Südafrikas ‘Protection of Information Act’ (POPIA) – ein Überblick

Der Protection of Personal Information Act (POPIA) ist ein rechtlicher Rahmen, der dazu dient, die Bürger Südafrikas durch den Schutz ihrer personenbezogenen Daten vor Schäden zu schützen. Er wird von der Informationsbehörde des Landes durchgesetzt und alternativ auch als POPIA oder POPI Act bezeichnet, wobei die Bezeichnung POPIA jedoch von den Aufsichtsbehörden und der südafrikanischen Regierung bevorzugt wird. POPI wird häufiger als Synonym für den Datenschutz verwendet, anstatt gezielt auf den rechtlichen Rahmen zu verweisen.

Wer von POPIA betroffen ist, hängt vom Kontext ab. POPIA betrifft sowohl die Personen, die personenbezogene Daten bereitstellen, als auch diejenigen, die solche Daten verarbeiten. Im alltäglichen Kontext würde dies wahrscheinlich Unternehmen und andere Organisationen stärker betreffen, da sie POPIA-Konformität erreichen und aufrechterhalten müssen. Die meisten Personen wären nur dann aktiv betroffen, wenn sie über eine Datenschutzverletzung oder einen anderen Verstoß in Bezug auf ihre personenbezogenen Daten informiert werden.

POPIA unterscheidet sich von dem noch älteren, im Jahr 2000 verabschiedeten ‘Promotion of Access to Information Act’ (PAIA). PAIA gewährt das verfassungsmäßige Recht auf Zugang zu Informationen, welche die südafrikanische Regierung oder private Organisationen erhoben haben, wenn dies zum Schutz oder zur Ausübung der Rechte von Personen erforderlich ist. PAIA wird von der südafrikanischen Menschenrechtskommission durchgesetzt.

Südafrikas POPIA trat 2020 in vollem Umfang in Kraft, nachdem es zunächst schrittweise eingeführt worden war, beginnend mit dem Zeitpunkt, an dem es sieben Jahre zuvor die Zustimmung des Präsidenten erhalten hatte. Seine Durchsetzung begann dann im Jahr 2021. In der heutigen Zeit ist es eines der älteren Datenschutzgesetze, das der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union um mehrere Jahre vorausgeht.

Südafrikas Protection of Personal Information Act (POPIA) ist ein Datenschutzgesetz auf Bundesebene und dient zum Schutz der Privatsphäre, die als Menschenrecht gilt. Das Gesetz legt fest, wann es für einen Rechtsträger (z. B. ein Unternehmen) legal ist, die personenbezogenen Daten eines anderen Rechtsträgers (z. B. einer natürlichen Person) zu verarbeiten.

POPIA war zwar am 19. November 2013 parlamentarisch genehmigt worden, trat jedoch nicht sofort in Kraft. Das Gesetz wurde seit 2013 schrittweise umgesetzt, wobei einige wichtige Abschnitte erst seit dem 1. Juli 2020 (Datum des Inkrafttretens) gelten. Unternehmen hatten 12 Monate Zeit, die Einhaltung des Gesetzes zu erreichen. Die Durchsetzung begann am 1. Juli 2021.

Die Informationsbehörde wurde am 1. Dezember 2016 eingerichtet und ist für die Durchsetzung des POPIA verantwortlich. Sie ist sowohl für Untersuchungen mutmaßlicher Verstöße als auch für Strafen im Falle einer nachgewiesenen Nichteinhaltung des Gesetzes zuständig. Die Informationsbehörde berichtet an das südafrikanische Parlament.

POPIA besteht aus 12 Kapiteln mit 115 Abschnitten. Die Rechte der betroffenen Personen sind in Abschnitt 5 geregelt. Kapitel 3 regelt die Bedingungen für die rechtmäßige Verarbeitung. Abschnitt 11 erläutert die Bedingungen für die Einwilligung oder den Widerspruch der betroffenen Personen und andere rechtliche Begründungen und Verantwortlichkeiten für die Datenverarbeitung:

• mit Einwilligung der betroffenen Person oder einer kompetenten Person, wenn es sich bei der betroffenen Person um ein Kind handelt;
• falls die Verarbeitung zur Erfüllung oder zum Abschluss eines Vertrags, an dem die betroffene Person beteiligt ist, erforderlich ist;
• um einer gesetzlichen Verpflichtung der verantwortlichen Partei (d. h. der verarbeitenden Partei) nachzukommen;
• zum Schutz des berechtigten Interesses der betroffenen Person;
• falls dies zur Erfüllung öffentlich-rechtlicher Pflichten durch eine öffentliche Einrichtung erforderlich ist;
• zur Verfolgung legitimer Interessen der verantwortlichen Partei oder eines Dritten, dem die Daten zur Verfügung gestellt wurden.

Darüber hinaus trägt die verantwortliche Partei die Beweislast für die Einwilligung der betroffenen Person (oder der kompetenten Person als Vertreter), und die betroffene Person oder die kompetente Person kann ihre Einwilligung jederzeit widerrufen.

Die betroffenen Personen können der Verarbeitung ihrer personenbezogenen Daten jederzeit aus berechtigten Gründen und auf die vorgeschriebene Weise widersprechen, solange die Verhinderung oder Beendigung dieser Datenverarbeitung nicht durch geltende Gesetze verhindert wird.

Abschnitt 4 beschreibt die gesetzlichen Bedingungen für die Datenverarbeitung:

• Rechenschaftspflicht (Abschnitt 8)
• Einschränkung der Verarbeitung (Abschnitte 9-12)
• Zweckbestimmung (Kapitel 13 und 14)
• Einschränkung der weiteren Verarbeitung (Abschnitt 15)
• Informationsqualität (Abschnitt 16)
• Offenheit (Abschnitte 17 und 18)
•  Sicherheitsvorkehrungen (Abschnitte 19 bis 22)
• Einbeziehung betroffener Personen (Abschnitte 23 bis 25)

POPIA gilt für „jede natürliche oder juristische Person, die personenbezogene Daten mithilfe automatisierter oder nicht-automatisierter Verfahren verarbeitet“ (Abschnitt 3) (übersetzt von Usercentrics). POPIA gilt also auch für Einzelpersonen, jedoch häufiger für Unternehmen, andere Organisationen und die Regierung.

Wichtig zu beachten: Die „verantwortliche Partei“ ist gemäß den Definitionen in Abschnitt 1 „eine öffentliche oder private Körperschaft oder eine andere Person, die allein oder gemeinsam mit anderen den Zweck und die Mittel zur Verarbeitung personenbezogener Daten bestimmt“ (übersetzt von Usercentrics).

Gemäß Abschnitt 3 gilt POPIA sowohl für „in der Republik ansässige“ verantwortliche Parteien als auch für verantwortliche Parteien an anderen Orten, d. h. POPIA ist extraterritorial. Die zentrale Überlegung hierbei ist, ob die betroffenen Personen in Südafrika ansässig sind und nicht, ob sich das Unternehmen, das ihre Daten verarbeitet, dort befindet.

Abschnitt 6 legt die Ausnahmen von den Anforderungen zur POPIA-Einhaltung dar, die im Vergleich zu anderen Datenschutzgesetzen relativ häufig auftreten:

• die Datenverarbeitung ist für „persönliche oder Haushaltsaktivitäten“ bestimmt, d. h. nicht für kommerzielle Zwecke;
• die Daten wurden hinreichend anonymisiert, sodass sie nicht deanonymisiert werden können;
• wenn es Probleme mit der nationalen Sicherheit gibt, einschließlich der öffentlichen Sicherheit oder der Bekämpfung von Terrorismus;
• wenn die Datenverarbeitung im Rahmen der Strafverfolgung erfolgt;
• wenn die Datenverarbeitung von Regierungsbehörden durchgeführt wird, d. h. „durch das Kabinett und seine Ausschüsse oder den Exekutivrat einer Provinz“ (übersetzt von Usercentrics);
• wenn die Datenverarbeitung im Dienste der juristischen Aufgaben eines Gerichts erfolgt.

Abschnitt 7 enthält einige weitere Ausnahmen und spezifische Anforderungen in Bezug auf „journalistische, literarische oder künstlerische Ausdrucksweise“. Dieser Abschnitt hilft dabei, die Meinungs- und Pressefreiheit zu gestatten und gleichzeitig verantwortungsvolle Maßnahmen zu gewährleisten, z. B. die Einhaltung von nationalen und internationalen Standards und professionellen Ethik-Kodizes.

Abschnitt 5 behandelt die Rechte der betroffenen Personen gemäß POPIA. Diese umfassen z. B. das Recht,

• über die Erhebung ihrer personenbezogenen Daten informiert zu werden;
•  informiert zu werden, wenn ein Auftragsverarbeiter ihre personenbezogenen Daten speichert, und Zugriff auf diese anzufordern;
• die Berichtigung, Vernichtung oder Löschung ihrer personenbezogenen Daten zu verlangen;
• der Verarbeitung ihrer personenbezogenen Daten ganz oder für bestimmte Zwecke zu widersprechen bzw. ihre Einwilligung zu widerrufen;
• nicht Gegenstand von Entscheidungen zu sein, die durch die automatisierte Verarbeitung personenbezogener Daten getroffen werden und einer Profilerstellung dienen (einschließlich KI-Nutzung);
• bei der Aufsichtsbehörde eine Beschwerde über vermeintliche Beeinträchtigungen ihrer Rechte einzureichen;
• Zivilverfahren bezüglich „vermeintlicher Beeinträchtigungen“ (auch bekannt als Klagerecht) einzuleiten.

POPIA sieht kein Recht dahingehend vor, bei der Ausübung der anderen Rechte als betroffene Person nicht diskriminiert zu werden. Auch die DSGVO tut dies, im Gegensatz zum CCPA, nicht. Beachten Sie, dass POPIA ein Opt-in-Modell für die Einwilligung der betroffenen Personen verwendet, d. h. die Einwilligungen der Nutzer müssen vor der Erfassung oder Verarbeitung ihrer personenbezogenen Daten eingeholt werden.

Definitionen der wichtigsten Begriffe im POPIA finden Sie in Abschnitt 1.

Diese Daten werden in Kapitel 3, Teil A erläutert und sind Informationen, die sich auf „eine identifizierbare, lebende natürliche Person“ oder „eine identifizierbare, bestehende juristische Person“ beziehen. Personenbezogene Daten können unter anderem Folgendes umfassen:

(a) Ethnie, Geschlecht, Schwangerschaft, Familienstand, nationale, ethnische oder soziale Herkunft, Hautfarbe, sexuelle Orientierung, Alter, körperliche oder geistige Gesundheit, Wohlbefinden, Behinderung, Religion, Gewissen, Überzeugung, Kultur, Sprache und Geburt der Person;

(b) die Ausbildung oder die medizinische, finanzielle, kriminelle oder berufliche Vorgeschichte der Person;

(c) eine Identifikationsnummer, ein Symbol, eine E-Mail-Adresse, eine physische Adresse, eine Telefonnummer, Standortinformationen, Online-Identifikatoren oder andere spezifische Zuweisungen an die Person;

(d) biometrische Daten der Person;

(e) persönliche Überzeugungen, Ansichten oder Präferenzen der Person;

(f) von der Person versendete Schreiben, die implizit oder explizit privater oder vertraulicher Natur ist, oder weitere Schreiben, die den Inhalt des ursprünglichen Schreibens offenbaren würde;

(g) Ansichten oder Meinungen einer anderen Person über die Person; und

(h) Name der Person, wenn er zusammen mit anderen personenbezogenen Daten über die Person erscheint oder wenn die Offenlegung des Namens selbst Informationen über die Person preisgeben würde.

Es ist zu beachten, dass die körperliche oder geistige Gesundheit, Religion, Behinderung, ethnische Herkunft, Hautfarbe, sexuelle Orientierung und einige andere Informationen zwar in POPIAs Definitionen der „personenbezogenen Daten“ enthalten sind, diese jedoch tatsächlich als „besondere personenbezogene Daten“ gelten und daher eine spezialisierte und/oder eingeschränkte Handhabung erfordern. In bestimmten Fällen ist die Verarbeitung dieser Datenarten gänzlich untersagt.

Diese Art von personenbezogenen Daten wird in Abschnitt 26 behandelt; genauer gesagt, bestehen Verbote für die Verarbeitung dieser Art von personenbezogenen Daten, da diese potenziell zum Schaden von Personen genutzt werden können. Zu den als “sensibel” eingestuften Arten von personenbezogenen Daten gehören:

(a) religiöse oder philosophische Überzeugungen, Race oder ethnische Herkunft, Gewerkschaftsmitgliedschaft, politische Ansichten, Gesundheit oder Sexualleben oder biometrische Daten einer betroffenen Person; oder

(b) kriminelles Verhalten einer betroffenen Person, soweit sich diese Informationen auf Folgendes beziehen:

• (i) eine mutmaßliche Straftat einer betroffenen Person; oder
• (ii) alle Verfahren in Bezug auf eine angeblich von einer betroffenen Person begangene Straftat oder die Einstellung eines solchen Verfahrens.

Die Verarbeitung besonderer personenbezogener Daten ist verboten, es sei denn, sie erfüllt die in Abschnitt 27 genannten Ausnahmen (Einwilligung, gesetzliche Verpflichtungen, die betroffene Person hat die Informationen bereits veröffentlicht, usw.)

Dies bezieht sich auf „alle Vorgänge, Aktivitäten oder Vorgangsreihen, unabhängig davon, ob automatisch oder nicht, in Bezug auf personenbezogene Daten“ (übersetzt von Usercentrics), u. a.

(a) deren Erfassung, Erhalt, Aufzeichnung, Organisation, Zusammenstellung, Speicherung, Aktualisierung oder Modifizierung, Abruf, Änderung, Beratung oder Verwendung;

(b) deren Verbreitung durch Übermittlung, Verteilung oder Bereitstellung in einer anderen Form; oder

(c) deren Zusammenführung, Verknüpfung sowie Einschränkung, Verschlechterung, Löschung oder Vernichtung.

Die natürliche oder juristische Person, auf die sich personenbezogene Daten beziehen. Bezieht sich auf Personen mit Wohnsitz in Südafrika. Eine juristische Person ist eine Organisation, die rechtlich anerkannt ist, Rechte und Verantwortlichkeiten wie eine menschliche Person zu haben.

POPIA bezieht sich nicht auf „Verantwortliche“ wie andere Datenschutzgesetze, d. h. die für die Erfassung und Verarbeitung von Daten und damit auch für deren Schutz verantwortliche Partei. POPIA bezieht sich auf die „verantwortliche Partei“, d. h. auf „eine öffentliche oder private Körperschaft oder jede andere Person, die allein oder in Verbindung mit anderen den Zweck und die Mittel zur Verarbeitung personenbezogener Daten bestimmt“ (übersetzt von Usercentrics).

Nach einigen anderen Datenschutzgesetzen führt der Verarbeiter die Verarbeitung für den Verantwortlichen durch. Im Rahmen des POPIA übernimmt der Verarbeiter dies für die verantwortliche Partei. Konkret handelt es sich bei dem Verarbeiter um eine „Person, die personenbezogene Daten für eine verantwortliche Partei im Rahmen eines Vertrags oder Mandats verarbeitet, ohne direkt von dieser Partei autorisiert zu werden“ (übersetzt von Usercentrics).

Die Datenschutzbehörde, offiziell die Informationsbehörde (SAIR), wie in den Abschnitten 39-54 definiert und mit den dort erwähnten Pflichten, einschließlich Bildung, Anleitung, Forschung, Überwachung, Bearbeitung von Beschwerden und Durchsetzung. Diese Behörde ist auch dafür verantwortlich, über die Entwicklung des Gesetzes zu beraten und diese zu steuern.

Einige Datenschutzgesetze beziehen sich auf die Anonymisierung von Daten. Nach POPIA bezeichnet der Begriff die Unkenntlichmachung, die „in Bezug auf personenbezogene Daten einer betroffenen Person“ bedeutet, alle Informationen zu löschen, die

(a) die betroffene Person identifizieren;

(b) mit einer vernünftigerweise vorhersehbaren Methode zur Identifizierung der betroffenen Person verwendet oder manipuliert werden können; oder

(c) durch eine vernünftigerweise vorhersehbare Methode mit anderen Informationen verknüpft werden können, die die betroffene Person identifizieren.

Eine natürliche Person unter 18 Jahren, die rechtlich nicht befugt ist, Handlungen oder Entscheidungen zuzustimmen. Eine kompetente Person (ein Erwachsener über 18 Jahren, der rechtlich in der Lage ist, Entscheidungen für ein Kind zu treffen) ist erforderlich, wenn die Einwilligung hinsichtlich der personenbezogenen Daten eines Kindes notwendig ist.

Gemäß den Definitionen in Abschnitt 1 ist die Einwilligung laut POPIA „jeder freiwillige, spezifische und informierte Willensausdruck, gemäß dem eine Erlaubnis zur Verarbeitung personenbezogener Daten erteilt wird“ (übersetzt von Usercentrics). Die Einwilligung ist eine der Rechtsgrundlagen für die Datenverarbeitung, wie in Abschnitt 11 erläutert.

Wie die DSGVO und einige andere internationale Datenschutzgesetze verwendet POPIA ein Opt-in-Modell für die Einwilligung. Daher muss die Einwilligung der betroffenen Person im Allgemeinen von einer rechtlich kompetenten Person oder im Falle eines Kindes von ihrem Vertreter eingeholt werden, bevor ihre Daten erfasst oder verarbeitet werden können.

Abschnitt 11 beinhaltet Begründungen für die Verarbeitung personenbezogener Daten, die in der DSGVO und an anderen Stellen allgemein als „Rechtsgrundlagen“ bezeichnet werden. Diese Anforderungen ähneln weitgehend den Anforderungen, die in der DSGVO aufgeführt sind:

(a) die betroffene Person oder eine kompetente Person, falls es sich bei der betroffenen Person um ein Kind handelt, stimmt der Verarbeitung zu;

(b) die Verarbeitung ist erforderlich, um Maßnahmen für den Abschluss oder die Erfüllung eines Vertrags zu ergreifen, an dem die betroffene Person beteiligt ist;

(c) die Verarbeitung erfüllt eine gesetzliche Verpflichtung der verantwortlichen Partei;

(d) die Verarbeitung schützt ein berechtigtes Interesse der betroffenen Person;

(e) die Verarbeitung ist für die ordnungsgemäße Erfüllung einer öffentlich-rechtlichen Verpflichtung durch eine öffentliche Einrichtung erforderlich; oder

(f) die Verarbeitung ist notwendig, um die berechtigten Interessen der verantwortlichen Partei oder eines Dritten, an den die Informationen übermittelt werden, zu verfolgen.

Eine Rechtfertigung wie ein legitimes Interesse mag günstig erscheinen, da sie nicht die Einwilligung der betroffenen Person erfordert, aber wie bei anderen Gesetzen können sich Unternehmen nicht nur auf ein legitimes Interesse berufen und nach Belieben mit der Erfassung und Verarbeitung personenbezogener Daten beginnen. Es gibt spezielle Anforderungen für die Geltendmachung eines berechtigten Interesses (und jeder anderen Rechtsgrundlage).

Gemäß POPIA sind Unternehmen nicht die einzigen Organisationen, die diese Vorschriften einhalten müssen, aber sowohl Unternehmen innerhalb als auch außerhalb Südafrikas (mit einer dortigen Geschäftstätigkeit) sind wesentlich betroffen.

Kapitel 3 befasst sich mit den Verantwortlichkeiten von Unternehmen, d. h. den Bedingungen der rechtmäßigen Verarbeitung. Teil A von Kapitel 3 erläutert die acht Bedingungen des POPIA für die Verarbeitung personenbezogener Daten, für die das Unternehmen verantwortlich ist. Die Informationsbehörde kann eine Einschätzung oder Prüfung der Einhaltung des POPIA durch eine Organisation entweder auf Anfrage oder auf eigene Initiative durchführen (Abschnitt 40).

Gemäß Abschnitt 8 muss die verantwortliche Partei Bedingungen für die rechtmäßige Verarbeitung, wie z. B. die allgemeinen Bedingungen für die Verarbeitung personenbezogener Daten, sowie spezifische Bedingungen und Verbote für die Verarbeitung sensibler personenbezogener Daten oder der Daten von Kindern sicherstellen.

Gemäß Abschnitt 9-12 verletzt die verantwortliche Partei die Rechte der betroffenen Personen nicht und beschränkt die Verarbeitung auf die für den angegebenen Zweck erforderliche, rechtliche Grundlage und beantwortet Anfragen oder Beschwerden von betroffenen Personen bezüglich ihrer personenbezogenen Daten.

Gemäß Abschnitt 13-14 darf die verantwortliche Partei personenbezogene Daten nur für einen bestimmten, angegebenen und legalen Zweck erheben und verarbeiten und diese nur so lange aufbewahren, wie es für den Zweck erforderlich ist, und sie muss die Daten sicher speichern, den Zugriff auf diese einschränken und diese nach Bedarf löschen.

Gemäß Abschnitt 15 müssen für jede weitere Verarbeitung der Informationen über den angegebenen und legalen Zweck hinaus eine Reihe von Bedingungen erfüllt sein, einschließlich der möglicherweise erforderlichen Einholung einer neuen Einwilligung von betroffenen Personen. Dies betrifft zudem die Aufbewahrung personenbezogener Daten nach dem für den ursprünglichen Verarbeitungszweck erforderlichen Zeitraum.

Gemäß Abschnitt 16 muss die verantwortliche Partei in angemessener Weise sicherstellen, dass die erfassten und verarbeiteten personenbezogenen Daten vollständig, richtig und aktuell sind. Hierzu gehört die Beantwortung von Anfragen oder Beschwerden von betroffenen Personen bezüglich des Zugriffs auf ihre personenbezogenen Daten bzw. deren Aktualisierung oder Löschung.

Gemäß Abschnitt 17-18 muss die verantwortliche Partei die Dokumentation über alle Verarbeitungsaktivitäten führen und angemessene Maßnahmen ergreifen, um sicherzustellen, dass die betroffenen Personen über die Verarbeitungsbedingungen informiert werden und sich an die verantwortliche Partei wenden können. Informationen über Verarbeitungsaktivitäten und damit verbundene Anforderungen müssen den betroffenen Personen ebenfalls leicht zugänglich sein, z. B. über ein Website-Cookie oder eine Datenschutzrichtlinie.

Gemäß Abschnitt 19-22 muss die verantwortliche Partei angemessene Maßnahmen ergreifen, um die Sicherheit aller verarbeiteten personenbezogenen Daten zu gewährleisten, einschließlich der Weitergabe an andere Parteien (z. B. an den Verarbeiter für Verarbeitungszwecke), und im Falle einer Sicherheitsverletzung angemessene und sofortige Maßnahmen ergreifen. Dazu gehört auch die Kontaktaufnahme mit der Aufsichtsbehörde und den betroffenen Personen.

Gemäß Abschnitt 23-25 verfügen die betroffenen Personen über das Recht auf Anfrage und Zugriff auf ihre personenbezogenen Daten, auf die die verantwortlichen Parteien reagieren müssen. Es gibt auch Bedingungen, unter denen solche Anträge abgelehnt werden können.

Alle Organisationen, die zur Einhaltung des POPIA verpflichtet sind, müssen über einen Informationsbeauftragten verfügen, der mit einem Datenschutzbeauftragten oder ähnlichen Titeln identisch ist. Je nach Umfang und Art der Aufgaben kann es auch erforderlich sein, einen oder mehrere Stellvertreter zu ernennen (Abschnitt 56). Der Informationsbeauftragte und alle Stellvertreter müssen von der verantwortlichen Partei bei der Aufsichtsbehörde registriert werden, bevor sie mit der Erfüllung von Aufgaben beginnen können.

Abschnitt 55 behandelt ihre Aufgaben und Verantwortlichkeiten, darunter die Förderung der Einhaltung, die Bearbeitung von Anfragen, die Zusammenarbeit mit der Aufsichtsbehörde bei Untersuchungen und die damit verbundenen Aufgaben. Abschnitt 56 befasst sich mit der Benennung von stellvertretenden Informationsbeauftragten, falls erforderlich.

Im Einzelnen ist der Informationsbeauftragte an Aufgaben wie dem Entwurf und der Pflege der Datenschutzerklärung und anderer zugehöriger Dokumentation, der Durchführung von Risikobewertungen, der Schulung von Mitarbeitern, der Erstellung und Pflege von Verträgen mit Dritten, der Handhabung von Sicherheitsfragen (einschließlich Datenschutzverletzungen), Meldungen an die Aufsichtsbehörde und dem Austausch von Informationen mit der Aufsichtsbehörde und betroffenen Personen sowie an anderen Aufgaben beteiligt.

POPIA geht auf das Thema Datenübertragung („grenzüberschreitende Informationsflüsse“) weniger detailliert ein als die DSGVO. Dennoch gibt es Einschränkungen im Namen des Datenschutzes und der Sicherheit, wie in Abschnitt 72 beschrieben. Im Großen und Ganzen sind die Bedingungen den Rechtsgrundlagen für die Verarbeitung personenbezogener Daten ähnlich, z. B. in Bezug auf vertragliche Vereinbarungen, Einwilligungen betroffener Personen, Vertragserfüllung, berechtigtes Interesse, usw.

POPIA erfordert keine Angemessenheitsentscheidungen, d. h. internationale Vereinbarungen zwischen Ländern, in denen festgestellt wurde, dass das betreffende Land oder die betreffende Organisation ein angemessenes Datenschutzniveau festgelegt hat. Diese Entscheidungen können die vertraglichen Anforderungen und Verpflichtungen zwischen den relevanten Parteien erheblich optimieren, wenn Datenübertragungen stattfinden müssen; sie können jedoch auch große Probleme verursachen, wenn Unternehmen ihre Betriebsabläufe aufgrund fehlender Entscheidungen neu organisieren müssen.

Die Abschnitte 19-22 behandeln Sicherheitsmaßnahmen, einschließlich spezifischer Anforderungen im Falle einer Datenschutzverletzung. Es überrascht nicht, dass zwei wichtige Anforderungen die unverzügliche Benachrichtigung der Regulierungsbehörde sowie der jeweiligen betroffenen Personen (sofern es nicht unmöglich ist, deren Identität zu bestimmen) sind (Abschnitt 22). Es gibt auch Vorgaben dazu, wie Benachrichtigungen zugestellt werden und welche Informationen enthalten sein müssen. Die Aufsichtsbehörde kann auch von der verantwortlichen Partei verlangen, den Verstoß zu veröffentlichen, falls dies den betroffenen Personen zugutekommt (z. B. um sie zu benachrichtigen, wenn dies anderweitig nicht möglich wäre).

Im Rahmen des POPIA sind Kinder nicht rechtsfähige Personen unter 18 Jahren. Dies ist eine höhere Altersgrenze als bei der DSGVO. In den meisten Fällen muss zur Verarbeitung der personenbezogenen Daten von Kindern im Voraus die Einwilligung der Eltern, Erziehungsberechtigten oder eines anderen gesetzlichen Vertreters („kompetente Person“) eingeholt werden. Es gibt jedoch eine Reihe anderer Bedingungen, unter denen sie stattfinden kann, weitgehend nach den standardmäßigen Rechtsgrundlagen für die Verarbeitung, jedoch mit zusätzlichen Bedingungen.

Die Verarbeitung der personenbezogenen Daten von Kindern wird in Abschnitt 34-35 beschrieben, wobei letzterer Abschnitt die Bedingungen umfasst, unter denen die personenbezogenen Daten von Kindern verarbeitet werden können.

Die Durchsetzung wird im POPIA in Kapitel 10 in Abschnitt 73-99 ausführlich behandelt. Wie bereits erwähnt, liegt die Durchsetzung in der Verantwortung der Informationsbehörde, einer Regierungsstelle auf Bundesebene. Die Regulierungsbehörde ist an der Untersuchung mutmaßlicher Verstöße, Empfehlungen an andere Aufsichtsbehörden, der Sicherung von Garantien durch einen Richter oder Magistrat, der Verhängung von Strafen und anderen Maßnahmen beteiligt.

Gemäß Abschnitt 109 beträgt die maximale Geldstrafe für einen Verstoß gegen die Bestimmungen des POPIA 10 Millionen ZAR. In Bezug auf mögliche Bußgelder muss die Aufsichtsbehörde Folgendes berücksichtigen:

(a) die Art der betroffenen personenbezogenen Daten;

(b) Dauer und Umfang des Verstoßes oder der Angelegenheit;

(c) die Anzahl der (potenziell) betroffenen Personen;

(d) ob der Verstoß ein Problem von öffentlicher Bedeutung darstellt oder nicht;

(e) die Wahrscheinlichkeit erheblicher Schäden oder Leiden, einschließlich Verletzungen von Gefühlen oder Angstzuständen, die von den betroffenen Personen erlitten wurden;

(f) ob die verantwortliche Partei oder eine dritte Partei den Verstoß hätten verhindern können;

(g) jedes Versäumnis, eine Risikobewertung durchzuführen, oder das Versäumnis, gute Richtlinien, Verfahren und Praktiken zum Schutz personenbezogener Daten anzuwenden;

(h) ob die verantwortliche Partei bereits zuvor ein POPIA-bezogenes Vergehen begangen hat.

POPIA enthält außerdem Bestimmungen (Abschnitt 107) zu Sanktionen von „natürlichen oder juristischen Personen“ und Freiheitsstrafen von bis zu 10 Jahren für bestimmte Verstöße seitens zuständiger Personen, die nicht in der DSGVO oder dem LGPD enthalten sind. Außerdem können die für einen Verstoß verantwortlichen Parteien verpflichtet werden, den betroffenen Personen eine Entschädigung zu zahlen.

Zu den weniger „offiziellen“ Strafen für einen Verstoß gegen POPIA zählen der Reputationsverlust und der Verlust bestehender Kunden sowie das Versagen, neue Kunden zu gewinnen, was sich auf die Umsätze auswirken kann.

Die Technologie entwickelt sich ständig weiter und dies erfordert, dass sich die Datenschutzgesetze mit ihr weiterentwickeln. Südafrikas ‘Protection of Personal Information Act’ (POPIA) ist älter als viele andere Datenschutzgesetze, wurde jedoch über mehrere Jahre hinweg eingeführt und ist deshalb weitestgehend aktuell. Zu den Aufgaben der Informationsbehörde gehören auch die Durchführung von Recherchen sowie die Beratung und Zusammenarbeit mit dem Parlament zur Weiterentwicklung des Gesetzes.

Laufende technologische Änderungen werden auch weiterhin wichtige Aspekte des POPIA sein, wie Browser-Cookies von Drittanbietern, Apps und insbesondere die Interaktionen von Kindern mit ihnen, die Verbreitung biometrischer Daten, die Nutzung von KI und maschinellem Lernen und vieles mehr. Als gut etabliertes Datenschutzgesetz ist POPIA gut aufgestellt, um in der Gesetzgebung zum Datenschutz in Afrika und andernorts einen Einfluss zu haben.

Tools, wie z. B. Consent Management Plattformen, unterstützen Unternehmen dabei, die POPIA-Anforderungen zu erfüllen und die Nutzer über diese zu informieren.

Falls Sie Fragen zu den Auswirkungen des POPIA auf Ihr Unternehmen oder zum Consent Management für Websites und Apps haben, helfen wir Ihnen gerne weiter. Kontaktieren Sie einen unserer Experten!