Die Europäische Kommission hat im Herbst 2025 den Entwurf eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO für Brasilien veröffentlicht. Das südamerikanische Land verfügt mit der Lei Geral de Proteção de Dados (LGPD) über ein Datenschutzgesetz, das sich in Struktur und Systematik eng an den Anforderungen der DSGVO orientiert. Brasilien ist zudem ein zentraler Akteur in der globalen Digitalwirtschaft, weshalb dieser Beschluss für viele Unternehmen unmittelbare praktische Relevanz hätte.
Ein Angemessenheitsbeschluss würde insbesondere solche Organisationen entlasten, die bereits heute mit brasilianischen IT-Dienstleistern, Cloud-Anbietern, Softwareentwicklungsfirmen, Callcentern oder Forschungspartnern zusammenarbeiten. Die geplante Entscheidung ist ein weiterer Schritt zur internationalen Harmonisierung des Datenschutzrechts und soll den sicheren sowie rechtlich stabilen Datenverkehr zwischen der EU und Brasilien erleichtern.
1. Warum dieser Angemessenheitsbeschluss relevant ist
Ein Angemessenheitsbeschluss nach Art. 45 DSGVO führt dazu, dass personenbezogene Daten ohne zusätzliche Transferinstrumente wie Standardvertragsklauseln, Binding Corporate Rules oder Transfer Impact Assessments übermittelt werden dürfen. Damit entfällt ein Teil der datenschutzrechtlichen Komplexität, die bisher bei Drittlandsübermittlungen unvermeidlich war. Gerade bei internationalen IT-Strukturen, verteilten Cloud-Architekturen oder ausgelagerten Support-Dienstleistungen schafft der Beschluss erhebliche Erleichterungen.
Brasilien nimmt zudem eine Schlüsselrolle in globalen Lieferketten ein. Viele europäische Unternehmen arbeiten – teilweise ohne dies bewusst wahrzunehmen – bereits über internationale Dienstleister indirekt mit in Brasilien ansässigen Subunternehmern zusammen. Für diese Konstellationen erhöht ein Angemessenheitsbeschluss die Rechtssicherheit und reduziert den Dokumentations- und Prüfaufwand erheblich.
2. Bewertung des brasilianischen Datenschutzrechts (LGPD)
Die LGPD basiert – ähnlich wie die DSGVO – auf Grundprinzipien wie Zweckbindung, Transparenz, Datenminimierung, Speicherbegrenzung und Integrität. Sie sieht zudem vergleichbare Rechtsgrundlagen für die Datenverarbeitung vor, darunter Einwilligung, Vertragserfüllung, gesetzliche Verpflichtungen oder berechtigte Interessen.
Ein bedeutender Reformschritt in Brasilien war die Stärkung der nationalen Datenschutzbehörde ANPD. Sie verfügt inzwischen über verbindliche Befugnisse zur Überwachung, Sanktionierung und Regulierung von Verarbeitungstätigkeiten. Für den Angemessenheitsbeschluss war insbesondere die Frage entscheidend, inwieweit staatliche Behörden in Brasilien auf personenbezogene Daten zugreifen dürfen. Nach Einschätzung der EU-Kommission wurden ausreichend rechtliche Hürden und Kontrollmechanismen eingeführt, die solche Zugriffe begrenzen und transparenter gestalten.
Der Europäische Datenschutzausschuss (EDPB) hat den Entwurf grundsätzlich positiv bewertet, allerdings Klarstellungen zur praktischen Umsetzung von Transparenzpflichten, zur Weitergabe an externe Empfänger und zu Verfahren bei risikoreichen Verarbeitungen gefordert. Diese Punkte werden voraussichtlich in die finale Fassung einfließen.
3. Was ändert sich für Unternehmen konkret?
Mit Inkrafttreten des Angemessenheitsbeschlusses könnten personenbezogene Daten rechtmäßig nach Brasilien übermittelt werden, ohne dass zusätzliche Garantien erforderlich wären. Für die Praxis bedeutet das, dass viele bestehende Transfermechanismen – insbesondere SCC und TIAs – entfallen.
Unternehmen profitieren damit insbesondere durch folgende Erleichterungen:
- Reduzierung von Prüf- und Dokumentationspflichten im Zusammenhang mit Drittlandsübermittlungen.
- Wegfall der Notwendigkeit, staatliche Zugriffsbefugnisse eigenständig zu bewerten.
- Vereinfachungen bei Auditierungen und bei der Auftragsverarbeitung mit brasilianischen Dienstleistern.
Trotz dieser Erleichterungen bleiben die allgemeinen Vorgaben der DSGVO vollständig bestehen. Verantwortliche müssen weiterhin ihre Informationspflichten erfüllen, technische und organisatorische Maßnahmen prüfen, Verarbeitungsverzeichnisse aktualisieren und bei hohem Risiko eine Datenschutz-Folgenabschätzung durchführen. Der Angemessenheitsbeschluss ermöglicht lediglich eine vereinfachte Übermittlung, ersetzt aber keine internen Compliance-Prozesse.
4. Welche Schritte sollten Unternehmen jetzt vorbereiten?
Auch wenn die finale Entscheidung noch aussteht, sollten Unternehmen bereits jetzt ihre globalen Datenflüsse analysieren. Viele größere Plattformen und IT-Infrastrukturen nutzen internationale Subdienstleister; es ist daher sinnvoll, frühzeitig Transparenz über etwaige Datenübermittlungen nach Brasilien zu schaffen.
Empfehlenswerte vorbereitende Schritte sind:
- Identifikation aller direkten und indirekten Datenübermittlungen nach Brasilien.
- Dokumentation bestehender Verträge, in denen derzeit SCC oder andere Transfermechanismen verwendet werden.
- Austausch mit Dienstleistern, ob sie die Verarbeitung tatsächlich in Brasilien durchführen oder entsprechende Subdienstleister einsetzen.
- Planung der Umstellung, sobald der Angemessenheitsbeschluss in Kraft tritt, einschließlich Anpassung von Verzeichnissen und Informationspflichten.
Frühe Vorbereitung stellt sicher, dass Unternehmen schnell und rechtssicher reagieren können, ohne kurzfristig Verträge oder Dokumentationen überarbeiten zu müssen.
Fazit und Handlungsempfehlung
Der geplante Angemessenheitsbeschluss für Brasilien ist ein wichtiger Schritt auf dem Weg zu einer international stärker abgestimmten Datenschutzlandschaft. Unternehmen profitieren vor allem durch eine deutliche Erleichterung beim Transfer personenbezogener Daten und durch eine erhöhte Rechtssicherheit. Gleichzeitig bleibt die DSGVO der maßgebliche Rahmen für alle Verarbeitungstätigkeiten innerhalb der EU.
Unternehmen sollten jetzt prüfen, ob Datenbeziehungen nach Brasilien bestehen, oder ob sich solche Beziehungen künftig ergeben könnten. Eine systematische Voranalyse erleichtert die spätere Umstellung erheblich.
Sprechen Sie die nächsten Schritte unbedingt mit Ihrem Datenschutzbeauftragten ab, um die finalen Regelungen korrekt umzusetzen und die erforderliche Dokumentation rechtssicher zu gestalten.
Kommen Sie bei Fragen dazu gerne auf uns zu – wir stehen Ihnen für weitergehende Informationen und Unterstützung zur Verfügung.
Folgende Beiträge könnten Sie auch interessieren: