Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Internet Security Center
Gesamtzahl der Tests:
Diese Woche:
Heute:
ImmuniWebComplianceEinhaltung des brasilianischen Datenschutzgesetzes (LGPD)

Einhaltung des brasilianischen Datenschutzgesetzes (LGPD)

Lesezeit:14 Min. Aktualisiert:8. Juli 2025

Das brasilianische Datenschutzgesetz (LGPD) schützt die Datenschutzrechte von Einzelpersonen, verpflichtet Organisationen, die personenbezogene Daten verarbeiten, und schafft einen Rahmen für Transparenz, Sicherheit und Verantwortlichkeit, ähnlich wie die EU-DSGVO.

Einhaltung des brasilianischen Datenschutzgesetzes (LGPD)
Haftungsausschluss: Keine Rechtsberatung – Diese Seite dient ausschließlich zu Informations- und Bildungszwecken. Der Inhalt dieser Seite ist nicht als Rechtsberatung zu verstehen. Für Beratung zu konkreten Rechtsfragen sollten Sie sich an eine Anwaltskanzlei oder einen Rechtsanwalt wenden.

Das brasilianische Lei Geral de Proteção de Dados (LGPD), oder Allgemeines Datenschutzgesetz (Gesetz Nr. 13.709/2018), trat im September 2020 in voller Geltung in Kraft und schuf einen umfassenden Rechtsrahmen für die Verarbeitung personenbezogener Daten in Brasilien.

Die LGPD, die stark von der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union inspiriert ist, zielt darauf ab, die Grundrechte auf Freiheit und Privatsphäre sowie die freie Entfaltung der Persönlichkeit jeder natürlichen Person zu schützen. Sie hat die Datenschutzlandschaft Brasiliens erheblich modernisiert und beeinflusst praktisch jedes Unternehmen, das in Brasilien tätig ist oder dort Dienstleistungen anbietet.

Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Überblick über das brasilianische Datenschutzgesetz (LGPD)

Die LGPD regelt die Erhebung, Verwendung, Speicherung und Weitergabe personenbezogener Daten und legt dabei den Schwerpunkt auf Transparenz, Rechenschaftspflicht und individuelle Rechte. Ihre Kernprinzipien leiten die Datenverarbeitung:

  • Rechtmäßigkeit: Die Datenverarbeitung muss auf einer legitimen Rechtsgrundlage beruhen (z. B. Einwilligung, gesetzliche Verpflichtung, berechtigtes Interesse).
  • Zweckbindung: Daten müssen für bestimmte, eindeutige und gerechtfertigte Zwecke erhoben werden.
  • Datenminimierung: Nur die für den angegebenen Zweck erforderlichen Daten sollten erhoben werden.
  • Datengenauigkeit: Daten müssen korrekt und aktuell gehalten werden.
  • Speicherbegrenzung: Personenbezogene Daten sollten nicht länger als notwendig aufbewahrt werden.
  • Sicherheit und Vertraulichkeit: Zum Schutz der Daten müssen geeignete technische und administrative Maßnahmen getroffen werden.
  • Transparenz: Einzelpersonen müssen über die Verarbeitung ihrer Daten informiert werden.
  • Rechenschaftspflicht: Organisationen sind verantwortlich dafür, die Einhaltung nachzuweisen.

Die LGPD gilt sowohl für die digitale als auch für die physische Datenverarbeitung und hat extraterritoriale Reichweite, sodass sie weltweit Unternehmen betrifft, die Daten von Personen mit Wohnsitz in Brasilien verarbeiten.

Einhaltung des brasilianischen Datenschutzgesetzes (LGPD)

Wichtige Aspekte der Einhaltung des brasilianischen Datenschutzgesetzes (LGPD)

Die Einhaltung der LGPD erfordert einen vielschichtigen Ansatz, der rechtliche, administrative und technische Maßnahmen umfasst.

  1. Definitionen von personenbezogenen Daten und sensiblen personenbezogenen Daten:
    • Technische Details:
      • Personenbezogene Daten: Allgemein definiert als „Informationen über eine identifizierte oder identifizierbare natürliche Person“. Im Gegensatz zur DSGVO enthält sie keine konkreten Beispiele, was zu einer potenziell weiter gefassten Auslegung führen kann. Wenn Daten eine Person direkt oder indirekt identifizieren können, gelten sie als personenbezogene Daten.
      • Sensible personenbezogene Daten: Dazu gehören die rassische oder ethnische Herkunft, die religiöse Überzeugung, die politische Meinung, die Gewerkschaftszugehörigkeit, die Zugehörigkeit zu religiösen, philosophischen oder politischen Organisationen, Daten über Gesundheit oder Sexualleben sowie genetische oder biometrische Daten (wenn sie einer natürlichen Person zugeordnet sind).
      • Technische Umsetzung: Dies erfordert robuste Datenentdeckungs- und Klassifizierungstools sowie Prozesse, um alle personenbezogenen und sensiblen personenbezogenen Daten in den Systemen einer Organisation (Datenbanken, Dateifreigaben, Cloud-Speicher, Anwendungen, Protokolle) präzise zu identifizieren, zu kennzeichnen und zu verfolgen. Dazu ist es erforderlich, die Lage sensibler Daten zu kennen, um angemessene Schutzmaßnahmen anzuwenden.
  2. Rechtsgrundlagen für die Verarbeitung:
    • Technische Details: Unternehmen müssen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 7 LGPD) und sensibler personenbezogener Daten (Art. 11 LGPD) schaffen. Die primäre Grundlage ist die Einwilligung, die frei, informiert, spezifisch und eindeutig sein muss (Opt-in-Modell erforderlich). Weitere Grundlagen sind:
      • Erfüllung eines Vertrags mit der betroffenen Person.
      • Erfüllung gesetzlicher oder regulatorischer Verpflichtungen.
      • Ausübung von Rechten in Rechtsverfahren.
      • Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person.
      • Gesundheitsschutz (für Angehörige der Gesundheitsberufe/Behörden)
      • Kreditschutz.
      • Berechtigte Interessen (mit einer obligatorischen Datenschutz-Folgenabschätzung – DPIA).
    • Technische Umsetzung: Erfordert eine Consent Management Platform (CMP) für Websites und mobile Anwendungen, um granulare Einwilligungspräferenzen zu erfassen, aufzuzeichnen und zu verwalten. Die Systeme müssen integriert sein, um diese Präferenzen zu berücksichtigen und Datenverarbeitungstätigkeiten einzuschränken, wenn keine Einwilligung erteilt oder diese widerrufen wird. Im Falle von berechtigtem Interesse umfasst die DPIA eine technische Bewertung der Risiken der Datenverarbeitung und Maßnahmen zur Risikominderung.
  3. Rechte der betroffenen Person (Rechte des Dateninhabers):
    • Technische Details: Betroffene haben zahlreiche Rechte, darunter:
      • Bestätigung der Verarbeitung
      • Zugriff auf Daten (physische oder digitale Kopie).
      • Korrektur unvollständiger, ungenauer oder veralteter Daten.
      • Anonymisierung, Sperrung oder Löschung unnötiger, übermäßiger oder nicht konformer Daten.
      • Datenportabilität zu einem anderen Dienstleister.
      • Löschung von Daten, die mit Einwilligung verarbeitet wurden.
      • Informationen über öffentliche und private Stellen, an die Daten weitergegeben werden.
      • Informationen über die Folgen der Verweigerung der Einwilligung.
      • Widerruf der Einwilligung.
    • Technische Umsetzung: Erfordert die Einrichtung sicherer Datenzugriffsanfrage-Portale (DSAR) oder Mechanismen. Diese Systeme müssen mit verschiedenen Datenquellen integriert sein, um angeforderte Daten schnell abzurufen, zu formatieren und bereitzustellen. Für Löschungsanfragen müssen robuste sichere Datenlöschtechniken (z. B. kryptografische Löschung, Überschreiben) in allen relevanten Datenspeichern (Produktion, Backups, Logs) implementiert werden. Identitätsprüfungsprozesse sind entscheidend, um sicherzustellen, dass Anfragen legitim sind.
  4. Datensicherheitsanforderungen (Art. 46 LGPD):
    • Technische Details: Organisationen müssen „Sicherheits-, technische und administrative Maßnahmen ergreifen, die personenbezogene Daten vor unbefugtem Zugriff und versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, Weitergabe oder jeder Form von unangemessener oder unrechtmäßiger Verarbeitung schützen“. Obwohl keine spezifischen Technologien vorgeschrieben sind, impliziert dies gängige Sicherheits-Best Practices:
      • Verschlüsselung: Starke Verschlüsselung personenbezogener Daten sowohl im Ruhezustand (z. B. Datenbankverschlüsselung, vollständige Festplattenverschlüsselung, Cloud-Speicherverschlüsselung) als auch in der Übertragung (z. B. TLS 1.2+ für das Web, sichere APIs, VPNs).
      • Zugriffskontrollen: Implementierung von rollenbasierter Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung (MFA) und privilegiertem Zugriffsmanagement (PAM). Das Prinzip der geringsten Privilegien muss durchgesetzt werden.
      • Schwachstellenmanagement und Penetrationstests: Regelmäßige Schwachstellenscans und Penetrationstests aller Systeme, die personenbezogene Daten erheben, verarbeiten oder speichern (Webanwendungen, mobile Apps, APIs, Netzwerke).
      • Plan zur Reaktion auf Vorfälle: Ein klar definierter Plan zur Reaktion auf Vorfälle mit technischen Verfahren zur Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Analyse nach einem Vorfall.
      • Protokollierung und Überwachung: Robuste Protokollierung aller Datenverarbeitungsaktivitäten und Einsatz von Security Information and Event Management (SIEM)-Systemen für die Echtzeitüberwachung und Alarmierung.
      • Sicherer Entwicklungslebenszyklus (SSDLC): Integration von Sicherheit in den Softwareentwicklungsprozess, einschließlich SAST und DAST für eigene Anwendungen.
  5. Datenschutzbeauftragter (DSB):
    • Technische Details: Die LGPD verlangt die Ernennung eines Datenschutzbeauftragten (Encarregado), der als Kommunikationskanal zwischen der Organisation, den betroffenen Personen und der Nationalen Datenschutzbehörde (ANPD) fungiert. Obwohl dies nicht direkt technisch ist, berät der DPO oft zu technischen Sicherheitsmaßnahmen und überwacht DPIAs.
  6. Datenschutz-Folgenabschätzung (DPIA) / Folgenabschätzungsbericht (RIPD):
    • Technische Details: Für Verarbeitungsaktivitäten, die ein hohes Risiko für die Rechte der betroffenen Personen darstellen könnten, ist eine Datenschutz-Folgenabschätzung (RIPD der LGPD) erforderlich. Diese umfasst eine technische Analyse des Verarbeitungsvorgangs, seiner Risiken und der zur Minderung dieser Risiken implementierten Sicherheitsmaßnahmen.
  7. Benachrichtigung bei Datenverletzungen:
    • Technische Details: Im Falle eines Sicherheitsvorfalls, der zu einem „erheblichen Risiko oder relevanten Schaden“ für betroffene Personen führen kann, muss der Verantwortliche die ANPD und die betroffenen Personen „innerhalb einer angemessenen Frist“ (wie durch die ANPD-Verordnungen festgelegt) benachrichtigen. Die Benachrichtigung muss die Art der betroffenen Daten, die damit verbundenen Risiken sowie die ergriffenen Maßnahmen zur Schadensminderung enthalten. Dies erfordert robuste Incident Detection- und Forensikfähigkeiten.
  8. Internationale Datenübermittlungen:
    • Technische Details: Die LGPD beschränkt die internationale Übermittlung personenbezogener Daten auf Länder oder internationale Organisationen, die ein dem LGPD angemessenes Datenschutzniveau bieten oder über spezifische Schutzmaßnahmen (z. B. Standardvertragsklauseln) verfügen. Dies erfordert häufig technische Bewertungen der Empfängerumgebung.
Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Warum ist die Einhaltung des brasilianischen Datenschutzgesetzes (LGPD) wichtig?

Die Einhaltung der LGPD ist für Unternehmen aus mehreren Gründen von entscheidender Bedeutung:

  • Gesetzliche Verpflichtung und Vermeidung von Strafen: Es handelt sich um eine strenge gesetzliche Verpflichtung in Brasilien. Die Nichteinhaltung kann zu erheblichen finanziellen Strafen und anderen Sanktionen durch die ANPD führen.
  • Aufbau von Verbrauchervertrauen: In einer zunehmend datenbewussten Welt schafft die Einhaltung von Datenschutzgesetzen Vertrauen bei brasilianischen Verbrauchern und stärkt so die Markenreputation sowie den Wettbewerbsvorteil.
  • Risikominderung: Durch die Vorgabe robuster Sicherheitsmaßnahmen hilft die LGPD Unternehmen dabei, das Risiko kostspieliger Datenverletzungen, Cyberangriffe und Identitätsdiebstahl proaktiv zu reduzieren.
  • Marktzugang: Für internationale Unternehmen ist die Einhaltung der LGPD unabdingbar, um im brasilianischen Markt rechtmäßig und effektiv tätig zu sein und ihr Engagement für lokale Vorschriften und Verbraucherrechte zu demonstrieren.
  • Anpassung an globale Standards: Aufgrund ihrer Ähnlichkeit mit der DSGVO hilft die Einhaltung der LGPD Unternehmen dabei, sich an führende globale Datenschutzstandards anzupassen, was möglicherweise die Einhaltung anderer internationaler Vorschriften vereinfacht.

Einhaltung des brasilianischen Datenschutzgesetzes (LGPD)

Wer muss das brasilianische Datenschutzgesetz (LGPD) einhalten?

Die LGPD gilt allgemein für alle natürlichen oder juristischen Personen, öffentlich oder privat, die personenbezogene Daten verarbeiten, wenn:

  1. Die Verarbeitung erfolgt in Brasilien.
  2. Der Zweck der Verarbeitung besteht darin, Personen, die sich in Brasilien befinden, Waren oder Dienstleistungen anzubieten oder bereitzustellen.
  3. Die personenbezogenen Daten wurden in Brasilien erhoben.

Das bedeutet, dass die LGPD eine weitreichende extraterritoriale Wirkung hat. Ein Unternehmen, das in den Vereinigten Staaten oder Europa ansässig ist, müsste beispielsweise dennoch der LGPD entsprechen, wenn es Waren oder Dienstleistungen für brasilianische Bürger anbietet und deren personenbezogene Daten erfasst (z. B. über eine E-Commerce-Website oder eine mobile Anwendung).

Das Gesetz umfasst:

  • Datenverantwortliche: Natürliche oder juristische Personen (öffentlich oder privat), die für Entscheidungen über die Verarbeitung personenbezogener Daten verantwortlich sind.
  • Datenverarbeiter: Natürliche oder juristische Personen (öffentlich oder privat), die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Praktisch jede Entität, die mit personenbezogenen Daten von Personen interagiert, die sich physisch in Brasilien aufhalten, fällt in den Geltungsbereich der LGPD.

Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Vergleich zwischen dem brasilianischen Datenschutzgesetz (LGPD) und der DSGVO

Die LGPD wird aufgrund ihrer erheblichen Ähnlichkeiten oft als „Brazil’s GDPR“ bezeichnet. Es gibt jedoch auch wesentliche Unterschiede:

Aspekt LGPD (Brasilien) GDPR (EU)
Philosophische Grundlage Starker Fokus auf individuelle Rechte und Transparenz. Fokus auf das Grundrecht auf Privatsphäre.
Geltungsbereich Gilt für die Verarbeitung in Brasilien, in Brasilien erhobene Daten oder das Anbieten von Waren/Dienstleistungen an Personen in Brasilien. Gilt für die Verarbeitung in der EU, das Anbieten von Waren/Dienstleistungen an Personen in der EU oder die Überwachung von Personen in der EU.
Datendefinition „Informationen über eine identifizierte oder identifizierbare Person.“ Keine konkreten Beispiele, möglicherweise weiter gefasste Auslegung. „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, mit Beispielen.
Sensitive Data Umfasst ausdrücklich biometrische und genetische Daten. Umfasst genetische und biometrische Daten innerhalb „besonderer Kategorien“.
Rechtsgrundlagen Ähnlich der DSGVO (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtiges Interesse, berechtigtes Interesse usw.), aber auch „Kreditschutz“ und „Gesundheitsschutz“. Ähnlich (Einwilligung, Vertrag, gesetzliche Verpflichtung, lebenswichtiges Interesse, berechtigtes Interesse, öffentliche Aufgabe).
Einwilligungsmodell Starker Fokus auf ausdrückliche, freie, informierte, spezifische und eindeutige Einwilligung. Ähnlich starke Betonung der Einwilligung, insbesondere bei sensiblen Daten.
Rechte der betroffenen Personen Sehr ähnlich (Zugriff, Korrektur, Anonymisierung/Sperrung/Löschung, Übertragbarkeit, Informationen über die Weitergabe/Konsequenzen der Verweigerung der Einwilligung, Widerruf der Einwilligung). Sehr ähnlich (Zugriff, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, automatisierte Entscheidungsfindung).
Datenschutzbeauftragter (DSB) Pflicht für alle Verantwortlichen (mit gewisser Flexibilität für kleine Entitäten, die noch von der ANPD festgelegt wird). Unter bestimmten Umständen obligatorisch (öffentliche Einrichtungen, sensible Daten in großem Umfang, systematische Überwachung).
Datenschutz-Folgenabschätzung (DPIA) Vorgeschrieben als „Auswirkungsbericht zum Schutz personenbezogener Daten“ (RIPD) für hohe Risikoverarbeitung. Vorgeschrieben als „Datenschutz-Folgenabschätzung“ (DPIA) für risikoreiche Verarbeitungen.
Meldepflicht bei Datenverletzungen Benachrichtigen Sie die ANPD und die betroffenen Personen „innerhalb einer angemessenen Frist“ über Vorfälle mit „erheblichem Risiko oder relevantem Schaden“. Eine konkrete Frist ist noch nicht festgelegt (wird der ANPD-Verordnung überlassen). Benachrichtigen Sie die Aufsichtsbehörde innerhalb von 72 Stunden; benachrichtigen Sie die betroffenen Personen „ohne unnötige Verzögerung“, wenn ein hohes Risiko besteht.
Internationale Datenübertragung Beschränkt auf Länder mit „angemessenem Schutzniveau” oder spezifischen Schutzmaßnahmen (z. B. Vertragsklauseln). Die ANPD bewertet die Angemessenheit. Beschränkt auf Länder mit „Angemessenheitsentscheidung“ oder spezifischen Schutzmaßnahmen (z. B. SCCs, BCRs).
Zuständige Behörde Autoridade Nacional de Proteção de Dados (ANPD). Datenschutzbehörden (DPAs) in jedem EU-Mitgliedstaat.
Sanktionen Bis zu 2 % des Bruttoumsatzes in Brasilien für das vorangegangene Geschäftsjahr, begrenzt auf 50 Millionen R$ (~10 Millionen USD) pro Verstoß. Außerdem Warnungen, öffentliche Bekanntgabe, Sperrung/Löschung von Daten, Aussetzung der Verarbeitungsaktivitäten. Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Obwohl die LGPD in vielen Aspekten der DSGVO sehr ähnlich ist, haben Organisationen, die bereits DSGVO-konform sind, einen Vorsprung bei der LGPD. Allerdings erfordern bestimmte Nuancen, insbesondere in Bezug auf die Rechtsgrundlagen, Definitionen und Besonderheiten des brasilianischen Regulierungsumfelds, besondere Aufmerksamkeit.

Wie kann die Einhaltung des brasilianischen Datenschutzgesetzes (LGPD) sichergestellt werden?

Die Gewährleistung der LGPD-Konformität ist ein kontinuierlicher Prozess, der eine Kombination aus rechtlichen, administrativen und technischen Maßnahmen erfordert.

  1. Datenmapping und Dateninventar:
    • Technische Maßnahme: Nutzen Sie Tools zur Daten-Discovery und -klassifizierung, um alle Systeme, Anwendungen und Datenbanken zu identifizieren, die personenbezogene und sensible personenbezogene Daten brasilianischer Personen erheben, speichern, verarbeiten oder übermitteln. Karten Sie Datenflüsse (Herkunft der Daten, Bewegung, Speicherort, Zugriffsberechtigte, Löschzeitpunkt) auf. Dies bildet die Grundlage für Ihr Verzeichnis der Verarbeitungstätigkeiten.
  2. Einrichtung rechtlicher Grundlagen und Einwilligungsmanagement:
    • Technische Maßnahme: Implementieren Sie für die Verarbeitung auf der Grundlage einer Einwilligung eine robuste Consent Management Platform (CMP) für Websites, mobile Apps und andere digitale Schnittstellen. Diese Plattform sollte eine detaillierte, explizite Erfassung, Aufzeichnung und Widerruf von Einwilligungen ermöglichen. Sie muss auch in interne Systeme integriert werden, um diese Präferenzen durchzusetzen und die Datenverarbeitung zu blockieren, wenn die Einwilligung nicht erteilt wurde.
    • Für andere Rechtsgrundlagen stellen Sie sicher, dass geeignete technische Dokumentation und Kontrollen vorhanden sind, um zu validieren, dass die Verarbeitung der gewählten Rechtsgrundlage entspricht.
  3. Implementieren Sie robuste Sicherheitsmaßnahmen:
    • Technische Maßnahme:
      • Verschlüsselung: Implementieren Sie starke Verschlüsselung im Ruhezustand für alle personenbezogenen und sensiblen personenbezogenen Daten, die auf Servern, in Datenbanken, Cloud-Plattformen und Endgeräten gespeichert sind. Verwenden Sie Verschlüsselung während der Übertragung (z. B. TLS 1.2+ für alle Datenkommunikationen, sichere APIs, VPNs), um Daten zu schützen, die über Netzwerke übertragen werden. Verwalten Sie Verschlüsselungsschlüssel sicher.
      • Zugriffskontrollen: Setzen Sie rollenbasierte Zugriffskontrollen (RBAC) und das Prinzip der geringsten Privilegien um. Setzen Sie Multi-Faktor-Authentifizierung (MFA) für alle internen und externen Zugriffe auf Systeme ein, die personenbezogene Daten enthalten. Implementieren Sie Privileged Access Management (PAM) für Administratorkonten.
      • Schwachstellenmanagement und Penetrationstests: Führen Sie regelmäßig (z. B. vierteljährlich) Schwachstellenscans und jährliche Penetrationstests Ihrer Webanwendungen, mobilen Anwendungen, APIs und Netzwerkinfrastruktur durch, die personenbezogene Daten verarbeiten. Diese Tests helfen dabei, ausnutzbare Schwachstellen zu identifizieren, bevor sie von Angreifern ausgenutzt werden können.
      • Sicherer Entwicklungslebenszyklus (SSDLC): Integrieren Sie Sicherheit in Ihre Softwareentwicklungsprozesse. Führen Sie statische Anwendungssicherheitstests (SAST) und dynamische Anwendungssicherheitstests (DAST) für eigene Anwendungen durch, die personenbezogene Daten verarbeiten.
      • Protokollierung und Überwachung: Implementieren Sie eine umfassende Protokollierung für alle Systeme, die mit personenbezogenen Daten interagieren. Setzen Sie ein Security Information and Event Management (SIEM)-System ein, um Protokolle zu zentralisieren, Echtzeitanalysen durchzuführen und Warnmeldungen bei verdächtigen Aktivitäten oder unbefugtem Zugriff zu generieren.
      • Datenminimierung und -speicherung: Implementieren Sie technische Kontrollen, um Datenminimierung (Erfassung nur wesentlicher Daten) und Datenspeicherungspolitiken durchzusetzen, und löschen oder anonymisieren Sie Daten automatisch, sobald sie nicht mehr benötigt werden. Verwenden Sie sichere Datenlöschverfahren (z. B. kryptografische Löschung, sicheres Löschen).
  4. Entwickeln Sie einen Prozess zur Verwaltung von Anfragen betroffener Personen (DSAR):
    • Technische Maßnahmen: Richten Sie ein sicheres, benutzerfreundliches DSAR-Portal oder einen dedizierten Kommunikationskanal ein. Implementieren Sie automatisierte Workflows zur Verwaltung und Verfolgung von Anfragen für Zugriff, Korrektur, Löschung, Portabilität usw. Stellen Sie sicher, dass robuste Mechanismen zur Identitätsprüfung vorhanden sind, um die Identität des Antragstellers zu verifizieren. Entwickeln Sie technische Verfahren für eine effiziente und sichere Datenabfrage, Formatierung und sichere Löschung in allen Systemen.
  5. Ernennen Sie einen Datenschutzbeauftragten und führen Sie Datenschutz-Folgenabschätzungen durch:
    • Technische Maßnahmen: Benennen Sie einen qualifizierten Datenschutzbeauftragten. Für risikoreiche Datenverarbeitungstätigkeiten führen Sie eine Datenschutz-Folgenabschätzung (DPIA) (RIPD der LGPD) durch. Dies umfasst eine technische Bewertung der Verarbeitung, die Identifizierung von Risiken für die betroffenen Personen sowie die detaillierte Darstellung der technischen und organisatorischen Maßnahmen zur Minderung dieser Risiken.
  6. Vorfallreaktion und Meldung bei Datenverletzungen:
    • Technische Maßnahmen: Entwickeln Sie einen umfassenden Plan für die Reaktion auf Vorfälle, der technische Schritte zur Erkennung von Sicherheitsvorfällen, zur Eindämmung von Verstößen, zur Beseitigung von Bedrohungen, zur Wiederherstellung von Daten und zur Durchführung forensischer Analysen umfasst, und testen Sie diesen regelmäßig. Der Plan muss klare Verfahren für die Benachrichtigung der ANPD und der betroffenen Datenbetroffenen innerhalb einer „angemessenen Frist“ gemäß den Anforderungen der LGPD enthalten.
  7. Verwaltung von Drittanbietern:
    • Technische Maßnahmen: Führen Sie gründliche Sicherheitsbewertungen und Due-Diligence-Prüfungen für alle Drittanbieter, Dienstleister und Cloud-Anbieter durch, die personenbezogene Daten in Ihrem Auftrag verarbeiten. Stellen Sie sicher, dass Datenverarbeitungsvereinbarungen bestehen, die sie zur Einhaltung der Sicherheits- und Datenschutzstandards der LGPD verpflichten und Audits ihrer technischen Kontrollen zulassen.
  8. Mitarbeiterschulung:
    • Technische Maßnahme: Bieten Sie allen Mitarbeitern regelmäßige, verpflichtende Schulungen zum Thema Datenschutz und Cybersicherheit an, mit speziellen technischen Schulungen für IT- und Sicherheitsteams. Diese sollten die LGPD-Anforderungen, den sicheren Umgang mit Daten, das Bewusstsein für Phishing und die Meldung von Vorfällen umfassen.
Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Folgen der Nichteinhaltung des brasilianischen Datenschutzgesetzes (LGPD)

Die Nichteinhaltung der LGPD kann zu schwerwiegenden Konsequenzen durch die brasilianische Datenschutzbehörde (ANPD) führen:

  • Warnungen: Eine Warnung mit einer Frist zur Umsetzung von Abstellmaßnahmen.
  • Einfache Geldstrafen: Bis zu 2 % des Bruttoumsatzes des Unternehmens in Brasilien aus dem vorangegangenen Geschäftsjahr, mit einer Obergrenze von 50 Millionen R$ (ca. 10 Millionen USD) pro Verstoß. Dies kann bei mehreren Verstößen schnell eskalieren.
  • Tägliche Geldstrafen: Werden verhängt, wenn ein Unternehmen die LGPD-Vorschriften nicht innerhalb einer bestimmten Frist einhält, und akkumulieren sich bis zur Behebung des Problems, mit einer Obergrenze von 50 Millionen R$.
  • Öffentliche Bekanntgabe des Verstoßes: Die ANPD kann die Details des Verstoßes öffentlich bekannt geben, was zu erheblichen Reputationsschäden und Verlust des Verbrauchervertrauens führen kann.
  • Sperrung oder Löschung personenbezogener Daten: Die ANPD kann die vorübergehende oder dauerhafte Sperrung oder Löschung personenbezogener Daten im Zusammenhang mit der Verletzung anordnen, was den Betrieb erheblich beeinträchtigen kann.
  • Teilweise oder vollständige Untersagung von Verarbeitungsaktivitäten: In schweren Fällen kann die ANPD die Verarbeitung personenbezogener Daten ganz oder teilweise untersagen und damit bestimmte Geschäftsabläufe effektiv unterbinden.
  • Schadensersatz: Betroffene Personen können auch Zivilklagen einreichen, um Schadensersatz für durch Verstöße gegen die LGPD verursachte Schäden zu fordern, was zu zusätzlichen finanziellen Risiken führt.
  • Strafanzeigen: In bestimmten schwerwiegenden Fällen, insbesondere bei vorsätzlichen Verstößen oder dem Verkauf von Tools für Dateninvasionen, können gegen die beteiligten Personen Strafanzeigen erhoben werden.

Die ANPD ist seit dem vollständigen Inkrafttreten der Strafen im August 2021 zunehmend aktiv bei der Durchsetzung, indem sie Geldbußen verhängt und Betriebsbeschränkungen auferlegt.

Wie hilft ImmuniWeb bei der Einhaltung des brasilianischen Datenschutzgesetzes (LGPD)?

Die KI-gestützte Plattform von ImmuniWeb für Anwendungssicherheitstests (AST) und Angriffsflächenmanagement (ASM) bietet umfassende technische Funktionen, die Unternehmen direkt dabei unterstützen, die LGPD-Konformität zu erreichen und aufrechtzuerhalten:

API-PenetrationstestsAPI-Penetrationstests
ImmuniWeb führt tiefe API-Penetrationstests durch, deckt Schwachstellen wie unsichere Endpunkte, fehlerhafte Authentifizierung und Datenlecks auf und gewährleistet die Einhaltung der OWASP API Security Top 10.
API-SicherheitsscansAPI-Sicherheitsscans
Automatisierte, KI-basierte Scans erkennen Fehlkonfigurationen, übermäßige Berechtigungen und schwache Verschlüsselung in REST-, SOAP- und GraphQL-APIs und liefern umsetzbare Behebungshinweise.
Application Penetration TestingApplication Penetration Testing
ImmuniWeb bietet Anwendungspenetrationstests mit unserem preisgekrönten Produkt ImmuniWeb® On-Demand an.
Anwendungssicherheitslage-ManagementAnwendungssicherheitslage-Management
Die preisgekrönte ImmuniWeb® AI-Plattform für Application Security Posture Management (ASPM) hilft dabei, den gesamten digitalen Fußabdruck einer Organisation, einschließlich versteckter, unbekannter und vergessener Webanwendungen, APIs und mobiler Anwendungen, aggressiv und kontinuierlich zu erkunden.
AngriffsflächenmanagementAngriffsflächenmanagement
ImmuniWeb entdeckt und überwacht kontinuierlich exponierte IT-Assets (Webanwendungen, APIs, Cloud-Dienste), reduziert blinde Flecken und verhindert Einbrüche durch Echtzeit-Risikobewertung.
Automatisierte PenetrationstestsAutomatisierte Penetrationstests
ImmuniWeb bietet automatisierte Penetrationstests mit unserem preisgekrönten Produkt ImmuniWeb® Continuous an.
Cloud-PenetrationstestsCloud-Penetrationstests
Simuliert fortgeschrittene Angriffe auf AWS-, Azure- und GCP-Umgebungen, um Fehlkonfigurationen, unsichere IAM-Rollen und exponierte Speicher zu identifizieren, gemäß den CIS-Benchmarks.
Cloud Security Posture Management (CSPM)Cloud Security Posture Management (CSPM)
Automatisiert die Erkennung von Cloud-Fehlkonfigurationen, Compliance-Lücken (z. B. PCI DSS, HIPAA) und Schatten-IT und bietet Behebungshinweise für eine resiliente Cloud-Infrastruktur.
Kontinuierliches automatisiertes Red TeamingKontinuierliches automatisiertes Red Teaming
Kombiniert KI-basierte Angriffssimulationen mit menschlichem Fachwissen, um Abwehrmaßnahmen 24/7 zu testen und dabei reale Angreifer nachzuahmen, ohne den Betrieb zu stören.
Kontinuierliche Simulation von Sicherheitsverletzungen und Angriffen (BAS)Kontinuierliche Simulation von Sicherheitsverletzungen und Angriffen (BAS)
Führt automatisierte Angriffsszenarien durch, um Sicherheitskontrollen zu validieren und Schwachstellen in Netzwerken, Anwendungen und Endpunkten aufzudecken, bevor Angreifer sie ausnutzen.
Kontinuierliche PenetrationstestsKontinuierliche Penetrationstests
Bietet kontinuierliche, KI-gestützte Penetrationstests, um neue Schwachstellen nach der Bereitstellung zu identifizieren und damit eine proaktive Risikominderung über einmalige Audits hinaus zu gewährleisten.
Continuous Threat Exposure Management (CTEM)Continuous Threat Exposure Management (CTEM)
Priorisiert und behebt Risiken in Echtzeit, indem Bedrohungsinformationen mit Schwachstellen in Assets korreliert werden, wodurch Exploit-Fenster minimiert werden.
Cyber Threat IntelligenceCyber Threat Intelligence
Überwacht das Dark Web, Paste-Sites und Hacker-Foren auf gestohlene Anmeldedaten, leakte Daten und gezielte Bedrohungen, um proaktive Maßnahmen zu ermöglichen.
Data Security Posture ManagementData Security Posture Management
Die preisgekrönte ImmuniWeb® AI-Plattform für Datensicherheitsmanagement hilft dabei, die internetexponierten digitalen Assets einer Organisation, einschließlich Webanwendungen, APIs, Cloud-Speicher und Netzwerkdienste, kontinuierlich zu identifizieren und zu überwachen.
Dark Web MonitoringDark Web Monitoring
Durchsucht Untergrundmärkte nach kompromittierten Mitarbeiter-/Kundendaten, geistigem Eigentum und Betrugsmaschen und warnt Unternehmen vor Datenpannen.
Mobile PenetrationstestsMobile Penetrationstests
Testet iOS-/Android-Apps auf unsichere Datenspeicherung, Reverse Engineering-Risiken und API-Fehler gemäß den OWASP Mobile Top 10-Leitlinien.
Mobile Security ScanningMobile Security Scanning
Automatisiert die statische (SAST) und dynamische (DAST) Analyse mobiler Apps, um Schwachstellen wie hartcodierte Geheimnisse oder schwache TLS-Konfigurationen zu erkennen.
Bewertung der NetzwerksicherheitBewertung der Netzwerksicherheit
Identifiziert falsch konfigurierte Firewalls, offene Ports und schwache Protokolle in lokalen und hybriden Netzwerken und stärkt die Abwehr.
Penetrationstests als Dienstleistung (PTaaS)Penetrationstests als Dienstleistung (PTaaS)
Bietet skalierbare, abonnementbasierte Penetrationstests mit detaillierten Berichten und Abhilfemaßnahmenverfolgung für agile Sicherheits-Workflows.
Phishing-Websites-AbnahmePhishing-Websites-Abnahme
Erkennt und beschleunigt die Abnahme von Phishing-Websites, die sich als Ihre Marke ausgeben, und minimiert Reputationsschäden und Betrugsverluste.
Drittanbieter-RisikomanagementDrittanbieter-Risikomanagement
Bewertet die Sicherheitslage von Anbietern (z. B. exponierte APIs, veraltete Software), um Angriffe auf die Lieferkette zu verhindern und die Einhaltung der Vorschriften sicherzustellen.
Threat-Led Penetration Testing (TLPT)Threat-Led Penetration Testing (TLPT)
Simuliert auf Ihre Branche zugeschnittene Advanced Persistent Threats (APTs) und testet die Erkennungs- und Reaktionsfähigkeiten gegen realistische Angriffsketten.
Web-PenetrationstestsWeb-Penetrationstests
Manuelle und automatisierte Tests decken SQLi-, XSS- und Geschäftslogikfehler in Webanwendungen auf, im Einklang mit OWASP Top 10 und regulatorischen Anforderungen.
Web-SicherheitsscansWeb-Sicherheitsscans
Führt kontinuierliche DAST-Scans durch, um Schwachstellen in Echtzeit zu erkennen, und integriert in CI/CD-Pipelines für DevSecOps-Effizienz.

Durch die Nutzung der umfassenden Sicherheitstests und des Angriffsflächenmanagements von ImmuniWeb können Organisationen systematisch Schwachstellen identifizieren, robuste technische Schutzmaßnahmen implementieren und validieren sowie ihr proaktives Engagement für den Schutz der personenbezogenen Daten brasilianischer Personen unter Beweis stellen und so die Einhaltung der LGPD erreichen und aufrechterhalten.

Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Liste maßgeblicher Ressourcen

Erfüllen Sie regulatorische Anforderungen mit der ImmuniWeb® AI-Plattform

Cybersicherheits-Compliance

ImmuniWeb kann auch bei der Einhaltung anderer Datenschutzgesetze und -vorschriften helfen:

Demo anfordern
Holen Sie sich Ihre kostenlose Cyber-Risiko-Exposition

Diese Website verwendet Cookies, um Ihnen ein besseres Surferlebnis zu bieten. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Durch die weitere Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu.

Sprechen Sie mit einem Experten