Datenverarbeitung in Brasilien

13.02.2019

Definitionen und Voraussetzungen

In der modernen Gesellschaft führen Geschäftsbeziehungen zu einer kontinuierlichen Sammlung personenbezogener Daten, die von Basisinformationen über Einzelpersonen wie Steuernummer (CPF), Email-Adresse, Anschrift und Beruf bis hin zu Informationen über Freundeskreise, Vorlieben und Interessen, physischen Eigenschaften, etc. führen.

Die enorme Menge an Informationen wird in einer Reihe verschiedener Datenbanken gespeichert, die wirtschaftlich sehr wertvoll sind und Unternehmen und Politikern dazu dienen können, ihre Strategien in bestimmte Richtungen zu lenken und Markt-, Verhaltens-, politische, religiöse und andere Tendenzen zu erkennen.

Angesichts der ungehemmten Nutzung solcher Informationen sah es der Gesetzgeber als notwendig an, Regelungen zu schaffen, um Missbräuche zu verhindern, die zur Verletzung von Grundrechten von Einzelpersonen führen, insbesondere bezogen auf die Privatsphäre.

Vor diesem Hintergrund folgte Brasilien internationalen Regelungen, wie vor allem der Datenschutz Grundverordnung (DSGVO) der EU und verabschiedete das Gesetz 13.709/2018 (Allgemeines Datenschutzgesetz), das die Datenverarbeitung durch Unternehmen, öffentliche Stellen und natürliche Personen regelt.

Was versteht das Gesetz unter „Verarbeitung personenbezogener Daten“?

Die Datenverarbeitung umfasst nach dem Allgemeinen Datenschutzgesetz jede mit personenbezogenen Daten durchgeführte Operation, zu der die Sammlung, Erzeugung, Empfang, Klassifizierung, Übermittlung, den Vertrieb, die Verarbeitung, Archivierung, Speicherung, Löschung, Bewertung oder Kontrolle der Information, sowie die Änderung, Mitteilung, Übertragung oder Verbreitung gehören. Unter personenbezogenen Daten werden dabei jegliche auf eine identifizierte oder identifizierbare natürliche Person bezogenen Informationen verstanden.

Kurz gesagt umfasst die Verarbeitung personenbezogener Daten jede Aktivität, die auf natürliche Personen bezogene Informationen betrifft.

Nach Art. 7 des Allgemeinen Datenschutzgesetzes ist die Verarbeitung von Daten in folgenden Fällen zulässig:

I – Zustimmung durch den Inhaber – Allgemeine Regel. Personenbezogene Daten dürfen nur mit Erlaubnis des Inhabers verarbeitet werden. Bei der Zustimmung muss es sich um eine freie, eindeutige und in Kenntnis der Sachlage getätigte Willensäußerung handeln, durch die der Inhaber der Verarbeitung seiner personenbezogenen Daten für einen bestimmten Zweck zustimmt. Die erteilte Zustimmung kann vom Inhaber jederzeit widerrufen werden. Nicht erforderlich ist die Zustimmung, wenn es sich um Daten handelt, die durch den Inhaber eindeutig öffentlich gemacht wurden, wobei die Rechte des Inhabers aber auch dann zu beachten sind.

II – Erfüllung gesetzlicher oder regulatorischer Pflichten der Kontrollperson – Unter Kontrollperson wird eine natürliche oder juristische Person verstanden, die für Entscheidungen über die Verarbeitung zuständig ist.

III – Verarbeitung und geteilte Nutzung von für die Durchführung öffentlicher Politik notwendiger Daten durch die öffentliche Verwaltung.

IV – Studien von Forschungsstellen, wobei in diesem Fall die Anonymisierung der personenbezogenen Daten gewährleistet sein muss, sofern diese möglich ist. Anonymisierung bedeutet, wie der Name suggeriert, dafür zu sorgen, dass der Inhaber der Daten anonym bleibt, d.h. dafür zu sorgen, dass man eine bestimmte Information nicht einer bestimmten Person zuordnen kann.

V – Notwendigkeit für die Durchführung eines Vertrages oder von auf einen Vertrag bezogener Vorverfahren, an dem der Inhaber Partei ist, auf Antrag des Inhabers der Daten.

VI – Ordnungsgemäße Ausübung von Rechten in Gerichtsprozessen, Verwaltungs- oder Schiedsverfahren.

VII –Schutz von Leben oder körperliche Unversehrtheit des Inhabers oder Dritter.

VIII –Schutz von Gesundheit in von Fachleuten aus dem Gesundheitsbereich oder von Gesundheitsorganisationen durchgeführten Verfahren.

IX – Notwendigkeit für die Erfüllung legitimer Interessen der Kontrollperson oder Dritter, außer im Fall des Vorrangs von Grundrechten und Grundfreiheiten des Inhabers, die den Schutz personenbezogener Daten erfordern.

X – Kreditschutz.

Selbst in Fällen der Verarbeitung personenbezogener Daten, deren Zugang öffentlich ist, sind Zweck, guter Glaube und das öffentliche Interesse zu berücksichtigen, die zu ihrer Bereitstellung berechtigt haben.

Neben allgemeinen Bestimmungen bezüglich der Verarbeitung personenbezogener Daten finden sich im Allgemeinen Datenschutzgesetz Regeln, über die Verarbeitung sensibler personenbezogener Daten. Um sensible personenbezogene Daten handelt es sich dann, wenn diese an eine natürliche Person gebundene Informationen über rassische oder ethnische Herkunft, religiöse Überzeugungen, politische Meinungen, Mitgliedschaften in Gewerkschaften oder religiösen, philosophischen oder politischen Organisationen, Gesundheit, Sexualität oder genetische oder biometrische Daten enthalten.

Sensible personenbezogene Daten dürfen nur in folgenden Fällen verarbeitet werden:

I – wenn der Inhaber oder dessen gesetzlicher Vertreter eine spezifische und besondere Zustimmung für spezifische Zwecke erteilt hat.

II – und ohne Zustimmung des Inhabers nur in den Fällen, in denen die Datenverarbeitung unverzichtbar ist für:

a) die Erfüllung gesetzlicher oder regulatorischer Pflichten der Kontrollperson;
b) die geteilte Verarbeitung notwendiger Daten für die Durchführung in Gesetz oder Regelungen vorgesehener öffentlicher Politiken durch die öffentliche Verwaltung;
c) die Durchführung von Studien durch eine Forschungsorganisation, wobei die Anonymisierung, sichergestellt sein muss, soweit eine solche möglich ist;
d) die reguläre Ausübung von Rechten, einschließlich in Verträgen, Gerichts-, Verwaltungs- und Schiedsverfahren;
e) den Schutz des Lebens und der körperlichen Unversehrtheit des Inhabers und Dritter;
f) den Schutz der Gesundheit in von Fachleuten aus dem Gesundheitsbereich oder von Gesundheitsorganisationen durchgeführten Verfahren; oder
g) die Vorbeugung gegen Betrug und Gewährleistung der Sicherheit des Inhabers in den Prozessen der Identifikation und Authentisierung der Registrierung in elektronischen Systemen unter Wahrung der in Art. 9 dieses Gesetzes erwähnten Rechte mit Ausnahme der Fälle, in denen Grundrechte und Grundfreiheiten des Inhabers, die den Schutz personenbezogener Daten erfordern, Vorrang haben.

Das Allgemeine Datenschutzgesetz enthält ferner eigene Regeln für den Schutz personenbezogener Daten von Kindern und Jugendlichen, ausgehend von der Prämisse, dass diese stets in deren bestem Interesse durchzuführen sind.

In der Regel bedarf die Datenverarbeitung von Kindern einer spezifischen und besonderen Zustimmung eines der Elternteile oder des rechtlich Verantwortlichen.

Ausnahmsweise können personenbezogene Daten von Kindern ohne diese Zustimmung gesammelt werden, wenn die Sammlung notwendig ist, um sich mit den Eltern oder den rechtlich Verantwortlichen in Verbindung zu setzen - in diesem Fall dürfen sie nur ein einziges Mal genutzt und nicht gespeichert werden - oder zu deren Schutz. In keinem Fall dürfen diese Daten ohne Zustimmung an Dritte weitergegeben werden.

Die Datenverarbeitung endet:

I – bei Feststellung, dass der Zweck erreicht wurde oder die Daten für den spezifischen Zweck nicht mehr notwendig sind oder einschlägig sind;

II – bei Ablauf der Verarbeitungszeit;

III – bei entsprechender Mitteilung des Inhabers, einschließlich im Rahmen der Ausübung seines Rechts auf Widerruf der Zustimmung unter Wahrung des öffentlichen Interesses; oder

IV – bei Entscheidung einer nationalen Behörde im Fall des Verstoßes gegen eine gesetzliche Bestimmung.

Endet die Verarbeitung, sind in der Regel alle personenbezogenen Daten zu löschen, die Aufbewahrung ist dann nur noch für folgende Zwecke erlaubt:

I - Erfüllung gesetzlicher oder regulatorischer Pflichten der Kontrollperson;

II - Durchführung von Studien durch eine Forschungsorganisation, wobei die Anonymisierung gewährleistet sein muss, soweit diese möglich ist;

III – Übermittlung an Dritte, solange die Voraussetzungen für die Datenverarbeitung beachtet werden; oder

IV – ausschließliche Nutzung durch die Kontrollperson, solange die Daten anonymisiert werden, wobei der Zugang von Dritten untersagt ist.

Dies sind zusammengefasst die wichtigsten Fragen im Zusammenhang mit der Datenverarbeitung nach dem neuen brasilianischen Gesetz. Wie Sie sehen, bringt das digitale Zeitalter neue rechtliche Herausforderungen mit sich. Es ist wichtig, dass sich die Unternehmen auf die neuen Bestimmungen vorbereiten, um diese umsetzen zu können, sobald sie in Kraft treten.