In die Fußstapfen anderer Gesetzgeber tretend, führte das kanadische Unterhaus im November 2020 den Digital Charter Implementation Act (DCIA), auch bekannt als Bill C-11, ein. Wie ähnliche Datenschutzgesetze zielt das DCIA darauf ab, die Erfassung, Verteilung, Verwendung und Offenlegung von Verbraucherinformationen zu regulieren, die für kommerzielle Aktivitäten verwendet werden.
Im Rahmen des DCIA soll das CPPA aktualisiert werden, um die veralteten Vorschriften Kanadas zu modernisieren und einen robusten Schutz der kanadischen personenbezogenen Daten zu gewährleisten.
Wenn Sie die personenbezogenen Daten von Kanadiern zu kommerziellen Zwecken verarbeiten, gilt dieses Gesetz für Sie. Daher ist es wichtig, sich mit den grundlegenden Details vertraut zu machen.
Was ist der CPPA?
Das CPPA oder das Gesetz zum Schutz der Privatsphäre von Verbrauchern ist im Digital Charter Implementation Act enthalten. Nachdem kürzlich die DSGVO der EU und das kalifornische CPPA verabschiedet wurden, aktualisiert das CPPA auch die kanadischen Datenschutzgesetze und bringt sie mit neuen internationalen Normen in Einklang.
Grundsätzlich wird dieses neue Gesetz eine größere Transparenz bei der Verwendung personenbezogener Daten durch Unternehmen erzwingen und die individuelle Kontrolle verbessern.
Interessanterweise bezieht sich Bill C-11 in seiner jetzigen Form auf „Einzelpersonen“ und spezifiziert weder kanadische „Bürger“ noch „Einwohner“. Daher kann es für fast jeden gelten, der innerhalb der kanadischen Grenzen wohnt.
Wie verändert das CPPA die bestehende Gesetzgebung?
In erster Linie wird ein neues Datenschutzgesetz für den privaten Sektor eingeführt, da das frühere Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA) dringend ersetzt werden muss. Darüber hinaus zielt der Personal Information and Data Protection Tribunal Act (PIDPT) – eine weitere Facette des DCIA – darauf ab, ein Schiedsgericht zu schaffen, das befugt ist, erhebliche Geldstrafen gegen jede Person oder jedes Unternehmen zu verhängen, das gegen den CPPA verstößt.
Im Vergleich zu PIPEDA ändert das CPPA nichts am Umfang dessen, was geschützt ist. Vielmehr bietet es Einzelpersonen die Möglichkeit, Unternehmen wegen Verstößen zu verklagen (Klagerecht). Der CPPA erweitert auch die Anforderungen an die Einwilligung, die explizit und informiert sein müssen – was die DSGVO der EU widerspiegelt. Schließlich muss eine Organisation ihre Datenerfassungszwecke und -verwendung nachweisen. Es kann auch nur Daten außerhalb Kanadas nach strengen neuen Kriterien übertragen.
Derzeit ist das Gesetz noch nicht in Kraft getreten – obwohl es voraussichtlich Ende 2021 verabschiedet wird. Den aktuellen Antrag finden Sie hier.
Was sind die Anforderungen des CPPA?
Dies ist eine wichtige Änderung der kanadischen Datenschutzgesetze und erfordert erhebliche Änderungen der aktuellen Unternehmenspraktiken.
Hier sind die wichtigsten Anforderungen des CPPA:
Angemessene Datenverarbeitung
Gemäß § 12 Abs. 2 CPPA ist die Erhebung, Verwendung und Offenlegung personenbezogener Daten auf „angemessene“ Umstände beschränkt, die sich auf Folgendes beziehen:
- die Sensibilität der personenbezogenen Daten;
- ob die Zwecke legitime Geschäftsanforderungen der Organisation darstellen;
- die Wirksamkeit der Erhebung, Verwendung oder Offenlegung bei der Erfüllung der legitimen Geschäftsanforderungen der Organisation;
- ob es weniger einschneidende Mittel gibt, um diese Ziele zu vergleichbaren Kosten und mit vergleichbarem Nutzen zu erreichen; und
- ob der Verlust der Privatsphäre des Einzelnen in einem angemessenen Verhältnis zu den Vorteilen im Hinblick auf technische oder anderweitige Maßnahmen steht, die von der Organisation ergriffen wurden, um die Auswirkungen des Verlusts der Privatsphäre auf den Einzelnen zu mildern.
Sinnvolle Einwilligung
Wie bei der DSGVO muss auch beim CPPA die von einer Person eingeholte Einwilligung gültig sein. Das bedeutet, dass sie vor der Datenerfassung erhoben wurden und die Art und Weise offenlegen, in der die Organisation die personenbezogenen Daten sammelt, verwendet oder offenlegt.
Damit die Einwilligung als gültig angesehen werden kann, sollten die folgenden Informationen in „einfacher Sprache“ bereitgestellt werden:
- die Zwecke für die Erhebung, Verwendung oder Offenlegung der personenbezogenen Daten, die von der Organisation festgelegt und gemäß Unterabschnitt 12(3) oder (4) aufgezeichnet werden;
- die Art und Weise, wie die personenbezogenen Daten erhoben, verwendet oder offengelegt werden sollen;
- alle vernünftigerweise vorhersehbaren Folgen der Erhebung, Verwendung oder Offenlegung der personenbezogenen Daten;
- die spezifische Art von personenbezogenen Daten, die erhoben, verwendet oder offengelegt werden sollen; und
- die Namen von Dritten oder Arten von Dritten, an die die Organisation die personenbezogenen Daten weitergeben kann.
Es gibt jedoch einige bemerkenswerte Ausnahmen von der Einwilligung.
- Unternehmen müssen die Einwilligung einholen, wenn die Daten für die Bereitstellung oder Bereitstellung eines Produkts, einer Dienstleistung, eines Systems oder einer Netzwerksicherheit von entscheidender Bedeutung sind.
- Personenbezogene Daten können auch für „angemessene Zwecke“ erhoben werden, jedoch nicht, um das Verhalten einer betroffenen Person zu beeinflussen.
- Bestimmte Fälle der Datenübertragung an einen Dienstleister.
Einzelpersonen können nun auch ihre Einwilligung jederzeit widerrufen oder sich gegen die Weitergabe von Informationen entscheiden. Alles, was eine betroffene Person tun muss, ist, die zuständige Organisation in angemessener Weise zu benachrichtigen, woraufhin die Erhebung und Offenlegung personenbezogener Daten eingestellt werden muss.
Klagerecht
Das CPPA enthält eine Erweiterung der Befugnisse des Datenschutzbeauftragten. Dazu gehören Untersuchungen und Prüfungen von datenschutzbezogenen Geschäftsaktivitäten. Außerdem können sie auch Ermittlungen zu mutmaßlichen CPPA-Verstößen einleiten.
Hier greift das private Klagerecht. Es ermöglicht den betroffenen Personen, eine Organisation vor dem Bundesgericht oder einem übergeordneten Provinzgericht zu verklagen, wenn der Datenschutzbeauftragte die Verstöße bestätigt.
Derzeit definiert das Gesetz den Begriff „Schadenersatz“ nicht. So können Einzelpersonen Schadenersatz für Verluste oder Verletzungen verlangen, die durch den Verstoß entstanden sind.
Strafen und Vollstreckung
Verstöße gegen den CPPA können zu erheblichen Strafen führen, die bis zu 4 % des weltweiten Gesamtumsatzes eines Unternehmens für das Vorjahr oder 25 Millionen kanadische Dollar betragen können – je nachdem, welcher Betrag höher ist. Die meisten Verstöße werden wahrscheinlich nur mit 3 % des weltweiten Gesamtumsatzes eines Unternehmens für das Vorjahr oder mit 10 Millionen kanadischen Dollar erhoben – je nachdem, welcher Betrag höher ist.
Das ist ein erheblicher Anstieg gegenüber den Bußgeldern im Rahmen von PIPEDA (maximal 100.000 CA $ pro Verstoß).
Aus diesem Grund ist es wichtig, den CPPA einzuhalten, wenn er in Kraft tritt. Es ist nicht zu früh, mit den Vorbereitungen zu beginnen.
Quellen:
https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0E0XB0BA
https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0ECCCA
https://www.transatlantic-lawyer.com/canadas-consumer-privacy-protection-act-what-the-changes-mean-for-you/