Die Struktur der LGPD im Jahr 2026

Die LGPD ist das primäre Datenschutzgesetz in Brasilien, und ihr Kerntext war seit der Verabschiedung bemerkenswert stabil. Was sich geändert hat, ist die regulatorische Infrastruktur um sie herum.

Die ANPD als reife Regulierungsbehörde

Die ANPD wurde 2021 voll funktionsfähig und verbrachte ihre ersten drei Jahre mit dem Aufbau verfahrensrechtlicher Kapazitäten, dem Herausgeben von Leitlinien und der Durchführung von Konsultationen. Bis 2024 war sie zur aktiven Durchsetzung übergegangen, und bis 2025 hatte sie einige ihrer ersten bedeutenden Verwaltungsbußgelder ausgestellt, einschließlich gegen ausländische Plattformen. Die Haltung der Behörde im Jahr 2026 ist näher an ihren europäischen Pendants als an ihrer früheren sanften Phase.

Die Verordnung zur grenzüberschreitenden Übermittlung von 2026

Die wichtigste regulatorische Entwicklung für ausländische Publisher war die Verordnung zur internationalen Übermittlung der ANPD, die Ende 2025 finalisiert wurde und 2026 in Kraft trat. Die Verordnung führt einen Angemessenheitsrahmen ein, von der ANPD genehmigte Musterklauseln, verbindliche Unternehmensregeln und Zertifizierungen, die alle analog zu den Mechanismen aus Kapitel V der GDPR funktionieren. Vor dieser Verordnung operierten grenzüberschreitende Übermittlungen unter einem viel vageren Regelwerk, das Publisher und Ad-Tech-Anbieter typischerweise über bilaterale Handelsvereinbarungen navigierten. Das 2026-Regime ist erheblich praktikabler, aber erheblich anspruchsvoller bei der Dokumentation.

Wer wird reguliert

Die LGPD gilt extraterritorial. Jeder Verantwortliche, der personenbezogene Daten von Personen verarbeitet, die sich zum Zeitpunkt der Erhebung in Brasilien befinden, oder der aus Brasilien erhobene Daten verarbeitet, unabhängig davon, wo die Verarbeitung stattfindet, fällt in den Anwendungsbereich. Ausländische Publisher, die brasilianische Nutzer über lokalisierte Websites oder programmatisches Inventar bedienen, das gegen brasilianische IPs gekauft wird, sind klar in Reichweite, und die ANPD hat in mehreren Fällen von 2025 die extraterritoriale Bestimmung geltend gemacht.

Was unter LGPD als personenbezogene Daten gilt

Die Definition personenbezogener Daten der LGPD ist weit gefasst und folgt eng der GDPR. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, und die ANPD hat Cookies, Werbekennungen, IP-Adressen, Geräte-Fingerabdrücke und Verhaltensprofile konsequent als personenbezogene Daten behandelt, wenn sie direkt oder durch angemessene Mittel mit einer Person verknüpft werden können.

Sensible personenbezogene Daten

Die LGPD benennt eine breite Liste sensibler Kategorien: rassische oder ethnische Herkunft, religiöse Überzeugung, politische Meinung, Mitgliedschaft in Gewerkschaften oder politischen Organisationen, philosophische oder religiöse Überzeugungen, Gesundheit, Sexualleben, genetische Daten und biometrische Daten, wenn sie zur eindeutigen Identifikation verwendet werden. Die Verarbeitung sensibler personenbezogener Daten löst strengere Einwilligungsanforderungen und zusätzliche Pflichten für den Verantwortlichen aus.

Warum dies für Cookies wichtig ist

Ein Cookie, das eine routinemäßige Sitzungskennung speichert, sind gewöhnliche personenbezogene Daten. Ein Cookie, das ein Zielgruppensegment speist, das die sensible Liste der LGPD berührt — Gesundheitsinteressen, religiöse Zugehörigkeiten, politische Neigungen — ist eine Verarbeitung sensibler personenbezogener Daten und erfordert den verstärkten Einwilligungsablauf, nicht die allgemeine Werbeeinwilligung. Publisher, die Zielgruppensegmente betreiben, die die sensible Liste überlappen, sollten ihre Einwilligungsabläufe speziell gegen diese Grenze prüfen.

Cookie-Einwilligung unter der LGPD im Jahr 2026

Die LGPD erlaubt mehrere rechtmäßige Grundlagen für die Verarbeitung, aber für Cookies und ähnliche Technologien, die nicht unbedingt für die Dienstleistung erforderlich sind, haben sich Leitlinien und Durchsetzung der ANPD auf Einwilligung als praktische Basislinie geeinigt.

Die fünf Elemente gültiger Einwilligung

Einwilligung unter der LGPD muss sein:

• Frei — ohne Zwang gegeben und nicht mit der Bereitstellung einer Dienstleistung gebündelt, auf die der Nutzer ansonsten Anspruch hat
• Informiert — die betroffene Person versteht, welche Daten verarbeitet werden, von wem, zu welchem Zweck und mit welchen Folgen
• Eindeutig — ausgedrückt durch eine klare bejahende Handlung, nicht abgeleitet aus Schweigen, vorab angekreuzten Feldern oder Scrollen-als-Einwilligung
• Spezifisch — an klar identifizierte Zwecke gebunden, nicht als pauschale Dachzustimmung
• Hervorgehoben in Fällen, die sensible Daten betreffen, mit ausdrücklicher und separater Einwilligung für die spezifische sensible Verarbeitung

Wie eine konforme CMP aussieht

Eine für brasilianischen Datenverkehr im Jahr 2026 konfigurierte CMP sollte Folgendes präsentieren:

• Ein sichtbares Banner, bevor ein nicht wesentliches Cookie oder Tracker ausgelöst wird, standardmäßig auf Portugiesisch (Português) für brasilianische Nutzer
• Gleiche visuelle Präsenz für Aceitar (Akzeptieren), Recusar (Ablehnen) und Personalizar (Anpassen) — die ANPD hat speziell Banner-Designs hervorgehoben, bei denen die Aktion Recusar weniger sichtbar ist
• Granulare Schalter pro Zweck: Analytik, Werbung, Personalisierung, grenzüberschreitende Übermittlung und jede Verarbeitung sensibler Kategorien
• Einen separaten, klar gekennzeichneten Ablauf für die Verarbeitung sensibler personenbezogener Daten, der hinter einer eigenen Aktion liegt
• Einen dauerhaften, leicht auffindbaren Mechanismus zum Widerruf der Einwilligung nach der ursprünglichen Wahl
• Ein portugiesischsprachiges Aviso de Privacidade mit vollständigen Angaben zu Verantwortlichem, Auftragsverarbeitern, Zwecken, Empfängern, Aufbewahrung und Rechten

Einwilligungsprotokolle

Verantwortliche müssen Nachweise der Einwilligung führen — wer, wann, zu welchem Zweck und über welche Schnittstelle eingewilligt hat. Die ANPD hat in mehreren Durchsetzungsmaßnahmen unzureichende Einwilligungsprotokolle zitiert, und exportierbare, mit Zeitstempeln versehene Protokolle sind die Grunderwartung.

Das 2026-Regime für grenzüberschreitende Übermittlung

Dies ist der Bereich, in dem 2026 deutlich anders aussieht als 2024. Die Verordnung der ANPD zur internationalen Übermittlung trat zu Beginn des Jahres in Kraft, und die praktischen Auswirkungen werden von ausländischen Publishern noch aufgenommen.

Die neuen Übermittlungsmechanismen

Die Verordnung bietet vier primäre Wege für legitime grenzüberschreitende Übermittlung:

• Von der ANPD ausgestellte Angemessenheitsentscheidungen, die Zieljurisdiktionen oder -sektoren als angemessenen Schutz bietend anerkennen
• Von der ANPD genehmigte Standardvertragsklauseln, die analog zu den GDPR-SCCs funktionieren
• Verbindliche Unternehmensregeln für konzerninterne Übermittlungen innerhalb multinationaler Organisationen
• Spezifische Genehmigung für Übermittlungen, die nicht in die Standardwege passen, von Fall zu Fall

Der praktische 2026-Ansatz

Für die meisten ausländischen Publisher besteht der Arbeitsansatz im Jahr 2026 darin, von der ANPD genehmigte Standardvertragsklauseln mit internationalen Auftragsverarbeitern auszuführen, den Übermittlungsmechanismus in der Datenschutzerklärung zu dokumentieren und nur dort mit einer einwilligungsbasierten Autorisierung zu ergänzen, wo der Standardmechanismus nicht passt. Dies ist deutlich einfacher als das Vor-2026-Regime, das oft auf einer Einwilligung-pro-Übermittlung-Logik basierte, die unhandliche CMPs erzeugte.

Angemessenheitsentscheidungen bisher

Die ANPD hat bis Anfang 2026 Angemessenheitsentscheidungen für eine Handvoll Jurisdiktionen ausgestellt und wird die Liste voraussichtlich schrittweise erweitern. Die Vereinigten Staaten stehen zu Beginn 2026 nicht auf der Angemessenheitsliste, was bedeutet, dass Übermittlungen an in den USA ansässige Ad-Tech- und Analyse-Anbieter Vertragsklauseln oder einen anderen gültigen Mechanismus erfordern.

Rechte der betroffenen Person

Die LGPD gewährt einen robusten Satz von Rechten, die durch den brasilianischen Rahmen angewendet werden:

• Recht auf Bestätigung der Verarbeitung
• Recht auf Zugang zu verarbeiteten Daten
• Recht auf Berichtigung unvollständiger, ungenauer oder veralteter Daten
• Recht auf Anonymisierung, Sperrung oder Löschung unnötiger, übermäßiger oder rechtswidrig verarbeiteter Daten
• Recht auf Datenübertragbarkeit zu einem anderen Dienstanbieter
• Recht auf Löschung auf der Grundlage der Einwilligung verarbeiteter Daten
• Recht auf Information über öffentliche und private Einrichtungen, mit denen die Daten geteilt wurden
• Recht auf Information über die Möglichkeit, die Einwilligung zu verweigern, und die Folgen der Verweigerung
• Recht auf Widerruf der Einwilligung
• Recht auf Widerspruch gegen die Verarbeitung, die auf der Grundlage einer der berechtigten Interessen-Grundlagen erfolgt, wenn Nichteinhaltung vorliegt
• Recht auf Überprüfung von Entscheidungen, die ausschließlich auf automatisierter Verarbeitung basieren

Reaktionsfristen

Verantwortliche müssen laut Verordnung innerhalb von 15 Tagen auf Anfragen betroffener Personen reagieren, mit Möglichkeit der Verlängerung in begründeten Fällen. Dies ist strenger als das 30-Tage-Fenster der GDPR und war eine wiederkehrende operative Lücke für ausländische Publisher, die auf den europäischen Rhythmus eingestellt sind.

Strafen und Durchsetzungshaltung im Jahr 2026

Die Durchsetzungsaktivität der ANPD ist in den Jahren 2024 und 2025 deutlich eskaliert, und 2026 ist auf einer ähnlichen Trajektorie.

Verwaltungsbußgelder

Die LGPD erlaubt Verwaltungsbußgelder von bis zu 2 Prozent des Umsatzes des Verantwortlichen aus seiner Tätigkeit in Brasilien im vorhergehenden Geschäftsjahr, begrenzt auf BRL 50 Millionen pro Verstoß. Die ANPD hat den mittleren Bereich in mehreren Fällen von 2025 verwendet, einschließlich gegen ausländische Plattformen, und die Bußgeldmethodologie der Behörde wurde 2024 veröffentlicht und wird nun konsequent angewendet.

Weitere Sanktionen

Über Bußgelder hinaus kann die ANPD Verwarnungen aussprechen, Korrekturmaßnahmen verlangen, Verarbeitungsaktivitäten teilweise oder vollständig aussetzen und spezifische Verarbeitungsvorgänge verbieten. Die Veröffentlichung des Verstoßes ist eine routinemäßige Begleitsanktion und trägt Reputationsgewicht auf dem brasilianischen Markt.

Durchsetzungsthemen

Die Maßnahmen der ANPD von 2025 und Anfang 2026 konzentrieren sich auf wiederkehrende Themen: mehrdeutige oder fehlende Einwilligungsbanner, das Fehlen einer portugiesischsprachigen Datenschutzerklärung, grenzüberschreitende Übermittlungen ohne gültigen Mechanismus unter der neuen Verordnung und das Versagen, innerhalb des 15-Tage-Fensters auf Anfragen betroffener Personen zu reagieren. Ausländische Publisher wurden in allen vier Kategorien zitiert.

Die DPO-Anforderung

Die LGPD verlangt von Verantwortlichen, einen Datenschutzbeauftragten (Encarregado de Tratamento de Dados Pessoais) zu benennen und die Kontaktinformationen des DPO zu veröffentlichen. Ausländische Verantwortliche, die brasilianische Daten in großem Umfang verarbeiten, benötigen einen benannten DPO, und die Kontaktinformationen müssen in der Datenschutzerklärung leicht zugänglich sein. Die ANPD hat in mehreren Durchsetzungsschreiben fehlende oder unzugängliche DPO-Kontaktinformationen zitiert.

Audit-Checkliste für brasilianischen Datenverkehr im Jahr 2026

• Das CMP-Banner wird auf Portugiesisch mit Aceitar, Recusar und Personalizar in gleicher visueller Präsenz ausgeliefert
• Einwilligungszwecke sind granular und trennen jede Verarbeitung sensibler Kategorien hinter einen eigenen Einwilligungsablauf
• Datenschutzerklärung (Aviso de Privacidade) ist auf Portugiesisch verfügbar mit vollständigen Angaben zu Verantwortlichem, Auftragsverarbeitern, Zwecken, Aufbewahrung, Rechten und DPO-Kontakt
• Grenzüberschreitende Übermittlungen stützen sich auf von der ANPD genehmigte Standardvertragsklauseln, eine Angemessenheitsentscheidung, BCRs oder spezifische Genehmigung — nicht auf veraltete Einwilligung-pro-Übermittlung-Logik
• Einwilligungsprotokolle sind mit Zeitstempeln versehen, exportierbar und für die Dauer der Verarbeitung plus einer prüfbaren Marge aufbewahrt
• Der Arbeitsablauf für Anfragen betroffener Personen kann innerhalb von 15 Tagen durchgängig auf Portugiesisch reagieren
• DPO ist benannt und die Kontaktinformationen sind in der Datenschutzerklärung veröffentlicht
• Die Anbieterliste wurde auf Notwendigkeit überprüft, nicht genutzte oder redundante Anbieter wurden entfernt, um die grenzüberschreitende Übermittlungsfläche zu reduzieren
• Zielgruppensegmente sensibler Kategorien sind hinter einer ausdrücklichen, separat erfassten Einwilligung gegated

Der Ausblick für 2026

Brasiliens Datenschutzregime ist von einem gut ausgearbeiteten Gesetz mit begrenzter Durchsetzung zu einem der anspruchsvolleren Regime in Amerika gereift. Die Verordnung zur grenzüberschreitenden Übermittlung von 2026 schloss die folgenreichste strukturelle Lücke, und die Durchsetzungshaltung der ANPD hat die Ambitionen des Gesetzes eingeholt. Für Publisher, die bereits einen GDPR-tauglichen Einwilligungs-Stack betreiben, ist die Lücke zur LGPD-Compliance eher operationell als architektonisch: portugiesischsprachige CMP und Erklärung, von der ANPD genehmigte Übermittlungsmechanismen, die 15-Tage-Reaktionskadenz, DPO-Benennung und Sorgfalt mit der breiteren sensiblen Datenliste. Die Lücke kann innerhalb von Wochen geschlossen werden, wenn sie priorisiert wird — und Brasilien ist der größte einzelne Markt in Lateinamerika, sodass sich die Priorisierung typischerweise schnell auszahlt. Publisher, die Brasilien bis 2024 als Markt mit leichterer Berührung behandelten, finden 2026 deutlich teurer, und diejenigen, die weiter verzögern, werden 2027 noch schlimmer finden.