Meldung nach dem brasilianischen Datenschutzgesetz

Dieser Artikel erläutert, wie Unternehmen, die geschäftlich in Brasilien tätig sind, die brasilianische Datenschutzbehörde („ANPD“) über Datenschutzverletzungen in Kenntnis setzen sollten, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen.

Der Schutz von geschäftlichen und persönlichen Daten vor unbefugtem Zugriff ist aus Sicht der Informationssicherheit seit jeher ein wichtiges Anliegen. Im Zeitalter der digitalen Technologie ist das Thema für Unternehmen noch wichtiger geworden, vor allem wegen der Verwendung elektronischer Systeme im täglichen Geschäftsleben.

Die Datenschutzgesetze spiegeln dieses Anliegen wider, um die Grundrechte und -freiheiten natürlicher Personen zu schützen. So sieht Artikel 32 Absatz 1 DSGVO vor, dass „der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

In der Praxis ist das Auftreten von Datenschutzverletzungen unvermeidlich. Daher sollten Unternehmen, die in Brasilien geschäftlich tätig sind, über ein Verfahren verfügen, um mit Datenschutzverletzungen umgehen zu können und erforderlichenfalls die ANPD und Betroffenen zu benachrichtigen.

Gemäß Artikel 6, X des brasilianischen Datenschutzgesetzes („LGPD“) müssen Unternehmen, die personenbezogene Daten verarbeiten, „Maßnahmen ergreifen, die effizient und geeignet sind, die Einhaltung der Vorschriften zum Schutz personenbezogener Daten nachzuweisen“.

In diesem Zusammenhang verlangt Artikel 46 LGPD, dass Unternehmen verpflichtet sind, die Sicherheit der Verarbeitung zu gewährleisten, indem sie technische und organisatorische Maßnahmen ergreifen, die personenbezogenen Daten vor unbefugten Zugriffen sowie vor unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Veränderung, Weitergabe oder jeder Art von unsachgemäßer oder unrechtmäßiger Verarbeitung schützen. Wie in Artikel 47 LGPD dargelegt wird, bleibt diese Verpflichtung auch nach dem Ende der Verarbeitung bestehen.

Nach der ANPD ist ein Sicherheitsvorfall in Bezug auf personenbezogene Daten „ein nachgewiesenes oder vermutetes unerwünschtes Ereignis, das die Sicherheit personenbezogener Daten gefährdet, z. B. ein unbefugter, versehentlicher oder unrechtmäßiger Zugriff, der zur Zerstörung, zum Verlust, zur Änderung, zum Durchsickern oder zur Verletzung der Rechte der betroffenen Personen führt“ (vgl hier).

Sicherheitsvorfälle können sich auf Ransomware, Cybersecurity-Angriffe, die versehentliche Übermittlung von Daten an eine vertrauenswürdige dritte Partei, verlorene oder gestohlene Geräte und Papierdokumente, Postversand usw. beziehen.

Bei Sicherheitsvorfällen, die ein Risiko oder einen erheblichen Schaden für die betroffenen Personen darstellen können, muss der für die Verarbeitung Verantwortliche die ANPD und die betroffene Person informieren (Artikel 48 LGPD).

Um zu beurteilen, ob die Verletzung zu relevanten Risiken oder Schäden für die betroffenen Personen führt, ist die Einbeziehung des Datenschutzbeauftragten („DSB“) wichtig. Außerdem soll der DSB auch als Kommunikationskanal zwischen dem für die Verarbeitung Verantwortlichen, den betroffenen Personen und der ANPD fungieren (Artikel 5, VIII, LGPD).

Da dieses Thema künftig reglementiert werden soll, sollten die diesbezüglichen europäischen Erkenntnisse berücksichtigt werden.

Wie in den Leitlinien 01/2021 des European Data Protection Board (EDPB) dargelegt wird, „kann eine Verletzung des Schutzes personenbezogener Daten potenziell eine Reihe erheblicher nachteiliger Auswirkungen auf Personen haben, die zu physischen, materiellen oder immateriellen Schäden führen können“.

In diesem Sinne besteht „eine der wichtigsten Pflichten des für die Datenverarbeitung Verantwortlichen darin, diese Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und geeignete technische und organisatorische Maßnahmen zu ergreifen, um ihnen zu begegnen“.

Es sollte hervorgehoben werden, dass die ANPD empfiehlt, dass die für die Verarbeitung Verantwortlichen Datenverletzungen auch dann melden sollten, wenn es keine Gewissheit über die Risiken und Schäden gibt.

Worüber sollte an die ANPD gemeldet werden?

Die ANPD gibt genaue Hinweise darüber, welche Informationen im Falle einer Meldepflicht übermittelt werden sollten:

Angabe des für die Verarbeitung personenbezogener Daten Verantwortlichen, einschließlich der Kontaktdaten des Datenschutzbeauftragten
Angabe, ob es sich um eine unvollständige oder vollständige Meldung handelt
Informationen über den Sicherheitsvorfall:

- Datum und Uhrzeit der Kenntnisnahme
- Datum und Uhrzeit des Vorfalls und dessen Dauer

- Umstände, unter denen der Datenschutzverstoß stattfand

- Beschreibung der betroffenen personenbezogenen Daten und der betroffenen Personen
- Informationen über die Datenspeicherung
- Mögliche negative Folgen für die betroffenen Personen

- Von dem für die Verarbeitung Verantwortlichen getroffene technische und organisatorische Maßnahmen zur Behebung der Verletzung und zur Schadensbegrenzung
- Klärung der möglichen internationalen Auswirkungen

- Alle sonstigen Informationen, welche der für die Verarbeitung Verantwortliche zum Schutz der betroffenen Personen und zur Vermeidung weiterer Schäden für nützlich hält

Welche Frist gilt für die Meldung an die ANPD?

Artikel 48, §1 LGPD schreibt vor, dass Datenschutzverletzungen innerhalb eines angemessenen Zeitraums unter Berücksichtigung von Treu und Glauben und dem Transparenzprinzip gemeldet werden sollten. Dieses Thema wird in Zukunft weiter von der ANPD geregelt werden.

Derzeit empfiehlt die ANPD die Meldung innerhalb von zwei Arbeitstagen ab dem Zeitpunkt, an dem der für die Verarbeitung Verantwortliche von dem Vorfall Kenntnis genommen hat.

Wie wird die Datenschutzverletzung in der Praxis gemeldet?

Die ANPD stellt ein Formular zur Verfügung, das von der meldenden Partei mit Hilfe ihres DSB auszufüllen ist.

Das Formular ist hier zu finden: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico

Für die Einreichung des Formulars muss das Unternehmen im Sistema Eletrônico de Informações (SEI/PR) registriert sein.

Unser Hinweis lautet, dass Unternehmen sich vorher auf der staatlichen Plattform registrieren lassen sollten, auch wenn sie derzeit nicht von einer Datenschutzverletzung betroffen sind. Denn wie bereits erwähnt, werden Unternehmen leider früher oder später mit Datenschutzverletzungen konfrontiert.

Wenn Sie Unterstützung bei der Umsetzung des brasilianischen Datenschutzgesetzes benötigen, stehen wir Ihnen gerne zur Verfügung. Bitte kontaktieren Sie Herrn Cavalcante über fcavalcante@first-privacy.com

Fábio Cavalcante | 7. Juni 2022 | Aufsichtsbehörden, Internationaler Datenschutz | brasilianisches Recht, Brasilien, Datenschutzverletzung, Meldungspflicht

Meldung von Datenschutzverletzungen nach dem brasilianischen Datenschutzgesetz (LGPD)

Worüber sollte an die ANPD gemeldet werden?

Welche Frist gilt für die Meldung an die ANPD?

Wie wird die Datenschutzverletzung in der Praxis gemeldet?