Drei gängige (und riskante) POPIA-Mythen entlarvt

Die Durchsetzung des südafrikanischen Gesetzes zum Schutz personenbezogener Daten (Protection of Personal Information Act - POPIA) beginnt am 1. Juli 2021, was bedeutet, dass die Verantwortlichen bis zu diesem Datum die Vorschriften vollständig erfüllen müssen, um Strafen zu vermeiden. POPIA zielt darauf ab, die Verarbeitung und den Fluss personenbezogener Daten innerhalb südafrikanischer Organisationen zu überwachen, zu schützen und zu regeln und die rechtmäßige Nutzung dieser Daten zu gewährleisten.

In einem früheren Blog haben wir einen POPIA-Crashkurs durchgeführt, in dem wir die wichtigsten Begriffe und Inhalte des Datenschutzgesetzes definiert haben. Im Folgenden räumen wir mit einigen der häufigsten - und gefährlichsten - POPIA-Mythen auf, die Ihr Unternehmen in Gefahr bringen könnten.

Mythos Nr. 1: POPIA ist nur GDPR "Lite

Die Menschen neigen aus mehreren Gründen dazu, POPIA als GDPR "light" zu betrachten. Der Hauptgrund ist, dass die Strafen für POPIA oberflächlich betrachtet weniger streng zu sein scheinen als die der GDPR. In Südafrika können Verstöße gegen POPIA mit Geldstrafen von bis zu 10 Millionen Rupien und/oder bis zu 10 Jahren Gefängnis geahndet werden.[1] Im Vergleich dazu können Organisationen nach GDPR mit Geldstrafen von bis zu 4 % des Jahresumsatzes belegt werden, und wenn es sich um ein Multi-Milliarden-Dollar-Unternehmen handelt, kann diese Strafe weit über 10 Millionen Rupien liegen. [2] Die höchste GDPR-Strafe im Jahr 2020 ging an Google, das eine Strafe von 50 Millionen Euro zahlen musste - das entspricht etwa R856,6 Millionen.[3]

POPIA ist auch nicht extraterritorial wie GDPR oder CCPA, d. h. es gilt nur für Organisationen, die in Südafrika ansässig sind und/oder Daten innerhalb Südafrikas verarbeiten, und nicht für externe Gebiete. Innerhalb dieser Grenzen ist das Gesetz jedoch weiter gefasst, wenn es um die Personen geht, für die es gilt. Während die GDPR nur natürliche Personen schützt, umfasst POPIA auch den Schutz von juristischen Personen wie Unternehmen oder Trusts.

Im Mittelpunkt aller Datenschutzvorschriften stehen die Daten selbst, und selbst hier unterscheiden sich POPIA und GDPR. GDPR bezieht sich auf "personenbezogene Daten", während POPIA sich auf "personenbezogene Daten" bezieht - der Unterschied besteht darin, dass "personenbezogene Daten" im Rahmen von POPIA viel weiter gefasst sind. Das Gesetz umfasst im weiteren Sinne alle personenbezogenen Daten, die sich auf eine natürliche oder juristische Person beziehen, einschließlich, aber nicht beschränkt auf Dinge wie religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung und politische Zugehörigkeit.

Auch wenn POPIA manchmal als eine "leichtere" Version der Datenschutz-Grundverordnung angesehen wird, sollten Unternehmen sie mit der gleichen Strenge behandeln. "Wenn man es aus der Risikoperspektive betrachtet, gibt es eine Reihe von Risiken. Und die Geld- und Gefängnisstrafen sind wahrscheinlich das geringste dieser Risiken", sagt Brian Pinnock, Senior Director of Sales Engineering MEA bei Mimecast. Er weist darauf hin, dass Unternehmen sich vor Rufschädigung und dem erhöhten Risiko von Sammelklagen hüten sollten, die POPIA ermöglicht.

Unter Berücksichtigung dieser Faktoren beliefen sich die durchschnittlichen Kosten eines Datenschutzverstoßes in Südafrika im Jahr 2020 auf 40 Millionen Rupien.[4] Dies sollte mit einem weiteren weit verbreiteten Mythos aufräumen: dass es billiger ist, einfach eine Geldstrafe zu zahlen, als sich um die Einhaltung der Vorschriften zu kümmern.

Wir mögen POPIA umgangssprachlich als Südafrikas GDPR" bezeichnen, aber es ist wichtig, diese wesentlichen Unterschiede zu verstehen, um die beiden nicht zu vermischen, wenn POPIA vollständig in Kraft tritt.

Mythos Nr. 2: Daten müssen das Unternehmen verlassen, damit es sich um eine Datenschutzverletzung handelt

Von den acht Bedingungen des POPIA für eine rechtmäßige Verarbeitung wird der Schutz der Sicherheit als eine der wichtigsten angesehen, da er die Fähigkeit eines Unternehmens betrifft, Datenverletzungen zu verhindern. Gemäß Kapitel 3, Abschnitt 19 des POPIA müssen die Verantwortlichen geeignete Maßnahmen ergreifen, um "(a) den Verlust, die Beschädigung oder die unbefugte Zerstörung personenbezogener Daten und (b) den unrechtmäßigen Zugriff auf personenbezogene Daten oder deren unrechtmäßige Verarbeitung zu verhindern." [5]

Wenn wir an eine Datenschutzverletzung denken, denken wir in der Regel an eine Datenexfiltration. Aber Informationen müssen Ihr Unternehmen nicht verlassen, um als Datenschutzverletzung zu gelten. Es ist wichtig zu beachten, dass Klausel (b) die Definition einer Datenschutzverletzung über die Datenexfiltration hinaus erweitert. Jeder unbefugte Zugriff auf personenbezogene Daten stellt eine Datenschutzverletzung dar, auch wenn der Cyberkriminelle oder Mitarbeiter nichts mit diesen Daten macht.

Der weltweite Anstieg von Ransomware erhöht die Risiken für die verantwortlichen Parteien, da die im Laufe eines Ransomware-Angriffs verschlüsselten Informationen eine Datenschutzverletzung darstellen. "Bei Dingen wie Ransomware ist es technisch gesehen eine Datenschutzverletzung, wenn man einfach die Kontrolle über die Daten einer Person verloren hat. Es muss keine Exfiltration vorliegen", sagt Pinnock.

Mythos Nr. 3: Die Verantwortlichen können alle Risiken und Verantwortlichkeiten auslagern

Dies ist vielleicht einer der gefährlichsten Mythen, die Unternehmen glauben, wenn es um POPIA geht - dass sie die gesamte Arbeit sowie die Verantwortlichkeit und das Risiko, das mit der Einhaltung der Vorschriften verbunden ist, an Drittanbieter oder Versicherungsagenturen auslagern können.

Hier gilt es, mit zwei Mythen aufzuräumen. Erstens kann keine Anbieterlösung allein die Konformität herstellen. Einige Anbieter wie Mimecast ermöglichen es Unternehmen zwar, auf verschiedene Weise POPIA-konform zu werden , aber es gibt noch viele andere Faktoren, die Unternehmen beachten müssen, um die Vorschriften vollständig zu erfüllen. Die Verantwortlichen müssen damit rechnen, dass ihre Rechts-, Compliance-, IT- und Sicherheitsteams mit der schweren Arbeit betraut werden. "Es ist jedermanns Problem", sagt Pinnock.

Zweitens ist die Cyberversicherung nicht gegen vorsätzliche Fahrlässigkeit oder illegale Handlungen versichert. "Die Hauptpartei kann ein gewisses Risiko an den Betreiber auslagern, aber nicht das gesamte Risiko", sagt Pinnock. "In Südafrika hängt Ihre Hausratversicherung zum Beispiel davon ab, wie gut Sie Ihr Haus bereits geschützt haben. Haben Sie eine Alarmanlage? Andere Hindernisse und Kontrollen? Wenn Sie einige grundlegende Anforderungen nicht erfüllt haben und Ihr Haus ausgeraubt wird, zahlt die Versicherung nicht aus. Die Cybersecurity-Versicherung funktioniert genauso." Die Verantwortlichen können sich also nicht darauf verlassen, dass die Cyberversicherung sie bei vorsätzlicher Nichteinhaltung der Vorschriften schützt.

Ein wichtiger Hinweis: Gemäß POPIA können verantwortliche Parteien immer noch als konform gelten - und Strafen vermeiden -, wenn sie Opfer einer Datenschutzverletzung werden, solange sie nachweisen können, dass sie alle angemessenen Schritte unternommen haben, um diese zu verhindern. Das Wichtigste, was Sie tun können, um rechtliche, finanzielle und rufschädigende Schäden zu vermeiden, ist also, sich vollständig und korrekt zur Einhaltung des POPIA zu verpflichten.

[1] "Kapitel 11, Abschnitt 107: Sanktionen," POPIA

[2] "Wie hoch sind die GDPR-Bußgelder?" GDPR

[3] "Die 14 größten GDPR-Bußgelder der Jahre 2020 und 2021 (bisher)," Tessian

[4] "Cost of a Data Breach Report 2020," IBM/Ponemon

[5] "Kapitel 3, Abschnitt 17: Sicherheitsmaßnahmen zur Integrität und Vertraulichkeit personenbezogener Daten," POPIA