Einführung
Das südafrikanische Gesetz zum Schutz personenbezogener Daten (englisch: Protection of Personal Information Act, kurz: POPIA) erhielt im November 2013 die Zustimmung des Präsidenten. Das Inkrafttreten verschiedener Abschnitte erfolgte jedoch über mehrere Jahre gestaffelt. Die Tätigkeiten und Aktivitäten zur Umsetzung von POPIA waren bis zum 1. Juli 2020, dem Tag, an dem der Präsident bekannt gab, wann die wichtigsten ausstehenden Abschnitte in Kraft treten werden, begrenzt. Von diesem Datum an hatten die Organisationen dann 12 Monate Zeit, um die Compliance-Anforderungen von POPIA umzusetzen. Ihre Durchsetzung begann am 1. Juli 2021.
Bei Bezugnahme auf das Gesetz werden bisweilen die Begriffe POPI oder POPI-Gesetz verwendet, die südafrikanische Regierung und die Aufsichtsbehörden haben jedoch eine Präferenz für die Verwendung von POPIA geäußert, da POPI das Thema des Schutzes personenbezogener Daten im Allgemeinen und nicht den tatsächlichen Rechtsrahmen bezeichnet.
Was ist unter POPIA-Compliance zu verstehen und wie sieht sie im Vergleich zur DSGVO-Compliance aus? Obwohl POPIA schon länger besteht, wurde dieser Rechtsnorm in der Datenschutzbranche weniger Beachtung gewidmet als der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Die DSGVO wurde 2016 erlassen und ihre Durchsetzung begann im Mai 2018.
In den POPIA-Vorschriften kommt, wie auch in der DSGVO, im Hinblick auf die Einholung von Einwilligungen ein „Opt-in“-Modell zum Tragen, das auch bei anderen internationalen Vorschriften wie dem brasilianischen Lei Geral de Proteção de Dados Pessoais (LGPD) besteht. Dieses Modell erfordert die Zustimmung der betroffenen Person, bevor Daten erhoben, weitergegeben oder verkauft werden dürfen.
Im Folgenden erfahren Sie mehr über POPIA sowie die Ähnlichkeiten und Unterschiede zur DSGVO in Bezug auf folgende Fragestellungen:
- Wer ist für den Schutz und die Verarbeitung personenbezogener Daten verantwortlich?
- Rechte betroffener Personen
- Anträge von betroffenen Personen und ihre Beantwortung
- Wo gelten POPIA und die DSGVO?
- Rechtsgrundlagen
- Einwilligung der betroffenen Person
- Wer überwacht die Einhaltung von POPIA und der DSGVO?
- Welche betroffenen Personen fallen unter den Geltungsbereich von POPIA und der DSGVO?
- Welche Arten von personenbezogenen Daten werden geschützt?
- „Sensible“ oder „besondere“ Kategorien personenbezogener Daten
- Kinder als betroffene Personen
- Unkenntlichmachung und Anonymisierung von Daten
- Anforderungen, Einschränkungen, Ausnahmen und Verbote in der Datenverarbeitung
- Datentransfer
- Datensicherheit und Datenschutzverletzungen
- Strafen
Wer ist für den Schutz und die Verarbeitung personenbezogener Daten verantwortlich?
Eine „verantwortliche Partei“ wird in Abschnitt 1 von POPIA als „eine öffentliche oder private Körperschaft oder jede andere Person [definiert], die allein oder in Verbindung mit anderen den Zweck und die Mittel für die Verarbeitung personenbezogener Daten bestimmt“.
Diese Definition ist vergleichbar mit einem „Datenverantwortlichen“ im Sinne von Art. 4 Abs. 7 der DSGVO, der als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Körperschaft [definiert wird], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
In Abschnitt 1 von POPIA ist zudem ein „Betreiber“ als „eine Person [definiert], die personenbezogene Daten für einen Verantwortlichen im Rahmen eines Vertrags oder Auftrags verarbeitet, ohne der direkten Einflussgewalt dieser Partei zu unterstehen“.
In der DSGVO ist, ebenfalls in Art. 4, die vergleichbare Rechtsfigur des „Auftragsverarbeiters“ definiert, als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“
Rechte betroffener Personen
Einen Eckpfeiler der Datenschutzverordnungen bilden die Rechte, die sie Einzelpersonen an ihren eigenen Daten einräumen. Bei POPIA sind die Rechte der betroffenen Personen in Abschnitt 5 beschrieben. Diese beinhalten Folgendes:
- Das Recht, darüber informiert zu werden, dass personenbezogene Daten erhoben werden/wurden
- Das Recht, darüber informiert zu werden, ob ein Auftragsverarbeiter personenbezogene Daten der betroffenen Person besitzt, und Zugang zu diesen zu verlangen
- Das Recht, die Berichtigung, Vernichtung oder Löschung personenbezogener Daten der betroffenen Person zu verlangen
- Den Widerspruch gegen die Verarbeitung personenbezogener Daten insgesamt oder zu bestimmten Zwecken und den Widerruf der entsprechenden Einwilligung
- Die Nicht-Unterworfenheit unter die Entscheidungen, die bei der automatischen Verarbeitung personenbezogener Daten getroffen wurden, mit denen ein Profil der betroffenen Person erstellt werden soll
- Die Erhebung einer Beschwerde bei der Aufsichtsbehörde in Bezug auf einen „mutmaßlichen Eingriff“ in die Rechte der betroffenen Person
- Die Einleitung eines Zivilverfahrens wegen eines „mutmaßlichen Eingriffs“
Weder die DSGVO noch POPIA formulieren ein Recht darauf, bei der Ausübung der anderen Rechte keiner Diskriminierung unterworfen zu werden. Dieses Recht ist beispielsweise in den kalifornischen Datenschutzgesetzen enthalten.
In der DSGVO sind die Rechte der betroffenen Person in Kapitel 3, Art. 12-23 aufgeführt. Sie enthält in Art. 15 zudem eine Liste von Daten, die der Datenverantwortliche im Hinblick auf das Recht auf Information aufzeichnen muss, was bei POPIA nicht der Fall ist. Davon erfasst sind folgende Daten:
(a) Name und Kontaktdaten des Datenverantwortlichen;
(b) Zwecke der Verarbeitung;
(c) Kategorien personenbezogener Daten;
(d) Kategorien von Empfängern, bzw. die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt werden;
(e) Den geschätzten Zeitraum, während welchem die Daten gespeichert werden; und
(f) Eine Beschreibung der vom Datenverantwortlichen ergriffenen (technischen, sicherheitstechnischen, organisatorischen) Maßnahmen.
Die DSGVO räumt den betroffenen Personen ein Recht auf Datenübertragbarkeit ein, das POPIA nicht gewährt. Diese Datenübertragbarkeit bezeichnet die Möglichkeit, die eigenen personenbezogenen Daten zu erhalten und sie für eigene Zwecke über verschiedene Dienste hinweg wiederzuverwenden.
Die DSGVO schreibt vor, dass betroffene Personen Informationen darüber erhalten, wie sie ihr Recht auf Widerspruch gegen die Datenverarbeitung ausüben können, POPIA jedoch nicht. Die DSGVO sieht auch Ausnahmen von ihrem Recht auf Löschung vor, auch bekannt als „Recht auf Vergessenwerden“, was bei POPIA nicht der Fall ist. Zu diesen Ausnahmen gehören:
- Freiheit der Meinungsäußerung und Information
- Übereinstimmung mit den Zielen des öffentlichen Interesses für die öffentliche Gesundheit
- Feststellung und Ausübung von Rechtsansprüchen oder Verteidigung dagegen oder
- Einhaltung rechtlicher Verpflichtungen für Zwecke des öffentlichen Interesses.
Art. 30 der DSGVO befreit auch Unternehmen mit weniger als 250 Mitarbeitern von der Verpflichtung zur Aufbewahrung bestimmter Aufzeichnungen, was bei POPIA nicht der Fall ist, es sei denn, die Datenverarbeitung führt „wahrscheinlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung ist nicht gelegentlich, oder die Verarbeitung beinhaltet besondere Kategorien von Daten, auf die in Artikel 9 Absatz 1 Bezug genommen wird, oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10“.
Anträge von betroffenen Personen und ihre Beantwortung
Gemäß POPIA muss der Zugang zu den angeforderten Informationen der betroffenen Person folgendermaßen gewährt werden:
(i) innerhalb einer angemessenen Frist;
(ii) gegen eine festgelegte Gebühr, falls zutreffend;
(iii) in angemessener Weise und in einem angemessenen Format; sowie
(iv) in allgemein verständlicher Form
Bei der Auslegung dieser Anforderungen besteht ein gewisser Spielraum. Gemäß DSGVO müssen jedoch Maßnahmen des Auftragsverarbeiters wie Korrektur, Löschung oder Bereitstellung einer Abschrift der personenbezogenen Daten gebührenfrei bereitgestellt werden, außer wenn die Aufforderungen „offenbar unbegründet oder übertrieben“ sind, was für den Auftragsverarbeiter nur schwer nachzuweisen ist. Laut beiden Gesetzen dürfen Verarbeiter von der betroffenen Person, von der die Aufforderung ausgeht, eine Identitätsprüfung verlangen (Abschnitt 23 von POPIA, Punkt 64 der DSGVO).
Gemäß Abschnitt 24 von POPIA müssen Berichtigungen oder Löschungen personenbezogener Daten so schnell wie „in angemessener Weise durchführbar“ erfolgen. POPIA sieht jedoch keine Berichtigung oder Löschung öffentlich zugänglicher personenbezogener Daten vor. Nach der DSGVO hat der Auftragsverarbeiter einen Monat Zeit, um der betroffenen Person zu antworten, idealerweise dadurch, dass er der Aufforderung vollumfänglich nachkommt, wobei unter Umständen eine Verlängerung der erforderlichen Frist auf bis zu zwei Monate beantragt werden kann.
In beiden Gesetzen ist ebenfalls festgelegt, dass angeforderte Informationen oder personenbezogene Daten in einem zugänglichen Format (wahrscheinlich digital oder möglicherweise auf Papier) bereitgestellt werden müssen. Auskunftsersuche oder Kopien personenbezogener Daten können gemäß DSGVO mündlich, digital oder schriftlich erbracht werden. In POPIA ist lediglich die Bestimmung enthalten, dass Anfragen in der „vorgeschriebenen Weise“ gestellt werden müssen.
Wo gelten POPIA und die DSGVO?
Wie in Abschnitt 3 beschrieben, erstreckt sich der Gültigkeitsbereich von POPIA auf jede „verantwortliche Partei“, die:
- ihren Sitz in der Republik hat; oder
- nicht in der Republik ansässig ist, jedoch automatisierte oder nicht automatisierte Mittel in der Republik verwendet, sofern diese Mittel nicht nur zur Weitergabe personenbezogener Daten über die Republik verwendet werden.
Mit dem Begriff Republik ist spezifisch Südafrika gemeint. Relevante personenbezogene Daten, die von der „verantwortlichen Partei“ verarbeitet werden, werden:
„von oder für eine verantwortliche Partei unter Zuhilfenahme automatisierter oder nicht automatisierter Mittel in ein Verzeichnis eingetragen: Sofern die erfassten personenbezogenen Daten unter Zuhilfenahme nicht automatisierter Mittel verarbeitet werden, werden sie Teil eines Verzeichnissystems oder im Mindesten dazu bestimmt, Teil eines Verzeichnissystems zu werden“.
Dies würde die Datenerhebung und -verarbeitung online oder in physischen Formaten umfassen, die von der Verwendung automatisierter oder nicht automatisierter Mittel ausgeschlossen sind, wenn diese nur zur Weitergabe personenbezogener Daten über Südafrika verwendet werden.
Die DSGVO schützt die Rechte von Einwohnern der Europäischen Union. Damit gilt sie für Organisationen, die in der EU und außerhalb der EU „angesiedelt“ sind. Dabei kann es sich um dort ansässige Unternehmen oder um Unternehmen mit Sitz an einem anderen Ort handeln, die jedoch Daten von Einwohnern der EU verarbeiten. Dies wird als „extraterritorialer Geltungsbereich“ bezeichnet. Gemäß Art. 3 beinhaltet dies: „das Anbieten von Waren oder Dienstleistungen, unabhängig davon, ob eine Zahlung von der betroffenen Person verlangt wird“, aber auch „die Überwachung des Verhaltens [der betroffenen Personen], soweit sich ihr Verhalten innerhalb der Union ereignet“. Damit kann also alles, von der Erhebung von Daten über das Verhalten der Besucher der Website und die Verarbeitung von E-Commerce-Transaktionen bis hin zur Aufzeichnung von Newsletter-Anmeldungen, relevant sein. Dies würde auch für die physische und digitale Datenerhebung und -verarbeitung gelten.
Rechtsgrundlagen
Eine Rechtsgrundlage definiert die gesetzliche Grundlage für die Verarbeitung von personenbezogenen Daten. Es werden weitere Einzelheiten zur Verarbeitung von als „sensibel“ eingestuften Daten, zu den Bedingungen für eine gültige Einwilligung, deren Erteilung und Widerruf sowie zu bestimmten weiteren Ausnahmen erläutert.
In Kapitel 3 von POPIA werden die Bedingungen für eine rechtmäßige Verarbeitung behandelt. In Abschnitt 11 ist festgelegt, dass personenbezogene Daten nur unter folgenden Bedingungen verarbeitet werden dürfen:
(a) wenn die betroffene Person oder eine entsprechend befugte Person, sofern die betroffene Person ein Kind ist, der Verarbeitung zustimmt;
(b) wenn die Verarbeitung zur Durchführung von Maßnahmen zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist;
(c) wenn die Verarbeitung im Einklang mit einer gesetzlichen Verpflichtung der verantwortlichen Partei erfolgt;
(d) wenn durch die Verarbeitung ein berechtigtes Interesse der betroffenen Person geschützt wird;
(e) wenn die Verarbeitung für die ordnungsgemäße Wahrnehmung einer öffentlichen Aufgabe durch eine öffentliche Stelle erforderlich ist; oder
(f) wenn die Verarbeitung zur Wahrung berechtigter Interessen der verantwortlichen Partei oder eines Dritten, dem die Informationen bereitgestellt werden, erforderlich ist.
Die Rechtsgrundlagen der DSGVO sind in Art. 6 aufgeführt und, mit leichten Abweichungen im Wortlaut, aber ohne wesentliche Unterschiede hinsichtlich ihres Schutzzwecks, sehr ähnlich. Beide Rechtsnormen begründen spezifische Rechtsgrundlagen für die Verarbeitung besonderer Kategorien von Daten oder von „besonderen personenbezogenen Daten“, zum Beispiel die Erforderlichkeit einer ausdrücklichen Einwilligung. In POPIA sind diese Bestimmungen in den Abschnitten 27-33 beschrieben. In der DSGVO wurden diese Bedingungen in Artikel 7-9 aufgenommen.
Einwilligung der betroffenen Person
Die Einwilligung in die Datenverarbeitung ist wahrscheinlich die häufigste Rechtsgrundlage bei Verbrauchern im Internet. Sowohl POPIA als auch die DSGVO enthalten Vorgaben dazu, wer eine Einwilligung erteilen, unter welchen Bedingungen die Einwilligung eingeholt und wie sie von der betroffenen Person widerrufen werden kann.
In POPIA ist die Einwilligung in Abschnitt 1 als „jede freiwillige, spezifische und fundierte Willensäußerung [definiert], mit der eine Erlaubnis zur Verarbeitung personenbezogener Daten erteilt wird“.
In Art. 4 der DSGVO befindet sich eine etwa detailliertere Definition von Einwilligung: „jede freiwillig gegebene, spezifische, fundierte und eindeutige Angabe der Wünsche der betroffenen Person, mit der sie durch eine Erklärung oder durch eine eindeutige bestätigende Handlung ihre Zustimmung zur Verarbeitung von sie betreffenden personenbezogenen Daten gibt“.
Wer überwacht die Einhaltung von POPIA und der DSGVO?
Abschnitt 17 der POPIA verlangt von einer verantwortlichen Partei, „die Dokumentation aller ihrer Verantwortung unterliegenden Verarbeitungsvorgänge im Sinne von Abschnitt 14 oder 51 des Gesetzes zur Förderung des Zugangs zu Informationen zu führen“. POPIA verlangt nicht ausdrücklich, dass ein Vertreter in Südafrika ansässig ist.
Abschnitt 39 beschreibt die Ernennung einer juristischen Person als Regulierungseinrichtung für Informationen. Diese Funktion wäre eher mit Regulierungsbehörden auf Ebene der Mitgliedsstaaten in der EU vergleichbar als mit einem Datenschutzbeauftragten auf Unternehmensebene.
POPIA beschreibt das Mandat der Regulierungseinrichtung für Informationen wie folgt:
(a) ist in der gesamten Republik zuständig;
(b) ist unabhängig und ist nur der Verfassung und dem Gesetz unterworfen, muss unparteiisch sein und seine Funktionen und Befugnisse ohne Furcht, Begünstigung oder Präjudiz ausüben;
(c) muss seine Befugnisse und seine Funktionen in Übereinstimmung mit diesem Gesetz und dem Gesetz zur Förderung des Zugangs zu Informationen ausüben; und
(d) ist der Nationalversammlung verantwortlich.
In Abschnitt 1 von POPIA ist ein „Informationsbeauftragter“ auch definiert als: „Teil einer oder in Zusammenhang mit einer der folgenden Körperschaften stehend:
(a) eine öffentliche Stelle bezeichnet einen Informationsbeauftragten oder einen stellvertretenden Informationsbeauftragten im Sinne von Abschnitt 1 oder 17; oder
(b) eine private Einrichtung bezeichnet den Leiter einer privaten Einrichtung im Sinne von Abschnitt 1 des Gesetzes zur Förderung des Zugangs zu Informationen;
Die Funktion des Informationsbeauftragten ist derjenigen des Datenschutzbeauftragten (DSB) im Sinne der DSGVO ähnlicher, mit dem Unterschied, dass der Tätigkeitsbereich eines „Informationsbeauftragten“ als weniger umfassend angesehen werden kann als der eines Datenschutzbeauftragten. Die Anforderungen und Verantwortlichkeiten eines „Informationsbeauftragten“ sind im Gesetz zur Förderung des Zugangs zu Informationen (PAIA) (Gesetz 2 von 2000) und in den POPIA-Verordnungen (Abschnitt 55) detailliert beschrieben und umfassen Folgendes (sind aber nicht auf folgende Aspekte beschränkt):
- die Förderung der Compliance
- die Bearbeitung von Anfragen
- die Zusammenarbeit mit der Regulierungseinrichtung bei Untersuchungen
- die anderweitige Sicherstellung der Compliance
Die DSGVO ist in Bezug auf die Vertretung ziemlich detailliert und erfordert einen benannten „Vertreter“ in der EU gemäß Art. 27 und Punkt 80 sowie, deutlicher ausgedrückt, die Benennung eines Datenschutzbeauftragten in Art. 37, der unter folgenden Umständen anwendbar ist:
(a) wenn die Verarbeitung durch eine Behörde oder anderweitige öffentliche Stelle erfolgt, mit Ausnahme von Gerichten, die im Rahmen ihrer gerichtlichen Zuständigkeit handeln;
(b) wenn die Kerntätigkeiten des Datenverantwortlichen oder Auftragsverarbeiters aus der Durchführung von Verarbeitungsvorgängen bestehen, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung der betroffenen Personen in großem Umfang erforderlich machen; oder
(c) wenn die Kerntätigkeiten des Datenverantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10 bestehen.
Welche betroffenen Personen fallen unter den Geltungsbereich von POPIA und der DSGVO?
Gemäß Abschnitt 1 von POPIA bezeichnet eine „betroffene Person“ „diejenige Person, auf die sich personenbezogene Daten beziehen“. Etwas klarer wird jedoch in Abschnitt 1 eine „Person“ auch als „natürliche oder juristische Person“ definiert. Natürliche Personen sind Menschen, während juristische Personen Körperschaften wie Unternehmen bezeichnen, die anerkanntermaßen in der Lage sind, gesetzliche Rechte und Pflichten innezuhaben und ihnen zu unterliegen. POPIA bezieht nicht ausdrücklich Staatsangehörigkeiten oder Wohnorte von betroffenen Personen ein, die von dieser Regulierung geschützt sind.
Art. 4 der DSGVO definiert eine „betroffene Person“ als „eine identifizierte oder identifizierbare natürliche Person“. Er enthält keine weitere Präzisierung zur Definition einer Person, obwohl es mehrere Definitionen gibt, die die Bezeichnung „personenbezogen“ umfassen, wie „personenbezogene Daten“ oder „Verletzung des Schutzes personenbezogener Daten“. Punkt 14 präzisiert zudem, dass betroffene Personen „unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten“ zu schützen sind. Abgesehen davon schützt die DSGVO die Rechte von Einwohnern der Europäischen Union (und nicht etwa die von Einwohnern der USA), genauso wie POPIA die Rechte von Einwohnern Südafrikas schützt.
Welche Arten von personenbezogenen Daten werden geschützt?
Abschnitt 1 von POPIA definiert „personenbezogene Daten “ als „in Bezug auf eine identifizierbare, lebende, natürliche Person und gegebenenfalls eine identifizierbare, bestehende juristische Person“. Der Abschnitt präzisiert seine Definition des Begriffs weiter durch folgende Einschlüsse (auf die die Definition aber nicht beschränkt wird):
(a) Daten zu Rasse, Geschlecht, Schwangerschaft, Familienstand, nationaler, ethnischer oder sozialer Herkunft, Hautfarbe, sexueller Orientierung, Alter, körperlicher oder geistiger Gesundheit, Wohlbefinden, Grad der Behinderung, Religion, Glauben, Weltanschauung, Kultur, Sprache und Geburtsstand der Person;
(b) Daten zur Ausbildung oder zur medizinischen, finanziellen, strafrechtlichen oder beruflichen Vorgeschichte der Person;
(c) Identifikationsnummern, Symbole, E-Mail-Adressen, physische Adressen, Telefonnummern, Standortinformationen, Online-Kennungen oder andere spezielle Zuordnungsmerkmale zu der Person;
(d) die biometrischen Daten der Person;
(e) die persönlichen Meinungen, Ansichten oder Vorlieben der Person;
(f) von der Person gesendete Korrespondenz, die implizit oder explizit privater oder vertraulicher Natur ist, oder weitere Korrespondenz, die den Inhalt der ursprünglichen Korrespondenz offenbaren würde;
(g) die Ansichten oder Meinungen einer anderen Person über diese Person; und
(h) den Namen der Person, wenn er zusammen mit anderen personenbezogenen Daten der Person erscheint oder wenn die Offenlegung des Namens selbst Informationen über die Person preisgeben würde;
Die DSGVO definiert „personenbezogene Daten“ in Art. 4 folgendermaßen:
„alle Daten in Bezug auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“); eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Ortsdaten, eine Online-Kennung oder einen oder mehrere Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind;“
„Sensible“ oder „besondere“ Kategorien personenbezogener Daten
POPIA definiert sensible personenbezogene Daten, die stärkere Beachtung finden als andere Kategorien personenbezogener Daten, in Abschnitt 26. Vorbehaltlich der Bedingungen aus Abschnitt 27, die die Einhaltung internationaler Rechtsnormen beinhalten, oder mit ausdrücklicher Zustimmung der betroffenen Person können „besondere personenbezogene Daten“ nicht verarbeitet werden, wenn sie mit folgenden Aspekten in Zusammenhang stehen:
- den religiösen oder philosophischen Überzeugungen, der Rasse oder ethnischen Herkunft, der Gewerkschaftszugehörigkeit, der politischen Überzeugung, der Gesundheit oder dem Sexualleben oder biometrischen Daten einer betroffenen Person; oder
- dem strafrechtlichen Verhalten einer betroffenen Person, soweit sich diese Informationen auf Folgendes beziehen:
- die mutmaßliche Begehung einer Straftat durch eine betroffene Person; oder
- ein Verfahren im Zusammenhang mit einer mutmaßlich von einer betroffenen Person begangenen Straftat oder der Beendigung eines solchen Verfahrens.
In Art. 9 der DSGVO sind die Anforderungen an die oder das Verbot der Verarbeitung von „besonderen Kategorien personenbezogener Daten“ beschrieben, einschließlich:
„…die Offenlegung der Rasse oder ethnischen Herkunft, der politischen Meinungen, religiöser oder philosophischer Überzeugungen oder der Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, von Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung.“
Wie bei POPIA folgt auch in der DSGVO eine Auflistung von Situationen, in denen diese Verbote nicht gelten, unter anderem einschließlich bei ausdrücklicher Zustimmung der betroffenen Person oder zum Schutz lebenswichtiger Interessen der betroffenen Person.
Kinder als betroffene Personen
Gemäß Abschnitt 1 von POPIA ist ein Kind als eine Person unter 18 Jahren definiert, „die ohne die Hilfe einer sie vertretenden Person rechtlich nicht befugt ist, Maßnahmen oder Entscheidungen in Bezug auf sie betreffende Angelegenheiten zu treffen.“ POPIA verlangt keinen Identitätsnachweis für diese „vertretende Person“. Abschnitt 35 beschreibt weiter die Anforderungen in Bezug auf Kinder und die Umstände, unter denen ihre personenbezogenen Daten verarbeitet werden können, einschließlich im Falle der Zustimmung einer „vertretenden Person“, wenn dies einem öffentlichen Interesse dient, wenn dies zur Erfüllung einer „Verpflichtung des internationalen öffentlichen Rechts“ erforderlich ist und unter sonstigen Bedingungen.
Die Altersgrenze von 18 Jahren liegt höher als bei der DSGVO, wo die Definition 13-16 lautet. Gemäß Art. 8 muss für Kinder unter 16 Jahren die Zustimmung des „gesetzlichen Vertreters des Kindes“ erteilt werden. Einzelne EU-Mitgliedstaaten können das Alter dafür jedoch auf 13 Jahre herabsetzen.
Unkenntlichmachung und Anonymisierung von Daten
Abschnitt 6 von POPIA schließt personenbezogene Daten, die dauerhaft unkenntlich gemacht wurden, von weitergehenden Anforderungen und Beschränkungen der Datenverarbeitung aus. (POPIA verweist nicht auf eine „Pseudonymisierung“.) In Abschnitt 1 wird die Unkenntlichmachung in Bezug auf personenbezogene Daten einer betroffenen Person als Löschung von Daten definiert, die:
(a) die betroffene Person identifizieren;
(b) durch ein in angemessenem Rahmen vorhersehbares Verfahren verwendet oder manipuliert werden können, um die betroffene Person zu identifizieren; oder
(c) durch ein in angemessenem Rahmen vorhersehbares Verfahren mit anderen Informationen verknüpft werden können, die die betroffene Person identifizieren,
Punkt 26 der DSGVO lautet ähnlich und bezieht sich auf „anonyme Daten“ und „personenbezogene Daten, die so anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist“.
Anforderungen, Einschränkungen, Ausnahmen und Verbote in der Datenverarbeitung
Gemäß Abschnitt 1 POPIA ist Datenverarbeitung definiert als:
„Operationen oder Aktivitäten oder eine Reihe von Operationen, ob automatisch oder nicht, in Bezug auf personenbezogene Daten, einschließlich –
(a) Erhebung, Empfang, Aufzeichnung, Organisation, Zusammenstellung, Speicherung, Aktualisierung oder Änderung, Abruf, Modifikation, Abfrage oder Verwendung;
(b) Verbreitung durch Übermittlung sowie Verbreitung oder Bereitstellung in anderer Form; oder
(c) Zusammenführung, Verknüpfung sowie Einschränkung, Beeinträchtigung, Löschung oder Vernichtung von Informationen;“
Diese Definition ist derjenigen der Verarbeitung nach der DSGVO in Art. 4 Abs. 2 ähnlich, obwohl sie tatsächlich etwas detaillierter ist.
Ausschlüsse von den Anforderungen und Einschränkungen für die Verarbeitung personenbezogener Daten im Rahmen von POPIA sind in Abschnitt 6 zu finden, diese umfassen eine Vielzahl von Gründen, von alltäglichen: „persönliche oder häusliche Aktivitäten“ (d. h. nicht kommerzielle Aktivitäten) bis hin zu sehr schwerwiegenden, z. B. aus Gründen der nationalen Sicherheit.
Ähnlich liest sich die DSGVO in Art. 2, die „rein persönliche oder häusliche“ Aktivitäten sowie rechtliche Erwägungen wie die Verhinderung krimineller Aktivitäten oder von Aktivitäten, die nicht in den Anwendungsbereich des EU-Rechts fallen, einschließt.
Auch für die Verarbeitung von Daten zu „journalistischen, literarischen oder künstlerischen Zwecken“ gibt es unter POPIA Abschnitt 7 besondere Anforderungen und Ausnahmen. In der DSGVO sind in Art. 85, der die Meinungs- und Informationsfreiheit behandelt, neben diesen auch akademische Zwecke enthalten.
Sowohl POPIA als auch die DSGVO legen Anforderungen an einen Vertrag oder Rechtsakt zwischen der „verantwortlichen Partei“ (dem „Datenverantwortlichen“) und dem „(Auftrags-)Verarbeiter“ (d. h. der die Daten verarbeitenden Stelle) fest, um Anforderungen, Einschränkungen, Sicherheitsmaßnahmen usw. festzulegen. Darüber hinaus muss sichergestellt werden, dass Dritte, die auf die Daten zugreifen oder diese verarbeiten, technische und Sicherheitsmaßnahmen zur Einhaltung der Daten ausreichend gewährleisten können.
Datentransfer
Beide Gesetze enthalten Beschränkungen der Datenübertragung, obwohl die DSGVO mehr Details und Anforderungen enthält als POPIA. Abschnitt 72 von POPIA thematisiert Datenübertragungen, enthält jedoch keine Bestimmung wie die DSGVO in Art. 45 für „Angemessenheitsentscheidungen“, d. h. internationale Abkommen, in denen die EU-Kommission zuvor festgestellt hat, dass ein Land oder eine Organisation über ein angemessenes Datenschutzniveau verfügt. Diese Angemessenheitsentscheidungen können die Notwendigkeit zusätzlicher vertraglicher Anforderungen und Verpflichtungen bei erforderlichen Datenübertragungen erheblich straffen oder beschränken.
Datensicherheit und Datenschutzverletzungen
Sowohl POPIA als auch die DSGVO stellen wesentliche Anforderungen an die Datensicherheit (POPIA in Bedingung 7 in den Abschnitten 19-21, die DSGVO in Art. 32) und machen spezifische Vorgaben für den Fall einer Datenschutzverletzung, einschließlich für die Benachrichtigung von Aufsichtsbehörden und betroffenen Personen. Ausnahmen von der sofortigen Benachrichtigung bestehen gemäß POPIA, wenn betroffene Personen nicht identifiziert werden können oder wenn eine Verzögerung der Benachrichtigung zulässig ist, wenn eine Benachrichtigung eine strafrechtliche Ermittlung behindern würde (POPIA Abschnitt 22, DSGVO Art. 33-34). Die Formulierung in der DSGVO, die von Organisationen verlangt, „angemessene technische und organisatorische Sicherheitsmaßnahmen“ zu ergreifen, ist in beiden Gesetzen ziemlich einheitlich.
Auch die Pflicht, Aufsichtsbehörden „unverzüglich“ (POPIA) oder „ohne schuldhaftes Zögern“ (DSGVO) zu benachrichtigen, ist Standard, allerdings schreibt die DSGVO auch vor, dass die Benachrichtigung spätestens 72 Stunden nach Entdeckung eines Verstoßes erfolgen muss, wenn dieser wahrscheinlich zu einem „hohen Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.
Der Hauptunterschied in diesen Abschnitten der jeweiligen Gesetze besteht darin, dass POPIA weniger Ausnahmen von den Meldepflichten vorsieht. POPIA ermöglicht der Regulierungseinrichtung auch, die verantwortlichen Parteien dazu zu verpflichten, öffentliche Benachrichtigungen über Datenschutzverletzungen zu veröffentlichen, und bietet sehr spezifische Informationen darüber, wie betroffene Personen auf mindestens einem Wege benachrichtigt werden können, z. B. über den Postversand, die letzte bekannte E-Mail-Adresse, die auf der Website der verantwortlichen Partei veröffentlicht wurde etc.
Die DSGVO legt fest, welche Informationen über den Verstoß bereitgestellt werden müssen – die Art des Verstoßes, die ungefähre Anzahl der betroffenen Personen und die wahrscheinlichen Folgen. POPIA nennt ähnliche Anforderungen und besagt, dass die verantwortliche Partei: „ausreichende Informationen bereitstellen muss, damit die betroffene Person Schutzmaßnahmen gegen die möglichen Folgen der Gefährdung ergreifen kann, einschließlich –
- einer Beschreibung der möglichen Folgen der Sicherheitsverletzung;
- einer Beschreibung der Maßnahmen, die die verantwortliche Partei zu ergreifen beabsichtigt oder ergriffen hat, um die Sicherheitsverletzung zu beheben;
- einer Empfehlung hinsichtlich der von der betroffenen Person zu ergreifenden Maßnahmen, um die möglichen negativen Auswirkungen der Sicherheitsverletzung abzumildern; und
- der Identität der unbefugten Person, die möglicherweise auf die personenbezogenen Daten zugegriffen oder diese erhalten hat, sofern sie der verantwortlichen Partei bekannt ist.“
Strafen
Die möglichen Bußgelder bei einem Verstoß gegen die DSGVO (Kapitel 8) sind viel höher als die Bußgelder, die in POPIA (Kapitel 11) festgelegt wurden. POPIA sieht aber auch Sanktionen (Abschnitt 107) für „natürliche oder juristische Personen“ und Freiheitsstrafen von bis zu 10 Jahren bei bestimmten Verstößen für Verantwortliche vor, was die DSGVO nicht vorsieht. Die DSGVO sieht auch keine Haftung für Datenschutzbeauftragte vor.
Gemäß POPIA Abschnitt 109 beträgt die Höchststrafe 10 Millionen ZAR (ca. 490.000 €). Gemäß Art. 83 Abs. 4 der DSGVO, je nach Erwägungen zum Verstoß, fallen die Geldbußen jeweils in eine von zwei Kategorien. Sie können bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes (Einnahmen) des Vorjahres betragen, je nachdem, welcher Betrag höher ist. Bei „besonders schwerwiegenden“ Verstößen können sie bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes (Einnahmen) des Vorjahres betragen, je nachdem, welcher Betrag höher ist.
Gemäß POPIA muss die Aufsichtsbehörde in Bezug auf potenzielle Bußgelder Folgendes berücksichtigen (Abschnitt 109):
(a) die Art der gegenständlichen personenbezogenen Daten;
(b) die Dauer und das Ausmaß des Verstoßes;
(c) die Anzahl der betroffenen Personen, die von dem Verstoß möglicherweise oder tatsächlich betroffen sind;
(d) die Erwägung, ob der Verstoß ein Problem von öffentlicher Bedeutung aufwirft oder nicht;
(e) die Wahrscheinlichkeit eines erheblichen Schadens oder einer Notlage, einschließlich einer Verletzung von Gefühlen oder der Auslösung von Ängsten bei den betroffenen Personen;
(f) die Frage, ob die verantwortliche Partei oder ein Dritter den Verstoß hätte verhindern können;
(g) Versäumnisse bei der Durchführung einer Risikobewertung oder das Unterlassen der Anwendung von bewährten Richtlinien, Verfahren und Praktiken zum Schutz von personenbezogenen Daten; sowie
(h) die Erwägung, ob die verantwortliche Partei schon zuvor gegen dieses Gesetz verstoßen hat.
Der Wortlaut in Art. 83 der DSGVO ist etwas anders gehalten, vermittelt aber die gleichen Anforderungen und Überlegungen. POPIA ermöglicht der Informationsaufsichtsbehörde die landesweite Erhebung von Bußgeldern. Gemäß der DSGVO haben „Aufsichtsbehörden“ die Befugnis, Verstöße zu ahnden. Während die DSGVO für alle Länder der Europäischen Union gilt, hat jeder Mitgliedsstaat seine eigene Aufsichtsbehörde, die für die Verhängung von Bußgeldern zuständig ist. Aus diesem Grund können die Strenge der Rechtsauslegung und die Schwere der Strafen in den verschiedenen europäischen Ländern variieren.
Fazit
Nationale oder regionale Datenschutzgesetze, einschließlich POPIA und DSGVO, sind letztlich viel zu umfangreich, um sie in dieser Übersicht vollständig zusammenzufassen und miteinander zu vergleichen. Eines steht allerdings fest: Die Ähnlichkeiten zwischen den beiden lange etablierten Gesetzen sowie zum brasilianischen LGPD sind deutlich größer als die Unterschiede. Unternehmen, die eine weltweite Compliance mit den datenschutzrechtlichen Bestimmungen gewährleisten möchten, werden gut aufgestellt sein, wenn sie entweder die DSGVO- oder POPIA-Konformität verfolgen, mit begrenztem zusätzlichen Aufwand, um eine weitere regionale Compliance sicherzustellen. Es ist zu beachten, dass zu der Gesetzeslage auf Ebene der Bundesstaaten der USA größere Unterschiede bestehen.
Wie immer empfehlen wir, bei Compliance-Projekten oder geplanten Änderungen an bestehenden Datensicherheitsmaßnahmen einen im Datenschutzrecht versierten Rechtsbeistand hinzuzuziehen.
Um mehr darüber zu erfahren, wie eine Consent Management Platform zu Ihrem DSGVO- oder POPIA-Compliance-Framework und Ihren Zielen passt, sprechen Sie gerne noch heute mit einem unserer Experten.
DISCLAIMER: Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.