Zum Hauptinhalt springen
Bild
lila Hexagonmuster

Einhaltung der wichtigsten Bestimmungen Südafrikas Protection of Personal Information Act (POPIA)

Im November 2013 hat das Parlament der Republik Südafrika den Protection of Personal Information Act 2013 (POPIA) erlassen:

Förderung des Schutzes personenbezogener Daten, die von öffentlichen und privaten Einrichtungen verarbeitet werden; Einführung bestimmter Bedingungen, um Mindestanforderungen für die Verarbeitung personenbezogener Daten festzulegen; Einrichtung einer Informationsregulierungsbehörde, die bestimmte Befugnisse ausübt und bestimmte Aufgaben und Funktionen im Sinne dieses Act und des Promotion of Access to Information Act aus dem Jahr 2000 wahrnimmt; Erstellung von Verhaltenskodizes; Gewährleistung der Rechte von Personen in Bezug auf ungefragte elektronische Kommunikation und automatisierte Entscheidungsfindung; Regelung des Flusses personenbezogener Daten über die Grenzen der Republik hinweg; und Regelung damit verbundener Angelegenheiten.

Mögliche Konsequenzen bei Nichteinhaltung

Die Absätze 100 bis 106 des POPI Act befassen sich mit Fällen, in denen sich Parteien „eines Verstoßes schuldig“ machen würden. Konkret heißt es in Absatz 105 (Unerlaubte Handlungen des Verantwortlichen im Zusammenhang mit der Kontonummer), dass „der Verantwortliche (...) gewusst haben muss oder hätte wissen müssen, dass (...) [eine Verletzung des Schutzes personenbezogener Daten] der betroffenen Person wahrscheinlich erheblichen Schaden oder Kummer zufügen würde.“

Zusätzlich besagt Absatz 106 (Unerlaubte Handlungen Dritter im Zusammenhang mit der Kontonummer), dass „eine Person, die wissentlich oder leichtfertig, ohne die Zustimmung des Verantwortlichen (...) eine Kontonummer einer betroffenen Person erhält oder offenlegt (...) oder die Offenlegung einer Kontonummer einer betroffenen Person an eine andere Person veranlasst, (...) sich eines Verstoßes schuldig macht.“

In Absatz 107 ist festgelegt, welche Strafen für die jeweiligen Verstöße gelten. Konkret heißt es: „Wer wegen eines Verstoßes verurteilt wird, wird (...) zu einer Geldstrafe oder zu einer Freiheitsstrafe von höchstens zehn Jahren oder sowohl zu einer Geldstrafe als auch zu einer solchen Freiheitsstrafe verurteilt; oder (...) zu einer Geldstrafe oder zu einer Freiheitsstrafe von höchstens zwölf Monaten oder sowohl zu einer Geldstrafe als auch zu einer solchen Freiheitsstrafe verurteilt.“

Wie in Absatz 109 des Act beschrieben, darf die maximale Geldstrafe „10 Millionen R nicht überschreiten“.

Regelung

Das folgende Material ist direkt aus dem Protection of Personal Information Act (POPIA) der Republik Südafrika entnommen

Sicherheitsmaßnahmen zur Integrität und Vertraulichkeit von personenbezogenen Daten

19. (1) Eine verantwortliche Partei muss die Integrität und Vertraulichkeit von personenbezogenen Daten in ihrem Besitz oder unter ihrer Kontrolle, sichern, indem sie geeignete, angemessene technische und organisatorische Maßnahmen ergreift, um zu verhindern:

  • Verlust, Beschädigung oder unbefugte Zerstörung von personenbezogenen Daten; und
  • unrechtmäßiger Zugriff auf oder Verarbeitung von personenbezogenen Daten.

Um Absatz (1) in Kraft zu setzen, muss die verantwortliche Partei angemessene Maßnahmen ergreifen, um:

  • alle vernünftigerweise vorhersehbaren internen und externen Risiken für personenbezogene Daten in seinem Besitz oder unter seiner Kontrolle identifizieren;
  • angemessene Sicherheitsvorkehrungen gegen die identifizierten Risiken einrichten und aufrechterhalten;
  • regelmäßig zu überprüfen, ob die Schutzmaßnahmen wirksam umgesetzt werden; und
  • sicherstellen, dass die Schutzmaßnahmen als Reaktion auf neue Risiken oder Mängel in bereits implementierten Schutzmaßnahmen kontinuierlich aktualisiert werden.

Sicherheitsmaßnahmen in Bezug auf vom Betreiber verarbeitete Informationen

21. (1) Eine verantwortliche Partei muss im Rahmen eines schriftlichen Vertrags zwischen der verantwortlichen Partei und dem Betreiber sicherstellen, dass der Betreiber, der personenbezogene Daten für die verantwortliche Partei verarbeitet, die in § 19 genannten Sicherheitsmaßnahmen einrichtet und aufrechterhält.

(2) Der Betreiber hat die verantwortliche Partei unverzüglich zu benachrichtigen, wenn Grund zu der Annahme besteht, dass eine unbefugte Person auf die personenbezogenen Daten einer betroffenen Person zugegriffen oder sich diese angeeignet hat.

Benachrichtigung über Sicherheitsverstöße

22. (1) Besteht Grund zu der Annahme, dass eine unbefugte Person auf die personenbezogenen Daten einer betroffenen Person zugegriffen oder sich diese angeeignet hat, so muss die verantwortliche Partei hierüber benachrichtigen;

  • die Aufsichtsbehörde; und
  • vorbehaltlich des Absatzes (3) die betroffene Person, es sei denn, die Identität der betroffenen Person kann nicht festgestellt werden.

(4) Die Benachrichtigung einer betroffenen Person...muss schriftlich erfolgen und der betroffenen Person auf mindestens eine der folgenden Arten mitgeteilt werden:

  • an die letzte bekannte Haus- oder Postanschrift der betroffenen Person geschickt;
  • per E-Mail an die letzte bekannte E-Mail-Adresse der betroffenen Person geschickt;
  • gut sichtbar auf der Website der verantwortlichen Partei platziert;
  • in den Nachrichtenmedien veröffentlicht; oder
  • wie von der Aufsichtsbehörde angeordnet.

Zivilrechtliche Rechtsbehelfe

99. (1) Eine betroffene Person oder – auf Antrag der betroffenen Person – die Aufsichtsbehörde kann bei einem zuständigen Gericht eine Zivilklage auf Schadenersatz gegen eine verantwortliche Partei wegen Verletzung einer Bestimmung dieses Gesetzes im Sinne von § 73 erheben, unabhängig davon, ob Vorsatz oder Fahrlässigkeit vonseiten der verantwortlichen Partei vorliegt.

(3) Ein Gericht, das ein Verfahren im Sinne von Absatz (1) verhandelt, kann einen Betrag zusprechen, der recht und billig ist, einschließlich:

  • Zahlung von Schadenersatz als Entschädigung für den Vermögensschaden und den Nichtvermögensschaden, den eine betroffene Person infolge der Verletzung der Bestimmungen dieses Gesetzes erlitten hat;
  • verschärften Schadensersatz in einer nach Ermessen des Gerichts festgelegten Höhe;
  • Zinsen; und
  • die Kosten des Verfahrens nach einem vom Gericht festzulegenden Maßstab.

Compliance

Entrust nShield® HSMs helfen bei der POPIA-Compliance und Vermeidung der Benachrichtigung über Datenschutzverletzungen

Während POPIA nicht klar definiert, was als Zugriff auf und Erfassung von Daten gilt, besagen Bestimmungen auf der ganzen Welt, die sich mit dem Schutz personenbezogener Daten befassen, dass, wenn die Daten pseudonymisiert oder für denjenigen, der sie illegal abgerufen hat, unlesbar gemacht wurden, die Datenschutzverletzung nicht gemeldet werden muss; die gestohlenen vertraulichen Daten wurden für die Diebe unbrauchbar und für die betroffene Person unschädlich gemacht.

Die beiden allgemein akzeptierten Best Practice-Ansätze zur Pseudonymisierung sind Verschlüsselung und Tokenisierung. Beide verwenden kryptographische Schlüssel, um Klartext in unlesbaren Chiffretext und zurück zu konvertieren. Wenn Cyberdiebe die Schlüssel zusammen mit den verschlüsselten oder tokenisierten Daten stehlen, können sie die Daten anschließend wieder in Klartext konvertieren. Daher ist es unerlässlich, die Schlüssel von den Daten zu trennen, die sie schützen, und die Schlüssel selbst zusätzlich zu schützen.

Entrust Lösungen für die Sicherheit kryptographischer Schlüssel

Best Practice für die Sicherheit kryptographischer Schlüssel ist die Speicherung dieser Schlüssel in einem Hardware-Sicherheitsmodul (HSM). Entrust nShield HSMs sind gehärtete, manipulationssichere Hardware-Geräte, die kryptographische Prozesse schützen, indem sie Schlüssel generieren, schützen und verwalten, die zur Ver- und Entschlüsselung von Daten und zur Erstellung von digitalen Signaturen und Zertifikaten verwendet werden. Diese HSMs sind nach den höchsten Sicherheitsstandards getestet, validiert und zertifiziert, darunter FIPS 140-2 und Common Criteria. Entrust nShield HSMs ermöglichen es Organisationen,:

  • etablierte und neue regulatorische Standards für den Datenschutz zu erfüllen und zu übertreffen
  • einen höheren Grad an Datensicherheit und Vertrauen zu erzielen
  • ein hohes Serviceniveau und die Flexibilität des Unternehmens zu erhalten

nShield as a Service ist eine abonnementbasierte Lösung zur Erstellung und zum Schutz von und zum Zugriff auf kryptographische Schlüssel mittels entsprechender FIPS- 140-2 Level 3-zertifizierter nShield Connect HSMs und getrennt von vertraulichen Daten. Die Lösung bietet dieselben Funktionen wie lokale HSMs kombiniert mit den Vorteilen eines Cloud-Dienstes. So sind Kunden in der Lage, ihre in erster Linie auf die Cloud ausgerichteten Ziele zu erfüllen und die Wartung dieser Geräte den Experten von Entrust zu überlassen.

Ressourcen

Compliance-Kurzdarstellung: Südafrikas POPIA

Südafrikas POPIA befasst sich mit dem Schutz personenbezogener Daten sowie mit den Bußgeldern und zivilrechtlichen Schritten, die sich aus einem Verstoß ergeben können.

Südafrikas POPIA – Compliance-Kurzdarstellung

Broschüren: Broschüre zur Entrust nShield HSM-Produktfamilie

Entrust nShield HSMs bieten eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz, Verschlüsselung und vieles mehr. Die Entrust nShield-HSMs sind in drei „FIPS 140-2“-zertifizierten Formfaktoren erhältlich und unterstützen eine Vielzahl von Einsatzszenarien.

Broschüre zur Entrust nShield HSM-Produktfamilie

Datenblatt: nShield as a Service

nShield-as-a-Service ist eine abonnementbasierte Lösung zur Generierung und zum Schutz von und für Zugriff auf kryptographische Schlüssel mittels entsprechender FIPS- 140-2 Level 3-zertifizierter nShield Connect HSMs.

nShield as a Service-Datenblatt