Kanadas PIPEDA zum Schutz persönlicher Daten

Wir haben auf unserem Blog schon oft über Privatsphäre und Datenschutz gesprochen. Auch über das Thema im Allgemeinen, über GDPR, LGPD und sogar CCPA, aber noch nie haben wir das Thema PIPEDA - The Personal Information Protection and Electronic Documents Act - angesprochen. In diesem Artikel werfen wir einen Blick auf die Datenschutzgesetze in Kanada, die aktuelle Gesetzgebung und zukünftige Gesetzesvorschläge.

Kanada hat zwei Bundesgesetze, die vom Office of the Privacy Commissioner of Canada (OPC) durchgesetzt werden, der spezialisierten Institution, die für den Umgang mit und den Schutz von Datenschutzrechten zuständig ist, dem Äquivalent der Data Protection Authority (DPA) in der EU. Laut der offiziellen Webseite der OPC (die sehr ausführlich ist und die Sie unbedingt besuchen sollten, wenn Sie kanadischer Webseitenbesitzer sind), sind die Bundesgesetze zum Datenschutz des Landes wie folgt:

Der Privacy Act

Der Privacy Act regelt, wie die Regierung mit persönlichen Daten ihrer Bürger umgeht. Daten, die für die Umsetzung öffentlicher Maßnahmen und nationaler Programme verwendet werden. Es besagt, dass Kanadier das Recht haben, zu erfahren, wann und wie ihre persönlichen Daten gesammelt werden und wie sie von Regierungsbehörden verwendet werden. Dieses Gesetz schützt die persönlichen Daten, die diese Institutionen besitzen und gewährt den Bürgern das Recht, auf ihre Daten zuzugreifen. Der Privacy Act gilt in der Regel für die folgenden von der Regierung bereitgestellten Dienstleistungen

• Arbeitsversicherung

• Rentenversicherungsleistungen

• öffentliche Sicherheit und Bundespolitik

• Steuererhebung und -erstattung

• Grenzsicherheit

Einblick in den Personal Information Protection Act (PIPEDA)

PIPEDA regelt, wie der private Sektor mit persönlichen Daten umgeht und wurde zuletzt im Mai 2019 überarbeitet. Laut OPC definiert PIPEDA persönliche Daten als subjektive Informationen über eine identifizierbare Person in jeglicher Form wie z.B.:

• Alter, Name, Ausweisnummern, Einkommen, ethnische Herkunft und Blutgruppe

• Meinungen, Bewertungen, Kommentare, sozialer Status oder disziplinarische Maßnahmen und

• Mitarbeiterakten, Kreditunterlagen, Darlehensunterlagen, medizinische Unterlagen, das Bestehen eines Rechtsstreits zwischen einem Verbraucher und einem Händler, Absichten (z. B. zum Erwerb von Waren oder Dienstleistungen oder zum Arbeitsplatzwechsel)

Damit ein Unternehmen PIPEDA-konform ist, muss es immer die Zustimmung der Person einholen, bevor es deren persönliche Daten sammelt. Diese Daten dürfen nur für den Zweck verwendet werden, für den sie gesammelt wurden. Eine erneute Zustimmung ist erforderlich, wenn die Daten weitergegeben und auf eine andere Art und Weise verwendet werden sollen, als zuvor von der Person genehmigt wurde. Personen haben das Recht, jederzeit auf ihre Daten zuzugreifen und deren Richtigkeit anzufechten. Dies mag sehr streng klingen, aber bedenken Sie, dass die GDPR strenger und besser definiert ist. Während bei PIPEDA die Zustimmung "ausdrücklich" oder "stillschweigend" erfolgen kann, was Raum für Diskussionen lässt, muss die GDPR-Zustimmung sehr spezifisch sein. Ein weiterer sehr großer Unterschied liegt bei den Bußgeldern vor, wobei die PIPEDA-Bußgelder viel niedriger sind (100.000 CAD$, ca. 65.000 €) im Vergleich zu den GDPR-Bußgeldern (20 Millionen € oder 4 % des Jahresumsatzes des Unternehmens). Auch die extraterritoriale Anwendbarkeit und Datenverstöße werden unterschiedlich behandelt. Einen ausführlicheren Vergleich zwischen PIPEDA und GDPR können Sie in dieser Broschüre nachlesen.

Neben PIPEDA und dem Privacy Act gibt es auch regionale Datenschutzgesetze, die sich von Provinz zu Provinz unterscheiden. So haben beispielsweise Alberta und British Columbia Datenschutzgesetze erlassen, um Mitarbeiterdaten besser zu regeln und weitere andere Provinzen, darunter Ontario, haben gesundheitsbezogene Datenschutzgesetze, um die Daten von medizinischen Patienten besser zu schützen. Es gibt auch branchenspezifische Datenschutzgesetze, wie z. B. das Bankgesetz, das die Richtigkeit von Daten sicherstellt und die Weitergabe von Informationen einschränkt.

Der Digital Charter Implementation Act, 2020

Diese Pandemie hat mit Sicherheit die Art und Weise verändert, wie die Menschen leben, denn sie interagieren mehr denn je mit Hilfe von Technologie. Mehr persönliche Informationen als je zuvor werden über Online-Medien übertragen, vor allem mit der aktuellen Umstellung von Büros auf "home office". Die meisten rechtlichen Dokumente von Unternehmen werden jetzt online übertragen. Natürlich geschieht dies auf der ganzen Welt, aber die kanadische Regierung sah dies als Grund zur Verbesserung ihrer aktuellen Datenschutzgesetze. Unter diesen Voraussetzungen schlug der kanadische Minister für Innovation, Wissenschaft und Industrie, Navdeep Bains, ein neues Gesetzesprojekt vor: den Digital Charter Implementation Act, 2020.

"Die COVID-19-Pandemie hat die digitale Transformation beschleunigt, die die Art und Weise verändert, wie Kanadier arbeiten, auf Informationen zugreifen, Dienstleistungen in Anspruch nehmen und sich mit ihren Angehörigen in Verbindung setzen. Diese Transformation macht die Sorge um den Datenschutz und die Art und Weise, wie Unternehmen mit den Daten der Kanadier umgehen, wichtiger denn je. Da sich die Kanadier zunehmend auf Technologie verlassen, brauchen wir ein System, in dem sie wissen, wie ihre Daten verwendet werden und in dem sie die Kontrolle darüber haben, wie damit umgegangen wird. Damit Kanada erfolgreich sein kann und unsere Unternehmen in der Lage sind, in dieser neuen Realität innovativ zu sein, brauchen wir ein System, das auf Vertrauen basiert, mit klaren Regeln und Durchsetzung. Diese Gesetzgebung ist ein wichtiger Schritt, um dieses Ziel zu erreichen." - Navdeep Bains, Minister für Innovation, Wissenschaft und Industrie, Quelle: the Government of Canada, canada.ca.

Zusammenfassend lässt sich sagen, dass Änderungen und Verbesserungen im Gange sind. Hier bei TWIPLA tun wir immer unser Bestes, um bei internationalen Gesetzen immer auf dem Laufenden zu bleiben und das beste datenschutzkonforme Web-Analysewerkzeug auf dem Markt anzubieten, damit unsere Nutzer vor Klagen und Bußgeldern sicher sind.