DSGVO vs. LGPD: Vergleich des Datenschutzrechts EU vs. Brasilien (2026)
Die EU-DSGVO und die brasilianische LGPD (Gesetz Nr. 13.709/2018) teilen grundlegende Prinzipien, unterscheiden sich jedoch in drei zentralen strukturellen Punkten: Die LGPD bietet 10 Rechtsgrundlagen gegenüber den 6 der DSGVO, deckelt Bußgelder am brasilianischen Umsatz statt am weltweiten Umsatz und leitet die gesamte Durchsetzung über eine einzige nationale Behörde statt über mehr als 30 Datenschutzbehörden.
Die Datenschutz-Grundverordnung (DSGVO) der EU und die brasilianische Lei Geral de Proteção de Dados (LGPD, Gesetz Nr. 13.709/2018) gehören zu den zwei folgenreichsten Datenschutzrahmenwerken der Welt. Die LGPD wurde unmittelbar von der DSGVO inspiriert, und beide Gesetze teilen eine gemeinsame Architektur. Dennoch weichen sie in bedeutsamer Weise voneinander ab: Rechtsgrundlagen, Bußgeldstrukturen, Durchsetzungsmodelle, Fristen zur Meldung von Datenschutzverletzungen und Anforderungen an den Datenschutzbeauftragten unterscheiden sich sämtlich.
Dieser Vergleich behandelt jeden bedeutsamen strukturellen Unterschied zwischen den beiden Rahmenwerken, einschließlich des wegweisenden gegenseitigen Angemessenheitsbeschlusses vom Januar 2026, der nun den freien Datenfluss zwischen der EU und Brasilien ermöglicht.
Kurzantwort: DSGVO vs. LGPD im Überblick
Die DSGVO gilt im gesamten Europäischen Wirtschaftsraum. Die LGPD gilt für jede Datenverarbeitung mit Bezug zu Brasilien. Beide Gesetze teilen zentrale Grundsätze (Zweckbindung, Datenminimierung, Transparenz, Rechenschaftspflicht) und verlangen beide einen Datenschutzbeauftragten, Betroffenenrechte, die Meldung von Datenschutzverletzungen sowie Kontrollen bei internationalen Übermittlungen.
Die wesentlichen Unterschiede: Die LGPD bietet mehr Rechtsgrundlagen (10 vs. 6), deckelt Bußgelder am brasilianischen statt am weltweiten Umsatz, wird von einer einzigen nationalen Behörde statt von mehr als 30 Datenschutzbehörden durchgesetzt und verlangte historisch weniger vorgeschriebene Unabhängigkeitsregeln für den Datenschutzbeauftragten. Seit Januar 2026 erkennen sich beide Regime gegenseitig offiziell als angemessen an, die bedeutendste Entwicklung, seit beide Gesetze in Kraft getreten sind.
Die beiden Regelungen im Überblick
| Merkmal | DSGVO | LGPD |
|---|---|---|
| Zuständigkeit | EU/EWR (27 Mitgliedstaaten + Norwegen, Island, Liechtenstein) | Brasilien |
| Erlassen | 14. April 2016 | 14. August 2018 |
| In Kraft | 25. Mai 2018 | 18. September 2020 (Bußgelder: 1. August 2021) |
| Durchsetzungsbehörde | 30+ nationale Datenschutzbehörden + EDSA | ANPD (einzige Bundesbehörde) |
| Rechtsgrundlagen | 6 (Art. 6) | 10 (Art. 7) |
| Höchstes Bußgeld | 20 Mio. Euro oder 4 % des weltweiten Umsatzes | 2 % des brasilianischen Umsatzes, gedeckelt bei 50 Mio. BRL je Verstoß |
| Meldung von Datenschutzverletzungen | 72 Stunden an die Datenschutzbehörde | ANPD empfiehlt 2 Werktage (verbindliche Regel steht noch aus) |
| Datenschutzbeauftragter erforderlich | Bedingt (öffentliche Stellen, risikoreiche/umfangreiche Verarbeitung) | Alle Verantwortlichen (mit begrenzter KMU-Ausnahme nach Resolution 2/2022) |
| Gegenseitige Angemessenheit | Ja: Durchführungsbeschluss (EU) 2026/179, 27. Januar 2026 | Ja: ANPD-Resolution CD/ANPD Nr. 32, 26. Januar 2026 |
Gemeinsame Grundlage und strukturelle Ähnlichkeiten
Die LGPD übernahm ihre grundlegende Architektur bewusst von der DSGVO. Brasilianische Gesetzgeber untersuchten das europäische Modell und übernahmen dessen zentrale Bausteine: Betroffenenrechte, die Rollen von Verantwortlichem und Auftragsverarbeiter, Rechtsgrundlagen für die Verarbeitung, besondere Kategorien sensibler Daten, Beschränkungen internationaler Übermittlungen und eine eigens zuständige Aufsichtsbehörde.
Beide Gesetze definieren personenbezogene Daten weit gefasst als jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Beide erkennen eine gesonderte Kategorie sensibler Daten mit erhöhtem Schutzbedarf an. Beide verlangen von Verantwortlichen, angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen, Folgenabschätzungen für risikoreiche Verarbeitungen durchzuführen und ihre Verarbeitungstätigkeiten zu dokumentieren.
Das praktische Ergebnis: Ein DSGVO-konformes Programm bietet eine solide Grundlage für die LGPD-Compliance. Die Lücken sind jedoch bedeutsam genug, dass ein DSGVO-Programm allein noch keine LGPD-Compliance bedeutet.
Anwendungsbereich und Geltung
Die räumliche Reichweite der DSGVO ist bewusst extraterritorial ausgestaltet. Sie gilt für jede Organisation, die personenbezogene Daten von Personen im EWR verarbeitet, unabhängig davon, wo die Organisation ansässig ist. Ein in den Vereinigten Staaten ansässiges E-Commerce-Unternehmen, das an EU-Einwohner verkauft, unterliegt der DSGVO.
Die LGPD gilt für jede Verarbeitung, die in Brasilien durchgeführt wird, die darauf abzielt, Personen in Brasilien Waren oder Dienstleistungen anzubieten, oder die personenbezogene Daten betrifft, die in Brasilien erhoben wurden. Wie die DSGVO verlangt sie keine physische Präsenz der Organisation in Brasilien.
Die LGPD gilt sowohl für gewinnorientierte als auch für gemeinnützige Organisationen. Ausnahmen bestehen für rein persönliche oder familiäre Verarbeitung, journalistische oder künstlerische Zwecke, im öffentlichen Interesse durchgeführte akademische Forschung, öffentliche Sicherheit, nationale Verteidigung und strafrechtliche Ermittlungen. Ein bedeutsamer Unterschied: Die LGPD gilt für die Datenverarbeitung durch Regierungsstellen, befreit öffentliche Einrichtungen jedoch von Geldbußen. Regierungsstellen können Verwarnungen, die verpflichtende Offenlegung von Verstößen und Anordnungen zur Aussetzung der Verarbeitung erhalten, jedoch nicht die Geldbußen von bis zu 50 Millionen BRL, die für Privatunternehmen gelten.
Begriffsvergleich
| Begriff der DSGVO | LGPD-Entsprechung |
|---|---|
| Betroffene Person | Titular |
| Personenbezogene Daten | Dados pessoais |
| Besondere Kategorien / sensible Daten | Dados pessoais sensíveis (Art. 5 Ziff. II) |
| Verantwortlicher | Controlador |
| Auftragsverarbeiter | Operador |
| Datenschutzbeauftragter | Encarregado |
| Aufsichtsbehörde / Datenschutzbehörde | ANPD |
Die Definition sensibler personenbezogener Daten der LGPD orientiert sich eng an den besonderen Kategorien der DSGVO, umfasst jedoch ausdrücklich auch die weltanschauliche Überzeugung (neben der religiösen Überzeugung) und behandelt Daten von Kindern und Jugendlichen als eigenständige sensible Kategorie mit besonderer Behandlung nach Artikel 14 der LGPD.
Rechtsgrundlagen für die Verarbeitung: Sechs vs. zehn
Dies ist der bedeutendste strukturelle Unterschied zwischen den beiden Rahmenwerken.
Die DSGVO sieht in Artikel 6 sechs Rechtsgrundlagen vor: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen.
Die LGPD sieht in Artikel 7 zehn Rechtsgrundlagen vor. Sie übernimmt alle sechs Grundlagen der DSGVO und ergänzt vier weitere:
| Rechtsgrundlage | DSGVO | LGPD |
|---|---|---|
| Einwilligung | Ja (Art. 6 Abs. 1 lit. a) | Ja (Art. 7 Ziff. I) |
| Vertragserfüllung | Ja (Art. 6 Abs. 1 lit. b) | Ja (Art. 7 Ziff. V) |
| Gesetzliche oder behördliche Verpflichtung | Ja (Art. 6 Abs. 1 lit. c) | Ja (Art. 7 Ziff. II) |
| Lebenswichtige Interessen | Ja (Art. 6 Abs. 1 lit. d) | Erfasst unter Gesundheits- und Lebensschutz |
| Öffentliches Interesse / öffentliche Aufgabe | Ja (Art. 6 Abs. 1 lit. e) | Ja (Art. 7 Ziff. III) |
| Berechtigte Interessen | Ja (Art. 6 Abs. 1 lit. f) | Ja (Art. 7 Ziff. IX) |
| Studien durch Forschungseinrichtungen | Unter öffentlichem Interesse subsumiert | Ja, eigenständige Grundlage (Art. 7 Ziff. IV) |
| Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schiedsverfahren | Unter rechtlicher Verpflichtung subsumiert | Ja, eigenständige Grundlage (Art. 7 Ziff. VI) |
| Gesundheits- oder Lebensschutz | Unter lebenswichtigen Interessen subsumiert | Ja, eigenständige Grundlage (Art. 7 Ziff. VIII) |
| Kreditschutz | Keine eigene Grundlage | Ja, einzigartig für die LGPD (Art. 7 Ziff. X) |
Die Grundlage des Kreditschutzes ist eine Besonderheit des brasilianischen Rechts. Sie spiegelt die wirtschaftliche Bedeutung von Bonitätsprüfungen und Finanzdatensystemen auf dem brasilianischen Markt wider. Ein Finanzinstitut, das Kundendaten zur Durchführung einer Kreditprüfung verarbeitet, kann sich unmittelbar auf diese Grundlage stützen.
Die Grundlage des Gesundheitsschutzes erfasst Verfahren durch Angehörige der Gesundheitsberufe, Gesundheitsdienste oder Gesundheitsbehörden. Sie funktioniert ähnlich wie die Ausnahme lebenswichtiger Interessen der DSGVO, ist jedoch ausdrücklich auf den Gesundheits- und Sanitätsbereich beschränkt, statt auf jeden lebensbedrohlichen Notfall.
Für sensible personenbezogene Daten verlangt die DSGVO eine ausdrückliche Einwilligung oder eine der eng gefassten Ausnahmen nach Artikel 9 Absatz 2. Artikel 11 der LGPD erlaubt die Verarbeitung sensibler Daten ohne Einwilligung, wenn dies für gesetzliche Verpflichtungen, öffentliche Ordnung, Forschung, die Ausübung von Rechten, Gesundheitsschutz, Lebensschutz oder Betrugsprävention unerlässlich ist.
Vergleich der Betroffenenrechte
Beide Rahmenwerke gewähren Einzelpersonen umfassende Rechte über ihre personenbezogenen Daten, mit erheblichen Überschneidungen.
| Recht | DSGVO | LGPD |
|---|---|---|
| Bestätigung der Verarbeitung | Ja (Art. 15) | Ja (Art. 18 Ziff. I) |
| Zugang zu Daten | Ja (Art. 15) | Ja (Art. 18 Ziff. II) |
| Berichtigung | Ja (Art. 16) | Ja (Art. 18 Ziff. III) |
| Löschung | Ja, "Recht auf Vergessenwerden" (Art. 17) | Ja (Art. 18 Ziff. VI) |
| Datenübertragbarkeit | Ja (Art. 20) | Ja (Art. 18 Ziff. V) |
| Einschränkung der Verarbeitung | Ja (Art. 18) | Kein direktes Äquivalent |
| Widerspruch gegen die Verarbeitung | Ja (Art. 21) | Ja (Art. 18 Ziff. IV: Anonymisierung, Sperrung oder Löschung) |
| Überprüfung automatisierter Entscheidungen | Ja, Recht auf menschliche Überprüfung (Art. 22) | Ja (Art. 20), jedoch ohne ausdrückliches Erfordernis menschlicher Überprüfung |
| Information über Weitergabe | Im Auskunftsrecht enthalten | Ausdrückliches eigenständiges Recht (Art. 18 Ziff. VII) |
| Widerruf der Einwilligung | Ja (Art. 7 Abs. 3) | Ja (Art. 18 Ziff. IX) |
| Beschwerde bei der Behörde | Ja | Ja (Art. 18 § 1) |
Zwei Unterschiede sind bemerkenswert. Erstens enthält die LGPD kein ausdrückliches Recht auf Einschränkung der Verarbeitung vergleichbar mit Artikel 18 DSGVO. Betroffene können Anonymisierung, Sperrung oder Löschung verlangen, es fehlt jedoch ein Mechanismus, um die Verarbeitung während der Klärung eines Streits einfach zu pausieren.
Zweitens gewährt Artikel 20 der LGPD das Recht, eine Überprüfung automatisierter Entscheidungen zu verlangen, verlangt jedoch anders als Artikel 22 DSGVO nicht ausdrücklich eine menschliche Überprüfung. Die Regulierungsagenda der ANPD für 2025-2026 sieht die Herausgabe verbindlicher Leitlinien zu Rechten im Zusammenhang mit automatisierter Entscheidungsfindung vor, doch diese Leitlinien waren Stand Mai 2026 noch nicht abgeschlossen.
Hinsichtlich der Antwortfristen schreibt die LGPD eine Frist von 15 Tagen für eine ausführliche Antwort auf eine Auskunftsanfrage einer betroffenen Person vor. Die DSGVO gewährt Verantwortlichen 30 Tage (mit Verlängerungsmöglichkeit auf drei Monate bei komplexen Anfragen). Das kürzere LGPD-Zeitfenster erzeugt einen engeren operativen Druck für Organisationen mit hohem Anfragenvolumen.
Aufsichtsbehörden: ANPD vs. EU-Datenschutzbehörden
Der strukturelle Unterschied in der Durchsetzungsarchitektur ist bedeutsam.
Nach der DSGVO verteilt sich die Durchsetzung auf mehr als 30 nationale Datenschutzbehörden, koordiniert durch den Europäischen Datenschutzausschuss (EDSA). Bei grenzüberschreitender Verarbeitung mit Bezug zu mehreren EU-Mitgliedstaaten benennt der "One-Stop-Shop"-Mechanismus eine federführende Datenschutzbehörde im Land der EU-Niederlassung des Verantwortlichen, wobei andere Behörden als "betroffene Behörden" agieren. Dies hat zu wegweisenden Bußgeldern der irischen Datenschutzkommission (die Meta, Google und Apple für EU-Zwecke beaufsichtigt) und der französischen CNIL geführt.
Die LGPD wird von einer einzigen Bundesbehörde durchgesetzt: der ANPD. Die ANPD wurde 2020 gegründet und im Februar 2025 zu einer vollständig unabhängigen Bundesregulierungsbehörde erhoben, wodurch sie funktionelle, technische, entscheidungsbezogene, administrative und finanzielle Autonomie erhielt. Diese Unabhängigkeit schirmt die ANPD vor politischem Druck ab und stellt sie institutionell auf eine Stufe mit der brasilianischen Zentralbank und der Wettbewerbsbehörde (CADE).
Die Durchsetzungskapazität der ANPD entwickelt sich im Vergleich zu den aktivsten europäischen Datenschutzbehörden noch weiter. Ihre ersten bedeutenden Durchsetzungsmaßnahmen erfolgten 2023 und 2024. Bis 2025 erreichten die Bußgelder und Sanktionen der ANPD insgesamt rund 98 Millionen BRL (etwa 20 Millionen USD).
Sanktionen im Vergleich
Die Sanktionsregime unterscheiden sich sowohl im Umfang als auch in der Berechnungsmethode.
| Durchsetzungsaspekt | DSGVO | LGPD |
|---|---|---|
| Höchstes Bußgeld | 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) | 2 % des Umsatzes des Unternehmens in Brasilien, gedeckelt bei 50 Millionen BRL (rund 10 Millionen USD) je Verstoß |
| Umsatzbasis | Weltweiter Jahresumsatz | Nur brasilianischer Umsatz (Konzern oder Unternehmensgruppe) |
| Tagessatz | In einigen Mitgliedstaaten möglich | Ja (vorbehaltlich der Gesamtobergrenze von 50 Millionen BRL) |
| Nicht-monetäre Sanktionen | Verwarnungen, Verarbeitungsverbote, Löschungsanordnungen | Verwarnungen, öffentliche Bekanntgabe, Sperrung/Löschung von Daten, Aussetzung der Verarbeitung |
| Regierungsstellen | In den meisten Mitgliedstaaten bußgeldpflichtig | Von Geldbußen befreit |
| Individuelles Klagerecht | Je nach Mitgliedstaat unterschiedlich | Ja, nach Verbraucherschutzrecht und zivilrechtlicher Haftung |
Für große multinationale Konzerne führt die Bemessungsgrundlage der DSGVO von 4 % des weltweiten Umsatzes zu einem deutlich höheren Risiko. Ein Unternehmen mit 10 Milliarden USD weltweitem Umsatz sieht sich einem maximalen DSGVO-Bußgeld von 400 Millionen USD gegenüber; das maximale LGPD-Bußgeld desselben Unternehmens ist unabhängig von der weltweiten Größenordnung auf rund 10 Millionen USD gedeckelt.
Die LGPD sieht zudem die Aussetzung der Verarbeitung als Sanktion vor, die auch ohne hohe Geldbuße operativ bedeutsam sein kann. Die ANPD nutzte diese Befugnis in ihrem Verfahren gegen Meta: Im Juli 2024 ordnete die ANPD an, dass Meta die Nutzung personenbezogener Daten brasilianischer Nutzer für das KI-Training unverzüglich aussetzt, durchgesetzt mit einem Zwangsgeld von 50.000 BRL pro Tag bei Nichteinhaltung. Die Aussetzung wurde Ende August 2024 aufgehoben, nachdem Meta einem überwachten Compliance-Plan zugestimmt hatte. Die ANPD stellte fest, dass Meta sich unzureichend auf berechtigtes Interesse als Rechtsgrundlage für das KI-Training gestützt, keine Transparenz über die Verarbeitungsdetails geboten und die Daten Minderjähriger nicht geschützt hatte.
Anforderungen an DSB und Encarregado
Beide Gesetze verlangen einen Datenschutzbeauftragten (die LGPD bezeichnet die Rolle als Encarregado), doch die Anforderungen unterscheiden sich erheblich.
Nach der DSGVO ist ein Datenschutzbeauftragter nur verpflichtend für: öffentliche Behörden und Stellen, Organisationen, deren Kerntätigkeit eine regelmäßige und systematische umfangreiche Überwachung von Personen umfasst, und Organisationen, die besondere Kategorien personenbezogener Daten oder Daten über strafrechtliche Verurteilungen in großem Umfang verarbeiten (Artikel 37). Die DSGVO schreibt vor, dass der Datenschutzbeauftragte über Fachwissen im Datenschutzrecht verfügen, unabhängig handeln, direkt der obersten Leitungsebene unterstellt sein und für die Erfüllung seiner Aufgaben nicht entlassen oder benachteiligt werden darf.
Nach der LGPD mussten ursprünglich alle Verantwortlichen unabhängig von Größe oder Verarbeitungsumfang einen Encarregado benennen. Die ANPD erließ anschließend die Resolution CD/ANPD Nr. 2/2022, die kleine Verarbeitungsstellen (kleine Unternehmen, Start-ups und Einzelunternehmer) von der Pflicht befreit, sofern sie keine risikoreichen Daten verarbeiten. Die LGPD schreibt die Qualifikationen des Encarregado nicht mit derselben Detailtiefe vor wie die DSGVO, und die Unabhängigkeitsanforderungen sind weniger streng. Der Encarregado muss öffentlich benannt werden (Name und Kontaktdaten müssen veröffentlicht werden), es besteht jedoch keine verpflichtende direkte Berichtslinie zur Geschäftsleitung.
Eine praktische Lücke: Ein Unternehmen, das keine öffentliche Stelle ist und keine umfangreiche systematische Überwachung durchführt, benötigt möglicherweise keinen DSGVO-Datenschutzbeauftragten, benötigt jedoch möglicherweise dennoch einen LGPD-Encarregado, wenn es als Verantwortlicher personenbezogene Daten brasilianischer Personen verarbeitet (sofern nicht die Ausnahme für Kleinunternehmen gilt).
Meldung von Datenschutzverletzungen
Die DSGVO verpflichtet Verantwortliche, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, die ein Risiko für die Rechte von Personen darstellt. Betroffene Personen müssen unverzüglich direkt benachrichtigt werden, wenn die Verletzung ein hohes Risiko birgt.
Artikel 48 der LGPD verpflichtet Verantwortliche, die ANPD und betroffene Personen über Sicherheitsvorfälle zu informieren, die ein erhebliches Risiko oder einen Schaden verursachen können. Das Gesetz legt kein festes Zeitfenster für die Meldung fest. Die ANPD hat einen "angemessenen Zeitrahmen" von zwei Werktagen für die Meldung empfohlen, dies bleibt jedoch Stand Mai 2026 eine Empfehlung und keine verbindliche gesetzliche Frist. Die ANPD hat erklärt, dass sie im Rahmen ihrer Regulierungsagenda verbindliche Vorschriften zur Meldung von Datenschutzverletzungen erlassen will, doch dieses Regelsetzungsverfahren stand noch aus.
Für multinationale Organisationen besteht der praktische Ansatz darin, die 72-Stunden-Frist der DSGVO als internen Standard anzuwenden. Jede Verletzung, die eine DSGVO-Meldung erfordert, sollte gleichzeitig das LGPD-Meldeverfahren auslösen, sofern brasilianische Betroffene betroffen sind.
Datenschutz-Folgenabschätzungen
Beide Gesetze sehen Folgenabschätzungen vor, jedoch mit unterschiedlichen Auslösern und Compliance-Strukturen.
Die DSGVO verlangt nach Artikel 35 eine Datenschutz-Folgenabschätzung (DSFA), wann immer eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte von Personen mit sich bringt. Drei Kategorien erfordern stets eine DSFA: systematische Bewertung mit Profiling, umfangreiche Verarbeitung sensibler Daten und umfangreiche systematische Überwachung öffentlich zugänglicher Bereiche. Verantwortliche müssen die DSFA dokumentieren und in bestimmten Fällen vor Beginn der Verarbeitung die Aufsichtsbehörde konsultieren.
Artikel 38 der LGPD verfolgt einen reaktiven Ansatz: Die ANPD kann jederzeit von einem Verantwortlichen die Erstellung eines Relatório de Impacto à Proteção de Dados Pessoais (RIPD) verlangen. Verantwortliche sind nicht verpflichtet, proaktiv vor Beginn einer risikoreichen Verarbeitung ein RIPD zu erstellen. Die Regulierungsagenda der ANPD für 2025-2026 führt DSFAs jedoch als prioritäres Thema für neue verbindliche Vorschriften auf, und Organisationen, die in Brasilien tätig sind, sollten bereits jetzt mit der Erstellung von RIPDs für risikoreiche Verarbeitungen beginnen, statt zu warten, bis die Anforderung verbindlich wird.
Internationale Datenübermittlungen
Der gegenseitige Angemessenheitsbeschluss vom Januar 2026
Am 27. Januar 2026 verabschiedeten die Europäische Kommission und Brasilien gleichzeitig gegenseitige Angemessenheitsbeschlüsse. Die EU erließ den Durchführungsbeschluss (EU) 2026/179 und erkannte Brasilien nach Artikel 45 als Land an, das ein im Wesentlichen der DSGVO gleichwertiges Datenschutzniveau bietet. Brasilien erwiderte dies durch die Resolution CD/ANPD Nr. 32 der ANPD vom 26. Januar 2026, mit der die EU nach der LGPD als angemessenes Rechtssystem anerkannt wurde.
Die praktischen Folgen sind in beide Richtungen bedeutsam:
Übermittlungen von der EU nach Brasilien können nun ohne Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder andere Garantien nach Artikel 46 erfolgen. Der Angemessenheitsbeschluss deckt Übermittlungen sowohl im öffentlichen als auch im privaten Sektor ab, mit der üblichen Ausnahme für Zwecke der nationalen Sicherheit, Verteidigung und strafrechtlicher Ermittlungen.
Übermittlungen von Brasilien in die EU können im Rahmen der Angemessenheitsfeststellung der ANPD ohne zusätzliche vertragliche Garantien erfolgen.
Der Beschluss unterliegt einer förmlichen Überprüfung alle vier Jahre. Die Stellungnahme 28/2025 des EDSA war weitgehend zustimmend, forderte die Europäische Kommission jedoch auf, die Umsetzung von DSFAs, die Regeln zur Weiterübermittlung, Transparenzbeschränkungen und Schutzmaßnahmen beim Zugriff durch Behörden in Brasilien weiter zu beobachten.
Die Resolution CD/ANPD Nr. 19/2024 und das SCC-Rahmenwerk
Vor dem Angemessenheitsbeschluss war das zentrale Rahmenwerk für ausgehende Übermittlungen aus Brasilien die ANPD-Resolution 19/2024, veröffentlicht am 23. August 2024. Diese Resolution legte die brasilianischen Standardvertragsklauseln für internationale Datenübermittlungen fest und gewährte Unternehmen eine einjährige Übergangsfrist zu deren Einbindung. Die Übergangsfrist lief am 23. August 2025 aus, danach benötigten Übermittlungen aus Brasilien in nicht angemessene Drittländer Standardvertragsklauseln oder einen anderen genehmigten Mechanismus.
Für Übermittlungen von Brasilien an EU-Organisationen verdrängt die Angemessenheitsfeststellung der ANPD vom Januar 2026 nun die Anforderung an Standardvertragsklauseln. Für Übermittlungen in andere Rechtsordnungen bleibt das Rahmenwerk der Resolution 19/2024 (Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder spezifische Vertragsklauseln) die erforderliche Garantie.
Organisationen, die brasilienspezifische Standardvertragsklauseln für EU-Brasilien-Datenströme abgeschlossen haben, sollten ihre Übermittlungsdokumentation aktualisieren, um sich auf die Angemessenheitsgrundlage zu beziehen. Die Standardvertragsklauseln bleiben technisch gültig, sind jedoch für diesen Übermittlungsabschnitt nicht mehr rechtlich erforderlich.
Durchsetzung in der Praxis: Die Bilanz der ANPD
Die ersten förmlichen Durchsetzungsmaßnahmen der ANPD erfolgten 2023. 2024 verhängte die Behörde Sanktionen gegen drei brasilianische öffentliche Einrichtungen: die Regionale Bildungsabteilung des Bundesdistrikts (SEEDF), das Nationale Institut für Sozialversicherung (INSS) und das Gesundheitsministerium. Alle drei Fälle betrafen Versäumnisse bei der Meldung von Datenschutzverletzungen und unzureichende Sicherheitsmaßnahmen. Da es sich um Regierungsstellen handelt, bestanden die Sanktionen aus Verwarnungen und verpflichtender öffentlicher Offenlegung statt Geldbußen.
Die aufsehenerregendste Maßnahme der ANPD im Privatsektor war die Aussetzung des KI-Trainings von Meta mit brasilianischen Nutzerdaten im Juli 2024. Die ANPD stellte fest, dass die aktualisierte Datenschutzrichtlinie von Meta sich unzureichend auf berechtigtes Interesse als Rechtsgrundlage für das KI-Training stützte, keine Transparenz über die Verarbeitungsdetails bot, die Ausübung von Betroffenenrechten erschwerte und keine angemessenen Schutzmaßnahmen für die Daten Minderjähriger vorsah. Die Aussetzung wurde mit einem Zwangsgeld von 50.000 BRL pro Tag durchgesetzt. Meta und die ANPD erzielten Ende August 2024 eine Einigung, wonach sich Meta zu einem überwachten Compliance-Plan verpflichtete, im Gegenzug wurde die Aussetzung aufgehoben.
Bis 2025 führte die Gesamtdurchsetzung der ANPD zu Bußgeldern und Sanktionen in Höhe von rund 98 Millionen BRL. Die institutionelle Unabhängigkeit der ANPD (gesichert im Februar 2025) und ihre erklärten Durchsetzungsprioritäten für 2026-2027 deuten auf eine aktivere Durchsetzungsphase hin.
Aktuelle Entwicklungen: Regulierungsagenda 2024-2026
Prioritäre Themen der ANPD 2026-2027
Im Dezember 2025 veröffentlichte die ANPD die Resolution CD/ANPD Nr. 30, mit der sie ihre Karte prioritärer Themen für den Zweijahreszeitraum 2026-2027 festlegte, sowie die Resolution CD/ANPD Nr. 31/2025, mit der sie ihre Regulierungsagenda 2025-2026 aktualisierte. Die vier prioritären Durchsetzungs- und Regulierungsbereiche sind:
- Betroffenenrechte, mit besonderem Fokus auf sensible Daten, die für Werbezwecke genutzt werden
- Schutz von Kindern und Jugendlichen im Rahmen des digitalen ECA, einschließlich Altersverifikation und Anforderungen an Privacy by Default
- Einhaltung der LGPD durch Regierungsstellen, einschließlich Daten-Governance und Weitergaberegeln zwischen Behörden
- KI und neue Technologien, einschließlich der Aufsicht über die Nutzung personenbezogener Daten in KI-Systemen
Verbindliche Vorschriften zu DSFAs, Rechten bei automatisierter Entscheidungsfindung und Fristen zur Meldung von Datenschutzverletzungen stehen sämtlich auf der Agenda für den Erlass.
Der KI-Gesetzentwurf Brasiliens
Der brasilianische Senat verabschiedete am 10. Dezember 2024 den KI-Gesetzentwurf Nr. 2338/2023 und leitete ihn im März 2025 an die Abgeordnetenkammer weiter. Der Entwurf verfolgt einen risikobasierten Ansatz, der eng an das EU-KI-Gesetz angelehnt ist, und kategorisiert KI-Systeme als übermäßiges Risiko, hohes Risiko oder allgemeine Nutzung. Nach dem Entwurf würde die ANPD als primäre Regulierungsbehörde für KI-Systeme fungieren, die personenbezogene Daten verarbeiten, mit einer begleitenden Rolle sektorspezifischer Regulierungsbehörden.
Das endgültige Inkrafttreten bleibt ungewiss. Ein politischer Konsens in der Abgeordnetenkammer fehlte Anfang 2026 noch, und der brasilianische Wahlzyklus 2026 verringert die Wahrscheinlichkeit einer Verabschiedung vor 2027. Unternehmen sollten den Gesetzgebungsprozess verfolgen, sich jedoch noch nicht auf den KI-Gesetzentwurf als Compliance-Grundlage verlassen.
Hinweise zur dualen Compliance
Organisationen, die sowohl der DSGVO als auch der LGPD unterliegen, sollten die Rahmenwerke als sich ergänzend statt als redundant behandeln. Die folgenden Bereiche erfordern LGPD-spezifische Aufmerksamkeit, selbst bei DSGVO-konformen Programmen.
Rechtsgrundlagen. Ordnen Sie jeder Verarbeitungstätigkeit gesondert von Ihrer DSGVO-Zuordnung eine LGPD-Grundlage zu. Tätigkeiten, die sich nach der DSGVO auf berechtigte Interessen stützen, verfügen möglicherweise über eine spezifischere LGPD-Grundlage (Kreditschutz, Gesundheitsschutz, Forschung durch Forschungseinrichtungen). Dokumentieren Sie beides.
DSB / Encarregado. Ein Unternehmen, das die bedingte DSGVO-Pflicht zur Bestellung eines Datenschutzbeauftragten nicht auslöst, benötigt möglicherweise dennoch einen Encarregado nach der LGPD, sofern nicht die Ausnahme für Kleinunternehmen nach Resolution CD/ANPD 2/2022 gilt. Der Encarregado muss öffentlich mit Kontaktdaten benannt werden.
Meldung von Datenschutzverletzungen. Die LGPD kennt keine feste gesetzliche Frist. Behandeln Sie die Empfehlung der ANPD von zwei Werktagen als internen Standard, parallel zur 72-Stunden-Frist der DSGVO.
DSFA / RIPD. Führen Sie proaktiv RIPDs für risikoreiche Verarbeitungen durch, auch wenn die LGPD dies noch nicht verlangt. Die ANPD kann sie jederzeit anfordern, und eine verbindliche proaktive Anforderung steht bevor.
Antwortfristen. Die 15-Tage-Frist der LGPD für ausführliche Auskunftsantworten ist kürzer als die 30 Tage der DSGVO. Richten Sie Ihre Prozesse für Auskunftsanfragen auf die engere LGPD-Frist aus.
Internationale Übermittlungen. Seit dem 27. Januar 2026 sind EU-Brasilien-Datenströme in beide Richtungen durch die gegenseitige Angemessenheit abgedeckt. Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten, um für diese Übermittlungsabschnitte die Angemessenheitsgrundlage statt Standardvertragsklauseln widerzuspiegeln. Für Übermittlungen von Brasilien in andere, nicht angemessene Länder bleiben die Standardvertragsklauseln der Resolution 19/2024 erforderlich.
Auftragsverarbeitung für Behörden. Die eigenständige Behandlung öffentlicher Einrichtungen durch die LGPD betrifft Unternehmen, die als Auftragsverarbeiter im Namen brasilianischer Regierungsbehörden personenbezogene Daten verarbeiten. Für die Weitergabe von Behördendaten gelten spezifische Regeln.
Für einen vertieften Einblick in das DSGVO-Rahmenwerk siehe unseren vollständigen Leitfaden zu den EU-Datenschutzgesetzen. Für die brasilianische LGPD im Einzelnen siehe unseren Leitfaden zu den Datenschutzgesetzen Brasiliens.
Diese Seite spiegelt den Rechtsstand von Mai 2026 wider. Sowohl die DSGVO als auch die LGPD entwickeln sich durch behördliche Leitlinien und Durchsetzungsentscheidungen weiter. Wenden Sie sich für eine auf Ihre Organisation zugeschnittene Beratung an einen qualifizierten Rechtsanwalt.
Frequently Asked Questions
Ist die LGPD im Grunde eine Kopie der DSGVO?
Die LGPD wurde stark von der DSGVO inspiriert, ist jedoch keine direkte Kopie. Sie teilt dieselben grundlegenden Prinzipien (Zweckbindung, Datenminimierung, Transparenz, Rechenschaftspflicht), weicht jedoch in mehreren Bereichen ab. Die LGPD hat 10 Rechtsgrundlagen gegenüber den 6 der DSGVO, deckelt Bußgelder bei 2 % des brasilianischen statt 4 % des weltweiten Umsatzes, wird von einer einzigen Behörde statt einem Netzwerk von 30+ Datenschutzbehörden durchgesetzt und hat eine kürzere Antwortfrist für Auskunftsanfragen (15 statt 30 Tage).
Welches Gesetz hat höhere Bußgelder, DSGVO oder LGPD?
Die DSGVO sieht für große Unternehmen deutlich höhere Höchstbußgelder vor: 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist. LGPD-Sanktionen sind auf 2 % des Umsatzes des Unternehmens in Brasilien gedeckelt, mit einer Obergrenze von 50 Millionen BRL (rund 10 Millionen USD) je Verstoß. Bei einem multinationalen Konzern mit 5 Milliarden USD weltweitem Umsatz erreicht das DSGVO-Risiko 200 Millionen USD; das LGPD-Risiko ist unabhängig von der weltweiten Größenordnung auf 10 Millionen USD gedeckelt.
Verlangt die LGPD für jede Datenverarbeitung eine Einwilligung?
Nein. Wie die DSGVO bietet die LGPD mehrere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Die LGPD bietet tatsächlich mehr Optionen als die DSGVO, mit 10 Rechtsgrundlagen einschließlich Einwilligung, berechtigten Interessen, Vertragserfüllung, gesetzlicher Verpflichtung, Kreditschutz und Gesundheitsschutz. Die Einwilligung ist eine Option unter vielen, nicht die Standardanforderung.
Hat Brasilien einen Angemessenheitsbeschluss der EU?
Ja. Am 27. Januar 2026 erließ die Europäische Kommission den Durchführungsbeschluss (EU) 2026/179 und erkannte Brasilien förmlich als Land mit angemessenem Datenschutz nach Artikel 45 DSGVO an. Personenbezogene Daten können nun ohne Standardvertragsklauseln oder andere Garantien nach Artikel 46 von der EU nach Brasilien übermittelt werden. Brasilien erließ gleichzeitig die Resolution CD/ANPD Nr. 32, mit der die EU nach der LGPD als angemessen anerkannt wird.
Kann ein Unternehmen dieselbe Datenschutzrichtlinie für DSGVO- und LGPD-Compliance nutzen?
Eine einzige globale Datenschutzrichtlinie kann beide Rahmenwerke berücksichtigen, muss jedoch LGPD-spezifische Angaben enthalten. Die Richtlinie muss auf die geltenden LGPD-Rechtsgrundlagen verweisen, den Encarregado mit Kontaktdaten benennen, die nach brasilianischem Recht verfügbaren Rechte einschließlich der 15-Tage-Antwortfrist beschreiben und erklären, wie eine Beschwerde bei der ANPD eingereicht werden kann. Viele multinationale Unternehmen führen eine Richtlinie mit rechtsordnungsspezifischen Abschnitten.
Verlangt die LGPD eine Datenschutz-Folgenabschätzung?
Nicht standardmäßig proaktiv. Artikel 38 der LGPD gibt der ANPD die Befugnis, jederzeit von einem Verantwortlichen ein Relatório de Impacto à Proteção de Dados Pessoais (RIPD) anzufordern, verlangt jedoch nicht, dass Verantwortliche vor Beginn einer risikoreichen Verarbeitung eines erstellen. Artikel 35 DSGVO verlangt proaktive DSFAs vor bestimmten risikoreichen Tätigkeiten. Die Regulierungsagenda der ANPD für 2025-2026 sieht eine verbindliche proaktive DSFA-Pflicht vor, sodass Organisationen bereits jetzt mit der Erstellung von RIPDs für risikoreiche Verarbeitungen beginnen sollten.
Welche Maßnahme ergriff die ANPD gegen Meta?
Im Juli 2024 ordnete die ANPD an, dass Meta die Nutzung personenbezogener Daten brasilianischer Nutzer für das KI-Training unverzüglich aussetzt, durchgesetzt mit einem Zwangsgeld von 50.000 BRL pro Tag bei Nichteinhaltung. Die ANPD stellte fest, dass sich die aktualisierte Datenschutzrichtlinie von Meta unzureichend auf berechtigtes Interesse als Rechtsgrundlage für das KI-Training stützte, keine Transparenz bot und die Daten Minderjähriger nicht schützte. Die Aussetzung wurde Ende August 2024 aufgehoben, nachdem Meta einem überwachten Compliance-Plan zugestimmt hatte.
Sources and References
- Durchführungsbeschluss (EU) 2026/179 - EU-Angemessenheitsbeschluss für Brasilien(eur-lex.europa.eu).gov
- LGPD-Volltext - Gesetz Nr. 13.709/2018(planalto.gov.br).gov
- Offizielle Website der ANPD - Autoridade Nacional de Proteção de Dados(gov.br).gov
- Europäische Kommission - Überblick Datenschutz(commission.europa.eu).gov
- DSGVO Artikel 6 - Rechtmäßigkeit der Verarbeitung(gdpr-info.eu)
- DSGVO Artikel 9 - Besondere Kategorien personenbezogener Daten(gdpr-info.eu)
- DSGVO Artikel 35 - Datenschutz-Folgenabschätzung(gdpr-info.eu)
- DSGVO Artikel 37 - Benennung des Datenschutzbeauftragten(gdpr-info.eu)
- DSGVO Artikel 33 - Meldung von Datenschutzverletzungen an die Aufsichtsbehörde(gdpr-info.eu)
- Pressemitteilung der Europäischen Kommission - EU-Brasilien-Angemessenheitsbeschluss, Januar 2026(ec.europa.eu).gov
- EDSA-Stellungnahme 28/2025 - Entwurf des EU-Angemessenheitsbeschlusses für Brasilien(edpb.europa.eu).gov
- US-amerikanische International Trade Administration - Neue Regeln Brasiliens für internationale Datenübermittlungen(trade.gov).gov
- IAPP - Die ANPD wird zur unabhängigen Regulierungsbehörde(iapp.org)