LGPD-Compliance-Checkliste

Die vollständige LGPD-Compliance-Checkliste für multinationale Organisationen

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die multinationale Datenschutzteams dabei unterstützt, die LGPD-Compliance über mehrere Einheiten und Rechtsräume hinweg zu steuern.

Ein schrittweiser Rahmen, der alle 65 Artikel des brasilianischen Datenschutzgesetzes abdeckt – konzipiert für Datenschutzteams, die Compliance über mehrere Einheiten und Rechtsräume hinweg steuern.

Die LGPD-Compliance parallel zu DSGVO, CCPA und weiteren Rahmenwerken zu steuern, erzeugt blinde Flecken. Eine peer-reviewte Studie zeigte, dass zwar 93 % der Organisationen die LGPD-Compliance als Priorität einstufen, aber nur 8,8 % vollständige Compliance erreicht haben. Diese Checkliste verschafft Ihrem Datenschutzteam einen klaren Überblick darüber, was erledigt, was überfällig und was über jede Tochtergesellschaft hinweg gefährdet ist.

Kostenlose LGPD-Checkliste herunterladen

Keine Kreditkarte erforderlich. Sofortiger PDF-Download. Genutzt von Datenschutzteams in über 50 multinationalen Organisationen.

65

abgedeckte LGPD-Artikel

80+

umsetzbare Einzelpunkte

10

Compliance-Kategorien

LGPD-Compliance-Lücke: empirische ScienceDirect-Studie, n=152 Organisationen, veröffentlicht im Februar 2026. Die ANPD wurde im September 2025 zu einer unabhängigen Regulierungsbehörde mit erweiterten Durchsetzungsbefugnissen.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum Compliance-Bemühungen ins Stocken geraten

Warum die meisten LGPD-Compliance-Bemühungen ins Stocken geraten

LGPD-Compliance ist nicht einfach ein weiteres DSGVO-Häkchen. Organisationen, die sie so behandeln, entdecken teure Lücken, sobald die ANPD anklopft.

Die DSGVO allein lässt Lücken offen

Auch wenn sich die LGPD an der DSGVO orientiert, hat der brasilianische Gesetzgeber entscheidende Anpassungen vorgenommen. Die LGPD definiert 10 Rechtsgrundlagen (im Vergleich zu 6 in der DSGVO), schreibt für nahezu alle Verantwortlichen einen Datenschutzbeauftragten vor und verlangt die Meldung von Datenschutzverletzungen innerhalb von drei Werktagen. Generische «DSGVO-plus»-Ansätze übersehen diese kritischen Unterschiede und lassen ein reales Risiko bestehen.

International Bar Association: «Die blosse Einhaltung des EU-Modells bedeutet nicht automatisch die vollständige Einhaltung seines brasilianischen Pendants.»

Die Regulierungsagenda 2025-2026 der ANPD priorisiert nun die Rechte betroffener Personen, DSFAs, KI-Regulierung, biometrische Daten und die Verarbeitung von Kinderdaten, wobei die Durchsetzungsfristen bereits laufen.

Quelle: ANPD-Regulierungsagenda 2025-2026 via Baker McKenzie Global Data Handbook

Die Komplexität mehrerer Einheiten vervielfacht das Risiko

Wenn Ihre Organisation in Brasilien und anderen Rechtsräumen tätig ist, steuern Sie nicht ein Compliance-Programm. Sie steuern Dutzende. Jede Tochtergesellschaft hat eigene Verarbeitungstätigkeiten, Dienstleister und ein eigenes Risikoprofil. Tabellenkalkulationen und geteilte Laufwerke können mit dieser Realität nicht Schritt halten.

Die Übergangsfrist für Standardvertragsklauseln bei internationalen Datentransfers endete am 23.08.2025. Ab diesem Datum sind internationale Datentransfers nur noch mit ordnungsgemäss umgesetzten Standardvertragsklauseln oder anderen von der ANPD genehmigten Mechanismen gültig.

Unternehmen wie Salesforce und Microsoft verlangen inzwischen Standardvertragsklauseln für brasilianische Nutzerdaten.

Quelle: Mayer Brown, August 2025; ANPD-Resolution CD/ANPD Nr. 19/2024

Die Durchsetzung ist nicht länger theoretisch

R$50 Mio. Höchstbusse pro Verstoss (2 % des Umsatzes in Brasilien)

Quelle: LGPD Artikel 52, via ICLG Data Protection Report 2025-2026

Im September 2025 wurde die ANPD formell in eine unabhängige Regulierungsbehörde mit erweiterten Durchsetzungsbefugnissen umgewandelt, einschliesslich der Befugnis, Betrieben die Einstellung ihrer Tätigkeit anzuordnen und bei Behinderung polizeiliche Unterstützung anzufordern. Die Behörde erhielt zudem 200 neue Fachstellen für Aufsicht und Durchsetzung.

Von den sieben bislang veröffentlichten Sanktionsentscheidungen der ANPD betrafen fünf Verstösse gegen Artikel 48 wegen versäumter Meldung von Datenschutzverletzungen.

Quelle: IAPP, Oktober 2024; Trench Rossi Watanabe, Oktober 2025

Compliance verfällt ohne kontinuierliche Rezertifizierung

LGPD-Compliance ist kein einmaliges Projekt. Verarbeitungstätigkeiten ändern sich, Dienstleister wechseln und Rechtsgrundlagen laufen aus. Der State of Data Compliance Report 2025 stellte fest, dass 60 % der Organisationen im vergangenen Jahr Datenschutzverletzungen in Nicht-Produktivumgebungen verzeichneten – eine Zunahme um 11 % gegenüber 2024. Gleichzeitig erlauben 84 % der Organisationen in genau diesen Umgebungen weiterhin Compliance-Ausnahmen.

Quelle: Perforce Delphix 2025 State of Data Compliance and Security Report

Ohne ein System für kontinuierliche Rezertifizierung verschlechtert sich Ihre Compliance-Lage innerhalb weniger Monate. Die ANPD kann nach Artikel 38 jederzeit eine Datenschutz-Folgenabschätzung (RIPD) anfordern, und Organisationen müssen darauf vorbereitet sein, eine solche auf Verlangen vorzulegen.

60 %

der Organisationen verzeichneten im vergangenen Jahr Datenschutzverletzungen in Nicht-Produktivumgebungen

Perforce Delphix, Report 2025

Die folgende Checkliste gibt Ihnen die Struktur, um jede Lücke zu erkennen. Die Plattform dahinter gibt Ihnen das System, um sie zu schliessen.

Kostenlose LGPD-Checkliste herunterladen
Kundenergebnisse

Echte Resultate von echten Compliance-Teams

200+

eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec gewann über 200 Stunden zurück, die zuvor für manuelle Dokumentation, Nachweissammlung und die Erstellung von Richtlinien während der ISO-27001-Vorbereitung aufgewendet wurden. Branchenbenchmarks zeigen, dass der typische Zertifizierungsprozess 6 bis 12 Monate Aufwand erfordert.

Medtec, gemessen während des ISO-27001-Vorbereitungszyklus

60 %

weniger Zeit für Compliance-Administration

Ein Flugzeughersteller senkte den Aufwand für die Compliance-Administration in sechs Monaten um 60 % – mit automatisierter Rezertifizierung des Verarbeitungsverzeichnisses. Sein Datenschutzbeauftragter wechselte vom Hinterherjagen von Tabellen zu strategischer Datenschutzarbeit, während Enterprise-Implementierungen von OneTrust mit sechsstelligen Jahreskosten zuzüglich Implementierungsgebühren zu Buche schlagen können.

Flugzeughersteller, erste 6 Monate mit Priverion

100 %

Rezertifizierungsquote des Verarbeitungsverzeichnisses

AXA erreichte durch automatisierte Workflows eine vollständige Rezertifizierungsabdeckung des Verarbeitungsverzeichnisses. Die manuelle Pflege des Verarbeitungsverzeichnisses kann jährlich Hunderte von Stunden verschlingen, und wie die IAPP anmerkt, erfordert die Pflege dieser Aufzeichnungen eine ständige abteilungsübergreifende Koordination.

AXA, vollständig automatisierte Rezertifizierung via Priverion

Sehen Sie, wie diese Teams es geschafft haben
Priverion vs. OneTrust

Gebaut für die Realität des Mittelstands, nicht für Enterprise-Komplexität

Da die kumulierten DSGVO-Bussen 7,1 Milliarden Euro überschreiten und die Durchsetzung sich beschleunigt, brauchen Sie eine Plattform, die Compliance erreichbar macht – ohne sechsstelliges Budget oder dediziertes Implementierungsteam.

Quelle: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026

Priverion

Eigens entwickelt für das Datenschutzmanagement mehrerer Einheiten

  • Schweizer Datensouveränität, garantiert

    In der Schweiz entwickelt und in der Schweiz gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur, ausserhalb der Reichweite des US CLOUD Act und von FISA Section 702. In einer Welt nach Schrems II ist dieser Unterschied entscheidend.

  • Einsatzbereit in Wochen, nicht in Monaten

    Medtec sparte bei der ISO-27001-Vorbereitung über 200 Stunden. Ein Flugzeughersteller war bereits in seinem ersten Einsatz vollständig betriebsbereit und senkte den Aufwand für die Compliance-Administration in 6 Monaten um 60 %.

    Flugzeughersteller, erste 6 Monate; Medtec, ISO-27001-Vorbereitung

  • Planbare Preise, keine Erweiterungsfallen

    Preisgestaltung nach Anzahl der Einheiten und organisatorischer Grösse. Nicht pro Nutzer, nicht pro Modul. Ihre Kosten bleiben planbar, während Ihr Team wächst.

  • All-in-one-Datenschutzplattform

    Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallmanagement, Bearbeitung von Betroffenenanfragen, einheitsübergreifende Datenkartierung und ein KI-Register für die Bereitschaft zur EU-KI-Verordnung. Eine Plattform, ein Preis.

  • KI-unterstützt, vom Menschen entschieden

    Die KI entwirft DSFAs, bewertet Risiken und ordnet Vorschriften zu. Jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet.

  • Gebaut für gruppenweite Komplexität

    Steuern Sie Compliance über mehr als 50 Einheiten und mehrere Rechtsräume hinweg. AXA erreichte eine zu 100 % automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. Zurzach Care erreichte eine vollständige Abdeckung der Lieferantenrisikobewertung von 100 %.

    AXA und Zurzach Care, verifizierte Kundenergebnisse

OneTrust

Enterprise-Plattform, gebaut für Fortune 500

  • US-Hauptsitz, in den USA gehostete Infrastruktur

    Daten, die von einem Anbieter mit US-Hauptsitz verarbeitet werden, unterliegen weiterhin dem CLOUD Act. Selbst «Sovereign-Cloud»-Angebote von US-Anbietern können keinen Schutz vor Datenanfragen der US-Regierung garantieren.

    Der Geschäftsführer von Microsoft Frankreich bestätigte dies 2025 unter Eid vor dem französischen Senat

  • Langwierige, ressourcenintensive Implementierung

    Mittelständische Nutzer berichten durchgängig, dass sie Wochen mit der Konfiguration von Workflows verbringen, bevor sie produktiv werden. Implementierungsgebühren können die Kosten im ersten Jahr um 10'000 bis 50'000 US-Dollar erhöhen.

    Enzuzo-Preisanalyse, März 2026; G2-Nutzerbewertungen

  • Modulare Preise, die sich unvorhersehbar ausweiten können

    Mittelständische Organisationen (1'000 bis 5'000 Mitarbeitende) zahlen typischerweise 40'000 bis 120'000 US-Dollar pro Jahr. Jedes Modul wird nach einer eigenen Kennzahl abgerechnet, und die Kosten können sich in Richtungen entwickeln, die Sie nicht erwartet haben.

    Vendr-Marktplatzdaten, Februar 2026; Enzuzo-Analyse

  • Breite, aber fragmentierte Produktpalette

    Fünf separate Produktlinien, jede unabhängig bepreist. Viele mittelständische Organisationen zahlen am Ende für Funktionen, die sie nicht benötigen, während ihnen jene fehlen, die sie brauchen.

    OneTrust-Produktstruktur, Stand 2026

  • Leistungsfähig, aber komplexe Benutzerführung

    Nutzer berichten von einer steilen Lernkurve und einer überladenen Oberfläche. Kleinere Teams empfinden die Plattform als überwältigend, insbesondere ohne dedizierte Schulungsressourcen.

    G2- und Capterra-Nutzerbewertungen, 2025 und 2026

  • Ausgelegt auf grosse Enterprise-Dimensionen

    OneTrust bedient weltweit über 14'000 Kunden und ist auf Käuferprofile von Fortune-500-Unternehmen ausgelegt. Für mittelständische Datenschutzteams ohne dediziertes Implementierungspersonal kann diese Tiefe mehr Last als Nutzen sein.

    OneTrust-Produktseite, 2026

Warum der Datenstandort wichtiger ist denn je

Die EU-Mitgliedstaaten unterzeichneten im November 2025 die Erklärung für europäische digitale Souveränität und forderten eine geringere Abhängigkeit von Nicht-EU-Infrastruktur. Bei 443 gemeldeten Datenschutzverletzungen pro Tag in ganz Europa ist die Wahl, wo Ihre Compliance-Daten liegen, nicht länger optional.

DLA Piper GDPR Survey, Januar 2026 (443 tägliche Meldungen von Datenschutzverletzungen); Berliner Erklärung, November 2025

Ein Hinweis darauf, was wir nicht abdecken:

Priverion deckt weder ESG, Ethik-Hotlines noch Cookie-Einwilligungen ab. Wir sind nicht für Unternehmen mit einer einzigen Einheit gebaut. Unsere Stärke ist das gruppenweite Management von Datenschutzprogrammen mit tiefen Integrationen dort, wo es darauf ankommt: HR, Beschaffung und IT-Asset-Management.

Kostenloser Download

Die LGPD-Compliance-Checkliste für Organisationen mit mehreren Einheiten

Die brasilianische Datenschutzbehörde hat ihre Durchsetzung erheblich verschärft, mit Bussen von insgesamt rund 98 Millionen BRL zwischen 2023 und 2025. Die Prioritätenkarte 2026-2027 der ANPD nimmt KI, Kinderdaten und die Rechte betroffener Personen ins Visier. Wenn Ihre Organisation personenbezogene Daten in Brasilien verarbeitet, deckt diese Checkliste die operativen Anforderungen ab, die Sie erfüllen müssen.

Quellen: Baker McKenzie Global Data Handbook; IAPP-Analyse zur LGPD-Durchsetzung

Das erhalten Sie:

  • + Einen schrittweisen Rahmen für Datenkartierung und Verarbeitungsverzeichnis, abgestimmt auf die LGPD-Artikel 7 und 37, der alle 10 Rechtsgrundlagen für die Verarbeitung abdeckt
  • + Eine Workflow-Vorlage zur Meldung von Datenschutzverletzungen, die die von der ANPD geforderte Meldefrist einhält, sowie einen Prozess zur Beantwortung von Betroffenenanfragen für die 15-Tage-Frist
  • + Eine Prüf-Checkliste für Lieferantenverträge unter Einbeziehung der Standardvertragsklauseln der ANPD (Resolution 19/2024) für internationale Datentransfers
  • + Einen Leitfaden zur Vorbereitung einer DSFA (RIPD) für risikoreiche Verarbeitungen, einschliesslich KI-Systemen, biometrischen Daten und grossangelegten Überwachungstätigkeiten

Die LGPD-Bussen erreichen bis zu 2 % des Umsatzes in Brasilien, begrenzt auf 50 Millionen BRL pro Verstoss. Zu den nicht-monetären Sanktionen gehören die öffentliche Bekanntgabe von Verstössen, Verarbeitungsverbote und die obligatorische Löschung von Daten.

Quelle: Baker McKenzie, Global Data and Cyber Handbook: Brasilien

Checkliste erhalten

Geben Sie Ihre geschäftliche E-Mail-Adresse ein, und wir senden Ihnen die LGPD-Compliance-Checkliste direkt in Ihr Postfach.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es Ihnen in Ihr Postfach.

Wir respektieren Ihre Privatsphäre. Siehe unsere Datenschutzerklärung.

Schluss mit der Compliance-Verwaltung in Tabellen

Ihr Datenschutzbeauftragter hat Besseres zu tun, als Aktualisierungen des Verarbeitungsverzeichnisses über 47 Tabellen hinweg hinterherzujagen

Da die kumulierten DSGVO-Bussen inzwischen 7,1 Milliarden Euro überschreiten und sich die Durchsetzung über alle Branchen hinweg beschleunigt, sind manuelle Compliance-Prozesse ein Risiko, das Sie sich nicht leisten können. Sehen Sie, wie Priverion Organisationen mit mehreren Einheiten automatisierte Rezertifizierung, Sicherheit bei grenzüberschreitenden Datentransfers und auditbereite Nachweispakete bietet – alles auf Schweizer Infrastruktur gehostet.

Quelle: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026

60 %

weniger Zeit für Compliance-Administration

Flugzeughersteller, erste 6 Monate

200+

eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec

100 %

automatisierte Rezertifizierung des Verarbeitungsverzeichnisses

AXA

30-minütige Plattform-Begehung buchen

Keine Verpflichtung erforderlich. Erleben Sie die Plattform in 30 Minuten mit Ihren eigenen Datenszenarien.

In der Schweiz entwickelt und gehostet

Planbare Preise, keine Gebühren pro Nutzer

Einsatzbereit in Wochen, nicht in Monaten

The Privacy Compliance Briefing

Monatliche Einblicke zur DSGVO-Durchsetzung, zu revDSG-Aktualisierungen und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.

Über diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick

Diese Seite bietet eine umfassende LGPD-Compliance-Checkliste mit über 80 umsetzbaren Punkten, die alle 65 Artikel des brasilianischen Lei Geral de Proteção de Dados abdecken. Sie ist für multinationale Datenschutzteams konzipiert, die Compliance über mehrere Einheiten und Rechtsräume hinweg steuern, und behandelt die entscheidenden Unterschiede zwischen LGPD und DSGVO, die Entwicklungen bei der ANPD-Durchsetzung, die Anforderungen an internationale Datentransfers und den Bedarf an kontinuierlicher Rezertifizierung.

Definitionen

Was ist die LGPD?

LGPD (Lei Geral de Proteção de Dados Pessoais, Gesetz Nr. 13.709/2018) ist das umfassende Datenschutzgesetz Brasiliens. Es regelt die Verarbeitung personenbezogener Daten durch natürliche und juristische Personen, ob öffentlich oder privat, und gilt für jede Verarbeitung, die in Brasilien durchgeführt wird, sich an in Brasilien befindliche Personen richtet oder in Brasilien erhobene Daten betrifft. Die LGPD definiert 10 Rechtsgrundlagen für die Verarbeitung und etablierte die ANPD als Aufsichtsbehörde. Quelle: IAPP — LGPD English Translation

Was ist die ANPD?

ANPD (Autoridade Nacional de Proteção de Dados) ist die nationale Datenschutzbehörde Brasiliens, die für die Überwachung, Umsetzung und Durchsetzung der LGPD zuständig ist. Im September 2025 wurde die ANPD formell in eine unabhängige Regulierungsbehörde mit erweiterten Durchsetzungsbefugnissen und 200 neuen Fachstellen umgewandelt. Quelle: IAPP

Was ist ein RIPD (Datenschutz-Folgenabschätzung)?

RIPD (Relatório de Impacto à Proteção de Dados Pessoais) ist das brasilianische Pendant zur Datenschutz-Folgenabschätzung (DSFA). Nach LGPD-Artikel 38 kann die ANPD jederzeit ein RIPD anfordern, und Organisationen müssen darauf vorbereitet sein, für Verarbeitungstätigkeiten, die Risiken für die Grundrechte betroffener Personen darstellen können, auf Verlangen eines vorzulegen.

Was sind Standardvertragsklauseln nach der LGPD?

Standardvertragsklauseln nach der LGPD sind von der ANPD genehmigte vertragliche Mechanismen zur Legitimierung internationaler Transfers personenbezogener Daten aus Brasilien. Mit der ANPD-Resolution CD/ANPD Nr. 19/2024 endete die Übergangsfrist für internationale Datentransfers am 23.08.2025, womit Standardvertragsklauseln oder andere von der ANPD genehmigte Mechanismen für grenzüberschreitende Datenflüsse verpflichtend wurden.

LGPD vs. DSGVO: Zentrale Unterschiede

AspektLGPD (Brasilien)DSGVO (EU)
Rechtsgrundlagen für die Verarbeitung10 Rechtsgrundlagen, einschliesslich Kreditschutz6 Rechtsgrundlagen
Pflicht zum DatenschutzbeauftragtenFür nahezu alle Verantwortlichen verpflichtendNur unter bestimmten Umständen erforderlich
Frist für die Meldung von DatenschutzverletzungenInnerhalb einer «angemessenen Frist» (ANPD-Leitlinie: 3 Werktage)72 Stunden an die Aufsichtsbehörde
Höchstbusse2 % des Umsatzes in Brasilien, begrenzt auf R$50 Mio. pro Verstoss4 % des weltweiten Jahresumsatzes oder 20 Mio. €
AufsichtsbehördeANPD (unabhängige Behörde seit Sept. 2025)Nationale Datenschutzbehörden in jedem EU-Mitgliedstaat
Mechanismen für internationale TransfersStandardvertragsklauseln, Angemessenheitsbeschlüsse, BCRs, spezifische VertragsklauselnStandardvertragsklauseln, Angemessenheitsbeschlüsse, BCRs, Verhaltenskodizes
Rechte betroffener PersonenBestätigung, Auskunft, Berichtigung, Anonymisierung, Übertragbarkeit, Löschung, Information über Weitergaben, Widerruf der Einwilligung, Überprüfung automatisierter EntscheidungenAuskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, automatisierte Entscheidungsfindung

Häufig gestellte Fragen

Was ist die LGPD und wie unterscheidet sie sich von der DSGVO?

Die LGPD (Lei Geral de Proteção de Dados) ist das umfassende Datenschutzgesetz Brasiliens, das 2018 erlassen wurde und seit September 2020 in Kraft ist. Obwohl sie von der DSGVO inspiriert ist, definiert die LGPD 10 Rechtsgrundlagen für die Verarbeitung im Vergleich zu 6 in der DSGVO, schreibt für nahezu alle Verantwortlichen einen Datenschutzbeauftragten vor und verlangt die Meldung von Datenschutzverletzungen an die ANPD innerhalb von drei Werktagen. Wie die International Bar Association anmerkt: «Die blosse Einhaltung des EU-Modells bedeutet nicht automatisch die vollständige Einhaltung seines brasilianischen Pendants.»

Welche Sanktionen drohen bei Nichteinhaltung der LGPD?

Nach LGPD-Artikel 52 umfassen die Sanktionen Bussen von bis zu 2 % des Umsatzes in Brasilien, begrenzt auf 50 Millionen R$ pro Verstoss. Zu den zusätzlichen Sanktionen gehören die öffentliche Bekanntgabe des Verstosses, die Sperrung oder Löschung personenbezogener Daten sowie die Aussetzung von Verarbeitungstätigkeiten. Seit September 2025 agiert die ANPD als unabhängige Regulierungsbehörde mit erweiterten Durchsetzungsbefugnissen. Laut der IAPP betrafen von den sieben bislang veröffentlichten Sanktionsentscheidungen der ANPD fünf Verstösse gegen Artikel 48 wegen versäumter Meldung von Datenschutzverletzungen.

Wie viele Rechtsgrundlagen definiert die LGPD für die Datenverarbeitung?

Die LGPD definiert 10 Rechtsgrundlagen für die Verarbeitung personenbezogener Daten: Einwilligung, berechtigtes Interesse, Vertragserfüllung, Erfüllung gesetzlicher Pflichten, Umsetzung öffentlicher Massnahmen, Gesundheitsschutz, Forschung, Kreditschutz, gerichtliche Verfahren und Schutz des Lebens. Dies ist breiter als die 6 Rechtsgrundlagen der DSGVO und spiegelt den spezifischen regulatorischen Kontext Brasiliens wider, einschliesslich der Aufnahme des Kreditschutzes als eigenständige Rechtsgrundlage.

Was ist die ANPD und welche Durchsetzungsbefugnisse hat sie?

Die ANPD (Autoridade Nacional de Proteção de Dados) ist die nationale Datenschutzbehörde Brasiliens. Im September 2025 wurde sie formell in eine unabhängige Regulierungsbehörde mit erweiterten Durchsetzungsbefugnissen umgewandelt, einschliesslich 200 neuer Fachstellen für Aufsicht und Durchsetzung. Die ANPD kann Bussen verhängen, die Einstellung von Datenverarbeitungstätigkeiten anordnen und bei Behinderung polizeiliche Unterstützung anfordern.

Sind Standardvertragsklauseln für internationale Datentransfers aus Brasilien erforderlich?

Ja. Die Übergangsfrist für internationale Datentransfers endete am 23.08.2025 gemäss ANPD-Resolution CD/ANPD Nr. 19/2024. Ab diesem Datum sind internationale Datentransfers nur noch mit ordnungsgemäss umgesetzten Standardvertragsklauseln oder anderen von der ANPD genehmigten Mechanismen gültig. Grosse Technologieunternehmen wie Salesforce und Microsoft verlangen inzwischen Standardvertragsklauseln für brasilianische Nutzerdaten.

Wie unterstützt Priverion die LGPD-Compliance für Multinationale?

Priverion ist eine in der Schweiz gehostete GRC-Plattform, die eigens für das Datenschutzmanagement mehrerer Einheiten entwickelt wurde. Sie bietet automatisierte Rezertifizierung des Verarbeitungsverzeichnisses, DSFA/TIA-Workflows, Lieferantenrisikomanagement, Vorfallmanagement, die Bearbeitung von Betroffenenanfragen und einheitsübergreifende Datenkartierung. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur, ausserhalb des US CLOUD Act und von FISA Section 702. AXA erreichte durch automatisierte Workflows eine vollständige Rezertifizierungsabdeckung des Verarbeitungsverzeichnisses, und ein Flugzeughersteller senkte den Aufwand für die Compliance-Administration in sechs Monaten um 60 %.

Was priorisiert die Regulierungsagenda 2025–2026 der ANPD?

Die Regulierungsagenda 2025–2026 der ANPD priorisiert die Rechte betroffener Personen, Datenschutz-Folgenabschätzungen (RIPDs), KI-Regulierung, die Verarbeitung biometrischer Daten und die Verarbeitung von Kinderdaten. Die Durchsetzungsfristen laufen bereits, weshalb eine proaktive Compliance-Vorbereitung für Organisationen, die personenbezogene Daten nach der LGPD verarbeiten, unerlässlich ist.

Warum ist kontinuierliche Rezertifizierung für die LGPD-Compliance wichtig?

LGPD-Compliance ist kein einmaliges Projekt. Verarbeitungstätigkeiten ändern sich, Dienstleister wechseln und Rechtsgrundlagen laufen aus. Laut dem Perforce Delphix 2025 State of Data Compliance and Security Report verzeichneten 60 % der Organisationen im vergangenen Jahr Datenschutzverletzungen in Nicht-Produktivumgebungen — eine Zunahme um 11 % gegenüber 2024. Gleichzeitig erlauben 84 % der Organisationen in genau diesen Umgebungen weiterhin Compliance-Ausnahmen. Ohne ein System für kontinuierliche Rezertifizierung verschlechtert sich die Compliance-Lage innerhalb weniger Monate.

Zentrale Statistiken

Laut einer peer-reviewten empirischen ScienceDirect-Studie (n=152 Organisationen, veröffentlicht im Februar 2026) stufen 93 % der Organisationen die LGPD-Compliance als Priorität ein, doch nur 8,8 % haben vollständige Compliance erreicht. Die kumulierten DSGVO-Bussen haben per Januar 2026 7,1 Milliarden € überschritten, laut dem DLA Piper GDPR Fines and Data Breach Survey. Die ANPD erhielt 200 neue Fachstellen, als sie im September 2025 zu einer unabhängigen Behörde wurde. Der Perforce-Delphix-Report 2025 stellte fest, dass 60 % der Organisationen Datenschutzverletzungen in Nicht-Produktivumgebungen verzeichneten, wobei 84 % weiterhin Compliance-Ausnahmen erlauben. Die LGPD-Höchstbusse beträgt 50 Millionen R$ pro Verstoss (2 % des Umsatzes in Brasilien), wie in LGPD-Artikel 52 festgelegt.