Ihre deutschsprachige Rechtsanwaltskanzlei in Brasilien
CBBL Anwalt in Brasilien, Gustavo Stüssi Neves, Kanzlei Stüssi-Neves Advogados
Gustavo Stüssi Neves
Advogado
Stüssi-Neves Advogados
São Paulo, Rio de Janeiro

Aktuelles zum brasilianischen Wirtschaftsrecht

Anpassung an das Datenschutzgesetz in Brasilien

15.05.2019

Im Mai 2017 hiess es auf dem Titelbild der Zeitschrift The Economist, dass personenbezogene Daten die wertvollsten Ressourcen der Welt darstellten, deren Wert sogar den des Erdöls übersteige.

Das ist zwar eine begründete, allerdings auch, wie wir sogleich sehen werden, etwas übertriebene Aussage.

In der Tat kommt der Verwendung personenbezogener Daten bei einigen Unternehmen, wie bspw. Facebook und Google, mit besonderem Augenmerk auf der Gesundheitsbranche, bei der Erwirtschaftung von Einkünften eine stetig wachsende Bedeutung zu, die von dem auf der für Werbung erforderlichen Sammlung und Verarbeitung von Daten beruhenden Geschäftsmodell beruht.

Wo es auf der einen Seite Unternehmen gibt, die sich für die Erwirtschaftung von Einkünften intensiv der Sammlung personenbezogener Daten bedienen, steigt auf der anderen Seite die Besorgnis in Bezug auf den Schutz personenbezogener Daten. Im Jahr 2018 gab es eine Reihe von Skandalen um Lecks personenbezogener Daten wie bspw. bei Facebook und dem Unternehmen Cambridge Analytica, der natürlich nur der bekannteste Fall unter vielen ständig zunehmenden Fällen war. Dies belegt, dass die Sorge grundsätzlich berechtigt ist.

Dementsprechend steigt die Relevanz gesetzlicher Vorschriften, die die Verarbeitung von Daten regeln, wie etwa der Datenschutzgrundverordnung (DSGV), die im Mai 2018 in Europa in Kraft getreten ist, und des Allgemeinen Datenschutzgesetzes (Lei Geral de Proteção de Dados Pessoais - LGPD) in Brasilien, das gemäss der Medida Provisória Nr. 869/2018 am 22. August 2020 in Kraft treten wird, durch die unter anderem die Umsetzungsfrist des LGPD von 18 auf 24 Monaten erweitert und auch die Nationale Datenschutzagentur (Autoridade Nacional de Proteção de Dados - ANPD) geschaffen wurde, die für die Regulierung und Überwachung der effektiven Erfüllung der Gesetzgebung verantwortlich sein wird. In Europa gab es, ähnlich wie in Brasilien, eine Umsetzungsfrist von 2 Jahren, die den Unternehmen Zeit geben sollte, sich an die neuen Vorschriften anzupassen. Eine Regelung des Datenschutzes gab es bereits seit 1995 (und zuvor mit der Konvention Nr. 108). Aber obwohl die Europäer aufgrund der vorherigen Regelung bereits mit dem Datenschutz vertraut waren, hat die Umsetzungsfrist von zwei Jahren nicht ausgereicht, um sich an die DSGV anzupassen. Das sieht man auch daran, dass die französische Bundesdatenschutzbehörde vor kurzem (am 21/01/2019) gegen Google auf der Grundlage der DSGV das höchste bisher auf der Grundlage der neuen Regelung der Europäischen Union Bussgeld in Höhe von €50 Millionen verhängt hat.

Es stellt sich die Frage, ob Unternehmen die ihren Sitz nicht in Europa haben, wo es bereits eine gewisse gesetzgeberische Tradition in Bezug auf den Datenschutz gab, imstande sind, sich rechtzeitig an die neuen gesetzlichen Regelungen anzupassen. Dies lässt erahnen, was im Fall Brasiliens geschehen wird, in der es eine solche Tradition (mit Ausnahme einiger verstreuter Gesetze wie das Internetgesetz) nicht gibt, wobei darauf hinzuweisen ist, dass das LGPD in groben Zügen dem gefolgt ist, was in der DSGV geregelt ist.

Dies sind die Gründe, warum sich Unternehmen aller Grössen und Branchen technisch und in Bezug auf ihr Personal auf das Inkrafttreten vorbereiten und an die neue Regelung anpassen sollten, um Bussgelder und andere Sanktionen zu vermeiden. Die Bussgelder können im Fall des LGPD bis zu 2% (zwei Prozent) des Umsatzes der juristischen Person des Privatrechts, der Gruppe bzw. des Konglomerats in Brasilien in deren letztem Geschäftsjahr mit einer Höchstgrenze von R$ 50.000.000,00 (fünfzig Millionen Reais) pro Verstoss betragen.

Einer der ersten Schritte der Anpassung an die neue Gesetzgebung besteht in der Ausarbeitung einer mit den neuen Vorschriften des Allgemeinen Datenschutzgesetzes im Einklang stehenden, genau definierten, transparenten und leicht verständlichen Datenschutzpolitik. Das Problem besteht nicht unbedingt in der Sammlung und Verarbeitung personenbezogener Daten, sondern in der fehlenden Transparenz in Bezug auf die Nutzung dieser Daten für die Erwirtschaftung von Einkünften. Die Anpassung betrifft alle Unternehmen, die in irgendeiner Form personenbezogene Daten erhalten und ist unabhängig von deren Grösse (das Gesetz macht keine Unterscheidung). Selbst für die Unternehmen, die bereits eine von ihren europäischen Mutterhäusern formulierte Datenschutzpolitik gemäss DSGV haben, besteht die Notwendigkeit der Anpassung an die Regeln des brasilianischen Allgemeinen Datenschutzgesetzes, um Verstössen gegen die brasilianischen gesetzlichen Vorschriften und die Verhängung der betreffendenBussgelder vorzubeugen.

Es sollte eine interne Erhebung im Unternehmen durchgeführt werden um festzustellen, welche personenbezogenen Daten verarbeitet werden, und wie, wie lange und für welchen Zweck diese Datenverarbeitung erfolgt. Dafür bedarf es der Zusammenarbeit unterschiedlicher Abteilungen des Unternehmens, wie der IT-Abteilung, aber auch der Rechtsabteilung, der Personalabteilung, der Compliance- und anderer Abteilungen.

Darüber hinaus sollten alle Verträge durchgesehen werden, die in irgendeiner Form zur Sammlung und Verarbeitung personenbezogener Daten führen. Auch die Datenschutzsysteme Dritter, wie bspw. Lieferanten und Partner müssen wegen der gesamtschuldnerischen Haftung gemäss LGPD überprüft werden, wobei besonders auf den Schutz der Daten der Mitarbeiter des Unternehmens hinzuweisen ist.

Schliesslich ist darauf hinzuweisen, dass das Hauptrisiko nicht in der Verhängung der Strafen selbst, sondern im Schaden für den Ruf des Unternehmens und dem daraus resultierenden Verlust von Kunden (die in zunehmenden Masse den Schutz personenbezogener Daten bei ihrer Wahl berücksichtigen), sowie dem Verlust des Marktwertes bei börsennotierten Unternehmen besteht.

Damit werden Unternehmen, die den anderen in diesem Bereich einen Schritt voraus sind, sich nicht nur selbst besser schützen, sondern in puncto Transparenz und Sicherheit der Verarbeitung personenbezogener Daten auch ein wichtiges Differenzial im Wettbewerb aufweisen, das zur Vertrauensbildung bei Kunden beiträgt. Auf der anderen Seite müssen diejenigen, die sich gegen die Veränderungen sperren, auf zunehmenden Vertrauensverlust seitens Aktionären, Regulierungsbehörden und Kunden und der Möglichkeit der Verhängung von Bussgeldern wegen der Gesetzesverstösse einstellen.

Frederico Amaral Filho und Charles Wowk

Anwalt und Partner der Zivilrechtsabteilung von Stüssi-Neves Advogados – São Paulo

frederico.amaral@stussinevessp.com.br und charles.wowk@stussinevessp.com.br