Neue Norm zum internationalen Datentransfer

Die brasilianische Datenschutzbehörde (Autoridade Nacional de Proteção de Dados – ANPD) hat mit Beschluss CD/ANPD Nr. 19 Regelungen zum internationalen Datentransfer verabschiedet, die Standard-Vertragsklauseln enthalten, die von den beteiligten Unternehmen anzuwenden sind.

Diese Regelungen sind essentiell, um zu gewährleisten, dass die Übermittlung persönlicher Daten an andere Länder oder internationale Organisationen sicher und in Einklang mit dem Datenschutzgesetz (LGPD – Lei Geral de Proteção de Dados) erfolgt.

Unter den wichtigsten Punkten des Beschlusses sind zu nennen:

1. Standard-Vertragsklauseln: Unternehmen, bei denen Daten international übermittelt werden, müssen die von der ANPD genehmigten Standard-Klauseln in ihre Verträge aufnehmen. Diese Klauseln gewährleisten den Schutz der übermittelten Daten und legen Mindestnormen zur Einhaltung der LGPD-Prinzipien fest. Die Unternehmen haben eine Frist von 12 Monaten, um ihre Verträge anzupassen.
2. Kriterien der Angemessenheit: Die ANPD kann Ländern oder internationalen Organisationen einen angemessenen Umgang mit Daten bescheinigen, auf Grundlage der geltenden Gesetzgebung, der Art der Daten, der Sicherheitsmaßnahmen und der gesetzlichen Garantien für die Rechte der Dateninhaber. Dann ist die Übermittlung persönlicher Daten in diese Länder auch ohne zusätzliche Vertragsklauseln erlaubt.
3. Richtlinien für die Datenübermittlung: Beim internationalen Datentransfer müssen die Prinzipien des Datenschutzes eingehalten werden, unabhängig davon, wo die Daten gespeichert oder bearbeitet werden. Ein sicherer Datenfluss und ein verantwortungsvoller Umgang damit sind zu gewährleisten, wobei die Rechte der Dateninhaber respektiert und angemessene Sicherheitsmaßnahmen getroffen werden müssen.
4. Verantwortung und Transparenz: Der Beschluss unterstreicht die Verantwortung der Mitarbeiter von Unternehmen, die mit den Daten arbeiten oder den Umgang mit Daten regeln und die wirksame Maßnahmen ergreifen müssen, um die Einhaltung der geltenden Gesetzgebung zu belegen. Außerdem wird Transparenz verlangt, und den Dateninhabern muss u.a. deutlich erklärt werden, wozu, wie lange und in welche Länder ihre Daten übermittelt werden.
5. Zusätzliche Maßnahmen: Neben den Standard-Vertragsklauseln erlaubt der Beschluss globale Konzernnormen und spezifische Vertragsklauseln, die von der ANPD genehmigt werden müssen. Diese Mechanismen ermöglichen Flexibilität für Unternehmen, die in mehreren Ländern tätig sind, und gewährleisten, dass die Datenschutzmaßnahmen sicher sind.