Kurze Zusammenfassung
POPIA – Südafrikas neues Datenschutzgesetz, in Kürze
Die Allgemeine Datenschutz-Grundverordnung der EU (DSGVO) ist nicht mehr nur ein europäisches Datenschutzgesetz, sondern hat sich zu einem globalen Datenschutzstandard entwickelt – und die Geschwindigkeit, mit der sich dieser Standard weltweit verbreitet, nimmt zu, wodurch ein höherer Schutz der Privatsphäre der Endbenutzer im Internet gewährleistet wird.
Die Durchsetzung von POPIA in Südafrika began am 1. Juli 2021
Werden Sie kostenlos konform mit Cookiebot CMP
Südafrikas POPIA ist ein aktuelles und umfassendes Beispiel für eines der Datenschutzgesetze der Welt, die eng an die EU-DSGVO (und die ePrivacy-Richtlinie) angelehnt sind – es ermächtigt seine Bürger zu durchsetzbaren Rechten an ihren persönlichen Daten, legt acht Mindestanforderungen für die Datenverarbeitung fest (z.B. Einführung der Einwilligung als erforderliche Rechtsgrundlage), schafft eine weit gefasste Definition von persönlichen Daten für einen umfassenden Endnutzerschutz und bestimmt den Information Regulator (kurz: SAIR, südafrikanischer Datenschutzbeauftragter) als federführenden Vollstrecker und Aufseher des Gesetzes.
POPIA kurzer Überblick –
- POPIA trat am 1. Juli 2020 in Kraft.
- Die Durchsetzung des POPIA soll am 1. Juli 2021 beginnen.
- POPIA gilt für alle Unternehmen oder Organisationen, die in Südafrika personenbezogene Daten verarbeiten, die in dem Land ansässig sind oder nicht ansässig sind, aber automatisierte oder nicht-automatisierte Mittel zur Verarbeitung in dem Land nutzen.
- Die Geldstrafen für die Nichteinhaltung des POPIA können bis zu 10 Millionen ZAR (südafrikanische Rand) betragen.
- Der Transfer von persönlichen Informationen außerhalb Südafrikas ist nach POPIA verboten (mit Ausnahmen).
- POPIA schafft neun einklagbare Rechte für südafrikanische Staatsbürger (Datensubjekte), einschließlich, aber nicht beschränkt auf das Recht auf Zugang, das Recht auf Berichtigung und das Recht auf Löschung.
- POPIA schafft auch acht Bedingungen für eine rechtmäßige Datenverarbeitung, wobei die Einwilligung der betroffenen Person im Mittelpunkt steht. Es obliegt den Websites, Unternehmen und Organisationen (“verantwortliche Parteien”), nachzuweisen, dass ihre Verarbeitung rechtmäßig ist, z.B. dass von den Nutzern korrekte Einwilligungen eingeholt wurden.
- POPIA definiert Einwilligung als jede freiwillige, spezifische und informierte Willensäußerung.
- POPIA definiert Verarbeitung als Sammeln, Empfangen, Aufzeichnen, Organisieren, Speichern, Zusammenführen, Verknüpfen und mehr.
- POPIA definiert persönliche Informationen im weitesten Sinne als alle Informationen, die sich nicht nur auf eine lebende Person, sondern auch auf ein Unternehmen oder eine Organisation beziehen.
- POPIA erlaubt es Unternehmen und Organisationen, Daten zu verarbeiten, wenn dies im “berechtigten Interesse” des Benutzers liegt, wodurch ein Unklarheitspunkt für möglichen Missbrauch und Durchsetzungsschwierigkeiten geschaffen wird.
POPIA vs. DSGVO
Es gibt wesentliche Unterschiede zwischen POPIA und der DSGVO, insbesondere –
- POPIA schützt auch Unternehmen und Organisationen als juristische Personen, wobei die DSGVO nur lebende Personen schützt.
- Im Gegensatz zur DSGVO, die für die Verarbeitung personenbezogener Daten aus der EU gilt, unabhängig davon, wo der für die Verarbeitung Verantwortliche/Verarbeiter ansässig ist, gilt POPIA nur für Unternehmen oder Organisationen, die in Südafrika ansässig sind (mit Ausnahme von Unternehmen, die in Südafrika automatisierte Verarbeitungsmethoden nutzen, z.B. Adtech- und Social-Media-Unternehmen).
- Wo die DSGVO einen Datenverarbeiter klar definiert (als eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet), spricht POPIA nur von der verantwortlichen Partei, d.h. keine “gemeinsame Verantwortung des für die Verarbeitung Verantwortlichen”, wie wir sie aus der EU kennen.
- POPIA verlangt von allen Unternehmen und Organisationen die Ernennung eines Information Officers (automatisch dem CEO zugeordnet), dessen Rolle und Verantwortlichkeiten sich in wesentlichen Bereichen vom Datenschutzbeauftragten der DSGVO unterscheiden. Darüber hinaus verlangt POPIA von Unternehmen und Organisationen auch die Ernennung eines stellvertretenden Information Officers.
- Während sowohl POPIA als auch die DSGVO die Definition von Daten in persönliche Informationen und spezielle persönliche Informationen (oder sensible Daten in der DSGVO) aufteilen, ordnet POPIA letzteren auch Straftaten zu.
Testen Sie Cookiebot CMP 14 Tage lang kostenlos – oder für immer, wenn Sie eine kleine Website haben.
Scannen Sie Ihre Website kostenlos, um zu sehen, welche Cookies und Tracker in Betrieb sind.
POPIA-Konformität mit Cookiebot CMP
Cookiebot CMP by Usercentrics ist die weltweit führende Consent Management-Plattform, die auf einer bahnbrechenden Scan-Technologie basiert, die alle Cookies und Tracker auf Ihrer Website erkennt und dem Endbenutzer die vollständige Kontrolle über die wahre granulare Zustimmung überträgt, in voller Übereinstimmung mit der EU-weiten DSGVO, dem kalifornischen CCPA, der brasilianischen LGPD und jetzt auch dem südafrikanischen POPIA.
Cookiebot CMP simuliert eine Reihe von realen Benutzern, die Ihre Website besuchen, scrollen, klicken und browsen, um das gesamte Netzwerk von Cookies, Trackern und Trojanern in Ihrer Domain zu aktivieren und offenzulegen.
Durch hochgradig anpassbare Einwilligungsbanner können Ihre Endbenutzer schnell und reibungslos ihre bevorzugte Zustimmung erteilen, während Cookiebot CMP jeden Benutzer automatisch ‘geo-targeted’, um sicherzustellen, dass die richtige Einwilligungsoberfläche präsentiert wird, sei es für die DSGVO in der EU oder den CCPA in Kalifornien.
Cookiebot CMP ist vollständig in den Google Consent Mode integriert und ermöglicht es Ihrer Website, wertvolle Analyse- und Marketingdaten zu erhalten, wenn Ihre Nutzer sich gegen die Verwendung von Statistik- und Marketing-Cookies entscheiden.
Cookiebot CMP ist außerdem ein Standard-Tag im Google Tag Manager, einem kostenlosen WordPress-Plugin, und ist sowohl im IAB Europe TCF 2.0 als auch im IAB CCPA Framework integriert.
Testen Sie Cookiebot CMP 14 Tage lang kostenlos – oder für immer, wenn Sie eine kleine Website haben
Scannen Sie Ihre Website kostenlos, um zu sehen, welche Cookies und Tracker in Betrieb sind
Erste Schritte mit Google Consent Mode
Erfahren Sie mehr über DSGVO und die Zustimmung zu Cookies
Südafrikas POPIA im Detail
Schauen wir uns die Einzelheiten von POPIA in Südafrika genauer an; wie es in das aktuelle Datenschutzrecht passt, welche Rechte es den Bürgern einräumt und wie Unternehmen und Organisationen die Einhaltung von POPIA erreichen.
Das südafrikanische Rechtssystem und POPIA
Südafrikas Protection of Personal Information Act (POPIA) wurde eigentlich schon 2003 entworfen und lehnte sich eng an die damalige europäische Datenschutzgesetzgebung, die ePrivacy-Richtlinie, an, wurde jedoch in den folgenden Jahren mehrmals gestoppt und geändert, als die Allgemeine Datenschutzverordnung (DSGVO) in Kraft trat und die Datenschutzregelung der EU erheblich aktualisierte.
POPIA trat schließlich am 1. Juli 2020 in Kraft.
Das gesetzliche Datenschutzregime in Südafrika besteht aus der Verfassung selbst (die ihren Bürgern das Recht auf Privatsphäre garantiert) und dem Electronic Communications and Transactions Act (ECTA) aus dem Jahr 2002, der die Erhebung personenbezogener Daten tatsächlich reguliert, deren Einhaltung für Unternehmen und Organisationen jedoch freiwillig ist.
Am 1. Juli 2021 trat der Protection of Personal Information Act (POPIA) vollständig in Kraft und ersetzt die Bestimmungen im ECTA, die sich mit dem Schutz persönlicher Daten befassen.
Am 24. März 2021, 100 Tage vor Inkrafttreten von POPIA, veröffentlichte die südafrikanische Informationsregulierungsbehörde (engl. Information Regulator) eine Erklärung, in der sie ihre vorrangigen Schwerpunktbereiche darlegte, darunter –
- Erstellung von Verhaltensregeln für die Einhaltung von POPIA
- Überprüfung von Richtlinienentwürfen für die Registrierung von Informationsbeauftragten (engl. Information Officer)
- Fertigstellung von Leitfäden und Vorlagen für Vorabgenehmigungen, Sicherheitskompromisse und grenzüberschreitende Benachrichtigungen über persönliche Daten.
Südafrikas Informationsregulierungsbehörde gibt in der Erklärung vom 24. März außerdem an, dass die obligatorische Registrierung von Informationsbeauftragten ab dem 1. Mai 2021 auf ihrer Website unter dem Titel “Guidance Note on Information Officers” verfügbar sein wird.
Die Durchsetzung von POPIA in Südafrika began am 1. Juli 2021
Werden Sie kostenlos konform mit Cookiebot CMP
Geltungsbereich und Anwendung von POPIA
POPIA gilt für jede Verarbeitung (Sammlung, Aufzeichnung, Anordnung, Weitergabe, Nutzung, Speicherung usw.) von persönlichen Informationen durch eine verantwortliche Partei (Website, Unternehmen oder Organisation) mit Sitz in Südafrika oder außerhalb, wenn sie Mittel zur Verarbeitung in Südafrika verwenden.
Dies bedeutet, dass der Geltungsbereich von POPIA in Südafrika begrenzter ist als der Geltungsbereich der DSGVO in Europa, die für jeden gilt, der personenbezogene Daten aus der EU verarbeitet, unabhängig davon, wo sich diese Daten befinden.
Wenn sich Ihre Website, Ihr Unternehmen oder Ihre Organisation in Südafrika befindet und Sie persönliche Daten verarbeiten, sind Sie automatisch verpflichtet, sich an die Vorgaben des POPIA zu halten.
Wenn Sie eine Website haben, die sich nicht in Südafrika befindet, aber persönliche Informationen über südafrikanische Staatsbürger innerhalb des Landes verarbeitet, sind Sie ebenfalls zur Einhaltung von POPIA verpflichtet.
Scannen Sie Ihre Website kostenlos, um zu sehen, wo in der Welt Ihre Website Daten sammelt und an
Persönliche Informationen unter POPIA
POPIA hat eine sehr weit gefasste Definition von personenbezogenen Daten, im Grunde jede Art von Informationen über eine identifizierbare, lebende natürliche Person, ein Unternehmen oder eine vergleichbare rechtliche Einheit, einschließlich, aber nicht beschränkt auf –
- Namen, Adressen, Telefonnummern, E-Mail-Adressen,
- Informationen über Alter, ethnische Zugehörigkeit, Geschlecht, Aussehen, Merkmale, sexuelle Orientierung, politische Überzeugungen, religiöse Überzeugungen, Sprache,
- Gesundheitsdaten wie physische oder psychische Gesundheit, Wohlbefinden, Behinderungen,
- Online-Identifikatoren wie E-Mail-Adressen, IP-Adressen, Cookies, eindeutige IDs, Such- und Browser-Historie, Standortdaten.
POPIAs weit gefasste Definition von personenbezogenen Daten deckt Aktivitäten ab, die auf den meisten Websites der Welt stattfinden, wie z.B. Erst- und Drittanbieter-Cookies, die IP-Adressen sammeln, Such- und Browser-Verlauf, Tracker, die eindeutige IDs setzen und vieles mehr.
Wenn Ihre Website persönliche Informationen aus Südafrika verarbeitet, z.B. durch die Verwendung von Cookies und ähnlichen Trackern, müssen Sie sich an den POPIA halten.
Scannen Sie Ihre Website, um zu sehen, welche Cookies und Tracker Daten verarbeiten
Erfahren Sie mehr über DSGVO und Zustimmung
Endnutzer-Rechte unter POPIA
Genauso wie die DSGVO der EU und Brasiliens LGPD schafft POPIA in Südafrika einen ganz neuen Rahmen von Rechten für seine Bürger, die sie ausüben können, um ihre Daten und ihre Privatsphäre zu schützen, indem sie Einblick in die über sie gesammelten Daten erhalten und deren Korrektur und Löschung verlangen können.
POPIA schafft folgende Rechte für südafrikanische Bürger ( Daten-Subjekte) –
- Recht auf Benachrichtigung über die Erhebung und Verarbeitung persönlicher Daten
- Recht auf Zugang zu persönlichen Informationen
- Recht, die Berichtigung persönlicher Daten zu verlangen
- Recht, die Löschung persönlicher Informationen zu beantragen
- Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten
- Recht, persönliche Daten nicht zum Zweck des Direktmarketings mittels unerbetener elektronischer Kommunikation verarbeiten zu lassen (was eindeutig die ePrivacy-Richtlinie und nicht die DSGVO widerspiegelt)
- Recht, nicht einer Entscheidung unterworfen zu werden, die zu rechtlichen Umständen führt, die allein auf der Grundlage der automatisierten Verarbeitung beruhen
- Recht auf Beschwerde beim Information Regulator
- Recht auf Einlegung von Rechtsmitteln
Mit anderen Worten: Südafrikanische Staatsbürger werden in der Lage sein zu erfahren, wann ihre persönlichen Daten möglicherweise gesammelt werden, und haben das Recht, dem zuzustimmen, bevor dies geschieht; sie werden die Möglichkeit haben, zu verlangen, dass Ihre Website ihnen Zugang gewährt, um zu sehen, welche persönlichen Daten sie über sie gesammelt hat, und diese Daten entweder korrigiert oder ganz gelöscht werden.
Testen Sie Cookiebot CMP 14 Tage lang kostenlos – oder für immer, wenn Sie eine kleine Website haben
Scannen Sie Ihre Website kostenlos, um zu sehen, welche Daten sie von Benutzern verarbeitet
Mindestanforderungen für die Verarbeitung unter POPIA
Wie seine europäischen und brasilianischen Pendants legt auch Südafrikas POPIA Mindestanforderungen für Unternehmen und Organisationen fest, um persönliche Daten südafrikanischer Bürger rechtmäßig zu verarbeiten.
POPIA macht es sehr deutlich: Persönliche Daten dürfen nur verarbeitet werden, wenn der Endbenutzer der Verarbeitung zustimmt, einschließlich der spezifischen Zwecke, für die die persönlichen Daten gesammelt werden.
Die betroffene Person kann ihre Einwilligung jederzeit widerrufen.
Sehen Sie sich die Einwilligung unter POPIA genauer an
POPIA definiert acht Bedingungen für die rechtmäßige Verarbeitung von Daten in Südafrika –
- Rechenschaftspflicht (die Verarbeitung ist rechtmäßig und erfolgt in einer nicht datenschutzverletzenden Weise)
- Verarbeitungsbeschränkung (Verarbeitung nur für den gegebenen Zweck)
- Zweckspezifikation (spezifischer Zweck muss explizit definiert werden)
- Einschränkung der Weiterverarbeitung (die Weiterverarbeitung muss weiterhin dem ursprünglichen Zweck entsprechen, dem der Endbenutzer zugestimmt hat)
- Informationsqualität (stellen Sie sicher, dass die Daten vollständig, genau und aktualisiert sind)
- Offenheit (Dokumentation aller Verarbeitungsvorgänge)
- Sicherheitsvorkehrungen (müssen den Schutz und die Vertraulichkeit persönlicher Informationen gewährleisten)
- Beteiligung der betroffenen Personen (stellen Sie sicher, dass die Endnutzer ihre Rechte auf Zugang, Korrektur und Löschung ihrer Daten ausüben können)
Alle acht Bedingungen müssen erfüllt sein, wenn persönliche Daten im Rahmen von POPIA rechtmäßig verarbeitet werden.
Sehen Sie sich die Bedingungen für die Verarbeitung im Rahmen von POPIA genauer an
Information Regulator (SAIR) und POPIA-Bestimmungen
Das wichtigste Aufsichts- und Durchsetzungsorgan unter POPIA ist der Information Regulator (SAIR), der durch das Gesetz selbst eingerichtet und mit folgenden Aufgaben ausgestattet ist –
- Aus- und Fortbildung rund um das Datenschutzgesetz und dessen Einhaltung,
- Überwachung und Durchsetzung der Einhaltung von Vorschriften bei Unternehmen und Organisationen, die in Südafrika persönliche Daten verarbeiten,
- Bearbeitung von Beschwerden von betroffenen Personen,
- Erstellung von Richtlinien, Vorschriften und Verhaltensregeln der Industrie für die praktische Einhaltung von POPIA,
- Erleichterung der ausländischen Zusammenarbeit zur Durchsetzung der Einhaltung von POPIA außerhalb Südafrikas.
Der Information Regulator ist eine breitere Instanz in POPIA als die Aufsichtsbehörde der DSGVO, da er nicht nur der federführende Durchsetzer und Überwacher der POPIA-Konformität ist, sondern auch mehrere andere Tätigkeitsbereiche hat, wie etwa die Genehmigung für Websites, Unternehmen und Organisationen –
- eindeutige Identifizierungsmerkmale der betroffenen Personen für einen anderen als den am Erhebungsort beabsichtigten Zweck verarbeiten zu dürfen,
- Daten in Bezug auf die Kreditberichterstattung verarbeiten zu können,
- besondere persönliche Informationen (oder persönliche Informationen von Kindern) aus Südafrika in ein anderes Land übertragen zu dürfen, das kein angemessenes Datenschutzniveau hat, gemäß POPIA.
Im Dezember 2018 veröffentlichte der Information Regulator die POPIA-Vorschriften zur Einhaltung und Durchsetzung des Gesetzes. Diese Vorschriften sind nach wie vor in Kraft und bilden die Grundlage für die Durchsetzung des POPIA durch den Informationsregulator – die allerdings erst am 1. Juli 2021 beginnen wird.
Die POPIA-Bestimmungen enthalten Informationen und Verhaltensregeln bezüglich –
- wie Anträge auf Berichtigung oder Löschung persönlicher Daten gestellt werden können,
- wie Einwände gegen die Verarbeitung personenbezogener Daten erhoben werden können,
- wie man die Zustimmung für unaufgefordertes, direktes elektronisches Marketing einholen und erhalten kann,
- welche Aufgaben und Pflichten der Information Regulator hat,
- Spezifizierung von Verhaltensregeln der Industrie durch den Information Regulator,
- wie Sie sich bei der Aufsichtsbehörde beschweren können,
- und weitere Spezifizierungen der Rolle und Verantwortlichkeiten des Information Regulators.
Die POPIA-Bestimmungen des Information Regulators (PDF auf Englisch)
POPIA vs. DSGVO
Hauptunterschiede zwischen POPIA vs. DSGVO
Da sich die Allgemeine Datenschutz-Grundverordnung (DSGVO) der EU so deutlich in Südafrikas Protection of Personal Information Act (POPIA) widerspiegelt, ist es sinnvoll, sie miteinander zu vergleichen, um die Hauptunterschiede in den Gesetzen zu erkennen – die für Websites und Unternehmen unerlässlich sind, um sich in zwei Regimen zurechtzufinden und mit POPIA und DSGVO im Einklang zu stehen.
Persönliche Informationen und Datensubjekte unter POPIA und DSGVO
POPIA definiert persönliche Informationen als “Informationen über eine identifizierbare, lebende und natürliche Person” (eigene Übersetzung), was der Definition der DSGVO von persönlichen Daten als “Informationen über eine identifizierte oder identifizierbare natürliche Person” (“Datensubjekt”, wie beide Gesetze es nennen) sehr nahe kommt.
Allerdings bezieht POPIA in seine Definition der betroffenen Personen auch Unternehmen, Organisationen und andere legale Einheiten ein, während die DSGVO ihre Definition strikt auf menschliche Personen beschränkt.
Dies ist offensichtlich von großer Bedeutung, denn es ermöglicht es Unternehmen, nicht nur “verantwortliche Parteien”, sondern auch “Datensubjekte” zu sein, mit Rechten auf die “persönlichen” Informationen, die über sie gesammelt und weitergegeben werden.
Wie sich dies genau auswirkt, wird mit der Durchsetzung des POPIA ab dem 1. Juli 2021 klarer werden, aber man kann mit Sicherheit sagen, dass dadurch in Südafrika ganz andere Datenschutzpraktiken geschaffen werden als durch die DSGVO in Europa.
Zustimmung nach POPIA und DSGVO
Was die Definitionen der Zustimmung betrifft, so sind POPIA und der DSGVO fast identisch.
POPIA definiert die Zustimmung als “jede freiwillige, spezifische und in Kenntnis der Sachlage erfolgende Willensbekundung, in deren Rahmen die Einwilligung zur Verarbeitung personenbezogener Daten erteilt wird” (eigene Übersetzung); während laut DSGVO die Zustimmung als “jede frei gegebene, spezifische, informierte und unzweideutige Angabe des Wunsches der betroffenen Person” definiert wird.
Der POPIA weist jedoch ausdrücklich darauf hin, dass es eine Frage der Interpretation dessen ist, was eine freiwillige Willensbekundung darstellt, und lässt die Tür offen für Industriestandards und Präzedenzfälle bei der Durchsetzung, um den praktischen Charakter der Einhaltung des POPIA zu gestalten.
Dies war der Fall bei der EU-DSGVO, wo die Einhaltung durch Gerichtsentscheidungen und Richtlinien des European Data Protection Board (EDPB) geprägt wurde, die die nationalen Datenschutzbehörden bei der Durchsetzung des Datenschutzgesetzes befolgen werden.
Infolgedessen bedeutet ordnungsgemäße und rechtmäßige Einwilligung nach der DSGVO die vorherige und ausdrückliche Handlung von Endnutzern, wenn sie mit Einwilligungsschnittstellen auf Websites interagieren, die keine vorher angekreuzten Kontrollkästchen haben dürfen oder die Nutzer dazu drängen, sich für Cookies und Tracker zu entscheiden.
Die Durchsetzung von POPIA in Südafrika began am 1. Juli 2021
Werden Sie kostenlos konform mit Cookiebot CMP
Geltungsbereich von DSGVO vs. POPIA
POPIA gilt für die Verarbeitung durch Websites, Unternehmen, Organisationen und andere juristische Einheiten, die sich innerhalb Südafrikas befinden – aber auch für “verantwortliche Parteien”, die sich außerhalb Südafrikas befinden, wenn sie persönliche Informationen innerhalb Südafrikas verarbeiten (und nicht nur Daten durch das Land weiterleiten).
Verglichen mit der DSGVO der EU hat POPIA einen kleineren Anwendungsbereich.
Die DSGVO gilt für jede Verarbeitung personenbezogener Daten innerhalb der EU, unabhängig davon, wo in der Welt sich der für die Verarbeitung Verantwortliche und/oder der Datenverarbeiter befindet.
Anstatt sich dem Standard der DSGVO anzugleichen, spiegelt der Anwendungsbereich von POPIA den der ePrivacy-Richtlinie der EU wider.
Datenverarbeiter in DSGVO und POPIA
Die DSGVO ist sehr klar, wenn es darum geht, die Verantwortung zwischen einem für die Datenverarbeitung Verantwortlichen und einem Datenverarbeiter (d.h. einer Instanz, die personenbezogene Daten im Auftrag des für die Datenverarbeitung Verantwortlichen verarbeitet) aufzuteilen, und legt fest, wie beide die Einhaltung der DSGVO unter dem Begriff “gemeinsame für die Verarbeitung Verantwortliche” erreichen müssen.
Im Gegensatz zur DSGVO wendet sich POPIA nur an eine verantwortliche Partei, was bedeutet, dass Websites, Unternehmen und Organisationen allein dafür verantwortlich sind, die Anforderungen von POPIA an den Schutz der Endbenutzer zu erfüllen.
Dadurch, dass POPIA keine „gemeinsam für die Verarbeitung Verantwortliche“ wie die DSGVO hat, schafft POPIA eine größere Haftung für Websites und Unternehmen, die letztlich für die gesamte Verarbeitung der Informationen ihrer Endbenutzer verantwortlich sind, auch wenn dies von Adtech-Unternehmen oder Social-Media-Plattformen geschieht, die über Cookies und Tracker auf ihren Websites eingebettet sind.
Datenschutzbeauftragte in POPIA und DSGVO
Der Datenschutzbeauftragte der DSGVO spiegelt sich in POPIA als der Information Officer wider, den jede verantwortliche Partei ernennen muss. Die Rolle des Information Officers im POPIA unterscheidet sich jedoch erheblich von der Funktion gemäß der DSGVO.
Nach der DSGVO muss der Datenschutzbeauftragte über spezifisches Fachwissen und Ausbildung im EU-Datenschutzrecht verfügen, ist aber nicht automatisch in jedem Unternehmen oder jeder Organisation erforderlich und kann sogar ein externer, unabhängiger Aufsichtsbeamter sein.
Unter POPIA ist der Information Officer für jedes Unternehmen und jede Organisation obligatorisch und wird automatisch dem CEO zugeordnet – eine Zuordnung zu einer externen, unabhängigen Partei ist nicht möglich. Der Information Officer muss keine vorherige Ausbildung oder Fachkenntnisse über das südafrikanische Datenschutzregime haben, muss aber beim Information Regulator (SAIR) registriert sein.
POPIA verlangt von Unternehmen und Organisationen auch die Ernennung eines stellvertretenden Information Officers, eine Position, die in der DSGVO keine Entsprechung findet.
Südafrikas POPIA und EU-Angemessenheit
Südafrika wird heute von der EU nicht als Land mit einem angemessenen Datenschutzniveau betrachtet und gilt daher als Drittland, das zusätzliche Hinweise, Zustimmungen und Rechtsgrundlagen benötigt, wenn Websites, Unternehmen und Organisationen innerhalb der EU Daten in das Land übermitteln.
Da der POPIA jetzt in Südafrika in Kraft ist, könnte die EU in Zukunft eine Angemessenheitsentscheidung treffen, die einen viel einfacheren Datenfluss zwischen den EU-Mitgliedstaaten und Südafrika sicherstellen würde.
Zusammenfassung: POPIA in Südafrika
Mit dem in Südafrika in Kraft getretenen Protection of Personal Information Act (POPIA) ist ein weiteres starkes Gesetz zum Schutz des Datenschutzes entstanden, das sich dem wachsenden Netzwerk der Ermächtigung der Endbenutzer anschließt, das sich über die ganze Welt und das Internet ausbreitet.
In enger Anlehnung an die Allgemeine Datenschutzverordnung der EU gewährleistet POPIA einen umfassenden Datenschutz für die Bürger Südafrikas und macht eine Angemessenheitsentscheidung der EU wahrscheinlich, wodurch der Weg für eine reibungslose und sichere Übertragung personenbezogener Daten zwischen den beiden Ländern geebnet wird.
Cookiebot CMP by Usercentrics ermöglicht die Einhaltung der meisten wichtigen Datenschutzgesetze der Welt, wie z.B. der DSGVO der EU, des CCPA von Kalifornien, des LGPD von Brasilien und auch des POPIA von Südafrika.
Scannen Sie Ihre Website, um zu sehen, welche Cookies und Tracker in Betrieb sind
Erfahren Sie mehr über DSGVO und Zustimmung
Erste Schritte mit Google Consent Modee
FAQ
Was ist POPIA in Südafrika?
Der Protection of Personal Information Act (POPIA) ist das südafrikanische Datenschutzgesetz, das den Bürgern durchsetzbare Rechte an ihren persönlichen Daten einräumt, von Websites, Unternehmen und Organisationen verlangt, dass sie die Mindestbedingungen für eine rechtmäßige Verarbeitung erfüllen, und den Information Regulator zur Überwachung und Durchsetzung der Einhaltung von POPIA einrichtet.
Für wen gilt der POPIA?
Der Protection of Personal Information Act (POPIA) gilt für Websites, Unternehmen, Organisationen und andere juristische Einheiten, die sich innerhalb Südafrikas befinden und persönliche Daten verarbeiten. POPIA gilt jedoch auch für verantwortliche Parteien, die außerhalb Südafrikas ansässig sind, wenn sie personenbezogene Daten innerhalb des Landes verarbeiten (und nicht nur über das Land übertragen).
Scannen Sie Ihre Website, um zu sehen, welche Art von Daten Ihre Website verarbeitet
Wie kann ich in Südafrika POPIA-konform werden?
POPIA-Konformität bedeutet, dass vor der Verarbeitung persönlicher Daten die vorherige Zustimmung der Endbenutzer erfragt und eingeholt werden muss. Konformität bedeutet auch, mehrere Mindestanforderungen für eine rechtmäßige Verarbeitung zu erfüllen, wie Dokumentation, Sicherheit und Vertraulichkeit, und sicherzustellen, dass die Endnutzer ihr Recht auf Zugang, Korrektur und Löschung bereits gesammelter Daten ausüben können.
Wie kann ich meine Website nach Cookies und Trackern durchsuchen?
Die Verwendung einer Consent Management-Plattform wie Cookiebot CMP kann Ihnen helfen, alle Cookies und Tracker, die auf Ihrer Website in Betrieb sind und persönliche Informationen verarbeiten, aufzudecken und zu sehen, wohin in der Welt Ihre Domain Daten sendet.
Scannen Sie Ihre Website kostenlos, um zu sehen, welche Cookies und Tracker in Betrieb sind.
Ressourcen
IAPP: POPIA bringt Südafrika in Einklang mit bewährten Praktiken des globalen Datenschutzes (in Englisch)
Südafrikas Personal Information Protection of Personal Information Act (POPIA), offizielles Gesetz (in Englisch)
Erfahren Sie mehr über DSGVO und Cookie-Zustimmung
Erfahren Sie mehr über die EDPB-Richtlinien für eine gültige Zustimmung gemäß DSGVO
Erfahren Sie mehr über Cookies, Tracker und Website-Tracking
Germany Trade&Invest: Südafrikas POPIA tritt am 1. Juli in Kraft
TechGDPR: Vergleich von POPIA und DSGVO in Schlüsselbereichen (in Englisch)