Compliance · EU → BR
Die EU und Brasilien erkennen ihre Datenschutzregime gegenseitig an — was die Angemessenheit tatsächlich beseitigt
Jul 17, 2026 · 6 min read

In short
Ende Januar 2026 haben Brasilien und die EU ihre Datenschutzregime wechselseitig als angemessen anerkannt: Die Resolution CD/ANPD Nr. 32 wurde am 26. Januar veröffentlicht und trat mit der Veröffentlichung in Kraft, die Europäische Kommission fasste ihren Angemessenheitsbeschluss zu Brasilien am 27. Januar. Brasilien ist damit die siebzehnte Jurisdiktion mit EU-Angemessenheit. Praktisch können personenbezogene Daten nun ohne Standardvertragsklauseln oder andere zusätzliche Übermittlungsinstrumente zwischen Brasilien und dem EWR fließen: EU-Exporteure stützen sich auf Artikel 45 DSGVO statt auf SCC, brasilianische Exporteure auf Artikel 33(I) LGPD. Nicht erfasst sind Übermittlungen, die ausschließlich der öffentlichen Sicherheit, der Landesverteidigung, der Staatssicherheit oder der Strafverfolgung dienen. Materielle Pflichten entfallen nicht: Rechtsgrundlage, Datenschutzbeauftragter, Auftragsverarbeitungsverträge, Transparenz, Sicherheit und Incident-Handling gelten unverändert. Die Überprüfung erfolgt in einem Vier-Jahres-Zyklus und kann bei wesentlichen Änderungen früher erfolgen.
Standardvertragsklauseln sind nicht länger der Preis dafür, personenbezogene Daten zwischen Brasilien und Europa zu bewegen. Ende Januar 2026 haben beide Seiten ihre Regime wechselseitig als angemessen anerkannt: Die Resolution CD/ANPD Nr. 32 wurde am 26. Januar veröffentlicht und trat mit der Veröffentlichung in Kraft, die Europäische Kommission fasste ihren eigenen Angemessenheitsbeschluss zu Brasilien am 27. Januar. Die Daten fließen nun in beide Richtungen allein auf Grundlage dieser Beschlüsse. Für ein europäisches Unternehmen mit brasilianischer Tochtergesellschaft, einem Händlerportal oder einer über den Korridor verteilten Kundendatenbank ist die Frage nach dem Übermittlungsinstrument, die zuvor in jedem Lieferantenvertrag stand, weitgehend verstummt.
Was konkret entfällt, lässt sich benennen. Ein EU-Exporteur, der personenbezogene Daten nach Brasilien übermittelt, stützt sich auf Artikel 45 DSGVO, statt SCC zu verhandeln; ein brasilianischer Exporteur, der Daten nach Europa sendet, stützt sich auf Artikel 33(I) LGPD, statt die Standardklauseln der ANPD zu übernehmen, die für Bestandsverträge erst seit August 2025 verpflichtend waren. Der brasilianische Beschluss erfasst die EU-Mitgliedstaaten, die EWR-Staaten — Island, Liechtenstein und Norwegen — sowie die EU-Institutionen. Erstmals hat die Kommission eine wechselseitige Regelung dieses Zuschnitts vereinbart: öffentlicher und privater Sektor zugleich, alle Datenkategorien einschließlich sensibler Daten. Im Einkauf nimmt das eine Verhandlung aus dem Lieferanten-Onboarding.
Es lohnt sich, präzise zu sein, was unverändert bleibt, denn der Beschluss ist eine institutionelle Brücke und kein Compliance-Siegel. Die Angemessenheit regelt die Übermittlung, nicht die Verarbeitung: Sie brauchen weiterhin eine Rechtsgrundlage, Transparenz gegenüber den betroffenen Personen, einen Datenschutzbeauftragten, wo er vorgeschrieben ist, Auftragsverarbeitungsverträge mit Ihren Dienstleistern, Sicherheitsmaßnahmen und einen funktionierenden Meldeprozess. Beide Regime gelten auf ihrer jeweiligen Seite der Brücke vollständig. Ausgenommen sind zudem Übermittlungen, die ausschließlich der öffentlichen Sicherheit, der Landesverteidigung, der Staatssicherheit oder der Strafverfolgung dienen — sie benötigen weiterhin eine eigene Grundlage.
Die Frage der Beständigkeit verdient Planung. Die Stellungnahme 28/2025 des EDSA vom 5. November 2025 fiel zustimmend aus, bat die Kommission aber, mehrere Punkte weiter zu beobachten: den Umgang Brasiliens mit Datenschutz-Folgenabschätzungen, Transparenzgrenzen bei Berufung auf Geschäfts- und Betriebsgeheimnisse, die Regeln für Weiterübermittlungen aus Brasilien, die Reichweite des brasilianischen Rechts im Bereich der Strafverfolgung und den Umfang des brasilianischen Begriffs der nationalen Sicherheit. Der Beschluss wird binnen vier Jahren überprüft und kann früher wieder aufgenommen werden, wenn sich eines der Regime verschiebt. Wer Safe Harbour und Privacy Shield verfolgt hat, zieht den naheliegenden Schluss: Behandeln Sie die Angemessenheit als Standard, halten Sie Ihre Datenflüsse dokumentiert und die SCC als Rückfalloption bereit, die Sie ausführen könnten — statt sie unter Zeitdruck erfinden zu müssen.
Die kommerzielle Lesart ist bescheiden, aber real. Angemessenheit öffnet keinen Markt und entscheidet nicht darüber, ob Brasilien den Eintritt wert ist. Sie nimmt eine wiederkehrende Reibung heraus — den Vertragsanhang, das Transfer Impact Assessment, die juristische Prüfung, die jeder Integration Wochen hinzufügte — aus einem Korridor, in dem diese Reibung selten der interessante Teil des Geschäfts war. Die Hürden, die einen Markteintritt tatsächlich bestimmen, bleiben die produktbezogenen: wer die Registrierung hält, wer als Importeur auftritt und was die Einfuhrkosten mit Ihrem Preis machen. Wenn Sie den brasilianischen Korridor abwägen, ist unser Opportunity Scan der Ausgangspunkt für diese Fragen.
Geschäftsinformationen, keine Rechts- oder Steuerberatung.