Home
Intern
veröffentlicht am 9. November 2020 | Lesedauer ca. 1 Minute
Südafrikas erstes umfassendes Datenschutzgesetz (Protection of Personal Information Act – kurz POPIA) trat am 1. Juli 2020 in Kraft. POPIA gewährt eine einjährige Übergangsphase, sodass die POPIA-Konformität bis zum 1. Juli 2021 umzusetzen ist.
POPIA ist für alle Unternehmen (öffentliche und private) in Südafrika verpflichtend und schreibt vor, wie personenbezogene Daten (von privaten und juristischen Personen) verwendet werden dürfen. Die Tatsache, dass auch personenbezogene Daten von juristischen Personen in den Schutzbereich von POPIA einbezogen ist, ist eine Erweiterung im Vergleich zur europäischen Datenschutz-Grundverordnung („DSGVO").
Der Zweck von POPIA ist es, dem Recht auf Privatsphäre Ausdruck zu verleihen. POPIA bestimmt, dass die Verarbeitung von personenbezogenen Daten (wie z.B. Daten zu Rasse, Geschlecht, Familienstand, sexueller Orientierung, Alter, körperlicher Gesundheit, Behinderung, Religion, Glaube, Sprache, Kultur, Bildung, medizinischer Vorgeschichte, Vorstrafen, Blutgruppe, Personalausweisnummer, E-Mail-Adresse, Adresse und Telefonnummer), im Einklang mit den folgenden acht Grundsätzen erfolgen muss:
Die für die Datenverarbeitung verantwortliche Person muss sicherstellen, dass der gesetzliche Informationsschutz eingehalten wird.
Die Verarbeitung der personenbezogenen Daten muss rechtmäßig und in einer angemessenen Art und Weise erfolgen, die die Privatsphäre der betroffenen Person nicht verletzt. Für eine rechtmäßige Verarbeitung ist es notwendig, dass eine der folgenden Voraussetzungen erfüllt ist: Einwilligung der betroffenen Person; Erforderlichkeit für die Erfüllung eines Vertrags oder einer gesetzlichen Verpflichtung; notwendig zum Schutz von berechtigten Interessen der betroffenen Person oder für die Verfolgung der berechtigten Interessen einer verantwortlichen Partei.
Personenbezogene Daten dürfen nur für einen bestimmten, definierten und rechtmäßigen Zweck gesammelt werden.
Sollen die gesammelten personenbezogenen Daten für einen weiteren Zweck verwendet werden, ist die Rechtmäßigkeit dieser erweiterten Verwendung an Faktoren, wie z.B. des erweiterten Verwendungsgrunds und des Wesens der Informationen zu bewerten.
Die für die Datenverarbeitung verantwortliche Partei muss sicherstellen, dass die gesammelten personenbezogenen Daten vollständig, genau und nicht irreführend sind und gegebenenfalls aktualisiert werden.
Die für die Datenverarbeitung verantwortliche Partei muss die betroffene Person vor der Sammlung der personenbezogenen Daten, u.a. über den Inhalt der gesammelten Daten und den Verwendungszweck informieren.
Die verantwortliche Partei muss durch angemessene Sicherheitsvorkehrungen sicherstellen, dass personenbezogene Daten nicht verloren gehen, beschädigt werden und den rechtswidrigen Zugang verhindern.
Das Datensubjekt kann eine für die Datenverarbeitung verantwortliche Person auffordern, zu bestätigen, ob diese Person im Besitz von personenbezogenen Daten des Datensubjekts ist und auch die Löschung der Daten verlangen.
Gemäß POPIA ist die grenzüberschreitende Übermittlung von personenbezogenen Daten nur erlaubt, wenn das Empfängerland über einen angemessenen Datenschutz verfügt. POPIA regelt auch die Rechtmäßigkeit von Kaltakquise im Wege der elektronischen Kommunikation. Kaltakquise ist demnach nur zulässig, wenn sie mit der vorherigen Zustimmung der jeweiligen Person erfolgt („Opt-In").
Anna-Lena Becker, LL.M.
Rechtsanwältin
Anfrage senden
