Was ist der Africa's Protection of Personal Information Act (POPIA)? - Actonic GmbH
Unser Atlassian-Lizenzierungs- und Dienstleistungsgeschäft wurde in die neu gegründete Seibert Solutions GmbH ausgelagert. Die Produkte von Actonic werden unter dem gewohnten Namen weiterentwickelt.
Weiterlesen...
Jetzt Atlassian Wissens-Champion werden

Was ist der Africa’s Protection of Personal Information Act (POPIA)?

Letzte Überarbeitung:

Der Protection of Personal Information Act 4 of 2013 (POPIA) ist das umfassende Datenschutzgesetz Südafrikas. Mit dem POPIA soll das in der Verfassung verankerte Recht auf Schutz der Privatsphäre durchgesetzt werden, wobei ein Ausgleich mit konkurrierenden Rechten und Interessen, insbesondere dem Recht auf Zugang zu Informationen, geschaffen werden soll.

Der wichtigste Aspekt ist die Regelung aller Schritte bei der Verarbeitung personenbezogener Daten. Dies umfasst den gesamten Prozess, von dem Grund, warum jemand mit den personenbezogenen Daten arbeitet, über die Art und Weise und den Zeitpunkt ihrer Verarbeitung hin zu ihrer Vernichtung.

POPIA wurde 2013 vom Parlament verabschiedet, und das Gesetz ist 2020 in Kraft getreten. Die Umsetzung des Gesetzes begann 12 Monate nach seinem Inkrafttreten.

Die Höchststrafe für einen POPIA-Verstoß beträgt 10 Millionen ZAR.

Zu den unbekannteren Strafen zählen der Verlust des guten Rufs, der Verlust bestehender Kunden und der Verzicht auf die Gewinnung neuer Kunden, was enorme Auswirkungen auf die Einnahmen hat!

POPIA-Konformität – was bedeutet das?

Die Einhaltung von POPIA bedeutet, dass jede Verarbeitung personenbezogener Daten von Endnutzer*innen von deren vorheriger Zustimmung zur Verarbeitung abhängig gemacht werden muss.

Dabei müssen mehrere Anforderungen an eine rechtmäßige Datenverarbeitung erfüllt werden. Zu den Anforderungen an die rechtmäßige Verarbeitung gehören Dokumentation, Vertraulichkeit und die Gewährleistung des Rechts der Endnutzer auf Verwaltung ihrer personenbezogenen Daten, einschließlich des Rechts auf Zugang, Berichtigung und Löschung der Daten.

Wer muss Africa’s Protection of Personal Information Act (POPIA) einhalten?

POPIA gilt für Verantwortliche, die in der Republik ansässig sind – oder auch nicht, d. h. POPIA ist extraterritorial. Die Frage ist, ob die betroffenen Personen in Südafrika ansässig sind, und nicht, ob die Einrichtung, die ihre Daten verarbeitet, dort ansässig ist.

Außerdem sind personenbezogene Daten hier weiter gefasst als beispielsweise im Rahmen des CCPA oder der DSGVO. Auch Daten von Unternehmen oder juristischen Personen sind hier geschützt.

Dies gilt für Einzelpersonen, Unternehmen und die Regierung. Nach dem Gesetz ist eine verantwortliche Stelle „eine öffentliche oder private Einrichtung oder eine andere Person, die zusammen mit anderen oder allein über den Zweck oder die Mittel der Verarbeitung personenbezogener Daten entscheidet“.

Wie bei anderen Datenschutzgesetzen gibt es auch beim südafrikanischen Gesetz zum Schutz personenbezogener Daten Ausnahmen.

Südafrikas Gesetz zum Schutz personenbezogener Daten – Ausnahmen

Ausnahmen vom südafrikanischen Personal Information Protection Act gibt es in den folgenden Situationen:

  • bei nicht kommerzieller Datenverarbeitung, d.h. wenn die Verarbeitung für eine persönliche/häusliche Tätigkeit erfolgt
  • wenn eine ausreichende Anonymisierung der Daten gegeben ist
  • wenn es Fragen zur nationalen, öffentlichen Sicherheit gibt
  • wenn die Datenverarbeitung im Dienste der Aufgaben des Gerichts oder der Strafverfolgungsbehörden erfolgt
  • wenn staatliche Stellen die Datenverarbeitung durchführen

POPIA-Altersschwelle

POPIA hat im Vergleich zu anderen Gesetzen dieser Art eine höhere Altersgrenze. Das Gesetz sieht Personen unter 18 Jahren als nicht geschäftsfähig an. Für die Verarbeitung ihrer personenbezogenen Daten ist die Zustimmung eines Elternteils oder Erziehungsberechtigten erforderlich.

Abschließende Überlegungen:

POPIA ist ein etabliertes Gesetz zum Schutz der Privatsphäre und zum Schutz der Persönlichkeitsrechte, das für alle Unternehmen und Organisationen gilt, die in Südafrika personenbezogene Daten verarbeiten. Dabei spielt es keine Rolle, ob das Unternehmen oder die Organisation in dem Land ansässig ist oder nicht, aber automatisierte oder nicht automatisierte Mittel zur Verarbeitung in dem Land einsetzt.

Wenn Ihr Unternehmen in die oben genannte Kategorie fällt, sollten Sie sicherstellen, dass Sie dieses Datenschutzgesetz einhalten. Um die Einhaltung der Vorschriften zu erleichtern, gibt es Jira– und Confluence-Apps, die Unternehmen bei der Navigation durch die POPIA-Anforderungen und bei der Kommunikation mit den Benutzern helfen.

Entdecken Sie unsere Apps für Jira und Confluence