Der Personal Information Protection and Electronic Documents Act (PIPEDA) ist Kanadas Bundesdatenschutzgesetz, das die Erhebung, Nutzung und Weitergabe personenbezogener Daten im Rahmen kommerzieller Aktivitaten regelt. Seit dem Jahr 2000 in Kraft, gilt PIPEDA fur Organisationen des Privatsektors, die in Kanada kommerziell tatig sind, mit Ausnahme der Provinzen, die im Wesentlichen vergleichbare Gesetze erlassen haben (Quebec, Alberta und British Columbia fur innerprovinzielle Aktivitaten). Da das Office of the Privacy Commissioner of Canada (OPC) die Durchsetzung verstarkt und sich die Gesetzeslandschaft weiterentwickelt, ist das Verstandnis Ihrer Pflichten unter PIPEDA fur jedes im kanadischen Markt tatige Unternehmen unerlasslich. Fur deutsche Unternehmen, die bereits mit der DSGVO und dem BDSG vertraut sind, bietet PIPEDA sowohl vertraute Konzepte als auch wesentliche Unterschiede.
Die 10 Grundsatze des fairen Umgangs mit Informationen
PIPEDA basiert auf zehn Grundsatzen des fairen Umgangs mit Informationen, die in Anhang 1 des Gesetzes festgelegt sind. Diese Grundsatze bilden die Grundlage aller Compliance-Bemuhungen.
1. Verantwortlichkeit. Ihre Organisation ist fur die personenbezogenen Daten verantwortlich, die sie besitzt. Sie mussen eine Person oder ein Team benennen, das fur die PIPEDA-Compliance verantwortlich ist. Diese Verantwortung erstreckt sich auf Daten, die zur Verarbeitung an Dritte ubertragen werden.
2. Zweckbestimmung. Die Zwecke, fur die personenbezogene Daten erhoben werden, mussen vor oder zum Zeitpunkt der Erhebung identifiziert werden. Daten durfen nicht spekulativ erhoben werden: Jede Erhebung muss einen dokumentierten, spezifischen Zweck haben.
3. Einwilligung. Die Erhebung, Nutzung oder Weitergabe personenbezogener Daten erfordert das Wissen und die Einwilligung der betroffenen Person, ausser in bestimmten gesetzlich definierten Umstanden. Die Einwilligung muss aussagekraftig, informiert und der Sensibilitat der Informationen angemessen sein. Fur sensible Daten (Gesundheitsdaten, Finanzdaten, biometrische Daten) ist eine ausdruckliche Einwilligung erforderlich.
4. Beschrankung der Erhebung. Die Erhebung personenbezogener Daten muss auf das fur die identifizierten Zwecke Notwendige beschrankt werden. Die Erhebung ubermassiger Daten im Verhaltnis zu Ihren tatsachlichen Bedurfnissen verstosst gegen diesen Grundsatz.
5. Beschrankung von Nutzung, Weitergabe und Aufbewahrung. Personenbezogene Daten durfen nur fur die Zwecke verwendet oder weitergegeben werden, fur die sie erhoben wurden, es sei denn, es wird eine zusatzliche Einwilligung eingeholt oder es besteht eine gesetzliche Verpflichtung. Daten durfen nur so lange aufbewahrt werden, wie es notwendig ist, und mussen danach sicher vernichtet werden.
6. Genauigkeit. Personenbezogene Daten mussen so genau, vollstandig und aktuell sein, wie es fur die Zwecke, fur die sie verwendet werden, erforderlich ist. Die Verwendung ungenauer Daten fur Entscheidungen, die eine Person betreffen, verstosst gegen diesen Grundsatz.
7. Sicherheitsvorkehrungen. Sie mussen personenbezogene Daten durch Sicherheitsmassnahmen schutzen, die der Sensibilitat der Daten angemessen sind: Verschlusselung, Zugriffskontrollen, Protokollierung, Backups und dokumentierte Sicherheitsrichtlinien.
8. Offenheit. Ihre Richtlinien und Praktiken bezuglich des Umgangs mit personenbezogenen Daten mussen leicht zuganglich und verstandlich sein. Ihre Datenschutzrichtlinie ist das primare Instrument dieser Transparenz.
9. Individueller Zugang. Auf Anfrage mussen Sie jede Person uber die Existenz personenbezogener Daten uber sie informieren, wie diese verwendet werden und an wen sie weitergegeben wurden. Sie mussen auch Zugang gewahren und die Korrektur von Ungenauigkeiten ermoglichen.
10. Anfechtung der Compliance. Jede Person muss in der Lage sein, die Einhaltung dieser zehn Grundsatze durch eine Organisation anzufechten, indem sie den Datenschutzbeauftragten der Organisation kontaktiert.
Wer muss PIPEDA einhalten
PIPEDA gilt fur jede Organisation des Privatsektors, die personenbezogene Daten im Rahmen kommerzieller Aktivitaten erhebt, nutzt oder weitergibt. In der Praxis umfasst dies:
- Unternehmen in Provinzen ohne im Wesentlichen vergleichbare Gesetzgebung (alle ausser Quebec, Alberta und British Columbia fur innerprovinzielle Aktivitaten)
- Alle Unternehmen fur interprovinzielle und internationale Aktivitaten, auch in Provinzen mit eigenen Gesetzen
- Bundesregulierte Unternehmen (Banken, Telekommunikation, interprovinzieller Transport) uberall in Kanada
Bemerkenswerte Ausnahme: Quebec. Seit dem Inkrafttreten von Gesetz 25 (Gesetz zur Modernisierung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten) verfugt Quebec uber einen eigenen umfassenden Datenschutzrahmen. Fur Unternehmen, die hauptsachlich in Quebec tatig sind, ersetzt Gesetz 25 PIPEDA fur innerprovinzielle Aktivitaten.
Vergleich mit dem deutschen BDSG
Fur deutsche Unternehmen, die eine Expansion nach Kanada in Betracht ziehen, ist der Vergleich mit dem heimischen Rahmenwerk aufschlussreich. Das Bundesdatenschutzgesetz (BDSG), das die DSGVO in Deutschland erganzt, ist zusammen mit der DSGVO deutlich strenger als PIPEDA. Wahrend der BfDI (Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit) und die Landesdatenschutzbehorden Bussgelder von bis zu 20 Millionen Euro oder 4 % des globalen Jahresumsatzes verhangen konnen, beschranken sich die direkten Sanktionen unter PIPEDA auf 100.000 CAD fur Verstossen gegen die Meldepflicht bei Datenschutzverletzungen. Allerdings wurde das kanadische Gesetzesvorhaben C-27 Sanktionen von bis zu 10 Millionen CAD oder 3 % der globalen Bruttoeinnahmen einfuhren.
Einwilligung unter PIPEDA
Die Einwilligung ist der Eckpfeiler von PIPEDA. Die OPC hat detaillierte Richtlinien veroffentlicht, was eine gultige Einwilligung ausmacht:
Ausdruckliche vs. stillschweigende Einwilligung. Eine ausdruckliche Einwilligung (Opt-in) ist fur sensible Daten und fur Verwendungen erforderlich, die von der Person nicht vernunftigerweise erwartet werden. Eine stillschweigende Einwilligung kann fur offensichtliche, nicht sensible Verwendungen akzeptabel sein, wie die Nutzung einer Lieferadresse zur Zustellung einer Bestellung.
Gultigkeitskriterien. Die OPC verlangt, dass die Einwilligung:
- Informiert ist: Die Person muss verstehen, wozu sie einwilligt
- Freiwillig ist: kein ungebuhrlicher Druck oder missbrauchliche Bedingungen
- Spezifisch ist: Die Einwilligung deckt bestimmte Zwecke ab, nicht eine pauschale Genehmigung
- Widerrufbar ist: Die Person kann die Einwilligung jederzeit zuruckziehen
Ausnahmen von der Einwilligung. PIPEDA sieht Ausnahmen vor, in denen keine Einwilligung erforderlich ist: Erfullung einer Vorladung oder eines Haftbefehls, lebensbedrohliche Notfalle, journalistische, kunstlerische oder literarische Zwecke und bestimmte Erhebungen durch Dritte zur Untersuchung von Vertragsverletzungen.
Pflichten zur Datenschutzrichtlinie
Unter PIPEDA muss Ihre Datenschutzrichtlinie zuganglich, klar und umfassend sein. Sie muss Folgendes enthalten:
- Die Identitat Ihrer Organisation und die Kontaktdaten Ihres Datenschutzbeauftragten
- Die Arten personenbezogener Daten, die Sie erheben
- Die Zwecke der Erhebung, Nutzung und Weitergabe
- Dritte, mit denen Sie Daten teilen, und warum
- Die von Ihnen implementierten Sicherheitsmassnahmen
- Individuelle Rechte (Zugang, Korrektur, Beschwerde)
- Die Verfahren zur Ausubung dieser Rechte
- Die Aufbewahrungsfristen fur personenbezogene Daten
Pflicht zur Meldung von Datenschutzverletzungen
Seit November 2018 verlangt PIPEDA die obligatorische Meldung von Verletzungen der Sicherheitsvorkehrungen (Abschnitte 10.1 bis 10.3 des Gesetzes). Wenn eine Verletzung ein reales Risiko eines erheblichen Schadens fur Personen darstellt, mussen Sie:
1. Die OPC benachrichtigen. Der Bericht muss die Art der Verletzung, die betroffenen Daten, die Anzahl der betroffenen Personen, die ergriffenen Massnahmen und die geplanten Massnahmen zur Risikominderung beschreiben.
2. Betroffene Personen benachrichtigen. Die Benachrichtigung muss direkt erfolgen (E-Mail, Brief, Telefonanruf) und eine Beschreibung der Verletzung, die betroffenen Daten, die Schritte, die die Person zu ihrem Schutz unternehmen kann, sowie die Kontaktdaten einer Person in Ihrer Organisation enthalten.
3. Drittorganisationen benachrichtigen. Wenn eine andere Organisation das Schadensrisiko verringern kann (z. B. ein Finanzinstitut bei durchgesickerten Bankdaten), mussen Sie diese ebenfalls benachrichtigen.
4. Aufzeichnungen fuhren. Alle Verletzungen mussen in einem Register erfasst werden, auch solche, die kein reales Risiko eines erheblichen Schadens darstellen. Die OPC kann dieses Register jederzeit anfordern.
Die Nichteinhaltung dieser Pflichten ist eine Straftat, die mit Geldstrafen von bis zu 100.000 CAD geahndet werden kann.
Befugnisse der OPC und Folgen der Nichteinhaltung
Das Office of the Privacy Commissioner untersucht Beschwerden, fuhrt Audits durch und veroffentlicht Feststellungen. Obwohl die OPC nicht die direkte Befugnis hat, unter PIPEDA Bussgelder zu verhangen (ausser bei Verstossen gegen die Meldepflicht), kann sie:
- Feststellungen veroffentlichen, die nicht konforme Organisationen namentlich nennen
- Angelegenheiten an das Bundesgericht verweisen, das Compliance anordnen und Schadensersatz zusprechen kann
- Vom Kommissar initiierte Audits durchfuhren
- Leitlinien veroffentlichen, die die Auslegung des Gesetzes beeinflussen
Gesetzentwurf C-27 (Digital Charter Implementation Act). Dieser Entwurf, der PIPEDA durch den Consumer Privacy Protection Act (CPPA) ersetzen soll, wurde administrative Geldstrafen von bis zu 10 Millionen CAD oder 3 % der globalen Bruttoeinnahmen einfuhren. Obwohl der Entwurf noch nicht verabschiedet wurde, zeigt er die Richtung, in die Kanada bei der Durchsetzung des Datenschutzes geht.
Vier Ansatze zur PIPEDA-Compliance
Einen Datenschutzanwalt beauftragen
Kosten: 3.000 bis 10.000 CAD fur ein umfassendes Compliance-Programm. Zeitrahmen: 3 bis 6 Wochen.
Ein Datenschutzanwalt kann eine vollstandige Prufung Ihrer Praktiken durchfuhren, Ihre Datenschutzrichtlinie erstellen, Verfahren zur Bearbeitung von Anfragen einrichten und Ihr Team schulen. Dieser Ansatz wird fur Unternehmen empfohlen, die grosse Mengen sensibler personenbezogener Daten verarbeiten.
Ein generisches KI-Tool verwenden
Scheinbare Kosten: 0 $. Tatsachliche Kosten: die Compliance-Lucken, die es erzeugt.
Ein generischer Chatbot kann Text erzeugen, der einer Datenschutzrichtlinie ahnelt, aber er kann Ihre tatsachlichen Datenflusse nicht prufen oder sicherstellen, dass Ihre Angaben alle zehn PIPEDA-Grundsatze abdecken. Die Kluft zwischen Schein und tatsachlicher Compliance ist genau dort, wo das Durchsetzungsrisiko liegt.
Eine kostenlose Vorlage kopieren
Kosten: 0 $. Risiko: hoch.
Kostenlose Vorlagen sind generisch, oft veraltet und nie an Ihre spezifische Tatigkeit angepasst. Sie decken in der Regel weder die obligatorischen Meldepflichten bei Datenschutzverletzungen noch die OPC-spezifischen Anforderungen ab.
Einen spezialisierten Generator fur Rechtsdokumente verwenden
Kosten: 19,90 € bis 49,90 €. Zeitrahmen: unter 10 Minuten.
Ein spezialisierter Generator stellt gezielte Fragen zu Ihrem Unternehmen und erstellt eine Datenschutzrichtlinie, die die PIPEDA-Anforderungen berucksichtigt. Der WebLegal Compliance-Scanner deckt die PIPEDA-Anforderungen ab. Dieser Ansatz bietet das beste Gleichgewicht zwischen Compliance-Strenge und Zuganglichkeit fur die Mehrheit der Online-Unternehmen.
Fazit
PIPEDA legt kanadischen Unternehmen klare und detaillierte Verpflichtungen zum Schutz personenbezogener Daten auf. Die zehn Grundsatze des fairen Umgangs mit Informationen, die Einwilligungsanforderungen, die Transparenzpflichten und die obligatorische Meldung von Datenschutzverletzungen bilden einen umfassenden Rahmen, der nicht ignoriert werden kann. Da die Durchsetzung schrittweise verstarkt wird und die gesetzgeberische Richtung auf strengere Strafen zielt, ist Compliance nicht nur eine gesetzliche Verpflichtung — sie ist eine betriebliche Notwendigkeit. Handeln Sie jetzt, um Ihr Unternehmen und das Vertrauen Ihrer Kunden zu schutzen.