Portugal Marktplatz-IntegrationPortugal E-Commerce-PaketePortugal UnternehmenswebsitePortugal Individuelle SoftwarePortugal FirmengründungPortugal Fulfillment-ZentrumPortugal ProduktlagerungPortugal Mobile App-Entwicklung
Anmelden
Portugal · E-Commerce

Kompletter DSGVO + Lei 58/2019 LPDP Leitfaden 2026: CNPD-Behörde, Cookie-Einwilligung, DSB, Betroffenenrechte, 72h-Meldepflicht, Bußgelder bis 20 Mio. €.

🇵🇹 Portugiesischer DSGVO-Compliance-Leitfaden — Ausgabe 2026

DSGVO für den portugiesischen E-Commerce 2026: Datenschutz, Cookie-Einwilligung & Compliance-Leitfaden

Einen E-Commerce-Shop in Portugal im Jahr 2026 zu betreiben bedeutet, sich innerhalb dreier sich überschneidender Rechtsrahmen zu bewegen: RGPD (die EU-DSGVO, portugiesisch Regulamento Geral de Proteção de Dados), Lei n.º 58/2019 (LPDP) — das portugiesische Umsetzungsgesetz — und die bindenden Entscheidungen der CNPD (Comissão Nacional de Proteção de Dados). Mit CNPD-Bußgeldern von bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes, einer für jeden Besucher verpflichtenden Cookie-Einwilligung, einem 72-Stunden-Meldefenster bei Datenschutzverletzungen und einer nach Schrems II verschärften Prüfung jeder Übermittlung außerhalb des EWR ist Compliance zur operativen Infrastruktur geworden. Dieser Leitfaden behandelt alle zehn Säulen der RGPD-Compliance für den portugiesischen E-Commerce, die genauen CNPD-Durchsetzungsmuster und eine praxistaugliche Checkliste für 2026.

✓ RGPD + Gesetz 58/2019 ✓ CNPD-Durchsetzungsmuster ✓ Cookie-Einwilligung + Datenschutzbeauftragter ✓ 72h-Meldepflicht + SCC-Transfers
zunapro.com/panel/portugal/rgpd
RGPD Console 100 % konform
CNPD-Score A+ / 10
Einwilligungen
18.742
↑ 312 heute
Offene Anfragen
4
↑ 0 % SLA
Verletzungsrisiko
Niedrig
↑ 99,8 %
Letzte 7 Tage · Einwilligungsquote % 71,4 %↑ 8,2 %
MoDiMiDoFrSaHeu
Betroffenenanfragen Live
#DSR-0412 Auskunftsrecht — joao.silva@… Ausstehend
#DSR-0411 Recht auf Löschung — m.santos@… In Bearbeitung
#DSR-0410 Datenübertragbarkeit — a.costa@… Erledigt
RGPD aktiv · CNPD-Prüfprotokoll wird geschrieben · Verzeichnis aktuell
20 Mio. €
Maximales RGPD-Bußgeld (oder 4 % Umsatz)
72h
Meldefenster bei Datenschutzverletzungen
30 Tage
SLA für Betroffenenanfragen
10 Jahre
Rechnungsaufbewahrung (Código do IVA)

Portugiesische RGPD im Überblick 2026 — Schnellübersicht

Portugal wendet die EU-DSGVO 2016/679 (RGPD) vollständig an, ergänzt durch das nationale Gesetz Nr. 58/2019 (LPDP), veröffentlicht am 8. August 2019. Die Aufsichtsbehörde ist die CNPD (Comissão Nacional de Proteção de Dados) mit Sitz in Lissabon. Jeder portugiesische E-Commerce-Betreiber muss einen konformen Cookie-Banner, eine portugiesische Datenschutzerklärung, ein Verarbeitungsverzeichnis (ROPA), Auftragsverarbeitungsverträge nach Artikel 28 mit jedem Auftragsverarbeiter sowie die operative Fähigkeit betreiben, Betroffenenanfragen innerhalb von 30 Tagen zu beantworten und die CNPD innerhalb von 72 Stunden über Datenschutzverletzungen zu informieren. Die Bußgelder erreichen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes — die CNPD hat seit 2018 mehrfach Bußgelder in Millionenhöhe verhängt.

Die portugiesische Datenschutzlandschaft 2026

Drei Rechtsinstrumente und eine Aufsichtsbehörde regeln personenbezogene Daten für jeden E-Commerce-Betrieb in Portugal. Die Kartenübersicht unten dient als Referenz für jedes Detailkapitel.

RGPD — Regulamento Geral de Proteção de Dados

EU-Verordnung 2016/679 · in Kraft seit 25. Mai 2018 · unmittelbar anwendbar in allen 27 EU-Mitgliedstaaten, einschließlich Portugal

99 Artikel173 Erwägungsgründe · 20 Mio. € / 4 % Bußgelder

Gesetz Nr. 58/2019 — portugiesisches LPDP

Nationales Umsetzungsgesetz · veröffentlicht am 8. August 2019 · ergänzt nationale Besonderheiten zu Einwilligungsalter, Videoüberwachung, Verarbeitung zu journalistischen Zwecken

66 ArtikelEinwilligungsalter: 13

CNPD — Comissão Nacional de Proteção de Dados

Portugiesische Datenschutzaufsichtsbehörde · gegründet 1994 · Sitz Av. D. Carlos I 134, Lissabon · 7 vom Parlament gewählte Mitglieder

cnpd.ptEDSA-Mitglied · über 30 Jahre Erfahrung

EU-DSGVO-Ökosystem — EDSA & DPF

Der EDSA sorgt für einheitliche Anwendung durch alle Aufsichtsbehörden · EU-US-DPF (Juli 2023) ermöglicht wieder US-Übermittlungen

27 Staaten1 Verordnung · 1 EDSA

Datenschutzbeauftragter / EPD — Encarregado de Proteção de Dados

Verpflichtend bei umfangreicher Überwachung oder Verarbeitung besonderer Datenkategorien · unabhängig · Kontaktdaten im CNPD-Register und in der Datenschutzerklärung veröffentlicht

Artikel 37–39RGPD-Anwendungsbereich · CNPD-Register

Grenzüberschreitende Übermittlungen — SCC + DPF

Standardvertragsklauseln (EU-SCC 2021) · zertifizierte Importeure nach dem EU-US Data Privacy Framework · Transfer Impact Assessment (TIA) verpflichtend

Artikel 44–50Schrems-II-konform

Bereit, Ihren portugiesischen Shop CNPD-fit zu machen?

Zunapro integriert RGPD-Compliance in jede portugiesische Marktplatz-Anbindung — Einwilligungsbanner, Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge nach Artikel 28, Workflow für Betroffenenanfragen und 72-Stunden-Notfallplan bei Datenschutzverletzungen. Compliance als Infrastruktur, nicht als nachträglicher Gedanke.

🛡️ Portugal-Integration starten

1. RGPD & Gesetz 58/2019 — der zweischichtige portugiesische Rechtsrahmen

RGPD: eine Verordnung, 27 Länder

Die Regulamento Geral de Proteção de Dados (RGPD) ist die portugiesischsprachige Bezeichnung der EU-Verordnung 2016/679, verabschiedet am 27. April 2016 und anwendbar seit dem 25. Mai 2018. Als EU-Verordnung (keine Richtlinie) entfaltet die RGPD in Portugal unmittelbare Wirkung — ihre 99 Artikel binden jeden in Portugal niedergelassenen Verantwortlichen und Auftragsverarbeiter sowie jeden Verantwortlichen außerhalb der EU, der Personen in Portugal Waren oder Dienstleistungen anbietet (Artikel 3 Abs. 2, extraterritoriale Anwendung).

Dieselben Pflichten gelten unabhängig davon, ob der Betreiber ein Einzelunternehmer in Lissabon, eine Porto-ansässige Sociedade por Quotas (Lda), ein deutsches Unternehmen mit Lieferungen nach Portugal oder ein US-Shopify-Händler ist, der portugiesische Verbraucher anspricht. Die Verordnung ist technologieneutral und risikobasiert: Verarbeitungen mit hohem Risiko (Profiling, besondere Kategorien, umfangreiche Überwachung) lösen strengere Pflichten aus.

Gesetz 58/2019: die portugiesische Ebene

Die RGPD lässt bewusst mehr als 50 „Öffnungsklauseln" für die Mitgliedstaaten offen. Portugal nutzte diese Optionen durch das Gesetz Nr. 58/2019 vom 8. August — das Lei de Proteção de Dados Pessoais (LPDP) — veröffentlicht über ein Jahr nach dem Geltungsbeginn der RGPD, als Nachfolger des früheren Gesetzes 67/98. Das LPDP ergänzt die RGPD um portugalspezifische Regeln:

  • Einwilligungsalter — 13 Jahre (Artikel 16 LPDP, unter dem RGPD-Standardwert von 16). Für Kinder unter 13 Jahren ist eine überprüfbare elterliche Einwilligung erforderlich.
  • Videoüberwachungsregime (Artikel 19–22 LPDP) — Hinweisschilder für Videoüberwachung, Aufbewahrung (standardmäßig 30 Tage), CNPD-Meldung für öffentliche Räume.
  • Journalistische/akademische/künstlerische Verarbeitung (Artikel 24 LPDP) — begrenzte Ausnahmen zum Ausgleich von Datenschutz und Meinungsfreiheit.
  • Ordnungswidrigkeiten (Artikel 37–50 LPDP) — portugalspezifische Verfahrensregeln, die Artikel 83 RGPD ergänzen.

Ein drittes Instrument vervollständigt den Rechtsrahmen: das Gesetz Nr. 41/2004, die portugiesische Umsetzung der EU-ePrivacy-Richtlinie 2002/58/EG. Artikel 5 Abs. 3 ist die Rechtsgrundlage der Cookie-Einwilligungspflicht — Cookies, Pixel, Fingerprinting und Local-Storage-Technologien erfordern eine vorherige, freiwillige, informierte Einwilligung, unabhängig davon, ob sie personenbezogene Daten verarbeiten. Jede portugiesische E-Commerce-Website benötigt einen Cookie-Banner aufgrund des ePrivacy-Rechts, nicht der RGPD selbst.

📋
Offizielle Quellen: Die RGPD ist auf Portugiesisch auf EUR-Lex verfügbar; das Gesetz 58/2019 im Diário da República; CNPD-Leitlinien auf cnpd.pt. Zunapro synchronisiert den konsolidierten Text aller drei Instrumente in sein Compliance-Modul. Siehe die offizielle CNPD-Website für das aktuelle Entscheidungsregister.

💡 Den vollständigen Leitfaden zur portugiesischen Marktplatz-Integration lesen

Verbinden Sie Amazon.es/.fr, Worten, Fnac, Continente und KuantoKusta mit RGPD-konformer Einwilligungserfassung und integrierter Verzeichniserstellung.

Portugal-Integration →

2. CNPD — die portugiesische Datenschutzaufsichtsbehörde

Die Institution

Die Comissão Nacional de Proteção de Dados (CNPD) ist Portugals unabhängige Aufsichtsbehörde. Gegründet durch das Gesetz Nr. 10/91 vom 29. April, ist sie eine der am längsten bestehenden Datenschutzbehörden der EU und existierte bereits vier Jahre vor der Datenschutzrichtlinie von 1995. Die CNPD untersteht der Aufsicht der Assembleia da República bei voller funktionaler und Entscheidungsunabhängigkeit (Artikel 52 RGPD).

Die CNPD besteht aus sieben Mitgliedern: einem vom Parlament für eine nicht verlängerbare Amtszeit von fünf Jahren gewählten Präsidenten sowie sechs weiteren Mitgliedern (zwei parlamentarische, zwei staatliche, zwei kooptierte). Sitz: Avenida D. Carlos I, n.º 134, 1200-651 Lissabon.

Die Befugnisse der CNPD

Gemäß Artikel 57–58 RGPD, ergänzt durch das Gesetz 58/2019:

  • Ermittlungsbefugnisse — Informationen anfordern, Prüfungen und Inspektionen durchführen, Zugang zu Verarbeitungseinrichtungen und -aufzeichnungen erhalten
  • Abhilfebefugnisse — Warnungen, Verwarnungen, Anordnungen zur Erfüllung von Betroffenenanfragen, Berichtigung, Löschung, Verarbeitungsverbote, Aussetzung grenzüberschreitender Datenflüsse
  • Bußgelder — bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes
  • Genehmigungs- und Beratungsbefugnisse — Genehmigung verbindlicher interner Datenschutzvorschriften (BCR), SCC und Zertifizierungsmechanismen; Beratung von Parlament und Regierung

Wie man die CNPD kontaktiert

  • Websitecnpd.pt (Entscheidungsregister, Beschwerdeformular, Formular zur Meldung von Datenschutzverletzungen)
  • Allgemeine E-Mail[email protected]
  • Meldung von Datenschutzverletzungen — spezielles Online-Formular auf cnpd.pt
  • Registrierung des Datenschutzbeauftragten — Online-Formular, Kontaktdaten müssen innerhalb von 30 Tagen nach Bestellung angegeben werden

CNPD im Vergleich zu anderen EU-Aufsichtsbehörden — die portugiesische Herangehensweise

Der Durchsetzungsstil der CNPD ist moderat, aber technisch rigoros. Im Vergleich zur spanischen AEPD (sehr klagefreudig, tausende Entscheidungen pro Jahr) oder der französischen CNIL (große öffentliche Bußgeldbekanntmachungen) erlässt die CNPD weniger Entscheidungen, konzentriert sich jedoch auf systemische Verstöße und arbeitet eng über den EDSA-Kohärenzmechanismus zusammen. Der portugiesische E-Commerce gerät typischerweise auf drei Wegen ins Visier der CNPD: Beschwerden von Betroffenen, verpflichtende Meldungen von Datenschutzverletzungen und Prüfungen infolge medialer oder politischer Aufmerksamkeit.

🛡️ Zunapro synchronisiert automatisch mit den CNPD-Anforderungen

Verarbeitungsverzeichnis-Vorlage, Notfallplan bei Datenschutzverletzungen, Workflow für Betroffenenanfragen und Kontaktkarte für den Datenschutzbeauftragten — alles vorkonfiguriert im CNPD-Format und mit portugiesischsprachigen Verbrauchertexten.

CNPD-Compliance-Kit ansehen →

Die Rechtsgrundlage

Die Cookie-Einwilligungspflicht stützt sich in Portugal auf zwei sich ergänzende Rechtsgrundlagen: Artikel 5 Abs. 3 der EU-ePrivacy-Richtlinie 2002/58/EG, umgesetzt durch das Gesetz Nr. 41/2004, sowie die Einwilligungsanforderungen aus Artikel 7 RGPD. Die Kombination bewirkt, dass jedes Cookie, jeder Pixel, jedes SDK, jedes Fingerprinting-Skript, jedes Local-Storage-Objekt oder jede ähnliche Tracking-Technologie, die nicht unbedingt erforderlich ist, um den vom Nutzer ausdrücklich angeforderten Dienst zu erbringen, eine vorherige, freiwillige, spezifische, informierte und eindeutige Opt-in-Einwilligung voraussetzt.

Was als „unbedingt erforderlich" gilt

Eine eng gefasste Kategorie ist von der Einwilligungspflicht ausgenommen, weil sie für den angeforderten Dienst unbedingt notwendig ist: Sitzungscookies (Login, Warenkorb), CSRF-Token, Load-Balancer-Cookies, das Einwilligungspräferenz-Cookie selbst, der Status von Multimedia-Playern für aktiv angeforderte Inhalte sowie vom Nutzer gewählte UI-Anpassungen (Sprache, Dunkelmodus). Alles andere — GA4, Meta-Pixel, TikTok-Pixel, Hotjar, Clarity, Retargeting, A/B-Test-Cookies, Schriftarten von Drittanbieter-CDNs, eingebettete YouTube-/Vimeo-Player, Social-Media-Buttons, die vor jeglicher Interaktion laden — erfordert eine ausdrückliche Opt-in-Einwilligung vor dem Setzen.

Wie ein konformer Banner aussieht

Die CNPD-Orientações sobre cookies (2019/494), aktualisiert 2022, definieren die Mindestanforderungen:

  • Die erste Ebene muss „Akzeptieren", „Ablehnen" und „Einstellungen verwalten" anbieten. Ablehnen muss genauso prominent sein wie Akzeptieren (gleiche Farbe, Größe, Position). Dark-Pattern-Ablehnen-Buttons mit ausgeblasstem Text sind untersagt (EDSA).
  • Die zweite Ebene — granulare Umschalter je nicht-essenzieller Kategorie, standardmäßig deaktiviert.
  • Keine Cookie-Walls — der Zugangsentzug bei Ablehnung ist unzulässig (EDSA-Leitlinien 05/2020).
  • Kein „Weitersurfen gilt als Einwilligung" — Scrollen oder Navigieren stellt keine Einwilligung dar.
  • Widerruf so einfach wie die Erteilung der Einwilligung — dauerhaft sichtbarer Button oder Link in der Fußzeile.
  • Erneute Abfrage alle 6–12 Monate, Prüfprotokoll der Einwilligung gemäß Artikel 7 Abs. 1 RGPD.
🍪

Die Ablehnen-Button-Falle: Der häufigste CNPD-Befund in den Prüfungen 2024–2026 sind asymmetrische Banner — ein auffälliger grüner „Alle akzeptieren"-Button neben einem kleinen, grauen, unterstrichenen „Ablehnen"-Text. Dies wird als fehlgeschlagene Einholung einer gültigen Einwilligung gewertet und setzt jede Cookie-Platzierung der Durchsetzung aus. Nutzen Sie den CNPD-validierten Einwilligungsbanner von Zunapro →

Kategorien im Einwilligungsbanner — welche Kategorien anzubieten sind

Unbedingt erforderlich
Immer aktiv
Sitzung, Warenkorb, CSRF, Sprache, Einwilligungsspeicherung selbst — kein Umschalter erforderlich
Analyse & Performance
Opt-in
Google Analytics 4, Plausible, Matomo, Hotjar, Microsoft Clarity, serverseitiges Tagging
Marketing & Targeting
Opt-in
Meta-Pixel, TikTok-Pixel, Google Ads, Criteo, LinkedIn Insight, Retargeting

Die CNPD-Orientações 2019/494 Zeile für Zeile, eine Dark-Pattern-Checkliste, das Setup von Consent Mode v2 für GA4 und der bereits eingebettete, für portugiesische Zielgruppen vorvalidierte Zunapro-Einwilligungsbanner.

Cookie-Einwilligungsleitfaden →

4. Datenschutzerklärung — verpflichtend und stets aktuell

Die Informationspflicht nach Artikel 13

Die Artikel 12, 13 und 14 RGPD verpflichten jeden Verantwortlichen, betroffenen Personen bei der Datenerhebung umfassende Informationen bereitzustellen. Bei einer E-Commerce-Website ist dieser Zeitpunkt in der Regel jede Formularübermittlung — Registrierung, Checkout, Newsletter, Kontakt, Bewertungsformular. In der Praxis ist diese Information in einem einzigen Dokument gebündelt, der Datenschutzerklärung (Política de Privacidade), die von jeder Seite verlinkt und an jedem Erhebungspunkt erneut angezeigt wird.

Mindestpflichtinhalte

Eine 2026 vor der CNPD bestandsfähige Datenschutzerklärung enthält mindestens:

  • Identität des Verantwortlichen — Firmenname, NIPC (Steuernummer), Firmensitz, Kontakt-E-Mail
  • Kontaktdaten des Datenschutzbeauftragten, falls bestellt — eigene E-Mail-Adresse wie [email protected]
  • Verarbeitungszwecke — detaillierte Liste (Auftragsabwicklung, Kundenservice, Marketing, Analyse, Betrugsprävention, Buchhaltung)
  • Rechtsgrundlage je Zweck — Artikel 6 Abs. 1 RGPD (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigte Interessen)
  • Interessenabwägungstest, wenn Artikel 6 Abs. 1 lit. f herangezogen wird
  • Empfänger — Zahlungsdienstleister, Versanddienstleister, Marktplätze, Cloud-Hosting, E-Mail-Dienstleister
  • Internationale Übermittlungen — Zielländer, Mechanismus (SCC / Angemessenheitsbeschluss / DPF), Verweis auf Garantien
  • Aufbewahrungsfristen je Kategorie (Rechnungen 10 Jahre, Marketing solange die Einwilligung besteht, Analysedaten 14 Monate)
  • Betroffenenrechte — vollständige Aufzählung einschließlich des Rechts auf Beschwerde bei der CNPD
  • Gesetzliche oder vertragliche Grundlage der Datenbereitstellung und Folgen einer Verweigerung
  • Automatisierte Entscheidungsfindung und Profiling, sofern vorhanden, einschließlich Logik und Tragweite
  • Datum der letzten Aktualisierung und Versionshistorie

Klares Portugiesisch — Artikel 12 RGPD

Artikel 12 Abs. 1 RGPD verlangt eine präzise, transparente, verständliche und leicht zugängliche Erklärung in klarer, einfacher Sprache. Die CNPD hat wiederholt Erklärungen kritisiert, die nur auf Englisch verfasst sind, obwohl sie sich an portugiesische Verbraucher richten (Artikel 2 des Gesetzes 58/2019 bekräftigt die Anforderung der portugiesischen Sprache), generische Vorlagen ohne Nennung der tatsächlichen Auftragsverarbeiter wiederverwenden, wesentliche Informationen in 10.000 Wörter langem Juristendeutsch verstecken oder die Datenschutzerklärung mit den Nutzungsbedingungen bündeln.

Gestufte Information — Best Practice

Die CNPD befürwortet den vom EDSA propagierten Ansatz der gestuften Information: eine kurze Zusammenfassung am Anfang (1–2 Absätze zu Identität, Zwecken und Rechten), gefolgt von vollständigen Details in ausklappbaren Abschnitten, sowie ein „Informationsblatt" an jedem Formular (ein 2–3 Sätze umfassender Erhebungshinweis mit Link zur vollständigen Erklärung) zur Erfüllung von Artikel 13.

📜 Automatisch generierte portugiesische Datenschutzerklärung

Zunapro erstellt eine vor der CNPD bestandsfähige portugiesischsprachige Datenschutzerklärung auf Basis Ihrer tatsächlichen Marktplatz-Anbindungen, Zahlungsdienstleister und Analyse-Tools — automatisch aktualisiert, sobald Sie einen neuen Auftragsverarbeiter anbinden.

Generator für Datenschutzerklärungen →

5. Bestellung des Datenschutzbeauftragten — wann und wie

Wann ist ein Datenschutzbeauftragter verpflichtend?

Artikel 37 RGPD verlangt einen Datenschutzbeauftragten (Encarregado de Proteção de Dados — EPD) in drei Szenarien: (a) öffentliche Stellen (außer Gerichte); (b) Kerntätigkeit = regelmäßige und systematische umfangreiche Überwachung; (c) Kerntätigkeit = umfangreiche Verarbeitung besonderer Datenkategorien oder strafrechtlicher Daten. Für den portugiesischen E-Commerce ist in der Praxis meist Kriterium (b) einschlägig. Die EDSA-Leitlinien (WP 243 rev.01, von der CNPD übernommen) stellen klar, dass „Kerntätigkeit" Nebenfunktionen wie Gehaltsabrechnung ausschließt; „umfangreich" ist kontextabhängig zu beurteilen (Anzahl der Betroffenen, Umfang, Dauer, geografische Ausdehnung).

Praktische Auslösebeispiele

Reale Schwellenwerte, bei denen ein Datenschutzbeauftragter dringend ratsam oder verpflichtend ist:

  • 10.000+ CRM-Kunden mit Verhaltenssegmentierung
  • Laufendes Retargeting auf Meta + Google Ads + TikTok mit geräteübergreifendem Abgleich
  • Treueprogramm, das Transaktionshistorien kanal- und zeitübergreifend nachverfolgt
  • Marktplatzbetreiber, der gleichzeitig Verkäufer- und Käuferdaten verarbeitet
  • E-Commerce für Gesundheit, Kosmetik oder Apotheken, der Daten verarbeitet, die als Gesundheitsdaten nach Artikel 9 gelten können
  • Shop für Kinderprodukte, der elterliche Einwilligungsabläufe für Unter-13-Jährige betreibt

Was der Datenschutzbeauftragte tut

Die Artikel 38–39 RGPD legen Aufgaben und Schutz des Datenschutzbeauftragten fest:

  • Informieren und beraten von Verantwortlichem, Auftragsverarbeiter und Mitarbeitern über deren Pflichten
  • Überwachung der Einhaltung von RGPD, Gesetz 58/2019 und internen Richtlinien, einschließlich Schulungen
  • Beratung zu Datenschutz-Folgenabschätzungen, sofern durch Artikel 35 ausgelöst
  • Zusammenarbeit mit der CNPD als Ansprechpartner für die Aufsichtsbehörde
  • Unabhängigkeit — darf bei der Aufgabenerfüllung nicht angewiesen und wegen der Aufgabenausübung nicht abberufen werden (Artikel 38 Abs. 3)
  • Kein Interessenkonflikt — der Datenschutzbeauftragte darf nicht CEO, CMO, IT-Leiter oder Personalleiter sein

Interner vs. externer Datenschutzbeauftragter + CNPD-Registrierung

Ein Datenschutzbeauftragter kann Angestellter oder externer Dienstleister sein. Für portugiesische KMU kostet ein externer DPO-as-a-Service je nach Komplexität typischerweise 350–1.500 €/Monat. Artikel 37 Abs. 7 RGPD verpflichtet den Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der CNPD über das Online-Formular zu melden, aktualisiert innerhalb von 30 Tagen nach jeder Änderung. Eine unterlassene Meldung stellt einen verfahrensrechtlichen Verstoß dar, der mit bis zu 10 Mio. € oder 2 % des Umsatzes bebußt werden kann.

👤 DPO-as-a-Service für portugiesische Händler

Zunapro kooperiert mit portugiesischen RGPD-Spezialisten und bietet externe Datenschutzbeauftragten-Dienste ab 350 €/Monat — inklusive CNPD-Registrierung, Unterstützung bei Datenschutz-Folgenabschätzungen, Notfallplan bei Datenschutzverletzungen und vierteljährlicher Compliance-Prüfung.

DPO-Service-Details →

6. Betroffenenrechte — operative SLA

Die acht Rechte portugiesischer Betroffener

Kapitel III RGPD gewährt jeder Person (ob Kunde, Interessent, Lieferantenkontakt oder Mitarbeiter) ein Bündel durchsetzbarer Rechte:

  1. Recht auf Information (Artikel 13–14) — ausgeübt durch die Datenschutzerklärung und Erhebungshinweise
  2. Auskunftsrecht (Artikel 15) — Bestätigung, dass Daten verarbeitet werden, sowie eine Kopie der Daten und des Verarbeitungskontexts
  3. Recht auf Berichtigung (Artikel 16) — Korrektur unrichtiger oder unvollständiger Daten
  4. Recht auf Löschung (Artikel 17, „Recht auf Vergessenwerden") — Löschung, wenn einer von sechs Gründen zutrifft
  5. Recht auf Einschränkung der Verarbeitung (Artikel 18) — vorübergehendes „Einfrieren" bis zur Überprüfung
  6. Recht auf Datenübertragbarkeit (Artikel 20) — maschinenlesbarer Export der vom Betroffenen bereitgestellten Daten
  7. Widerspruchsrecht (Artikel 21) — absolut gegen Direktwerbung; Interessenabwägung bei sonstiger Verarbeitung
  8. Recht, keiner ausschließlich automatisierten Entscheidung unterworfen zu werden (Artikel 22) — einschließlich Profiling mit rechtlicher oder ähnlich erheblicher Wirkung

Antwortfrist — Artikel 12 Abs. 3 RGPD

Verantwortliche müssen innerhalb von 30 Tagen antworten, verlängerbar um zwei Monate bei Komplexität oder hohem Volumen — die Verlängerung muss innerhalb des ersten Monats unter Angabe von Gründen mitgeteilt werden. Für portugiesische E-Commerce-Betriebe mit Tausenden von Datensätzen über mehrere Marktplätze hinweg ist diese Frist operativ anspruchsvoll. Die meisten Verzögerungen entstehen durch fragmentierte Daten, die über Shopify, Amazon Seller Central, Worten Marketplace, E-Mail und Buchhaltungssoftware verstreut sind. Ein zentralisiertes Kundendaten-Register wie das von Zunapro verkürzt die Antwortzeit nach Artikel 15 von Tagen auf Minuten.

Identitätsprüfung & Ablehnung

Artikel 12 Abs. 6 RGPD erlaubt eine zusätzliche Identitätsprüfung nur bei begründetem Zweifel. Gängige Praxis: die hinterlegte E-Mail-Adresse verifizieren, optional ein geschwärztes Ausweisdokument anfordern. Eine Ablehnung ist nur zulässig, wenn die Anfrage offenkundig unbegründet oder exzessiv ist; der Verantwortliche muss dies nachweisen und kann alternativ eine angemessene Gebühr erheben.

Recht auf Löschung vs. gesetzliche Aufbewahrungspflicht

Ein häufiges operatives Spannungsfeld: Ein Kunde verlangt Löschung nach Artikel 17, der Verantwortliche muss aber Rechnungen 10 Jahre (Código do IVA Artikel 52) und Buchhaltungsunterlagen 10 Jahre (Código Comercial Artikel 40) aufbewahren. Artikel 17 Abs. 3 lit. b RGPD löst dies auf — die Löschung gilt nicht für Daten, die zur Erfüllung einer rechtlichen Verpflichtung verarbeitet werden. Praktisches Vorgehen: Marketing- und Verhaltensdaten anonymisieren, Rechnungs-/Buchhaltungsdaten in einem gesperrten Archiv mit eingeschränktem Zugriff aufbewahren und dem Kunden schriftlich mitteilen, was gelöscht und was aufbewahrt wurde.

⚖️

Praxistipp: Bauen Sie einen Workflow für Betroffenenanfragen auf, der prüfungssichere Aufzeichnungen erzeugt: Zeitstempel des Eingangs, Identitätsprüfung, Umfang der Recherche, exportierte Daten, angewandte Schwärzungen, gelieferte Antwort. Die CNPD wird diesen Nachweis bei jeder durch eine Beschwerde ausgelösten Prüfung anfordern. Der Workflow von Zunapro für Betroffenenanfragen →

7. Verletzung des Schutzes personenbezogener Daten — das 72-Stunden-Meldefenster

Was als Datenschutzverletzung gilt

Artikel 4 Nr. 12 RGPD definiert eine Verletzung des Schutzes personenbezogener Daten als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden". Drei Kategorien überschneiden sich in der Praxis:

  • Vertraulichkeitsverletzung — unbefugte Offenlegung oder unbefugter Zugang (Datenleck, Hacker-Exfiltration, fehlgeleitete E-Mail)
  • Integritätsverletzung — unbefugte Veränderung von Daten (Datenbankmanipulation, Ransomware-Verschlüsselung)
  • Verfügbarkeitsverletzung — Verlust des Zugriffs auf Daten (Ransomware-Sperre ohne Wiederherstellung, Zerstörung von Servern)

Meldung an die CNPD — Artikel 33

Bei einer Datenschutzverletzung muss der Verantwortliche die CNPD innerhalb von 72 Stunden nach Bekanntwerden informieren, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Die Meldung muss enthalten:

  • Art der Verletzung, soweit möglich einschließlich der Kategorien und der ungefähren Anzahl betroffener Personen und Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und Abmilderung möglicher nachteiliger Auswirkungen

Kann die vollständige Information nicht innerhalb von 72 Stunden bereitgestellt werden, ist eine gestufte Meldung zulässig, wobei die restlichen Informationen unverzüglich nachgereicht werden. Das Online-Formular der CNPD unterstützt schrittweise Aktualisierungen — die erste Meldung kann ein vorläufiger Hinweis sein, gefolgt von detaillierten Updates innerhalb weniger Tage.

Meldung an Betroffene — Artikel 34

Führt die Verletzung voraussichtlich zu einem hohen Risiko für Rechte und Freiheiten, muss der Verantwortliche die Verletzung zusätzlich den betroffenen Personen unverzüglich mitteilen, in klarem Portugiesisch, mit konkreter Beschreibung der Verletzung, Kontaktdaten des Datenschutzbeauftragten, Folgen und Abhilfemaßnahmen. Drei Ausnahmen nach Artikel 34 Abs. 3 befreien von der direkten Benachrichtigung: die Daten waren verschlüsselt und die Schlüssel nicht kompromittiert, nachträgliche Maßnahmen haben das hohe Risiko beseitigt, oder die Benachrichtigung würde unverhältnismäßigen Aufwand erfordern (in diesem Fall ist stattdessen eine öffentliche Mitteilung erforderlich).

Internes Verletzungsregister & Notfallplan 2026

Artikel 33 Abs. 5 RGPD verlangt die Dokumentation aller Datenschutzverletzungen (auch geringfügiger, nicht meldepflichtiger): Zeitstempel des Bekanntwerdens, Erkennungsquelle, Klassifizierung, Umfang, Kategorien und Anzahl der Betroffenen, Risikobewertung, Meldeentscheidung und Zeitstempel, Behebung, Ursachenanalyse, Lessons Learned. Ein praxistauglicher 72-Stunden-Notfallplan:

  • Stunde 0 — Erkennung — Alarm, sofortige Ersteinschätzung, Umfang ermitteln
  • Stunde 0–4 — Eindämmung — Zugangsdaten widerrufen, Systeme isolieren, forensische Beweise sichern
  • Stunde 4–24 — Risikobewertung — der Datenschutzbeauftragte leitet die Analyse und die Meldeentscheidung
  • Stunde 24–48 — Erstmeldung an die CNPD über das cnpd.pt-Formular (vorläufiger Hinweis zulässig)
  • Stunde 48–72 — Vollständige Meldung, Entscheidung über Betroffenenbenachrichtigung nach Artikel 34
  • Tag 3–7 — Benachrichtigung der Betroffenen, sofern erforderlich (E-Mail + öffentliche Erklärung)
  • Ab Tag 7 — Lessons Learned, Aktualisierung des Registers, Nachverfolgung mit der CNPD
🚨

Die Frist beginnt mit dem „Bekanntwerden", nicht mit dem „Eintreten". Eine Verletzung, die vor Wochen geschah, aber erst heute entdeckt wurde, löst dennoch ein 72-Stunden-Fenster ab dem Zeitpunkt der Entdeckung aus. Umgekehrt begründet die bloße Vermutung „irgendetwas könnte nicht stimmen" noch keine Kenntnis — erst eine hinreichende Gewissheit, dass eine Verletzung stattgefunden hat, setzt die Frist in Gang. Die Erkennung von Datenschutzverletzungen + der 72h-Notfallplan von Zunapro →

8. Grenzüberschreitende Datenübermittlungen — Standardvertragsklauseln nach Schrems II

Das Schrems-II-Erdbeben

Am 16. Juli 2020 fällte der Gerichtshof der Europäischen Union sein Schrems-II-Urteil (C-311/18) und erklärte damit den EU-US Privacy Shield, der bis dahin rund 5.000 transatlantische Datenflüsse regelte, für ungültig. Das Gericht bestätigte zwar die Gültigkeit der Standardvertragsklauseln (SCC), fügte jedoch eine entscheidende Bedingung hinzu: Der Verantwortliche muss prüfen, ob Recht und Praxis des Zielstaats ein Schutzniveau bieten, das dem der RGPD im Wesentlichen gleichwertig ist; ist dies nicht der Fall, müssen zusätzliche Maßnahmen ergriffen oder die Übermittlung eingestellt werden.

Das Übermittlungswerkzeug 2026

Fünf Mechanismen in Kapitel V RGPD können Übermittlungen außerhalb des EWR rechtmäßig ermöglichen:

  • Artikel 45 — Angemessenheitsbeschluss — derzeit: Andorra, Argentinien, Kanada (kommerziell), Färöer-Inseln, Guernsey, Israel, Insel Man, Japan, Jersey, Neuseeland, Südkorea, Schweiz, Vereinigtes Königreich, Uruguay. Island, Liechtenstein und Norwegen gelten als EWR.
  • Artikel 46 — geeignete Garantien — SCC, verbindliche interne Datenschutzvorschriften (BCR), genehmigte Verhaltensregeln, Zertifizierungen.
  • Artikel 47 — verbindliche interne Datenschutzvorschriften — konzernintern, genehmigt von der federführenden Aufsichtsbehörde und dem EDSA.
  • Artikel 49 — Ausnahmen — ausdrückliche Einwilligung (nur gelegentlich), Vertragserfüllung, öffentliches/lebenswichtiges Interesse. Nicht für den laufenden Geschäftsbetrieb geeignet.
  • EU-US Data Privacy Framework (DPF) — in Kraft seit 10. Juli 2023, als Nachfolger des Privacy Shield. Selbstzertifizierte US-Importeure (AWS, Google, Microsoft, Meta, Salesforce, HubSpot, Mailchimp, Stripe, Shopify) erhalten damit eine Angemessenheitsgrundlage nach Artikel 45.

Die EU-SCC 2021 + Transfer Impact Assessment

Die SCC 2021 der Kommission (Durchführungsbeschluss 2021/914) sind modular aufgebaut mit vier Szenarien: Verantwortlicher→Verantwortlicher, Verantwortlicher→Auftragsverarbeiter, Auftragsverarbeiter→Auftragsverarbeiter, Auftragsverarbeiter→Verantwortlicher. Die alten SCC von 2010 wurden für neue Verträge ab dem 27. September 2021 und für alle Verträge ab dem 27. Dezember 2022 aufgehoben — jede SCC von 2010, die 2026 noch verwendet wird, ist ungültig und muss umgehend migriert werden.

Nach Schrems II und den EDSA-Empfehlungen 01/2020 müssen Verantwortliche für jede Übermittlung ohne Angemessenheitsbeschluss eine Transfer Impact Assessment (TIA) durchführen: Kartierung der Übermittlung, Mechanismus (SCC/BCR/DPF), Bewertung des Rechts auf behördlichen Zugriff im Drittstaat (z. B. FISA 702 in den USA), zusätzliche Maßnahmen (Verschlüsselung im Ruhezustand mit in der EU gehaltenen Schlüsseln, Pseudonymisierung), Feststellung eines im Wesentlichen gleichwertigen Schutzniveaus. Die CNPD verlangt keine vorherige Einreichung der TIA, wird sie jedoch bei jeder Prüfung mit Beteiligung von Auftragsverarbeitern außerhalb des EWR anfordern.

Praktischer Stack 2026

  • Cloud (AWS / GCP / Azure) — DPF-zertifiziert + EU-Regionen; EU-Regionen bevorzugen, DPF als Rückfalloption dokumentieren
  • E-Mail (Mailchimp, SendGrid) — DPF-zertifiziert; EU-Alternativen wie Brevo sind oft vorzuziehen
  • Analyse (GA4) — DPF-zertifiziert + Consent Mode v2 + IP-Anonymisierung
  • Kundensupport (Zendesk, Intercom) — DPF + verfügbare EU-Datenresidenz-Zusatzoptionen
  • Marktplatz-APIs (Amazon SP-API) — EU-geroutet für europäische Verkäuferkonten

🌍 Standardmäßige Datenresidenz in der EU

Zunapro hostet alle portugiesischen Kundendaten in EU-Regionen (Frankfurt + Ausweichrechenzentrum Lissabon), mit DPF-zertifiziertem Fallback für jeden ausschließlich US-basierten Unterauftragsverarbeiter. TIA-Vorlagen sind für Ihren Stack bereits vorausgefüllt.

Details zur Datenresidenz →

9. CNPD-Bußgelder — bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes

Gestufte Sanktionen nach Artikel 83

Artikel 83 RGPD sieht zwei Bußgeldstufen vor, wobei die CNPD den jeweils höheren Betrag aus Festbetrag oder Umsatzprozentsatz verhängen kann:

Stufe Höchstbußgeld Erfasste Verstöße
Stufe 1 (Artikel 83 Abs. 4) 10 Mio. € oder 2 % des weltweiten Jahresumsatzes Verzeichnisse (Art. 30), Sicherheit (Art. 32), Meldepflicht bei Verletzungen (Art. 33–34), Bestellung des Datenschutzbeauftragten (Art. 37–39), Datenschutz-Folgenabschätzung (Art. 35–36), Einwilligung von Kindern (Art. 8), Zertifizierung, Verhaltensregeln
Stufe 2 (Artikel 83 Abs. 5) 20 Mio. € oder 4 % des weltweiten Jahresumsatzes Rechtsgrundlage (Art. 5–6), Bedingungen für die Einwilligung (Art. 7), besondere Kategorien (Art. 9), Betroffenenrechte (Art. 12–22), internationale Übermittlungen (Art. 44–49), Nichtbefolgung von CNPD-Anordnungen
Gesetz 58/2019 Portugalspezifische Ordnungswidrigkeiten Die Artikel 37–50 LPDP fügen abgestufte Bußgelder für spezifisch portugiesische Sachverhalte hinzu (Videoüberwachung ohne Hinweisschild, Verstoß gegen die journalistische Ausnahme usw.)

Wie die CNPD das Bußgeld berechnet

Faktoren nach Artikel 83 Abs. 2, die die CNPD berücksichtigt: Art, Schwere und Dauer; vorsätzlicher oder fahrlässiger Charakter; Milderungsmaßnahmen; technische und organisatorische Maßnahmen; frühere Verstöße; Zusammenarbeit mit der CNPD; betroffene Datenkategorien; Art und Weise, wie der Verstoß bekannt wurde; Einhaltung von Verhaltensregeln; erzielte finanzielle Vorteile oder vermiedene Verluste.

Bemerkenswerte CNPD-Bußgelder — die Bilanz

  • 4,3 Mio. € — INE (Instituto Nacional de Estatística, 2021) — Übermittlung von Zensusdaten an einen US-Unterauftragsverarbeiter ohne Garantien nach Artikel 46; bislang das höchste portugiesische RGPD-Bußgeld
  • 1,25 Mio. € — Hospital do Barreiro (2018) — übermäßiger Zugriff auf klinische Aufzeichnungen; das Gesundheitswesen ist ein Schwerpunktsektor der CNPD
  • 400.000 € — Câmara Municipal de Lisboa (2021) — Offenlegung personenbezogener Daten von Demonstrationsorganisatoren
  • 170.000 € — Banco Santander Totta (2021) — unzureichende Bearbeitung von Betroffenenanfragen
  • Mehrere KMU-Bußgelder von 10.000–75.000 € für Cookie-Banner, fehlende Kontaktdaten des Datenschutzbeauftragten und verspätete Meldungen von Datenschutzverletzungen

Über das Bußgeld hinaus — zivilrechtliche Haftung

Artikel 82 RGPD gewährt Betroffenen einen Schadensersatzanspruch für materielle oder immaterielle Schäden. Portugiesische Gerichte haben begonnen, immateriellen Schadensersatz (Angst, Kontrollverlust) in Höhe von 500–5.000 € je betroffener Person zuzusprechen — multipliziert über Tausende Betroffene kann die zivilrechtliche Haftung das Bußgeld weit übersteigen. Die Berichterstattung über CNPD-Entscheidungen ist durchgängig und reputationsschädigend, insbesondere für B2C-Marken.

💼 Empfehlungen für Cyber- und RGPD-Versicherungen

Die meisten portugiesischen gewerblichen Versicherer bieten mittlerweile spezielle Cyber-RGPD-Policen an, die CNPD-Bußgelder (soweit versicherbar), zivilrechtliche Haftung nach Artikel 82 und Kosten der Reaktion auf Datenschutzverletzungen abdecken. Zunapro veröffentlicht eine geprüfte Maklerliste.

Versicherungs-Ressourcen-Hub →

10. Die RGPD-Compliance-Checkliste 2026 für den portugiesischen E-Commerce

Das nützlichste Hilfsmittel, um Regulierung in operative Praxis zu übersetzen, ist eine konkrete Checkliste. Die folgende Liste fasst jeden umsetzbaren Punkt dieses Leitfadens zusammen, geordnet nach Durchsetzungsrisiko.

Governance & Dokumentation

  • Einen Datenschutzbeauftragten bestellen, sofern die Kriterien nach Artikel 37 zutreffen, und bei der CNPD registrieren
  • Ein Verzeichnis von Verarbeitungstätigkeiten (Artikel 30) führen, das jeden Zweck, jede Rechtsgrundlage, Kategorie, Aufbewahrungsfrist, jeden Empfänger und jede Übermittlung abdeckt
  • Eine Datenschutz-Folgenabschätzung (Artikel 35) für Verarbeitungen mit hohem Risiko durchführen
  • Auftragsverarbeitungsverträge nach Artikel 28 mit jedem Auftragsverarbeiter abschließen (Cloud, E-Mail, Analyse, Marktplätze, Zahlungen, Versanddienstleister)
  • Transfer Impact Assessments für jede Übermittlung außerhalb des EWR dokumentieren
  • Ein internes Verletzungsregister (Artikel 33 Abs. 5) führen

Verbraucherseitig

  • Eine portugiesischsprachige Datenschutzerklärung veröffentlichen, die jedes Element nach Artikel 13/14 abdeckt, gestuft und versioniert
  • Einen CNPD-konformen Cookie-Banner einsetzen — symmetrisches Akzeptieren/Ablehnen, granulare, standardmäßig deaktivierte Kategorien, dauerhafte Widerrufsmöglichkeit
  • Erhebungshinweise an jedem Formular anzeigen (Registrierung, Checkout, Newsletter, Bewertung)
  • Einen einfachen Kanal für Betroffenenanfragen bereitstellen — E-Mail und/oder Webformular mit 30-Tage-Antwortfrist
  • Widerspruch gegen Direktwerbung sofort befolgen (Artikel 21 Abs. 3 ist absolut)

Technisch & organisatorisch

  • Sicherheitsmaßnahmen nach Artikel 32 umsetzen — Verschlüsselung ruhender und übertragener Daten, Zugangskontrolle, MFA für Admin-Panels, Schwachstellenscans
  • Datenminimierung durch Technikgestaltung anwenden (Artikel 25)
  • Aufbewahrungsfristen mit automatisierter Löschung durchsetzen
  • Wo möglich pseudonymisieren oder anonymisieren, insbesondere bei Analysedaten
  • Den 72-Stunden-Notfallplan jährlich mittels Simulationsübung testen
  • Mitarbeitende, die personenbezogene Daten verarbeiten, schulen — mindestens jährliche Auffrischung

Vierteljährliche Compliance-Prüfung

Führen Sie eine strukturierte vierteljährliche Prüfung durch, die Folgendes abdeckt: Aktualität des Verarbeitungsverzeichnisses im Vergleich zu angebundenen Auftragsverarbeitern; Version der Datenschutzerklärung im Vergleich zur aktuellen Verarbeitungsrealität; Skriptliste des Cookie-Banners im Vergleich zu den deklarierten Kategorien; Protokoll der Betroffenenanfragen (Anzahl, Antwortzeit, Verzögerungsursachen); Verletzungsregister (Vorfälle, Ursachen, Behebung); Bestand an Auftragsverarbeitungsverträgen nach Artikel 28; Bestand an Transfer Impact Assessments; Schulungsprotokoll; Tätigkeitsprotokoll des Datenschutzbeauftragten (Beratung, Folgenabschätzungen, CNPD-Kontakte).

Zentralisieren Sie Ihre portugiesische RGPD-Compliance in einem Panel

Zunapro bündelt jede RGPD-Anforderung — Einwilligungsbanner, Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge nach Artikel 28, Workflow für Betroffenenanfragen, Notfallplan bei Datenschutzverletzungen, TIA-Vorlagen und Datenschutzbeauftragten-Register im CNPD-Format — zusammen mit Ihren Amazon-, Worten-, Fnac- und Continente-Marktplatz-Integrationen. Compliance als Infrastruktur, nicht als nachträglicher Gedanke.

RGPD-Compliance aktivieren →

Portugiesische RGPD-FAQ 2026

Was ist die RGPD und wie verhält sie sich zur DSGVO?

RGPD (Regulamento Geral de Proteção de Dados) ist schlicht die portugiesischsprachige Bezeichnung für die EU-Datenschutz-Grundverordnung 2016/679 (DSGVO). Es handelt sich buchstäblich um dieselbe Verordnung, nur die sprachliche Bezeichnung unterscheidet sich.

In Portugal wird die RGPD durch das Gesetz Nr. 58/2019 (LPDP — Lei de Proteção de Dados Pessoais), das nationale Umsetzungsgesetz vom 8. August 2019, ergänzt und von der CNPD (Comissão Nacional de Proteção de Dados), der portugiesischen Aufsichtsbehörde, durchgesetzt.

Wer ist die CNPD und welche Befugnisse hat sie?

Die CNPD (Comissão Nacional de Proteção de Dados) ist Portugals unabhängige Datenschutzaufsichtsbehörde, gegründet durch das Gesetz Nr. 10/91 — damit eine der ältesten Aufsichtsbehörden der EU. Sie besteht aus sieben Mitgliedern unter der Aufsicht der Assembleia da República.

Die CNPD untersucht Beschwerden, prüft Verantwortliche und Auftragsverarbeiter, erlässt bindende Entscheidungen und verhängt Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei schweren RGPD-Verstößen. Ihr Sitz ist in der Avenida D. Carlos I, n.º 134 in Lissabon.

Ist ein Cookie-Einwilligungsbanner in Portugal gesetzlich vorgeschrieben?

Ja. Artikel 5 Abs. 3 der EU-ePrivacy-Richtlinie 2002/58/EG, umgesetzt durch das Gesetz Nr. 41/2004, verlangt eine Opt-in-Einwilligung, bevor nicht essenzielle Cookies gesetzt werden. Die CNPD-Orientações 2019/494 (aktualisiert 2022) legen die Anforderungen fest: symmetrisches Akzeptieren/Ablehnen, granulare, standardmäßig deaktivierte Kategorien, keine Cookie-Walls, kein „Weitersurfen gilt als Einwilligung".

Nur unbedingt erforderliche Cookies (Sitzung, Warenkorb, CSRF, Spracheinstellung, Einwilligungsspeicherung selbst) sind von der Einwilligungspflicht ausgenommen. Alles andere — Google Analytics, Meta-Pixel, TikTok-Pixel, Retargeting, eingebettete Inhalte Dritter — erfordert eine ausdrückliche vorherige Einwilligung.

Wann muss eine portugiesische E-Commerce-Website einen Datenschutzbeauftragten bestellen?

Artikel 37 RGPD schreibt einen Datenschutzbeauftragten (Encarregado de Proteção de Dados — EPD) verpflichtend vor, wenn: (a) die Kerntätigkeit eine umfangreiche systematische Überwachung von Personen umfasst (Verhaltens-Tracking, Profiling, Retargeting); (b) die Kerntätigkeit die umfangreiche Verarbeitung besonderer Datenkategorien umfasst (Gesundheit, biometrische Daten, ethnische Herkunft); oder (c) der Verantwortliche eine öffentliche Stelle ist.

Mittlere bis große portugiesische E-Commerce-Betreiber mit Retargeting, programmatischer Werbung, Treueprogramm-Profiling oder der Verarbeitung von 10.000+ Kundendatensätzen erfüllen diese Kriterien in der Regel und müssen einen Datenschutzbeauftragten bestellen und dessen Kontaktdaten bei der CNPD registrieren. Externer DPO-as-a-Service ist bereits ab 350 €/Monat breit verfügbar.

Welche Rechte haben portugiesische Verbraucher nach der RGPD?

Die Artikel 15–22 RGPD gewähren Betroffenen acht Rechte: Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden"), Einschränkung der Verarbeitung, Datenübertragbarkeit in maschinenlesbarem Format, Widerspruch gegen die Verarbeitung (absolut gegen Direktwerbung) und das Recht, keiner ausschließlich automatisierten Entscheidung mit Rechtswirkung unterworfen zu werden.

Verantwortliche müssen innerhalb von 30 Tagen antworten, verlängerbar um 60 Tage bei komplexen Anfragen. Die Antwort ist kostenlos, es sei denn, die Anfrage ist offenkundig unbegründet oder exzessiv. Eine Ablehnung muss begründet werden und ist bei der CNPD anfechtbar.

Was ist die 72-Stunden-Meldepflicht bei Datenschutzverletzungen?

Artikel 33 RGPD verpflichtet Verantwortliche, die CNPD innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu informieren, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen. Die CNPD stellt auf cnpd.pt ein Online-Formular zur Meldung bereit.

Besteht ein hohes Risiko, verlangt Artikel 34 zusätzlich eine unverzügliche direkte Benachrichtigung der betroffenen Personen. Eine unterlassene Meldung innerhalb von 72 Stunden stellt selbst einen bußgeldbewehrten RGPD-Verstoß dar (bis zu 10 Mio. € oder 2 % Umsatz). Die Frist beginnt mit dem Bekanntwerden, nicht mit dem Eintreten.

Wie handhabt Portugal grenzüberschreitende Datentransfers nach Schrems II?

Nach dem Schrems-II-Urteil des EuGH (C-311/18, Juli 2020) erfordern Übermittlungen personenbezogener Daten außerhalb des EWR eine Garantie nach Artikel 46 RGPD. Der Standardmechanismus für den portugiesischen E-Commerce sind die EU-Standardvertragsklauseln von 2021 (Durchführungsbeschluss 2021/914).

Übermittlungen in die USA können sich für zertifizierte Importeure — AWS, Google, Microsoft, Meta, Salesforce, HubSpot und weitere — auch auf das EU-US Data Privacy Framework (DPF, in Kraft seit Juli 2023) stützen. Die CNPD erwartet von Verantwortlichen die Dokumentation einer Transfer Impact Assessment (TIA) für jede Übermittlung außerhalb des EWR.

Wie hoch sind die maximalen CNPD-Bußgelder nach der RGPD?

Artikel 83 RGPD sieht zwei Stufen vor: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für verfahrensrechtliche Verstöße (Verzeichnisse, Sicherheit, Meldepflicht, Datenschutzbeauftragter) und bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für materielle Verstöße (Rechtsgrundlage, Einwilligung, Betroffenenrechte, internationale Übermittlungen). Es gilt jeweils der höhere Betrag aus Festbetrag oder Prozentsatz.

Die CNPD hat bereits mehrfach Bußgelder in Millionenhöhe verhängt, darunter 4,3 Mio. € gegen das INE (Instituto Nacional de Estatística) im Jahr 2021 wegen ungesicherter US-Übermittlungen, 1,25 Mio. € gegen das Hospital do Barreiro sowie zahlreiche KMU-Bußgelder wegen Cookie-Bannern und der Bearbeitung von Betroffenenanfragen.

Benötige ich eine schriftliche Datenschutzerklärung für meine portugiesische E-Commerce-Website?

Ja. Die Artikel 12, 13 und 14 RGPD verpflichten Verantwortliche, betroffenen Personen umfassende Informationen über die Verarbeitung bereitzustellen — Identität des Verantwortlichen und des Datenschutzbeauftragten, Zwecke und Rechtsgrundlagen, Empfänger, Länder internationaler Übermittlungen, Aufbewahrungsfristen, Betroffenenrechte einschließlich des Beschwerderechts bei der CNPD.

Die Datenschutzerklärung muss in klarem, einfachem Portugiesisch verfasst sein (Artikel 2 des Gesetzes 58/2019 bekräftigt die Sprachanforderung), getrennt von den Nutzungsbedingungen, von jeder Seite leicht zugänglich (üblicherweise als Fußzeilenlink) und aktualisiert werden, sobald neue Auftragsverarbeiter angebunden oder neue Zwecke hinzugefügt werden. Generische Copy-Paste-Vorlagen scheitern regelmäßig bei CNPD-Prüfungen.

Wie lange muss ich Kundendaten nach der RGPD aufbewahren?

Die RGPD verlangt Datenminimierung und Speicherbegrenzung (Artikel 5 Abs. 1 lit. c–e). Die Aufbewahrung im portugiesischen E-Commerce ist gestaffelt: Rechnungsdaten 10 Jahre (Código do IVA Artikel 52); Buchhaltungsunterlagen 10 Jahre (Código Comercial Artikel 40); Marketing-Einwilligung unbegrenzt, solange die Einwilligung besteht, muss aber periodisch erneut überprüft werden; Web-Analysedaten typischerweise 14–26 Monate; Videoüberwachungsaufnahmen maximal 30 Tage (CNPD-Beschluss 7680/2014).

Jede Kategorie muss im Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 RGPD) dokumentiert und in der Datenschutzerklärung ausgewiesen werden. Die Löschung nach Artikel 17 hebt gesetzliche Aufbewahrungspflichten nicht auf — bei Rechnungen empfiehlt sich die Aufbewahrung in einem gesperrten Archiv statt der Löschung.

Ist Google Analytics 2026 in Portugal legal?

Ja, mit entsprechenden Schutzmaßnahmen. Nach Schrems II erklärten mehrere EU-Aufsichtsbehörden (Österreich, Frankreich, Italien) Standardimplementierungen von GA3 für rechtswidrig. Google Analytics 4 (GA4) in Kombination mit der Zertifizierung nach dem EU-US Data Privacy Framework (in Kraft seit Juli 2023) und IP-Anonymisierung bietet in Portugal derzeit eine vertretbare Rechtsgrundlage — die CNPD hat GA4 nicht verboten.

Best Practice: GA4 mit Consent Mode v2, aktivierter IP-Anonymisierung, deaktivierten Google Signals, sofern nicht zwingend erforderlich, sowie einer dokumentierten Transfer Impact Assessment einsetzen. Serverseitiges Tagging via GTM SS in einer EU-Region reduziert das Übermittlungsrisiko zusätzlich. Ausschließlich EU-basierte Alternativen wie Plausible und Matomo umgehen das Problem vollständig.

Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?

Artikel 4 RGPD: Ein Verantwortlicher (responsável pelo tratamento) legt die Zwecke und Mittel der Verarbeitung fest — in der Regel das E-Commerce-Unternehmen selbst. Ein Auftragsverarbeiter (subcontratante) verarbeitet Daten im Auftrag des Verantwortlichen nach dokumentierten Weisungen — typischerweise Anbieter wie Cloud-Hoster, E-Mail-Dienstleister, Marktplätze und Zahlungsdienstleister.

Artikel 28 RGPD verlangt einen schriftlichen Auftragsverarbeitungsvertrag (DPA) zwischen Verantwortlichem und Auftragsverarbeiter für jede Verarbeitungstätigkeit. Marktplätze wie Amazon und große SaaS-Anbieter veröffentlichen Standard-DPAs; kleinere portugiesische Anbieter benötigen häufig einen maßgeschneiderten portugiesischsprachigen DPA. Sowohl Verantwortlicher als auch Auftragsverarbeiter unterliegen bei Nichteinhaltung den Bußgeldern nach Artikel 83.

Kann ich berechtigte Interessen als Rechtsgrundlage anstelle einer Einwilligung nutzen?

Manchmal. Artikel 6 Abs. 1 lit. f RGPD erlaubt die Verarbeitung auf Basis berechtigter Interessen nur nach einem dokumentierten dreistufigen Abwägungstest: (1) das Interesse ist berechtigt; (2) die Verarbeitung ist erforderlich; (3) das Interesse wird nicht durch die Rechte des Betroffenen überwogen.

Dies funktioniert bei Betrugsprävention, interner Verwaltung, Netzwerksicherheit und teilweise bei B2B-Direktmarketing. Es funktioniert nicht bei Cookies/Trackern (das ePrivacy-Recht geht vor), nicht bei besonderen Datenkategorien und nicht bei Marketing gegenüber Personen, die widersprochen haben. Der Abwägungstest muss im Verarbeitungsverzeichnis dokumentiert werden.

Was passiert, wenn ein Kunde eine Beschwerde bei der CNPD einreicht?

Die CNPD eröffnet eine Akte, kontaktiert den Verantwortlichen für eine schriftliche Stellungnahme (in der Regel innerhalb von 10–20 Werktagen), kann Unterlagen anfordern (Verarbeitungsverzeichnis, Datenschutzerklärung, Protokoll der Betroffenenanfragen, Verletzungsregister, Auftragsverarbeitungsverträge) und führt eine schriftliche oder Vor-Ort-Untersuchung durch. Das Verfahren endet mit Einstellung, Verwarnung, Abhilfeanordnung oder Bußgeld.

Kooperation und eine nachweisbare Compliance-Haltung reduzieren die Wahrscheinlichkeit eines Bußgelds erheblich. Die RGPD-Konsole von Zunapro erstellt auf Anfrage alle Standarddokumente im CNPD-akzeptierten portugiesischen Format.

Machen Sie Ihren portugiesischen E-Commerce mit einem Klick RGPD-fit

CNPD-konformer Cookie-Banner · portugiesische Datenschutzerklärung · Verarbeitungsverzeichnis · Auftragsverarbeitungsverträge nach Artikel 28 · Workflow für Betroffenenanfragen · 72-Stunden-Notfallplan bei Datenschutzverletzungen · TIA-Vorlagen · Kontaktkarte für den Datenschutzbeauftragten. Enthalten in jeder portugiesischen Marktplatz-Integration bei Zunapro. Keine Legal-Tech-Demo erforderlich, keine langen Vertragslaufzeiten.

🛡️ RGPD-Compliance aktivieren →
Teilen:

Brauchen Sie Hilfe dabei?

Passender Dienst: E-Commerce

Kontakt

Erhalten Sie eine kostenlose Beratung für Ihr E-Commerce-Projekt.

Auf WhatsApp schreiben