Datenschutz-Folgenabschätzung (DSFA) nach brasilianischem Datenschutzrecht

Nach dem brasilianischen Datenschutzgesetz (LGPD) müssen Verantwortliche eine Reihe verpflichtender Vorgaben einhalten. So z. B. auch die Durchführung von Datenschutz-Folgenabschätzungen. 

Eine DSFA wird durchgeführt, um „das Risiko von Verarbeitungstätigkeiten für die Grundrechte und Freiheiten der betroffenen Personen unter bestimmten Umständen“ zu bewerten (Art. 5, XVII LGPD). Obwohl das LGPD diese Pflicht vorsieht, gibt es bislang keine konkreten Vorgaben, wie eine DSFA durchzuführen ist oder wann sie erforderlich wird.

Artikel 38 legt lediglich fest, dass die brasilianische Datenschutzbehörde (ANPD) die Durchführung einer DSFA anfordern kann. Zudem besagt Artikel 10 LGPD: „Die nationale Behörde kann vom Verantwortlichen eine Datenschutz-Folgenabschätzung verlangen, wenn die Verarbeitung auf berechtigtem Interesse beruht, wobei Geschäfts- und Betriebsgeheimnisse zu wahren sind.“

Was sollte eine DSFA enthalten?

Die ANPD hat bisher keine Leitlinien oder Verordnungen zur DSFA veröffentlicht. Derzeit verweisen nur die Artikel 5 und 38 LGPD knapp auf die erforderlichen Inhalte:

  • Beschreibung der Verarbeitungsvorgänge, die Risiken für Grundrechte und Freiheiten bergen könnten
  • Beschreibung der verarbeiteten Datenarten
  • Mittel zur Erhebung personenbezogener Daten
  • Maßnahmen und Schutzvorkehrungen zum Schutz personenbezogener Daten
  • Mechanismen zur Risikominderung

Es wird zudem empfohlen, die Kontaktdaten des*der Datenschutzbeauftragten anzugeben, um der Behörde eine direkte Ansprechperson zur Verfügung zu stellen.

Angesichts der Bedeutung von Datenschutz-Folgenabschätzungen – die auch in anderen Datenschutzgesetzen wie der europäischen Datenschutz-Grundverordnung (DSGVO) vorgesehen sind – lassen sich wichtige Erkenntnisse ableiten, wie eine DSFA durchgeführt werden sollte und in welchen Standardsituationen sie voraussichtlich erforderlich ist.

Typische Szenarien mit hohem Risiko für Betroffene

  • Verarbeitung personenbezogener Daten mittels innovativer Technologien oder automatisierter Entscheidungsprozesse
  • Verarbeitung sensibler Daten oder Daten von Minderjährigen
  • Geolokalisierung oder Profiling des Verhaltens von Betroffenen

Im Hinblick auf die Komplexität einer DSFA und der Tatsache, dass eine detaillierte Regulierung durch die ANPD noch aussteht, empfehlen wir Ihnen sich auf unsere Expertise zu verlassen und uns frühzeitig in den Prozess mit einzubinden.

Kontaktperson

Fábio Cavalcante

Fábio Cavalcante, LL.M.

Senior Berater Datenschutz

E-Mail: fcavalcante@re-move-this.first-privacy.com

Telefon: +49 421 69 66 32-886

Mehr erfahren

Verzeichnisse von Verarbeitungstätigkeiten gemäß LGPD

Mehr Informationen

LGPD: Wie müssen Unternehmen bei Sicherheitsvorfällen nach brasilianischem Datenschutzrecht reagieren?

Mehr Informationen

Auftragsverarbeitungsverträge: Diese Verpflichtungen gibt es unter dem LGPD

Mehr Informationen

Datenschutzhinweise für Mitarbeitende gemäß LGPD richtig gestalten

Mehr Informationen