Trotz der vielen Jahre seit der Einführung des Allgemeinen Datenschutzgesetzes (LGPD) in Brasilien verstoßen viele Unternehmen weiterhin gegen die Vorschriften. Die LGPD, die im September 2020 in Kraft trat, wurde geschaffen, um die persönlichen Daten der brasilianischen Bürger zu schützen, und legt klare Regeln fest, wie Unternehmen diese Informationen sammeln, speichern und verarbeiten sollen. Dennoch haben viele Unternehmen trotz der vergangenen Zeit nur wenig bei der Umsetzung der Norm vorangetrieben.
Kürzlich hat die Nationale Datenschutzbehörde (ANPD) die Überwachung von Unternehmen verstärkt, die keinen Datenschutzbeauftragten, auch bekannt als Data Protection Officer (DPO), haben. Das Fehlen eines Datenschutzbeauftragten (DPO) ist eine der wichtigsten festgestellten Verstöße, da dieser Fachmann unerlässlich ist, um sicherzustellen, dass das Unternehmen die LGPD einhält. Der Datenschutzbeauftragte fungiert als Vermittler zwischen dem Unternehmen, den Betroffenen und der ANPD und ist verantwortlich für die Überwachung der Einhaltung der Datenschutzrichtlinien sowie für die Beratung der Organisation zu den besten Praktiken.
Und diese Daten könnten nur die Spitze des Eisbergs sein. Eigentlich weiß niemand, wie viele Unternehmen noch nicht die Norm übernommen haben. Es gibt keine einzige offizielle Erhebung, die die genauen Zahlen aller Unternehmen, die nicht an die LGPD gebunden sind, zusammenfasst. Unabhängige Untersuchungen zeigen, dass der Prozentsatz im Allgemeinen zwischen 60 % und 70 % der brasilianischen Unternehmen liegen kann, insbesondere bei kleinen und mittleren Unternehmen. Im Falle der Großen liegt die Zahl noch höher und kann bis zu 80 % erreichen.
Warum das Fehlen eines Datenschutzbeauftragten einen Unterschied macht
Im Jahr 2024 hat Brasilien wahrscheinlich die Zahl von 700 Millionen Cyberangriffen durch Cyberkriminelle überschritten. Es wird geschätzt, dass fast 1.400 Betrugsversuche pro Minute stattfinden, und natürlich sind die Unternehmen die Hauptziele der Kriminellen. Verbrechen wie Ransomware – bei denen die Daten meist „gefangen“ sind und die Unternehmen eine enorme Summe zahlen müssen, um sie nicht online veröffentlicht zu werden – sind alltäglich geworden. Aber bis wann werden das System – die Opfer und die Versicherungen – dieses enorme Volumen an Angriffen ertragen?
Es ist nicht möglich, diese Frage angemessen zu beantworten, zumal die Opfer selbst die notwendigen Maßnahmen zum Schutz der Informationen nicht ergreifen. Das Fehlen eines auf Datenschutz spezialisierten Fachmanns oder, in manchen Fällen, wenn die angebliche verantwortliche Person für den Bereich so viele Aufgaben übernimmt, dass sie diese Tätigkeit nicht zufriedenstellend ausführen kann, verschärft diese Situation noch weiter.
Es ist klar, dass die Benennung eines Verantwortlichen allein nicht alle Herausforderungen der Anpassung löst, aber sie zeigt, dass das Unternehmen bestrebt ist, ein Set kohärenter Praktiken im Einklang mit dem LGPD zu entwickeln. Doch diese fehlende Priorisierung spiegelt sich nicht nur in der Möglichkeit von Sanktionen wider, sondern auch in tatsächlichen Sicherheitsrisiken, die erhebliche Verluste verursachen werden. Die von der ANPD verhängten Bußgelder sind nur ein Teil des Problems, da immaterielle Verluste wie das Vertrauen des Marktes noch schmerzhafter sein können. In diesem Szenario wird eine verstärkte Überwachung als notwendige Maßnahme angesehen, um die Durchsetzung der Gesetzgebung zu stärken und die Organisationen dazu zu ermutigen, den Schutz der Privatsphäre der Betroffenen in den Mittelpunkt zu stellen.
Einen Datenschutzbeauftragten einstellen oder auslagern?
Die Einstellung eines Vollzeit-DPO kann eine komplizierte Aufgabe sein, da nicht immer die Nachfrage oder das Interesse besteht, interne Ressourcen für diese Aufgabe bereitzustellen.
In diesem Sinne wird die Auslagerung als Lösung für Unternehmen angesehen, die die Gesetzgebung effektiv einhalten möchten, aber nicht über eine große Infrastruktur oder Ressourcen verfügen, um ein multidisziplinäres Team zum Schutz der Daten zu unterhalten. Wenn ein spezialisierter Dienstleister beauftragt wird, erhält das Unternehmen Zugang zu Fachleuten, die mehr Erfahrung im Umgang mit den Anforderungen des LGPD in verschiedenen Marktsektoren haben. Darüber hinaus betrachtet ein externer Verantwortlicher den Datenschutz als integralen Bestandteil der Strategie, anstatt als ein einmaliges Problem, das nur dann Aufmerksamkeit erhält, wenn eine Benachrichtigung eintrifft oder eine Datenpanne auftritt.
Dies trägt zur Schaffung robuster Prozesse bei, ohne dass erhebliche Investitionen in Rekrutierung, Schulung und Bindung von Talenten erforderlich sind. Die Auslagerung des Datenschutzbeauftragten geht über die bloße Ernennung einer externen Person hinaus. Der Dienstleister bietet in der Regel kontinuierliche Beratung an, führt Risikoanalyse und -kartierung durch, unterstützt bei der Erstellung interner Richtlinien, schult die Teams und verfolgt die Entwicklung der Gesetzgebung und der Normen der ANPD.
Darüber hinaus besteht der Vorteil, auf ein Team zurückgreifen zu können, das bereits Erfahrung in praktischen Fällen hat, was die Lernkurve verkürzt und dazu beiträgt, Vorfälle zu vermeiden, die Bußgelder oder Reputationsschäden verursachen könnten.
Wie weit reicht die Verantwortung des ausgelagerten DSB?
Es ist wichtig hervorzuheben, dass die Auslagerung die Organisation nicht von ihren rechtlichen Verpflichtungen befreit. Die Idee ist, dass das Unternehmen das Engagement aufrechterhält, die Sicherheit der gesammelten und verarbeiteten Daten zu gewährleisten, da die brasilianische Gesetzgebung klarstellt, dass die Verantwortung für Vorfälle nicht nur beim Verantwortlichen liegt, sondern bei der gesamten Institution.
Was die Auslagerung bewirkt, ist die Bereitstellung einer professionellen Unterstützung, die die notwendigen Wege versteht, um die Organisation im Einklang mit der LGPD zu halten. Die Praxis, diese Art von Aufgaben an einen externen Partner zu delegieren, ist in anderen Ländern bereits üblich, in denen der Datenschutz zu einem kritischen Punkt im Risikomanagement und in der Unternehmensführung geworden ist. Die Europäische Union verlangt beispielsweise mit der Allgemeinen Datenschutzverordnung, dass viele Unternehmen einen Datenschutzbeauftragten benennen. Dort haben verschiedene Unternehmen die Auslagerung des Dienstes durch die Beauftragung spezialisierter Beratungsfirmen gewählt, was zu Sachverstandinnerhalb des Hauses, ohne eine ganze Abteilung dafür einrichten zu müssen.
Der Verantwortliche muss gemäß den Vorschriften die Autonomie haben, Fehler zu melden und Verbesserungen vorzuschlagen, und einige internationale Richtlinien empfehlen, dass die Fachkraft frei von internen Druckeinflüssen sein sollte, die ihre Überwachungsfähigkeit einschränken. Die Beratungsunternehmen, die diesen Service anbieten, entwickeln Verträge und Arbeitsmethoden, die diese Art von Unabhängigkeit gewährleisten, eine transparente Kommunikation mit den Managern aufrechterhalten und klare Governance-Kriterien festlegen.
Dieses System schützt sowohl das Unternehmen als auch den Fachmann selbst, der die Freiheit haben muss, Schwachstellen zu melden, auch wenn dies gegen etablierte Praktiken in einem bestimmten Sektor oder einer Abteilung verstößt.
Die Verstärkung der Überwachung durch die ANPD ist ein Zeichen dafür, dass die Toleranzphase einem entschlosseneren Ansatz weicht, und wer sich jetzt entscheidet, dieses Problem nicht anzugehen, könnte in naher Zukunft mit schwerwiegenderen Konsequenzen konfrontiert werden.
Für Unternehmen, die einen sichereren Weg suchen, ist Outsourcing eine Wahl, die Kosten, Effizienz und Zuverlässigkeit ausbalanciert. Mit dieser Art von Partnerschaft ist es möglich, Lücken im internen Umfeld zu schließen und eine Compliance-Routine zu strukturieren, die das Unternehmen sowohl vor Sanktionen als auch vor Risiken im Zusammenhang mit mangelnder Transparenz und Sicherheit in Bezug auf die unter seiner Verantwortung stehenden personenbezogenen Daten schützt.
