POPIA 101: Die Grundlagen von Südafrikas neuem Datenschutzgesetz

Das südafrikanische Datenschutzgesetz (Protection of Personal Privacy Act, POPIA) ist eine der jüngsten Neuerungen im wachsenden Trend der Datenschutzgesetzgebung nach der europäischen Datenschutzgrundverordnung (General Data Privacy Regulation, GDPR) und dem kalifornischen Consumer Privacy Act (CCPA). Obwohl es wesentliche Unterschiede zwischen GDPR, CCPA und POPIA gibt, beruhen sie alle auf denselben Grundsätzen: Verantwortlichkeit, Transparenz, Sicherheit, Datenminimierung und Rechte der Betroffenen. POPIA gibt dem Einzelnen viel mehr Kontrolle über seine persönlichen Daten, indem es Unternehmen dazu zwingt, zu begründen, was sie mit den Daten machen, wie lange sie sie aufbewahren und wie sie sie schützen.[1]

POPIA wurde vom Parlament am 1. Juli 2020 in Kraft gesetzt, und den Organisationen wurde eine einjährige Schonfrist eingeräumt, um die Vorschriften vor dem 1. Juli 2021 zu erfüllen. Nun, da mehr als die Hälfte dieser Frist verstrichen ist, sollten die meisten südafrikanischen Organisationen auf dem besten Weg zur vollständigen Einhaltung sein.

POPIA 101

POPIA verleiht den Bürgern einklagbare Rechte in Bezug auf ihre personenbezogenen Daten (z. B. Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung), legt acht Mindestanforderungen für eine rechtmäßige Verarbeitung fest und schafft eine weit gefasste Definition personenbezogener Daten für einen umfassenden Schutz der betroffenen Personen.

Im Gegensatz zur GDPR ist POPIA nicht extraterritorial. Das bedeutet, dass POPIA nur für Organisationen gilt, die in Südafrika ansässig sind und/oder Daten innerhalb Südafrikas verarbeiten. Innerhalb des Landes ist POPIA jedoch weiter gefasst, was die Personen betrifft, für die es gilt. GDPR schützt nur lebende Personen, während POPIA auch Unternehmen und Organisationen als juristische Personen schützt.

Mit den Verordnungen wird auch die Informationsregulierungsbehörde (Information Regulator) eingerichtet, ein unabhängiges Gremium, das für die Durchsetzung und Überwachung des Gesetzes zuständig sein wird. Bei Nichteinhaltung von POPIA drohen Geldstrafen von bis zu 10 Millionen Rand und/oder bis zu 10 Jahre Gefängnis.[2]

Organisationen sind auch mit dem Risiko von Sammelklagen im Rahmen von POPIA konfrontiert. Obwohl Sammelklagen in Südafrika relativ neu sind, bietet POPIA den betroffenen Personen die Möglichkeit, zivilrechtliche Schadenersatzklagen gegen Organisationen zu erheben, unabhängig von deren Absichten.[3] Diese Sammelklagen können von der Regulierungsbehörde für den Informationssektor ohne den üblichen juristischen Aufwand einer typischen Sammelklage erleichtert werden, was sie wahrscheinlich wahrscheinlicher macht. Ganz zu schweigen von der Gefahr eines schweren Imageschadens für Unternehmen, die sich nicht an die Vorschriften halten.

Definition der Schlüsselbegriffe von POPIA

Diejenigen, die mit der DSGVO vertraut sind, kennen vielleicht die Begriffe für die Datenverarbeitung Verantwortlicher, Datenverarbeiter und betroffene Person. POPIA basiert auf denselben Rollen, aber mit einer etwas anderen Terminologie:[4]

• Verantwortliche Stelle: Eine öffentliche oder private Einrichtung, die den Zweck und die Mittel für die Verarbeitung personenbezogener Daten einer betroffenen Person festlegt.
• Betreiber: Eine Partei, die persönliche Daten im Namen der verantwortlichen Partei verarbeitet. Mimecast ist ein Beispiel für einen Betreiber.
• Betroffene Person: Jede Person, auf die sich die personenbezogenen Daten beziehen.

POPIA bezieht sich auf die "persönlichen Informationen" einer betroffenen Person, während GDPR sich auf "persönlich identifizierbare Informationen" bezieht. Die beiden Begriffe sind ähnlich, obwohl der Begriff "personenbezogene Daten" weiter gefasst ist: alle personenbezogenen Daten über eine natürliche oder juristische Person.

Dazu gehören unter anderem Informationen über Rasse, Geschlecht, Bildung, Familienstand, Vorstrafen, Beschäftigungsgeschichte, medizinische Daten und politische Zugehörigkeit. POPIA sieht eine eigene Kategorie für "besondere personenbezogene Daten" vor, wie z. B. religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder sexuelle Orientierung, und enthält besondere Vorschriften für die Verarbeitung personenbezogener Daten von Kindern.[5]

Im Rahmen des POPIA werden den betroffenen Personen neun Rechte in Bezug auf die Verarbeitung ihrer Daten gewährt. Dazu gehören das Recht, darüber informiert zu werden, wann und wie Daten erhoben werden, das Recht auf Zugang zu diesen Daten und das Recht, Informationen zu korrigieren oder zu löschen.[6]

Die Beteiligung der betroffenen Person ist nur eine der acht Bedingungen von POPIA[7] für die rechtmäßige Verarbeitung von Daten, die im Folgenden aufgeführt sind:

1. Rechenschaftspflicht
2. Einschränkung der Verarbeitung
3. Zweckbestimmung
4. Einschränkung der Weiterverarbeitung
5. Qualität der Informationen
6. Offenheit
7. Sicherheitsgarantien
8. Beteiligung der betroffenen Personen

Von diesen acht Bedingungen ist es wichtig, die Sicherheitsvorkehrungen als die vielleicht riskantesten für Organisationen hervorzuheben, da sie ihre Fähigkeit betreffen, sich gegen Datenverletzungen zu schützen. Gemäß Kapitel 3, Abschnitt 19 des POPIA müssen die Verantwortlichen geeignete Maßnahmen ergreifen, um "(a) den Verlust, die Beschädigung oder die unbefugte Zerstörung personenbezogener Daten und (b) den unrechtmäßigen Zugriff auf personenbezogene Daten oder deren Verarbeitung zu verhindern." [8]

Es ist wichtig zu beachten, dass Klausel (b) den traditionellen Begriff der Datenschutzverletzung über die bloße Datenexfiltration hinaus ausweitet. Jeder unbefugte Zugriff auf personenbezogene Daten stellt eine Datenschutzverletzung dar, selbst wenn der Cyberkriminelle oder Mitarbeiter nichts mit diesen Daten macht.

Wenn es "vernünftige Gründe für die Annahme gibt, dass Unbefugte auf die personenbezogenen Daten einer betroffenen Person zugegriffen oder sich diese angeeignet haben", sind die Verantwortlichen verpflichtet, die Aufsichtsbehörde für Informationen und die betroffenen Personen "so bald wie möglich nach der Entdeckung der Kompromittierung" zu benachrichtigen. [9]

POPIA-konform werden

Im Rahmen von POPIA können verantwortliche Parteien immer noch als konform angesehen werden, wenn sie Opfer einer Datenschutzverletzung werden - solange sie nachweisen können, dass sie alle richtigen Schritte im Rahmen von POPIA unternommen haben, um dies zu verhindern. Daher ist es wichtig, dass Ihr Unternehmen bei der Einhaltung der Vorschriften keine Abstriche macht, denn eine erfolgreiche Einhaltung der Vorschriften hilft, sowohl Datenverluste als auch rechtliche Konsequenzen zu vermeiden.

Die Einhaltung der Vorschriften bedeutet, dass die Verantwortlichen mehrere Mindestanforderungen für die rechtmäßige Verarbeitung von Daten erfüllen müssen - wie etwa Dokumentation, Sicherheit und Vertraulichkeit - und sicherstellen müssen, dass die Endnutzer ihr Recht auf Zugang, Aktualisierung und Löschung bereits erhobener Daten wahrnehmen können.

"Die größte Hürde ist, dass die Leute auf Abkürzungen hoffen, aber es gibt wirklich keine Abkürzungen", sagt Brian Pinnock, Senior Director of Sales Engineering MEA bei Mimecast. "Man muss einen mehrstufigen Prozess durchlaufen, und der erste Schritt besteht darin, herauszufinden, welche Informationen man hat und wie man sie verarbeitet. Das ist an sich schon eine große Herausforderung."

Was ist also eine gute Ausgangsbasis für Organisationen?

"Versuchen Sie auf jeden Fall, sich Unterstützung zu holen", empfiehlt Pinnock. "Sie können einige der Prozesse rationalisieren, indem Sie seriöse Anbieter wie Mimecast oder vergleichbare Anbieter für die Verwaltung von Aspekten Ihrer Daten nutzen. Bauen Sie Ihr Technologiepaket nicht von Grund auf neu auf, sondern nutzen Sie Unternehmen, die bereits bestimmte Standards erfüllen. Neben der Beauftragung von Anbietern für Cybersicherheit können Unternehmen auch Rechtsexperten mit Compliance-Programmen hinzuziehen, um den Prozess zu begleiten.

Die Quintessenz

POPIA stärkt die Rechte der betroffenen Personen, indem es Organisationen für die verantwortungsvolle Aufbewahrung ihrer personenbezogenen Daten zur Verantwortung zieht. Die Verordnung eröffnet auch neue Risiken für Organisationen, die sie unbedingt im Auge behalten müssen, um Datenkompromittierungen oder rechtliche Strafen zu vermeiden - daher ist es unerlässlich, dass die Verantwortlichen die Vorschriften einhalten richtig. In den nächsten Monaten werden wir uns in diesem Blog eingehender mit POPIA befassen, um gängige Missverständnisse zu entlarven, Nuancen des Gesetzes zu erkunden, Tipps für Organisationen zu geben und vieles mehr.

[1] "POPIA Compliance: Südafrikas Version der GDPR", NetApp

[2] "Kapitel 11, Abschnitt 107: Sanktionen," POPIA

[3] "Unternehmen, die ihre Kundendaten nicht schützen, müssen mit zivilrechtlichen Schadensersatzforderungen oder sogar Sammelklagen rechnen", Independent Online

[4] "Kapitel 1, Abschnitt 1: Begriffsbestimmungen", POPIA

[5] "Was ist unter personenbezogenen Daten zu verstehen?" Michalsons

[6] "Kapitel 2, Abschnitt 5: Rechte der betroffenen Personen", POPIA

[7] "South Africa's Protection of Personal Information Act, 2013, Goes into Effect July 1," National Law Review

[8] "Kapitel 3, Abschnitt 17: Sicherheitsmaßnahmen zur Integrität und Vertraulichkeit personenbezogener Daten", POPIA

[9] "Kapitel 3, Abschnitt 22: Benachrichtigung über Sicherheitsverletzungen", POPIA