Ihre deutschsprachige Rechtsanwaltskanzlei in Brasilien
CBBL Anwalt in Brasilien, Gustavo Stüssi Neves, Kanzlei Stüssi-Neves Advogados
Gustavo Stüssi Neves
Advogado
Stüssi-Neves Advogados
São Paulo, Rio de Janeiro

Aktuelles zum brasilianischen Wirtschaftsrecht

Allgemeines Datenschutzgesetz (LGPD) und persönliche Daten von Mitarbeitern

30.07.2019

Der Tendenz in unterschiedlichen Ländern in Bezug auf eine Sorge, die seit der Entstehung des Internets existiert, und die Pulverisierung von Daten durch das World Wide Web folgend versucht Brasilien, sich dieser globalen Herausforderung im Bereich der Verarbeitung personenbezogener Daten durch das Gesetz Nr. 13.709/2018 (Lei Geral de Proteção de Dados – LGPD – Allgemeines Datenschutzgesetz - ADSG), zu stellen.

von Ney Starnini und Maria Lúcia Menezes Gadotti

Für die Unternehmen ist es ohnehin schon nicht mehr möglich, diese Veränderungen zu ignorieren, weil die Entwicklung zunehmend komplexerer Systemen und Datenbanken den Markt dazu zwingt, sich mit der Beschaffung, Lagerung und Zirkulation einer enormen Menge an Informationen von Partnern, Kunden und jeglichen Personen zu beschäftigen, mit denen die Unternehmen Beziehungen unterhalten oder zu unterhalten beabsichtigen.

In diesem Rahmen müssen sich die Unternehmen nun an die Anforderungen des LGPD anpassen. Dabei geht es allerdings nicht nur die Erfüllung einer gesetzlichen Verpflichtung, sondern auch darum, der Tendenz des Marktes (Werterhalt und Wertzuwachs bezüglich Marke und Unternehmen, größere Transparenz und Kontrolle von Informationen etc.) gerecht zu werden. Das erfordert eine strikte Überwachung, Beaufsichtigung und Kontrolle der Verarbeitung personenbezogener Daten, zu denen personenbezogene Daten von Mitarbeitern gehören.

Bei der Verarbeitung personenbezogener Daten aller Mitarbeiter sind die Vorschriften des LGPD zu beachten, das für Verstöße Sanktionen in empfindlicher Höhe vorsieht. Davon abgesehen können Verstöße natürlich auch noch andere negative Auswirkungen wie die Beeinträchtigung der Marke und Reputation des Unternehmens haben.

Das Vorhalten von Informationen über die Herkunft personenbezogener Daten, die Einwilligung zu ihrer Verarbeitung, die tatsächlich erfolgte Verarbeitung und Löschung dieser Daten muss zu einem im unternehmerischen Tagesgeschäft gängigen Vorgang werden. Die Zusammenarbeit zwischen Arbeitnehmern und Unternehmen in diesem Bereich muss enger werden, um den besonderen Schutz dieser Daten zu gewährleisten, der eines der Hauptziele des LGPD darstellt.

Dies vor Augen muss das Unternehmen angemessene Verhaltens-, Governance- und Compliance-Regeln für die Vorgänge vom Empfang von Lebensläufen und Ablehnung von Bewerbern bis hin zur Einstellung und Ausscheiden von Mitarbeitern haben und diese strikt kontrolliert. Die Regeln für das Löschen nicht mehr genutzter personenbezogener Daten und/oder für ihre Aufbewahrung nach der Nutzung (bspw. für die Erfüllung gesetzlicher Pflichten) sind strikt zu beachten.

Ferner müssen die Unternehmen mögliche Sicherheitsmängel, mit den ihnen oder Dritten gehörenden Einrichtungen in ihrem Netz begangene Cyberstraftaten identifizieren und die Risiken von Datenleaks minimieren.

Auch die Notwendigkeit der Abstimmung mit den Mitarbeitern und deren Schulung ist nicht zu vernachlässigen, um sicherzustellen, dass sich jeder einzelne Mitarbeiter die Folgen seiner Handlungen kennt und sich dieser bewusst ist. Der Schutz von Daten ist eine Aufgabe aller Personen, die zu ihnen Zugang haben.

Auch für die personenbezogenen Daten Dritter (von Mitarbeitern abhängige Personen) sind die notwendigen Einwilligungen für deren Verarbeitung zu beschaffen.

Die Personalabteilungen müssen mit anderen Bereichen des Unternehmens, insbesondere der IT, Rechtsabteilung und der Abteilung Arbeitssicherheit und Arbeitsmedizin zusammenarbeiten, um zu gewährleisten, dass die Verarbeitung personenbezogener Daten ihrer Mitarbeiter und der von ihnen abhängigen Personen im Einklang mit dem LGPD erfolgt.