Brasilien LGPD und Guest WiFi: Ein Compliance-Leitfaden

Brasilien LGPD und Guest WiFi: Ein Compliance-Leitfaden. Ein Purple Intelligence Briefing. Willkommen beim Purple Intelligence Briefing. Ich bin Ihr Moderator, und heute befassen wir uns mit einem Thema, das jeder IT-Manager, Netzwerkarchitekt und Compliance-Beauftragte in Brasilien richtig anpacken muss: der Lei Geral de Proteção de Dados – der LGPD – und insbesondere der Frage, was sie für Ihre Guest WiFi-Bereitstellungen bedeutet. Wenn Sie in Ihren europäischen Betrieben bereits GDPR-konform arbeiten, gehen Sie vielleicht davon aus, dass Brasilien eine einfache Erweiterung dieser Arbeit ist. Damit liegen Sie zum Teil richtig – aber eben nur zum Teil. Die LGPD weist einige wesentliche Unterschiede auf, die für multinationale Unternehmen, die ihr EU-Compliance-Konzept einfach kopieren, zum Stolperstein werden können. Und da die ANPD – Brasiliens Datenschutzbehörde – ihre Durchsetzungskompetenzen stetig ausbaut, schließt sich das Zeitfenster für einen lockeren Umgang mit dem Thema rasant. Lassen Sie uns also einsteigen. Wir sprechen über den rechtlichen Rahmen, die Rechtsgrundlagen, die tatsächlich für WiFi-Anmeldungen gelten, wie die ANPD im Vergleich zu Aufsichtsbehörden wie dem ICO und der CNIL abschneidet und wie Ihr Captive Portal aussehen muss, damit Sie auf der sicheren Seite des Gesetzes bleiben. Beginnen wir mit den Grundlagen. Die LGPD – Gesetz Nummer 13.709 – trat im August 2020 in Kraft, Verwaltungssanktionen folgten im August 2021. Sie wurde eng an die GDPR angelehnt. Wer also die eine versteht, hat ein solides Fundament für die andere. Aber der Teufel steckt im Detail. In dem Moment, in dem sich ein Gast mit Ihrem WiFi-Netzwerk verbindet, erfassen Sie personenbezogene Daten. MAC-Adressen, IP-Adressen, Verbindungszeitstempel, Sitzungsdauer – all das fällt eindeutig unter die Definition personenbezogener Daten der LGPD. Wenn Sie dann noch ein Registrierungsformular im Captive Portal hinzufügen, das Namen, E-Mail-Adressen oder Telefonnummern erfasst, befinden Sie sich endgültig auf einem Terrain, das eine klare Rechtsgrundlage für die Verarbeitung erfordert. Die LGPD sieht in Artikel 7 zehn Rechtsgrundlagen vor. Für Guest WiFi sind drei davon besonders relevant. Erstens: die Einwilligung – Artikel 7, römisch eins. Dies ist die einfachste Grundlage: Der Gast stimmt Ihrer Datenschutzerklärung aktiv zu und setzt vor dem Verbindungsaufbau ein Häkchen in ein Kontrollkästchen. Die Einwilligung muss freiwillig, informiert, eindeutig und zweckgebunden sein. Sie können die Marketing-Einwilligung nicht mit der Einwilligung für die grundlegende Konnektivität koppeln – das müssen separate Kontrollkästchen sein. Zweitens: die Vertragserfüllung – Artikel 7, römisch fünf. Dies gilt, wenn die WiFi-Konnektivität Teil einer vertraglich vereinbarten Dienstleistung ist. Bei einem Hotelgast, der ein Zimmer inklusive WiFi-Zugang gebucht hat, können die Verbindungsdaten auf dieser Grundlage verarbeitet werden, da dies zur Erbringung der vertraglich vereinbarten Leistung erforderlich ist. Für Hotelbetreiber ist dies eine sauberere Grundlage als die Einwilligung, da kein aktives Häkchen erforderlich ist – sie ist dem Dienstleistungsverhältnis immanent. Drittens: berechtigte Interessen – Artikel 7, römisch neun. Dies ist die flexibelste, aber auch rechtlich am stärksten angreifbare Grundlage. Sie müssen eine Interessenabwägung durchführen und dokumentieren, die zeigt, dass Ihre Interessen die Grundrechte der betroffenen Person nicht überwiegen. Für die grundlegende Protokollierung der Netzwerksicherheit ist dies im Allgemeinen vertretbar. Für Verhaltensanalysen oder Marketing-Profiling ist es weitaus schwieriger zu rechtfertigen. Und hier ist ein Punkt, den viele Betreiber übersehen: der Marco Civil da Internet. Dies ist Brasiliens gesetzlicher Rahmen für Bürgerrechte im Internet – Gesetz 12.965 von 2014. Er gilt neben der LGPD und wird nicht durch diese ersetzt. Gemäß Artikel 13 des Marco Civil müssen Internetverbindungsanbieter Verbindungsprotokolle mindestens ein Jahr lang aufbewahren. Wenn Ihr Standort der Öffentlichkeit einen Internetzugang zur Verfügung stellt, fallen Sie sehr wahrscheinlich unter diese Definition. Das bedeutet, dass Ihre Richtlinie zur Datenaufbewahrung nicht einfach besagen kann, dass Sie alles nach 30 Tagen löschen – Sie sind gesetzlich verpflichtet, Verbindungsprotokolle zwölf Monate lang aufzubewahren, unabhängig davon, was Ihre LGPD-Datenschutzerklärung zur Datenminimierung besagt. Sprechen wir über die ANPD – die Autoridade Nacional de Proteção de Dados. Sie wurde durch die LGPD selbst ins Leben gerufen und fungiert als spezielle Bundesbehörde, die dem Justizministerium angegliedert ist. Ihr Mandat umfasst Aufsicht, Beratung und Durchsetzung. Wie schneidet sie im Vergleich zum ICO in Großbritannien oder der CNIL in Frankreich ab? Die ehrliche Antwort ist, dass die ANPD noch in den Kinderschuhen steckt. Das ICO hat Bußgelder in zweistelliger Millionenhöhe verhängt – British Airways erhielt eine Strafe von zwanzig Millionen Pfund, Marriott achtzehn-komma-vier Millionen. Die CNIL verhängte gegen Google ein Bußgeld von einhundertfünfzig Millionen Euro und gegen Facebook sechzig Millionen. Das erste Bußgeld der ANPD im Juli 2023 belief sich auf insgesamt vierzehntausendvierhundert brasilianische Reais – etwa dreitausend US-Dollar – gegen ein kleines Telemarketing-Unternehmen. Im Jahr 2024 richteten sich ihre Durchsetzungsmaßnahmen ausschließlich gegen Einrichtungen des öffentlichen Sektors und führten eher zu Verwarnungen als zu Geldstrafen. Aber lassen Sie sich davon nicht in falscher Sicherheit wiegen. Die Durchsetzungskurve der ANPD zeigt deutlich nach oben. Im Juli 2024 erließ sie eine Präventivmaßnahme gegen Meta und ordnete die sofortige Aussetzung der Richtlinie zur Nutzung von Daten für das KI-Training an. Im Dezember 2024 ging sie gegen X Corp wegen Kinderdaten vor. Die Regulierungsagenda der ANPD für 2025 und 2026 priorisiert explizit KI und Gesichtserkennung – was für jeden Standort, der biometrische Authentifizierung für den WiFi-Zugang einführt, von direkter Relevanz ist. Die Höchststrafe nach der LGPD beträgt zwei Prozent des jährlichen Umsatzes eines Unternehmens in Brasilien, gedeckelt auf fünfzig Millionen Reais pro Verstoß – nach aktuellem Wechselkurs etwa neun Millionen Euro. Das ist deutlich niedriger als die vier Prozent des weltweiten Umsatzes der GDPR, wird aber ausschließlich auf den brasilianischen Umsatz berechnet. Für einen multinationalen Konzern mit bedeutenden Aktivitäten in Brasilien ist das Risiko dennoch erheblich. Ein entscheidender Unterschied zur GDPR: Die LGPD verlangt ausnahmslos einen Data Protection Officer für alle Datenverantwortlichen. Unter der GDPR ist ein DPO nur unter bestimmten Umständen zwingend erforderlich. Wenn Sie unter der LGPD personenbezogene Daten in Brasilien verarbeiten, benötigen Sie einen. Der im Juli 2024 veröffentlichte ANPD-Beschluss 18 legt die detaillierten Aufgaben und erforderlichen Qualifikationen fest. Die Kontaktdaten des DPO müssen öffentlich bekannt gegeben werden – in der Regel auf Ihrer Website. Die Rechte der betroffenen Personen umfassen unter der LGPD neun Punkte, verglichen mit acht unter der GDPR. Die praktischen Unterschiede für WiFi-Betreiber sind zweifach. Erstens haben Sie fünfzehn Tage Zeit, um auf ein Auskunftsbegehren zu antworten – die Hälfte der 30-Tage-Frist unter der GDPR. Wenn Sie ein großes Standortnetzwerk mit Tausenden von täglichen Verbindungen betreiben, müssen Ihre Prozesse zur Datenabfrage und -beantwortung operativ in der Lage sein, diese engere Frist einzuhalten. Zweitens enthält die LGPD ein ausdrückliches Recht, die Anonymisierung von Daten zu verlangen, nicht nur deren Löschung. Ihre Plattform muss beide Optionen unterstützen. Wie sieht also eine konforme Bereitstellung in der Praxis aus? Lassen Sie mich die wichtigsten Implementierungsanforderungen beschreiben. Ihr Captive Portal muss eine Datenschutzerklärung auf Portugiesisch anzeigen – und zwar in brasilianischem Portugiesisch, nicht in europäischem Portugiesisch. Die Erklärung muss den Datenverantwortlichen nennen, die Rechtsgrundlage für die Verarbeitung angeben, die Zwecke der Datennutzung präzisieren, alle Dritten nennen, mit denen Daten geteilt werden, und die Kontaktdaten des DPO enthalten. Dies ist nicht verhandelbar. Kontrollkästchen für die Einwilligung dürfen standardmäßig nicht ausgewählt sein. Bereits angekreuzte Kästchen stellen unter der LGPD ebenso wenig eine wirksame Einwilligung dar wie unter der GDPR. Die Marketing-Einwilligung muss von der Einwilligung für die Konnektivität getrennt sein – Sie dürfen den Internetzugang nicht davon abhängig machen, dass der Gast dem Erhalt von Werbe-E-Mails zustimmt. Zur Datenminimierung: Erheben Sie nur das, was Sie tatsächlich benötigen. Wenn Sie Guest WiFi ausschließlich für die Konnektivität bereitstellen, benötigen Sie weder ein Geburtsdatum noch eine Wohnadresse. Wenn Sie über Ihre WiFi-Plattform ein Treueprogramm betreiben, müssen Sie jedes zusätzliche Datenfeld im Hinblick auf den angegebenen Zweck rechtfertigen. Dokumentieren Sie Ihre Richtlinie zur Datenaufbewahrung explizit. Verbindungsprotokolle: mindestens ein Jahr gemäß dem Marco Civil. Marketingdaten: Aufbewahrung nur so lange, wie es für den angegebenen Zweck erforderlich ist, und Löschung bei Widerruf der Einwilligung. Ihre WiFi-Analyseplattform sollte automatisierte Aufbewahrungsfristen und Lösch-Workflows unterstützen. Die größte Fehlerquelle in der Praxis ist die Koppelung von Einwilligungen. Betreiber erstellen eine einzige Einwilligungsmaske, die Konnektivität, Analysen und Marketing in einem einzigen Kontrollkästchen abdeckt. Das ist sowohl unter der LGPD als auch unter der GDPR unzulässig. Trennen Sie die Einwilligungen. Ja, das erhöht die Hürden für den Nutzer. Aber die Alternative ist eine Durchsetzungsmaßnahme, die Sie weitaus teurer zu stehen kommt. Der zweite große Fehler ist das Ignorieren des Marco Civil. Betreiber, die sich ausschließlich auf die LGPD-Compliance konzentrieren und die einjährige Aufbewahrungspflicht für Verbindungsprotokolle gemäß dem Marco Civil vergessen, schaffen ein anderes rechtliches Risiko. Dies sind zwei separate Rechtsinstrumente, und beide sind anzuwenden. Dritter Fehler: Das Fehlen eines Prozesses für die Rechte betroffener Personen. Es reicht nicht aus, eine Datenschutzerklärung zu haben, in der steht: „Kontaktieren Sie uns, um Ihre Rechte auszuüben“. Sie benötigen einen operativen Prozess – eine dedizierte E-Mail-Adresse oder ein Webformular, einen dokumentierten internen Workflow und die technische Fähigkeit, die Daten einer bestimmten Person innerhalb von fünfzehn Tagen abzurufen, zu korrigieren, zu exportieren oder zu löschen. Lassen Sie uns einige kurze Fragen durchgehen, die mir von Kunden regelmäßig gestellt werden. Benötigen wir einen DPO, wenn wir nur einen einzigen Standort in Brasilien haben? Ja. Die LGPD gilt für alle Datenverantwortlichen, die personenbezogene Daten in Brasilien verarbeiten, unabhängig von der Größe. Können wir berechtigte Interessen als Grundlage für WiFi-Analysen nutzen? Unter Umständen ja, aber Sie benötigen eine dokumentierte Interessenabwägung. Für die grundlegende Netzwerksicherheit und betriebliche Analysen ist dies vertretbar. Für verhaltensbasiertes Marketing-Profiling ist es weitaus schwieriger zu rechtfertigen. Wie sieht es mit biometrischer Authentifizierung aus – Gesichtserkennung am WiFi-Portal? Das sind sensible Daten unter der LGPD. Sie benötigen eine ausdrückliche Einwilligung und müssen bei der Speicherung und Verarbeitung äußerst vorsichtig sein. Die ANPD hat dies für die Durchsetzung in den Jahren 2025 bis 2026 fest im Visier. Wir sind GDPR-konform – deckt das auch die LGPD ab? Größtenteils ja, aber nicht vollständig. Das kürzere Zeitfenster für die Beantwortung von Auskunftsbegehren, die obligatorische DPO-Pflicht, die Aufbewahrungspflicht nach dem Marco Civil und die Anforderung einer portugiesischsprachigen Erklärung sind Bereiche, in denen die GDPR-Compliance allein nicht ausreicht. Zusammenfassend lässt sich sagen: Die LGPD ist ein ausgereiftes, von der GDPR inspiriertes Datenschutzregelwerk mit einigen wichtigen brasilianischen Besonderheiten. Für Guest WiFi-Betreiber sind folgende Maßnahmen entscheidend: Überprüfen Sie Ihr Captive Portal: Ist Ihre Datenschutzerklärung auf brasilianischem Portugiesisch verfasst, nennt sie die Rechtsgrundlage, und sind Ihre Kontrollkästchen für die Einwilligung separat und standardmäßig nicht ausgewählt? Ernennen Sie einen DPO und veröffentlichen Sie dessen Kontaktdaten. Dies ist für alle Verantwortlichen verpflichtend. Überprüfen Sie Ihre Richtlinie zur Datenaufbewahrung im Hinblick auf die einjährige Aufbewahrungspflicht für Verbindungsprotokolle gemäß dem Marco Civil. Etablieren Sie einen Workflow für die Rechte betroffener Personen, der in der Lage ist, innerhalb von fünfzehn Tagen zu antworten. Und wenn Sie irgendeine Form von biometrischer Authentifizierung oder fortschrittlicher Analytik einsetzen, lassen Sie vor dem Go-Live eine Datenschutz-Folgenabschätzung durchführen. Die Guest WiFi-Plattform von Purple wurde speziell für diese Compliance-Anforderungen entwickelt – mit konfigurierbaren Einwilligungsabfragen, automatisierten Aufbewahrungsfristen und Tools für die Rechte betroffener Personen, die sowohl unter der GDPR als auch unter der LGPD funktionieren. Wenn Sie in Brasilien expandieren und Ihre spezifische Compliance-Architektur besprechen möchten, wenden Sie sich an das Purple-Team. Das war es für das heutige Briefing. Vielen Dank fürs Zuhören und bis zum nächsten Mal.