen ergreifen;
b.    Mittteilungen der nationalen Behörde entgegennehmen und erforderliche Schritte einleiten;
c.    Mitarbeiter und Beauftragte der Organisation über zu ergreifende Maßnahmen für den Schutz personenbezogener Daten unterrichten und
d.    die übrigen vom Data Controller oder in ergänzenden Vorschriften festgelegten Aufgaben wahrzunehmen.
 

3.    Ist es nach brasilianischem Recht möglich, einem Dritten die Aufgaben des Datenschutzbeauftragten zu übertragen?

Im brasilianischen Datenschutzgesetz LGPD ist kein Verbot der Auslagerung des Datenschutzbeauftragten geregelt. Bei dem DSB muss es sich daher nicht zwingend um einen Mitarbeiter des Unternehmens handeln.

Mit der Beauftragung eines externen Datenschutzbeauftragten können sich die Unternehmen auf das Kerngeschäft konzentrieren, um das Unternehmen nicht zu überlasten und ihre Beschäftigungsverhältnisse nicht zu beeinträchtigen, da die Benennung eines DSB unter Mitarbeitern rechtliche Folgen wie die Zahlung von Zuschlägen wegen Abweichung von der ursprünglichen Funktion oder der Ausübung zweier Tätigkeiten haben kann.

Die Beauftragung eines regulären Mitarbeiters als Datenschutzbeauftragten des Unternehmens ist natürlich dann gerechtfertigt, wenn die Größe des Unternehmens und das Volumen von Daten so hoch ist, dass dieser Mitarbeiter ausschließlich diese Funktion ausübt. 

Die brasilianische Rechtsanwaltskammer hat in ihrer Antwort auf die Anfrage Nr. E-5.537/2021 Rechtsanwälte autorisiert, offiziell die Funktion des Datenschutzbeauftragten zu übernehmen.

Die Rechtsfolgen für den Fall der Nichterfüllung des LGPD, das bereits Anfang August 2022 in Kraft getreten ist, inklusive der fehlenden Benennung eines Datenschutzbeauftragten, sind nach dem Gesetz neben Schadenersatzansprüchen wegen individueller oder kollektiver Vermögensschäden und immaterieller Schäden auch Bußgelder bis zu einer Höhe von 50 Millionen BRL.


Sie haben weitere Fragen zum Datenschutz in Brasilien? Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt in São Paulo, Herr Gustavo Stüssi Neves, Advogado, berät Sie gerne: stussi.sp@cbbl-lawyers.de, Tel. +55 - 11 - 309 366 12


Stand der Bearbeitung: April 2022