Nigeria NDPR: Einhaltung der Datenschutzbestimmungen

Nigeria verfügt über die größte Volkswirtschaft und das bevölkerungsreichste Land Afrikas und ist damit ein wichtiger Markt für Unternehmen auf dem gesamten Kontinent. Nigerias Datenschutzrahmen hat eine bedeutende Entwicklung durchlaufen: von der Nigeria Data Protection Regulation (NDPR), die im Januar 2019 von der National Information Technology Development Agency (NITDA) erlassen wurde, bis zum Nigeria Data Protection Act 2023 (NDPA), der am 14. Juni 2023 in Kraft trat und die Nigeria Data Protection Commission (NDPC) als unabhängige Datenschutzbehörde etablierte und den Datenschutz zum gesetzlichen Gesetz erhob.

Das Verständnis sowohl des NDPR (der für die Übergangskonformität weiterhin relevant ist) als auch des neuen NDPA 2023-Rahmens ist für jede Organisation mit nigerianischen Niederlassungen, Mitarbeitern oder Kunden von entscheidender Bedeutung.

Wichtige Erkenntnisse

• Das Nigeria Data Protection Act 2023 (NDPA) ersetzt das NDPR und etabliert das NDPC als unabhängige Aufsichtsbehörde
• Das NDPA gilt für die Verarbeitung personenbezogener Daten in Nigeria und im Ausland, wenn Nigerianern Waren/Dienstleistungen angeboten werden oder das Verhalten nigerianischer Personen überwacht wird
• Es gibt sechs Rechtsgrundlagen für die Verarbeitung, wobei die Einwilligung die primäre Grundlage für Verbraucherdaten ist
• Sensible personenbezogene Daten (Gesundheit, Biometrie, Rasse, Religion, politische Meinungen, sexuelle Orientierung) erfordern mit wenigen Ausnahmen eine ausdrückliche Zustimmung
• „Datenverarbeiter“ und „Datenverantwortliche von erheblicher Bedeutung“ unterliegen besonderen zusätzlichen Pflichten, einschließlich Prüfungs- und Compliance-Anforderungen
• Grenzüberschreitende Transferbeschränkungen erfordern Angemessenheit, geeignete Schutzmaßnahmen oder Zustimmung
• Die NDPC kann bei allgemeinen Verstößen Bußgelder in Höhe von bis zu 2 % des jährlichen Bruttoumsatzes oder 10 Mio. ₦, je nachdem, welcher Betrag höher ist, verhängen; bis zu 50 Millionen ₦ für schwere Verstöße
• Alle Datenverantwortlichen müssen jährliche Datenschutzprüfungen mit NITDA-lizenzierten Prüfern durchführen

---

Nigerias Datenschutzrahmen

Von NDPR zu NDPA

NDPR 2019 (Nigeria Data Protection Regulation): Herausgegeben im Rahmen des Mandats der NITDA, kein formeller Gesetzentwurf des Parlaments. Gilt für natürliche Personen und Organisationen, die personenbezogene Daten nigerianischer Einwohner verarbeiten. Festlegung grundlegender Datenschutzgrundsätze, individueller Rechte und Compliance-Anforderungen, einschließlich obligatorischer jährlicher Prüfungen durch von der NITDA lizenzierte Prüfer.

NDPA 2023 (Nigeria Data Protection Act): Von der Nationalversammlung verabschiedet und am 14. Juni 2023 vom Präsidenten unterzeichnet. Richtet den NDPC als unabhängiges gesetzliches Organ ein; erhebt Datenschutzpflichten zum Primärrecht; führt neue Rechte und Pflichten ein; stimmt stärker mit der DSGVO überein; ersetzt widersprüchliche Bestimmungen des NDPR.

Übergang: Der NDPC hat darauf hingewiesen, dass die Mechanismen und Leitlinien zur Einhaltung der NDPR während des Übergangszeitraums weiterhin anwendbar sind. Organisationen, die NDPR-konform waren, sollten den NDPA auf zusätzliche Verpflichtungen prüfen.

NDPA-Geltungsbereich

Das NDPA gilt für:

1. Verarbeitung personenbezogener Daten in Nigeria
2. Verarbeitung personenbezogener Daten durch nigerianische Unternehmen, unabhängig davon, wo die Verarbeitung erfolgt
3. Verarbeitung durch ausländische Unternehmen, bei denen Waren/Dienstleistungen Einzelpersonen in Nigeria angeboten werden oder bei denen das Verhalten von Personen in Nigeria überwacht wird

---

Schlüsseldefinitionen und Datenkategorien

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierbare Person beziehen – direkt oder indirekt identifizierbar durch Bezugnahme auf den Namen, die Identifikationsnummer, Standortdaten oder einen oder mehrere Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind.

Sensible personenbezogene Daten (Anhang 1 des NDPA): Erfordert erhöhten Schutz und ausdrückliche Zustimmung. Zu den Kategorien gehören:

• Genetische oder biometrische Daten
• Gesundheits- oder Krankenakten
• Rasse oder ethnische Herkunft
• Religiöse oder politische Überzeugungen
• Mitgliedschaft in einer Gewerkschaft
• Sexuelle Orientierung oder Aktivitäten
• Daten über ein Kind

Kinderdaten: Für Daten von Kindern (definiert als Personen unter 18 Jahren nach nigerianischem Recht) gelten besondere Schutzmaßnahmen. Für die Verarbeitung personenbezogener Daten von Kindern ist die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich. Für Online-Dienste, die sich an Kinder richten, müssen überprüfte Mechanismen zur Einwilligung der Eltern implementiert werden.

---

Rechtsgrundlagen für die Verarbeitung

Abschnitt 25 des NDPA legt sechs Rechtsgrundlagen fest:

1. Einwilligung: Frei gegebene, konkrete, informierte und eindeutige Zustimmungserklärung. Muss jederzeit ohne Nachteile abziehbar sein.

2. Vertrag: Verarbeitung, die für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich ist.

3. Rechtliche Verpflichtung: Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung des Verantwortlichen nachzukommen.

4. Lebenswichtige Interessen: Verarbeitung, die zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist.

5. Öffentliches Interesse: Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung eines öffentlichen Auftrages erfolgt, der dem Verantwortlichen übertragen wurde.

6. Berechtigte Interessen: Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich – es sei denn, die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. (Hinweis: Auf diese Grundlage kann sich eine Behörde bei der Erfüllung ihrer Aufgaben nicht berufen.)

Zustimmungsanforderungen: Muss für jeden Verarbeitungszweck spezifisch sein; freiwillig erteilt (keine Bedingung des Vertragsschlusses von der Zustimmung zu nicht notwendiger Verarbeitung); aufgezeichnet und nachweisbar; so leicht zurückzuziehen wie zu geben. Vorab angekreuzte Kästchen, Schweigen oder Inaktivität stellen keine gültige Einwilligung dar.

---

Rechte der betroffenen Person

Das NDPA gewährt Einzelpersonen die folgenden Rechte, die ohne unangemessene Verzögerung vom Verantwortlichen ausgeübt werden können:

Reaktionsfristen: Die NDPA verlangt Antworten „ohne unangemessene Verzögerung“ – die NDPC-Leitlinien geben 30 Tage als angemessenen Standard an, mit einer Verlängerung auf 60 Tage für komplexe Anfragen, wenn die betroffene Person innerhalb der ersten 30 Tage benachrichtigt wird.

---

Pflichten des Verantwortlichen

Datenschutzhinweis

Verantwortliche müssen bei oder vor der Erhebung Datenschutzinformationen bereitstellen:

• Identität und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (falls zutreffend)
• Zwecke und Rechtsgrundlagen der Verarbeitung
• Empfänger oder Kategorien von Empfängern personenbezogener Daten
• Übermittlungen in Drittländer und Schutzmaßnahmen
• Aufbewahrungsfristen bzw. Kriterien für deren Festlegung
• Rechte der betroffenen Person und deren Ausübung
• Recht auf Widerruf der Einwilligung (sofern die Einwilligung die Grundlage ist)
• Recht, eine Beschwerde beim NDPC einzureichen

Sprache: Datenschutzhinweise für nigerianische Betriebe sollten auf Englisch (der Amtssprache Nigerias) verfasst sein und müssen möglicherweise volkssprachliche Übersetzungen für verbraucherorientierte Produkte in Gebieten mit einem großen nicht englischsprachigen Bevölkerungsanteil enthalten.

Datenschutzbeauftragter (DSB)

Die NDPA verlangt die Ernennung eines Datenschutzbeauftragten für:

• Datenverantwortliche oder Auftragsverarbeiter von erheblicher Bedeutung (definiert als diejenigen, die Daten von mehr als 10.000 betroffenen Personen pro Monat verarbeiten oder sensible Daten als Kerntätigkeit verarbeiten)
• Öffentliche Behörden

Verantwortlichkeiten des Datenschutzbeauftragten:

• Informieren und beraten Sie über Datenschutzpflichten
• Überwachen Sie die Einhaltung von NDPA und internen Richtlinien
• Als Kontaktstelle für betroffene Personen und den NDPC fungieren
• Zusammenarbeit mit NDPC-Ermittlungen

Jährliches Datenschutzaudit

Eine der markantesten Compliance-Anforderungen Nigerias: Alle Datenverantwortlichen müssen ein jährliches Datenschutzaudit durchführen beim NDPC (ehemals NITDA gemäß NDPR). Das Audit muss von einer NITDA-lizenzierten Data Protection Compliance Organization (DPCO) durchgeführt werden. Der DPCO erstellt einen Prüfbericht, der die Datenschutzpraktiken des Verantwortlichen, Compliance-Lücken und Abhilfeempfehlungen abdeckt. Dies muss jährlich beim NDPC eingereicht werden.

Der Prüfungsumfang umfasst:

• Dateninventur und Flusskartierung
• Rechtsgrundlagendokumentation
• Angemessenheit der Datenschutzhinweise
• Sicherheitsmaßnahmen
• Verfahren zu den Rechten der betroffenen Personen
• Einhaltung grenzüberschreitender Überweisungen
• Verfahren zur Meldung von Verstößen
• Mitarbeiterschulung

Kosten: Die Prüfungsgebühren variieren je nach DPCO; Je nach Größe und Komplexität der Organisation können Sie mit ₦500.000–₦5.000.000+ rechnen.

Datenschutz-Folgenabschätzungen (DPIAs)

Gemäß Abschnitt 30 sind DPIAs für Verarbeitungsaktivitäten mit hohem Risiko erforderlich, darunter:

• Systematische Bewertung persönlicher Aspekte durch automatisierte Verarbeitung, Profiling oder Vorhersagen
• Umfangreiche Verarbeitung sensibler personenbezogener Daten
• Systematische Überwachung öffentlich zugänglicher Bereiche im großen Maßstab

---

Sicherheitsanforderungen

§ 38 NDPA fordert dem Risiko angemessene technische und organisatorische Sicherheitsmaßnahmen. NDPC und NITDA haben technische Leitlinien herausgegeben, die Folgendes spezifizieren:

Technische Mindestmaßnahmen:

• Verschlüsselung personenbezogener Daten bei der Speicherung und Übertragung (TLS für die Übertragung, AES-256 für sensible Daten)
• Zugriffskontrolle mit Authentifizierung und geringsten Berechtigungen
• Pseudonymisierung, soweit möglich
• Systemprüfprotokolle und Zugriffsprotokolle
• Regelmäßige Sicherheitstests (mindestens jährlich)
• Funktionen zur Erkennung und Reaktion von Vorfällen
• Sichere Sicherung und Wiederherstellung

Mindestorganisatorische Maßnahmen:

• Dokumentierte Datenschutz- und Sicherheitsrichtlinien
• Mitarbeiterschulung zu Datenschutzpflichten
• Datenklassifizierungsrahmen
• Sicherheitsbewertungen von Anbietern/Verarbeitern
• Physische Sicherheitskontrollen für Datenverarbeitungsanlagen

---

Grenzüberschreitende Datenübertragungen

Abschnitt 43 des NDPA schränkt die Übermittlung personenbezogener Daten außerhalb Nigerias ein. Zulässige Mechanismen:

1. NDPC-Angemessenheitsentscheidung: Übermittlung in ein Land, das laut NDPC über einen angemessenen Datenschutz verfügt
2. Angemessene Garantien: Übermittlung unter Garantien, die den betroffenen Personen durchsetzbare Rechte bieten, einschließlich:

• Rechtsverbindliches Instrument zwischen Behörden
• Verbindliche Unternehmensregeln
• Von NDPC genehmigte Standardvertragsklauseln
• Zertifizierungsmechanismus mit verbindlichen Verpflichtungen

3. Ausdrückliche Einwilligung: Informierte Einwilligung der betroffenen Person in Bezug auf die geplante Übermittlung, Risiken und das Fehlen angemessener Entscheidungen oder Garantien
4. Vertragsnotwendigkeit: Übermittlung erforderlich für den Vertrag zwischen der betroffenen Person und dem Verantwortlichen
5. Lebenswichtige Interessen: Schutz lebenswichtiger Interessen, wenn keine Einwilligung eingeholt werden kann
6. Öffentliches Interesse: Übertragung erforderlich für wichtiges öffentliches Interesse

NDPC-Angemessenheitsbestimmungen: Die Kommission entwickelt ihren Angemessenheitsrahmen. Bis Anfang 2026 wurden keine formellen Angemessenheitsbeschlüsse veröffentlicht. Standardvertragsklauseln sind der empfohlene Mechanismus für routinemäßige grenzüberschreitende Überweisungen, während der Angemessenheitsrahmen ausgereift ist.

---

Benachrichtigung über Verstöße

Gemäß Abschnitt 40 des NDPA ist die Meldung von Verstößen gegen den Schutz personenbezogener Daten erforderlich:

Benachrichtigung an NDPC: Innerhalb von 72 Stunden nach Kenntniserlangung eines Verstoßes, der voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Einzelnen führt.

Benachrichtigung der betroffenen Personen: Ohne unangemessene Verzögerung, wenn der Verstoß voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten mit sich bringt.

Benachrichtigungsinhalt an NDPC:

• Art des Verstoßes und Kategorien/ungefähre Anzahl der betroffenen betroffenen Personen
• Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze
• Kontaktdaten des Datenschutzbeauftragten
• Wahrscheinliche Folgen des Verstoßes
• Maßnahmen, die ergriffen oder vorgeschlagen wurden, um den Verstoß zu beheben, einschließlich Maßnahmen zur Abmilderung nachteiliger Auswirkungen

Dokumentation: Alle Verstöße (auch solche, die keiner Meldung bedürfen) müssen intern mit Fakten, Auswirkungen und Abhilfemaßnahmen dokumentiert werden.

---

NDPC-Durchsetzung und Strafen

Die Nigeria Data Protection Commission (NDPC) ist eine unabhängige Regierungsbehörde, die im Rahmen des NDPA 2023 gegründet wurde. Zu den Befugnissen gehören:

• Entgegennahme und Untersuchung von Beschwerden
• Durchführung von Audits (geplant und unangekündigt)
• Herausgabe von Compliance-Mitteilungen
• Verhängung verwaltungsrechtlicher Sanktionen
• Weiterleitung strafrechtlicher Verstöße an den Generalstaatsanwalt

Verwaltungsrechtliche Sanktionen:

Strafrechtliche Sanktionen: Das NDPA sieht eine strafrechtliche Haftung für bestimmte Verstöße vor, einschließlich des rechtswidrigen Handels mit personenbezogenen Daten. Abschnitt 48 des NDPA sieht strafrechtliche Sanktionen einschließlich Freiheitsstrafe vor.

Geschichte der NITDA-Durchsetzung: Im Rahmen des NDPR verhängte die NITDA Bußgelder, darunter: Spenmo Technologies (10 Mio. ₦), Julius Berger Nigeria (10 Mio. ₦), Integrated Corporate Services Limited (4 Mio. ₦). Diese zeigen eine aktive Durchsetzung, die sich sowohl auf inländische als auch auf internationale Unternehmen erstreckt, die in Nigeria tätig sind.

---

NDPA-Compliance-Checkliste

• NDPA-Anwendbarkeit bestätigt (Nigeria-Betriebe, nigerianische Kunden/Mitarbeiter)
• Bestandsaufnahme personenbezogener Daten abgeschlossen
• Sensible personenbezogene Daten identifiziert – ausdrückliche Zustimmung eingeholt
• Kinderdaten identifiziert – Mechanismen zur Einwilligung der Eltern implementiert
• Rechtsgrundlage für jede Verarbeitungstätigkeit dokumentiert
• Datenschutzerklärung in englischer Sprache mit allen erforderlichen Offenlegungen
• Bei Bedarf wird ein Datenschutzbeauftragter ernannt (mehr als 10.000 betroffene Personen/Monat oder sensible Daten im Kerngeschäft)
• Jährliches Datenschutzaudit mit einem von der NITDA lizenzierten DPCO geplant
• Verfahren zu den Rechten der betroffenen Personen dokumentiert
• Bewertung der grenzüberschreitenden Übertragung abgeschlossen – Standardvertragsklauseln oder andere Mechanismen vorhanden
• Sicherheitsmaßnahmen implementiert (Verschlüsselung, Zugriffskontrolle, Audit-Protokollierung)
• DPIA für Verarbeitungsaktivitäten mit hohem Risiko durchgeführt
• Verfahren zur Meldung von Verstößen dokumentiert (72-Stunden-NDPC-Benachrichtigung)
• Mitarbeiterschulung zu NDPA-Pflichten abgeschlossen
• Auftragsverarbeitervereinbarungen (Datenverarbeitungsvereinbarungen) überprüft und aktualisiert

---

Häufig gestellte Fragen

Ist der NDPR nach Inkrafttreten des NDPA 2023 noch relevant?

Das NDPA 2023 ersetzt widersprüchliche Bestimmungen des NDPR. Allerdings hat die NDPC darauf hingewiesen, dass die NDPR-Leitlinien und Compliance-Mechanismen während der Übergangszeit weiterhin anwendbar bleiben. Wichtig ist, dass die jährliche Prüfungspflicht – eines der markantesten Merkmale des NDPR – auch im NDPA fortbesteht. Organisationen, die ihre Compliance-Programme auf der Grundlage von NDPR aufgebaut haben, sollten die NDPA auf neue oder erweiterte Verpflichtungen prüfen, insbesondere in Bezug auf die Rechte betroffener Personen, sensible Daten, grenzüberschreitende Übermittlungen und die DPO-Anforderung.

Was ist eine Data Protection Compliance Organization (DPCO) und warum brauche ich eine?

Ein DPCO ist eine von NITDA/NDPC lizenzierte Organisation zur Bereitstellung von Datenschutzprüfungs- und Compliance-Diensten. Das nach nigerianischem Recht erforderliche jährliche Datenschutzaudit muss von einem lizenzierten DPCO durchgeführt werden – eine Selbstbewertung allein genügt dieser Anforderung nicht. DPCOs überprüfen Ihre Datenschutzpraktiken, erstellen einen Compliance-Bericht und reichen die Prüfung in Ihrem Namen beim NDPC ein. Eine Liste der lizenzierten DPCOs ist auf den Websites von NITDA und NDPC verfügbar. Für ausländische Unternehmen mit nigerianischen Niederlassungen ist die Beauftragung eines DPCO von entscheidender Bedeutung, um der jährlichen Prüfungspflicht nachzukommen.

Was bedeutet „Datenverantwortlicher von erheblicher Bedeutung“ und welche zusätzlichen Pflichten bestehen?

Als Datenverantwortliche von erheblicher Bedeutung gelten Personen, die personenbezogene Daten von mehr als 10.000 betroffenen Personen pro Monat verarbeiten oder sensible personenbezogene Daten als Kerntätigkeit verarbeiten. Zu den zusätzlichen Verpflichtungen für diese Unternehmen gehören: obligatorische Ernennung eines Datenschutzbeauftragten, Registrierung beim NDPC (getrennt vom VERBİS-Register), erweiterte jährliche Prüfungsanforderungen und potenzielle zusätzliche Compliance-Einreichungen. Mittlere und große E-Commerce-Unternehmen, Finanzdienstleistungsunternehmen, Gesundheitsplattformen und Telekommunikationsbetreiber gelten wahrscheinlich als Datenverantwortliche von großer Bedeutung.

Wie schneidet Nigerias NDPA im Vergleich zur DSGVO ab?

Das NDPA orientiert sich in Struktur und Inhalt stark an der DSGVO – sechs Rechtsgrundlagen, dieselben Kategorien sensibler Daten (plus biometrische und genetische Daten), ähnliche Rechte der betroffenen Personen, DPO-Anforderungen, DPIA-Pflichten und Meldung von Verstößen. Hauptunterschiede: (1) Nigerias obligatorische jährliche externe Prüfung hat kein DSGVO-Äquivalent; (2) NDPC-Angemessenheitsbestimmungen sind weniger entwickelt als der Angemessenheitsrahmen der EU-Kommission; (3) Nigerias Durchsetzungsinfrastruktur ist neuer und entwickelt sich noch; (4) Die Strafen des NDPA sind in absoluten Zahlen im Allgemeinen niedriger als die Höchstsätze der DSGVO für große Unternehmen; (5) Nigerias grenzüberschreitende Transferregeln sind ähnlich strukturiert wie die DSGVO, die spezifischen Mechanismen unterscheiden sich jedoch in der Umsetzung.

Gilt NDPA für nigerianische Unternehmen, die im Ausland tätig sind?

Ja. Das NDPA gilt für nigerianische Unternehmen, unabhängig davon, wo die Verarbeitung erfolgt. Ein nigerianisches Unternehmen mit Offshore-Cloud-Infrastruktur, ausländischen Tochtergesellschaften oder internationalen Betrieben unterliegt weiterhin dem NDPA für die Verarbeitung der Daten nigerianischer Personen. Umgekehrt unterliegen ausländische Unternehmen, die Daten von Nigerianern innerhalb Nigerias verarbeiten oder Nigerianern Waren/Dienstleistungen anbieten, ebenfalls den extraterritorialen Bestimmungen des NDPA. Daraus ergibt sich für nigerianische multinationale Unternehmen eine doppelte Verpflichtung: die Einhaltung des NDPA für nigerianische Daten sowie die Einhaltung der Gesetze in jedem Land, in dem sie tätig sind.

---

Nächste Schritte

Nigerias Datenschutzlandschaft reift schnell heran, wobei mit dem NDPA 2023 ein stärkerer gesetzlicher Rahmen geschaffen wird und das NDPC Durchsetzungskapazitäten aufbaut. Für Unternehmen mit nigerianischen Niederlassungen – ob lokale Unternehmen oder internationale Firmen, die den nigerianischen Markt bedienen – ist der Aufbau eines umfassenden Compliance-Programms, das sowohl die NDPA als auch die laufenden Anforderungen des NDPR erfüllt, von entscheidender Bedeutung.

ECOSIRE unterstützt in Afrika tätige Unternehmen dabei, die NDPA-Compliance-Anforderungen Nigerias zu erfüllen, den Datenschutz durch Technik umzusetzen und die vom NDPC geforderten Governance-Rahmen zu etablieren.

Weitere Informationen: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Der nigerianische Datenschutzrahmen entwickelt sich weiter, da die NDPC Umsetzungsrichtlinien und -vorschriften herausgibt. Wenden Sie sich an einen qualifizierten nigerianischen Rechtsberater, um spezifische Ratschläge für Ihre Organisation zu erhalten.