Neues Datenschutzgesetz in Südafrika

Mit dem Protection of Personal Information Act – kurz POPIA - erhält Südafrika sein erstes umfassendes Datenschutzgesetz. POPIA ist am 1. Juli 2020 in Kraft getreten und entfaltet nun nach einer einjährigen Übergangsphase am 1. Juli 2021 volle Wirkung. Die Einhaltung wird vom Information Regulator überwacht. Dieser ist auch befugt, Strafen auszusprechen. Die Geldstrafen liegen zwischen einer und zehn Millionen ZAR (umgerechnet ca 580.000 €) oder ein bis zehn Jahren Gefängnis. Auch Schadenersatzansprüche sind möglich.

Die Anforderungen, welche sich aus POPIA ergeben, gelten für alle öffentlichen wie privaten Unternehmen in Südafrika und schreiben vor, wie personenbezogene Daten verwendet werden dürfen. POPIA gilt ähnlich der DSGVO für jede Form der digitalen Verarbeitung, aber auch für die physische Verarbeitung von personenbezogenen Daten.

POPIA definiert personenbezogene Daten wie folgt:

“... Informationen, die sich auf eine identifizierbare lebende, natürliche Person und ggf. auf eine bestimmbare, existierende juristische Person beziehen, einschließlich, aber nicht beschränkt auf

• Informationen über die Rasse, das Geschlecht, die Geschlechtszugehörigkeit, die Schwangerschaft, den Familienstand, die nationale, ethnische oder soziale Herkunft, die Hautfarbe, die sexuelle Ausrichtung, das Alter, die körperliche oder geistige Gesundheit, das Wohlbefinden, eine Behinderung, die Religion, die Weltanschauung, den Glauben, die Kultur, die Sprache oder die Geburt der Person;

• Informationen über die Ausbildung oder den medizinischen, finanziellen, strafrechtlichen oder beruflichen Werdegang der Person;

• jede Identifikationsnummer, jedes Symbol, jede E-Mail-Adresse, jede Anschrift, jede Telefonnummer, jede Standortinformation, jede Online-Kennung oder jede andere besondere Zuordnung zu der Person;

• die biometrischen Daten der Person;

• die persönlichen Meinungen, Ansichten oder Vorlieben der Person;

• von der Person versandte Schreiben, die implizit oder explizit privater oder vertraulicher Natur sind, oder weitere Schreiben, die den Inhalt des ursprünglichen Schreibens offenbaren würden;

• die Ansichten oder Meinungen einer anderen Person über die Person;

und

• der Name der Person, wenn er zusammen mit anderen persönlichen Informationen über die Person erscheint oder wenn die Offenlegung des Namens selbst Informationen über die Person preisgeben würde."

Im Gegensatz zur DSGVO sind von POPIA auch personenbezogene Daten von juristischen Personen im Schutzbereich umfasst - ebenso wie in Österreich, was eine Ausnahme in der Europäischen Union darstellt.

POPIA und die Datenschutz-Grundverordnung weisen viele Gemeinsamkeiten auf, insbesondere in Bezug auf den sachlichen Geltungsbereich, die wichtigsten Definitionen, die Rechte der betroffenen Personen und die allgemeinen Ansätze zum Schutz personenbezogener Daten. Es gibt jedoch auch erhebliche Unterschiede zwischen POPIA und der DSGVO, sowohl im Großen als auch im Detail. So sieht z.B. POPIA kein Recht auf Datenübertragbarkeit vor.

Geltungsbereich 

Während sich die Datenschutz-Grundverordnung auf Einrichtungen bezieht, die auf dem Gebiet der Europäischen Union tätig sind, legt POPIA fest, dass Einrichtungen entweder ihren Sitz in Südafrika haben oder Mittel in Südafrika einsetzen müssen, um in den Geltungsbereich der Verordnung zu fallen. Die DSGVO enthält außerdem Bestimmungen für das das Anbieten von Waren und Dienstleistungen aus dem Ausland, was bei POPIA nicht der Fall ist.
POPIA gilt, wenn die verantwortliche Partei entweder in Südafrika ansässig ist oder nicht in Südafrika ansässig ist, aber automatisierte oder nicht-automatisierte Datenverarbeitungen in Südafrika einsetzt.

Datenübermittlung ins Ausland

Für die Datenübermittlung von personenbezogenen Daten aus Südafrika in ein anderes Land gibt POPIA klare Regeln vor. Diese sind nur zulässig wenn:

• die betroffene Person der Übermittlung zugestimmt hat;

• der Empfänger einem Gesetz, verbindlichen Unternehmensregeln oder einer verbindlichen Vereinbarung, die ein angemessenes Schutzniveau bieten, unterliegt;

• zur Erfüllung eines Vertrages mit dem Betroffenen oder einer vorvertraglichen Maßnahme auf Wunsch des Betroffenen.;

• [es] für den Abschluss oder die Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags zwischen der verantwortlichen Stelle und einem Dritten erforderlich ist;

• die Übermittlung zum Wohle des Betroffenen ist, es aber nicht mit vertretbaren Aufwand möglich wäre, eine Einwilligung einzuholen und die betroffene Person nach vernünftigen Ermessen ihre Einwilligung wahrscheinlich erteilen würde.

Sicherheit der Verarbeitung

Auch im Feld der Sicherheit der Verarbeitung weisen POPIA und die DSGVO Ähnlichkeiten auf:
Laut DSGVO treffen „für die Verarbeitung Verantwortliche und der Auftragsverarbeiter … geeignete technische und organisatorische Maßnahmen, um ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist".

POPIA besagt: "Eine verantwortliche Stelle muss die Integrität und Vertraulichkeit der in ihrem Besitz oder unter ihrer Kontrolle befindlichen personenbezogenen Daten durch geeignete und angemessene technische und organisatorische Maßnahmen sicherstellen“.

Bei der Frage von Meldungen von Datenschutzverletzungen gibt es einige kleine aber wichtige Unterschiede: Bei der Meldung einer Datenschutzverletzung ist laut POPIA im Allgemeinen sowohl die zuständige Aufsichtsbehörde als auch die von der Verletzung betroffenen Personen zu benachrichtigen. Dies muss so schnell wie möglich nach der Kenntnisnahme einer Datenschutzverletzung erfolgen.

Trotz der Unterschiede zwischen POPIA und DSGVO bietet eine DSGVO-konforme Verarbeitung eine hervorragende Grundlage um die Anforderungen des Protection of Personal Information Act zu erfüllen.