Wenn Ihr Unternehmen Kunden sowohl in Kanada als auch in der Europaischen Union bedient, unterliegen Sie wahrscheinlich zwei grossen Datenschutzrahmenwerken: der europaischen Datenschutz-Grundverordnung (DSGVO) und Kanadas Personal Information Protection and Electronic Documents Act (PIPEDA). Obwohl beide Gesetze das gemeinsame Ziel verfolgen, personenbezogene Daten zu schutzen, unterscheiden sie sich erheblich in ihrem Ansatz, Geltungsbereich und ihren Durchsetzungsmechanismen. Fur deutsche Unternehmen, die sowohl mit der DSGVO als auch dem BDSG vertraut sind, ist das Verstandnis dieser Unterschiede besonders wichtig fur eine koharente Compliance-Strategie.
Philosophische Grundlagen
Die DSGVO ist eine umfassende, praeskriptive Verordnung, die einheitlich in den 27 EU-Mitgliedstaaten gilt. Sie basiert auf dem Grundsatz, dass Datenschutz ein Grundrecht ist (Artikel 8 der EU-Grundrechtecharta). Jede Datenverarbeitung muss auf einer der sechs Rechtsgrundlagen beruhen, die in Artikel 6 aufgezahlt sind. In Deutschland wird die DSGVO durch das BDSG erganzt, insbesondere bei der Verarbeitung von Beschaftigtendaten.
PIPEDA ist ein auf Grundsatzen basierendes Gesetz und keine praeskriptive Verordnung. Die zehn Grundsatze fur den fairen Umgang mit Informationen in Anhang 1 bieten einen flexiblen Rahmen, den die Office of the Privacy Commissioner of Canada (OPC) von Fall zu Fall auslegt. Dieser Ansatz bietet mehr Flexibilitat, aber auch weniger Rechtssicherheit.
Die Ley 25 von Quebec, die PIPEDA fur innerprovinzielle Aktivitaten ersetzt, verfolgt einen praeskriptiveren Ansatz, der sie der DSGVO annahert.
Geltungsbereich und Anwendbarkeit
Wer ist geschutzt
DSGVO: Jede naturliche Person (betroffene Person), die sich in der Europaischen Union befindet, unabhangig von Staatsangehorigkeit oder Wohnsitz. Ein kanadischer Tourist, der beim Besuch in Berlin eine Website durchsacht, ist wahrend dieses Besuchs durch die DSGVO geschutzt.
PIPEDA: Jede Person, deren personenbezogene Daten im Rahmen einer kommerziellen Tatigkeit in Kanada erhoben, genutzt oder weitergegeben werden. Der Schutz ist an die kommerzielle Tatigkeit gebunden, nicht an den geografischen Standort der Person.
Welche Unternehmen mussen sich daran halten
DSGVO: Jede Organisation weltweit, die personenbezogene Daten von Personen in der EU verarbeitet, sofern sie Waren oder Dienstleistungen fur EU-Einwohner anbietet oder deren Verhalten uberwacht (Artikel 3). Kein Umsatzschwellenwert, kein Mindestdatenvolumen. In Deutschland uberwachen der BfDI (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit) und die Landesdatenschutzbehorden die Einhaltung.
PIPEDA: Organisationen des Privatsektors, die personenbezogene Daten im Rahmen kommerzieller Aktivitaten erheben, nutzen oder weitergeben. Ebenfalls kein Umsatzschwellenwert, aber das Gesetz gilt nur fur kommerzielle Aktivitaten (unter Ausschluss personlicher, journalistischer, kunstlerischer und staatlicher Aktivitaten).
Einwilligung
Hier divergieren die beiden Rahmenwerke am deutlichsten.
DSGVO: Die Einwilligung ist eine von sechs moglichen Rechtsgrundlagen (Artikel 6). Andere Grundlagen — Vertragserfullung, rechtliche Verpflichtung, berechtigte Interessen — erlauben die Datenverarbeitung ohne Einwilligung. Wenn die Einwilligung verwendet wird, muss sie freiwillig, spezifisch, informiert und eindeutig sein (Artikel 7). Vorab angekreuzte Kastchen sind ungultig.
PIPEDA: Die Einwilligung ist der primare Legitimierungsmechanismus. PIPEDA erkennt sowohl ausdruckliche Einwilligung (Opt-in) als auch stillschweigende Einwilligung an, abhangig von der Sensibilitat der Informationen und den berechtigten Erwartungen der Person. Die stillschweigende Einwilligung ist fur nicht sensible, vernunftigerweise vorhersehbare Nutzungen akzeptabel, was kein direktes Aquivalent in der DSGVO hat.
| Aspekt | DSGVO | PIPEDA |
|---|---|---|
| Ausdruckliche Einwilligung | Erforderlich fur sensible Daten (Art. 9) und bestimmte Situationen | Erforderlich fur sensible Daten |
| Stillschweigende Einwilligung | Nicht anerkannt | Akzeptabel fur nicht sensible, vorhersehbare Nutzungen |
| Vorab angekreuzte Kastchen | Ungultig (Planet49-Urteil) | Grundsatzlich akzeptabel fur stillschweigende Einwilligung |
| Alternative Grundlagen | 5 weitere Rechtsgrundlagen | Begrenzte Ausnahmen (Ermittlungen, Notfalle) |
| Widerruf | Jederzeit, so einfach wie die Erteilung | Jederzeit |
Individuelle Rechte
Beide Gesetze verleihen den Betroffenen Rechte, jedoch mit erheblichen Unterschieden:
| Recht | DSGVO | PIPEDA |
|---|---|---|
| Auskunft | Artikel 15: Kopie aller personenbezogenen Daten | Anhang 1, Grundsatz 9: Zugang und Information uber die Nutzung |
| Berichtigung | Artikel 16 | Anhang 1, Grundsatz 9 |
| Loschung | Artikel 17: Recht auf Vergessenwerden mit Ausnahmen | Kein explizites Recht auf Loschung (aber begrenzte Aufbewahrung) |
| Ubertragbarkeit | Artikel 20: strukturiertes, maschinenlesbares Format | Kein Aquivalent (aber im Gesetzentwurf C-27 vorgesehen) |
| Widerspruch | Artikel 21: Recht auf Widerspruch gegen die Verarbeitung | Kein direktes Aquivalent |
| Einschrankung | Artikel 18 | Kein Aquivalent |
| Antwortfrist | 1 Monat (verlangerbar auf 3) | 30 Tage (in bestimmten Fallen verlangerbar) |
Die DSGVO bietet ein breiteres und detaillierteres Spektrum an Rechten. PIPEDA konzentriert sich auf Zugang, Korrektur und Einwilligung als primare Kontrollmechanismen.
Internationale Datentransfers
DSGVO: Ubermittlungen personenbezogener Daten ausserhalb des EWR sind in Kapitel V der DSGVO streng geregelt. Sie erfordern einen Angemessenheitsbeschluss der Europaischen Kommission, Standardvertragsklauseln (SCCs), verbindliche interne Datenschutzvorschriften (BCRs) oder einen anderen genehmigten Mechanismus. Kanada profitiert von einem teilweisen Angemessenheitsbeschluss fur durch PIPEDA abgedeckte Ubermittlungen (jedoch nicht fur Ubermittlungen an Provinzen mit eigenen Gesetzen).
PIPEDA: Keine spezifischen Beschrankungen fur internationale Datentransfers. Die Organisation, die Daten ubermittelt, bleibt fur deren Schutz gemaess den zehn Grundsatzen verantwortlich, unabhangig vom Zielland. Die Ley 25 von Quebec erlegt jedoch strengere Transferanforderungen auf, die denen der DSGVO vergleichbar sind.
Meldung von Datenschutzverletzungen
DSGVO: Meldung an die Aufsichtsbehorde innerhalb von 72 Stunden (Artikel 33). In Deutschland ist die Meldung an den BfDI oder die zustandige Landesdatenschutzbehorde zu richten. Benachrichtigung der betroffenen Personen ohne unangemessene Verzogerung bei hohem Risiko (Artikel 34).
PIPEDA: Meldung an die OPC und die betroffenen Personen so schnell wie moglich, wenn die Verletzung ein reales Risiko eines erheblichen Schadens darstellt (Abschnitte 10.1 bis 10.3). Keine strenge 72-Stunden-Frist, aber die Meldung muss zeitnah erfolgen. Obligatorische Aufbewahrung aller Verletzungsaufzeichnungen fur 24 Monate.
Sanktionen und Durchsetzung
| Aspekt | DSGVO | PIPEDA |
|---|---|---|
| Maximale Geldbusse | 20 Mio. EUR oder 4 % des globalen Umsatzes | 100.000 CAD (nur Meldung von Verletzungen) |
| Aufsichtsbehorde | Nationale DSB (BfDI, LfDI in Deutschland, etc.) | OPC + Bundesgericht |
| Direkte Sanktionsbefugnis | Ja | Nein (ausser Verletzungen) — OPC empfiehlt, Gericht entscheidet |
| Private Klage | Ja (Artikel 82) | Ja (uber Bundesgericht nach OPC-Feststellung) |
| Rechtsprechung | Umfangreich seit 2018 | Weniger entwickelt |
Die DSGVO verfugt uber ein unvergleichlich machtigeres Sanktionsinstrumentarium. Deutsche Datenschutzbehorden haben in den letzten Jahren bedeutende Bussgelder verhangt. Das kanadische Gesetzesvorhaben C-27 wurde jedoch administrative Geldstrafen von bis zu 10 Millionen CAD oder 3 % der globalen Bruttoeinnahmen einfuhren, was die Lucke zwischen beiden Rahmenwerken erheblich schliessen wurde.
DSB vs Datenschutzbeauftragter
DSGVO: Die Benennung eines Datenschutzbeauftragten (DSB) ist fur offentliche Stellen, Organisationen, deren Kerntatigkeiten eine umfangreiche regelmaessige und systematische Uberwachung erfordern, oder die umfangreiche Verarbeitung sensibler Daten betreffen, obligatorisch (Artikel 37). In Deutschland erweitert das BDSG die Benennungspflicht auf Unternehmen mit mindestens 20 Personen, die standig mit der automatisierten Verarbeitung personenbezogener Daten beschaftigt sind.
PIPEDA: Anhang 1 verlangt die Benennung einer fur die Compliance verantwortlichen Person (Grundsatz 1 — Verantwortlichkeit), aber ohne die detaillierten Kriterien der DSGVO. Die Person mit der hochsten Autoritat ist standardmaessig verantwortlich.
Datenschutz-Folgenabschatzungen
DSGVO: Eine Datenschutz-Folgenabschatzung (DSFA) ist fur Verarbeitungen obligatorisch, die voraussichtlich ein hohes Risiko fur die Rechte und Freiheiten naturlicher Personen mit sich bringen (Artikel 35). Die deutschen Aufsichtsbehorden veroffentlichen Listen von Verarbeitungstatigkeiten, die eine DSFA erfordern.
PIPEDA: Keine formelle Verpflichtung zur Durchfuhrung von Folgenabschatzungen, obwohl die OPC sie nachdrucklich als Best Practice empfiehlt. Die Ley 25 von Quebec schreibt dagegen Datenschutz-Folgenabschatzungen (PIAs) fur bestimmte Projekte vor.
Compliance-Strategie fur Unternehmen in beiden Rechtsordnungen
Wenn Ihr Unternehmen Kunden sowohl in Kanada als auch in der EU bedient, hier ein praktischer Ansatz:
1. Beginnen Sie mit der DSGVO-Compliance. Die Anforderungen der DSGVO sind in der Regel strenger. Eine solide DSGVO-Compliance wird den Grossteil der PIPEDA-Verpflichtungen abdecken.
2. Fugen Sie PIPEDA-spezifische Elemente hinzu. Dokumentieren Sie Ihre Einhaltung der zehn Grundsatze, richten Sie Verfahren zur Bearbeitung von Anfragen ein, die die PIPEDA-Fristen einhalten, und stellen Sie sicher, dass Ihre Datenschutzrichtlinie die kanadischen Anforderungen berucksichtigt.
3. Verwalten Sie die Einwilligungsunterschiede. Wenden Sie die Opt-in-Einwilligung (DSGVO) fur europaische Besucher an und verwalten Sie die stillschweigende Einwilligung gemaess den OPC-Kriterien fur kanadische Besucher.
4. Bereiten Sie sich auf die Ley 25 vor. Wenn Sie Kunden in Quebec bedienen, halten Sie auch die Ley 25 ein, die strenger als PIPEDA ist.
5. Dokumentieren Sie alles. Fuhren Sie Verarbeitungsverzeichnisse (Artikel 30 DSGVO), ein Verletzungsregister (sowohl PIPEDA als auch DSGVO) und Aufzeichnungen aller Anfragen und Antworten.
Uberprufen Sie Ihre Compliance in beiden Rechtsordnungen mit unserem kostenlosen Compliance-Scanner.
Fazit
Die DSGVO und PIPEDA verfolgen das Ziel, personenbezogene Daten zu schutzen, tun dies aber durch unterschiedliche Philosophien und Mechanismen. Die DSGVO ist praeskriptiv, mit umfassenden Rechten und abschreckenden Sanktionen. PIPEDA basiert auf Grundsatzen, mit einem flexibleren Ansatz, aber derzeit begrenzten Sanktionen (obwohl der Gesetzentwurf C-27 dies andern soll). Fur Unternehmen, die in beiden Rechtsordnungen tatig sind, ist die wirksamste Strategie, auf der DSGVO-Compliance aufzubauen und mit PIPEDA-spezifischen Anforderungen zu erganzen. Untatigkeit ist keine Option: Die regulatorischen Risiken auf beiden Seiten des Atlantiks wachsen weiter.