Am 26. Januar 2026 stellte die Europäische Kommission offiziell fest, dass Brasilien ein mit der Europäischen Union vergleichbares Schutzniveau für die Verarbeitung personenbezogene Daten bietet und damit die Anforderungen des Art. 45 DS-GVO erfüllt. Mit diesem Angemessenheitsbeschluss wird die Übermittlung personenbezogener Daten von der Europäischen Union nach Brasilien deutlich erleichtert, da keine zusätzlichen Übermittlungsinstrumente wie Standardvertragsklauseln oder Binding Corporate Rules erforderlich sind. Für Organisationen bedeutet dies eine spürbare Vereinfachung und erhöhte Rechtssicherheit bei Datenübermittlungen nach Brasilien.
Was ist ein Angemessenheitsbeschluss?
Werden personenbezogene Daten an Organisationen außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übermittelt, reicht eine allgemeine Rechtsgrundlage (z. B. vertragliche Grundlage, berechtigtes Interesse) allein nicht aus. Zusätzlich müssen die Anforderungen aus Kapitel V der DS-GVO erfüllt sein. Ziel ist es dabei, dass das europäische Datenschutzniveau auch bei einer Verarbeitung in sogenannten Drittländern gewahrt bleibt. Hier setzt der Angemessenheitsbeschluss an: Die Europäische Kommission kann feststellen, dass ein bestimmtes Drittland oder eine internationale Organisation ein der Europäischen Union vergleichbares Datenschutzniveau bietet.
Maßgeblich sind dabei gemäß Art. 45 Abs. 2 DS-GVO:
- Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;
- Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;
- Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
Wird ein solches angemessenes Schutzniveau festgestellt, dürfen personenbezogene Daten in dieses Land grundsätzlich ohne zusätzliche Garantien (z. B. Standardvertragsklauseln oder Binding Corporate Rules) übermittelt werden – der Angemessenheitsbeschluss wirkt damit wie eine „datenschutzrechtliche Brücke“ und vereinfacht internationale Datenübermittlungen erheblich. Um sicherzustellen, dass das festgestellte Schutzniveau weiterhin besteht, überprüft die Europäische Kommission bestehende Angemessenheitsbeschlüsse regelmäßig.
Hintergründe zum Angemessenheitsbeschluss für Brasilien
Mit Blick auf Brasilien ist insbesondere die strukturelle Annäherung des dortigen Datenschutzrechts an europäische Standards hervorzuheben. Die brasilianische „Lei Geral de Proteção de Dados“ (LGPD) orientiert sich systematisch an zentralen Prinzipien der DS-GVO, darunter Transparenz, Zweckbindung, Datenminimierung sowie umfassende Betroffenenrechte. Auch die Existenz einer eigenständigen Datenschutzaufsichtsbehörde (Autoridade Nacional de Proteção de Dados – ANPD) war ein wesentlicher Bestandteil der Bewertung. Diese institutionellen und materiell-rechtlichen Parallelen bildeten die Grundlage für die positive Entscheidung der Europäischen Kommission.
Für Organisationen mit Niederlassungen, Auftragsverarbeitern oder Geschäftspartnern in Brasilien vereinfacht der Angemessenheitsbeschluss die praktische Umsetzung von Datentransfers erheblich. Bestehende Standardvertragsklauseln oder andere Transferinstrumente, die ausschließlich zur Absicherung des Drittlandtransfers implementiert wurden, können überprüft und gegebenenfalls angepasst werden. Dadurch lassen sich vertragliche Strukturen und interne Prozesse verschlanken.
Wichtig bleibt jedoch: Der Angemessenheitsbeschluss ersetzt nicht die übrigen Anforderungen der DS-GVO. Für jede Verarbeitung ist weiterhin eine belastbare Rechtsgrundlage erforderlich. Zudem müssen die allgemeinen Grundsätze – etwa Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit – eingehalten werden. Auch Informationspflichten, Betroffenenrechte sowie Dokumentations- und Rechenschaftspflichten gelten unverändert fort. Der Beschluss schafft damit operative Erleichterungen bei Datenübermittlungen nach Brasilien, entbindet Unternehmen jedoch nicht von einem strukturierten und ganzheitlichen Datenschutzmanagement.
Fazit
Der Angemessenheitsbeschluss für Brasilien stellt für international tätige Organisationen einen relevanten Schritt zur Vereinfachung grenzüberschreitender Datenflüsse dar. Datenübermittlungen können künftig auf einer stabilen unionsrechtlichen Grundlage erfolgen, ohne dass zusätzliche Übermittlungsinstrumente erforderlich sind. Gleichzeitig bleibt jedoch festzuhalten: Die Erleichterung betrifft ausschließlich die Transfermechanik. Die weiteren Anforderungen der DS-GVO gelten unverändert fort.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
