Einhaltung der LGPD
Die brasilianische LGPD verpflichtet Datenverarbeiter, personenbezogene Daten durch Sicherheitsmaßnahmen zu schützen. Erfahren Sie, wie ImmuniWeb Ihnen hilft, die Sicherheitsverpflichtung gemäß Artikel 46 zu erfüllen.
Einhaltung der LGPD
Was ist die brasilianische LGPD?
Die LGPD regelt, wie Organisationen die personenbezogenen Daten von Personen in Brasilien verarbeiten. Sie legt die Rechtsgrundlagen für die Verarbeitung fest, gewährt den betroffenen Personen umfassende Rechte, schreibt die Bestellung eines Datenschutzbeauftragten (encarregado) vor und verpflichtet die Verarbeitenden, personenbezogene Daten zu schützen und Datenschutzverletzungen zu melden.
Dies gilt für jede in Brasilien durchgeführte Verarbeitung personenbezogener Daten, wenn die Daten in Brasilien erhoben wurden oder wenn der Zweck darin besteht, Personen in Brasilien Waren oder Dienstleistungen anzubieten – was dem Gesetz eine weite extraterritoriale Reichweite verleiht. Die ANPD setzt das Gesetz durch und erlässt Verordnungen und Leitlinien.
Erfahren Sie, wie ImmuniWeb Ihnen hilft, die Sicherheitsmaßnahmen gemäß Artikel 46 der LGPD zu erfüllen – zum Schutz der Apps, die personenbezogene Daten verarbeiten. Fordern Sie eine Demo an · oder führen Sie einen kostenlosen Community Edition-Test durch.
Wer muss die LGPD einhalten?
Die LGPD gilt weitreichend:
- Verantwortliche und Auftragsverarbeiter (Verarbeitungsbeteiligte), die in Brasilien personenbezogene Daten verarbeiten.
- Organisationen außerhalb Brasiliens, die in Brasilien erfasste Daten verarbeiten oder Waren/Dienstleistungen an Personen in Brasilien anbieten.
- Jeglicher Sektor und Größe – öffentlich und privat.
Jede Organisation, die Web- und mobile Anwendungen betreibt, die personenbezogene Daten verarbeiten, muss diese gemäß Artikel 46 absichern und testen.
Wichtige LGPD-Anforderungen an die Anwendungssicherheit
- Artikel 46 – Sicherheitsmaßnahmen: Verarbeiter müssen technische und administrative Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff sowie vor versehentlicher oder rechtswidriger Zerstörung, Verlust, Veränderung, Übermittlung oder Verbreitung zu schützen.
- Artikel 6(VII) – Sicherheitsgrundsatz: Anwendung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten während der gesamten Verarbeitung.
- Artikel 48 – Meldung von Datenschutzverletzungen: Benachrichtigung der ANPD und der betroffenen Personen über Sicherheitsvorfälle, die Risiken oder Schäden verursachen können.
Die Sicherheitsanforderungen der LGPD im Detail
Artikel 46 – Sicherheitsmaßnahmen
Artikel 46 verpflichtet die Datenverarbeiter, technische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Für internetexponierte Systeme bedeutet dies, die Web- und Mobilanwendungen sowie APIs, die personenbezogene Daten verarbeiten, zu sichern und regelmäßig zu testen und die gefundenen Schwachstellen zu beheben – sowohl vor als auch nach wesentlichen Änderungen.
Artikel 48 – Meldung von Datenschutzverletzungen
Verarbeitungsverantwortliche müssen die ANPD und die betroffenen Personen über Sicherheitsvorfälle informieren, die ein erhebliches Risiko oder Schaden verursachen könnten. Die Verringerung der Wahrscheinlichkeit von Sicherheitsverletzungen durch regelmäßige Anwendungstests ist der effektivste Weg, dieser Verpflichtung zu entgehen.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Datenschutzverletzungen beginnen häufig mit verwundbaren Web- und Mobilanwendungen. Die Risiken, deren Behandlung Artikel 46 von Ihnen erwartet, decken sich eng mit den OWASP Top 10:
- Broken Access Control — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
- Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
- Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
- Insecure Design — fehlende Sicherheitskontrollen durch Design, nicht nur durch Bugs.
- Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
- Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
- Server-Side Request Forgery (SSRF) — der Server wird dazu verleitet, böswillige Anfragen zu stellen. Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Um diese Probleme zuverlässig zu erkennen, ist das Testen der laufenden Anwendung erforderlich, nicht nur eine Überprüfung der Dokumentation.
So gehen Sie mit ImmuniWeb an die Anwendungssicherheit gemäß LGPD
- Kartieren Sie Ihre Angriffsfläche Inventarisieren Sie internetexponierte Apps und Assets mit ImmuniWeb Discovery.
- Webanwendungen testen mit On-Demand (Penetration Testing) und Neuron (Scanning).
- Testen Sie mobile Apps mit MobileSuite und Neuron Mobile.
- Behandeln und erneut testen mit umsetzbaren Berichten, die Maßnahmen gemäß Artikel 46 nachweisen.
- Testen Sie kontinuierlich mit Continuous in CI/CD und periodischen Wiederholungstests.
- Überwachen Sie Datenlecks mit der Dark Web-Überwachung von Discovery für Breach-Readiness.
So hilft Ihnen ImmuniWeb bei der Einhaltung der LGPD
ImmuniWeb unterstützt Datenverarbeiter bei der Umsetzung und dem Nachweis der in Artikel 46 geforderten technischen Sicherheitsmaßnahmen.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Artikel 46 | Technische Maßnahmen zum Schutz personenbezogener Daten. | On-Demand, Neuron, Discovery, Continuous |
| Apps & Daten | Web- und Mobil-Apps sowie APIs mit personenbezogenen Daten absichern. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Vorbereitung auf Datenschutzverletzungen (Art. 48) | Erkennen Sie exponierte Daten und Lecks, um meldepflichtige Datenschutzverletzungen zu reduzieren. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand und MobileSuite liefern Web- und Mobile-Penetrationstests; Neuron und Neuron Mobile bieten automatisiertes Scanning; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre externe Angriffsfläche und überwacht das Dark Web auf geleakte personenbezogene Daten.
LGPD im Vergleich zu internationalen Frameworks
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| Brazil LGPD | Artikel 46: Sicherheitsmaßnahmen | Web-/Mobile-Penetrationstests, Scans, ASM, Dark Web-Monitoring |
| Mexiko LFPDPPP | Sicherheitsmaßnahmen für personenbezogene Daten | Dieselben Tests decken beide ab |
| EU-DSGVO | Artikel 32 Sicherheit der Verarbeitung | Dieselben Tests decken beide ab |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Inventarisierung der Internet-exponierten Apps und exponierten Assets
- Webanwendungen, die nach OWASP Top 10 getestet wurden
- Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
- Umgesetzte technische und administrative Sicherheitsmaßnahmen (Art. 46)
- Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
- Prozess zur Meldung von Datenschutzverletzungen im Einklang mit der ANPD (Art. 48)
- Exposure- und Dark-Web-Monitoring vorhanden
Warum LGPD-Compliance wichtig ist
Die ANPD kann Geldbußen in Höhe von bis zu 2 % des Umsatzes einer Organisation in Brasilien verhängen, mit einer Obergrenze von 50 Millionen R$ pro Verstoß, sowie Meldepflichten bei Datenschutzverletzungen, und ihre Durchsetzungstätigkeit nimmt zu. Ein Verstoß führt zudem zu Reputationsschäden auf dem größten Markt Lateinamerikas.
Da Web- und mobile Anwendungen ein führender Vektors für Sicherheitsverletzungen sind, ist ihre nachweisbare Absicherung und Prüfung einer der klarsten Wege, um Artikel 46 zu erfüllen und Risiken zu reduzieren.