Reicht eine europaische DSGVO-Datenschutzerklarung fur PIPEDA aus?

Nein. Obwohl beide Regelwerke gemeinsame Grundsatze teilen, lasst eine fur die DSGVO verfasste Erklarung typischerweise die fur PIPEDA spezifischen Begriffe und Pflichten weg: Verweis auf die zehn Grundsatze von Anhang 1, Benennung eines kanadischen Datenschutzbeauftragten, Meldeverfahren an die OPC nach den Abschnitten 10.1 bis 10.3 sowie Hinweis auf das Beschwerderecht beim Datenschutzbeauftragten. Eine DSGVO-Erklarung ohne Anpassung weiterzuverwenden hinterlasst echte Compliance-Lucken.

Brauche ich eine separate Erklarung fur Quebec?

Ja, in den meisten Fallen. Das Gesetz 25 von Quebec stellt Anforderungen, die PIPEDA nicht abdeckt: separate Einwilligung pro Zweck, offentliche Benennung des Verantwortlichen fur den Schutz personenbezogener Daten (RPRPI), Datenschutz-Folgenabschatzungen sowie ein Recht auf Datenubertragbarkeit. Unternehmen, die sowohl Quebec als auch das ubrige Kanada bedienen, mussen entweder zwei Erklarungen oder eine einheitliche Erklarung erstellen, die beide Rahmen mit klar abgegrenzten Abschnitten abdeckt.

Wie oft sollte die Datenschutzerklarung aktualisiert werden?

Mindestens einmal pro Jahr und zusatzlich bei jeder wesentlichen Anderung Ihrer Praktiken (neuer Dienst, neuer Auftragsverarbeiter, Zweckanderung, neues Speicherland). PIPEDA schreibt keine feste Frequenz vor, doch der Grundsatz der Transparenz verlangt, dass die Erklarung Ihre tatsachlichen Praktiken stets widerspiegelt. Wesentliche Anderungen mussen den Betroffenen aktiv mitgeteilt werden, nicht nur passiv auf der Website veroffentlicht.

Was riskiert ein Unternehmen ohne PIPEDA-konforme Erklarung?

Unter dem aktuellen PIPEDA kann das Office of the Privacy Commissioner of Canada (OPC) Ergebnisse veroffentlichen, die das Unternehmen namentlich nennen, Falle an das Bundesgericht weiterleiten (das Compliance anordnen und Schadensersatz zusprechen kann) und spezifische Bussgelder bis zu 100.000 CAD wegen Verstossen gegen die Meldepflicht verhangen. Sobald verabschiedet, wird das Gesetz C-27 die Verwaltungsstrafen auf bis zu 10 Millionen CAD oder 3 % des weltweiten Bruttoumsatzes anheben — ein quantitativer Sprung, der die Natur des Risikos verandern wird.

Gilt PIPEDA auch fur nicht-kanadische Unternehmen?

Ja, sobald ein auslandisches Unternehmen personenbezogene Daten kanadischer Einwohner im Rahmen kommerzieller Aktivitaten mit einer realen und wesentlichen Verbindung zu Kanada erhebt oder verarbeitet (Produktverkauf, Werbe-Targeting, von Kanada aus zugangliche Online-Dienste). Ein europaischer Online-Shop, der nach Kanada liefert, oder ein US-SaaS mit kanadischen Kunden sind betroffen. Die extraterritoriale Reichweite ist nun durch die kanadische Rechtsprechung klar etabliert.

PIPEDA-Datenschutzerklarung: Vorlage

Jede kanadische Organisation des Privatsektors, die online personenbezogene Daten erhebt, hat eine Pflicht: eine Datenschutzerklarung zu veroffentlichen, die dem Personal Information Protection and Electronic Documents Act (PIPEDA) entspricht. Doch was genau ist eine “konforme Erklarung”? Welche Angaben sind verpflichtend, und welche unterscheiden eine generische Vorlage von einem Dokument, das die Office of the Privacy Commissioner of Canada (OPC) im Falle einer Beschwerde als ausreichend ansieht? Dieser Leitfaden beschreibt die genauen Anforderungen, schlagt eine konforme Vorlagenstruktur vor und zeigt die Abschnitte auf, die die meisten kostenlosen Vorlagen weglassen. Fur deutsche Unternehmen, die mit der DSGVO und dem BDSG vertraut sind, sind die Unterschiede besonders relevant, wenn sie kanadische Kunden bedienen.

Warum PIPEDA eine Datenschutzerklarung verlangt

Der achte Grundsatz aus Anhang 1 von PIPEDA — die Transparenz — verlangt, dass “die Richtlinien und Praktiken einer Organisation in Bezug auf den Umgang mit personenbezogenen Daten” “leicht zuganglich” sind. Die auf Ihrer Website veroffentlichte Datenschutzerklarung ist das wichtigste Instrument dieser Pflicht. Sie ist weder ein Marketingdokument noch ein defensiver Hinweis: Sie ist die offentliche und durchsetzbare Verpflichtung Ihrer Organisation gegenuber den Personen, deren Daten sie verarbeitet.

Eine kumulative Pflicht. PIPEDA verlangt eine Erklarung in Anwendung des Transparenzgrundsatzes, aber auch in Anwendung des Grundsatzes der Zweckbestimmung (zweiter Grundsatz): Die Erhebungszwecke mussen vor oder zum Zeitpunkt der Erhebung mitgeteilt werden. Ohne zugangliche Erklarung ist die Datenerhebung uber Ihre Website ab dem ersten Besuch technisch nicht konform.

Eine durchsetzbare Pflicht. Einmal veroffentlicht, bindet Ihre Erklarung Sie. Wenn Sie erklaren, dass Sie keine Daten an Dritte weitergeben, und eine Untersuchung ergibt, dass eine Ubertragung an einen nicht erwahnten Analyseanbieter stattfindet, verletzen Sie sowohl Ihre eigene Verpflichtung als auch den sechsten Grundsatz (Beschrankung der Verwendung, Weitergabe und Aufbewahrung). Genau deshalb ist eine generische, von einer anderen Website kopierte Erklarung gefahrlich: Sie spiegelt Ihre tatsachlichen Praktiken nicht wider.

Fur den allgemeinen PIPEDA-Rahmen und seine Anwendung lesen Sie unseren vollstandigen Leitfaden fur kanadische Unternehmen.

Die 10 Pflichtangaben Ihrer PIPEDA-Erklarung

Die OPC hat detaillierte Leitlinien zum erwarteten Inhalt einer konformen Datenschutzerklarung veroffentlicht. Hier sind die unverzichtbaren Elemente, geordnet nach der Logik der zehn Grundsatze von Anhang 1.

1. Identitat der Organisation und Kontaktdaten des Datenschutzbeauftragten. Ihre Erklarung muss die juristische Person nennen, die die Daten kontrolliert, und klar die Person benennen, die fur die PIPEDA-Compliance verantwortlich ist. Die Kontaktdaten mussen einen direkten Kontakt ermoglichen (E-Mail- und Postadresse). Eine einfache “kontakt@…”-Adresse ohne Namen des Verantwortlichen reicht nicht aus.

2. Arten der erhobenen Daten. Listen Sie die Datenkategorien spezifisch auf: Name, E-Mail-Adresse, IP-Adresse, Standortdaten, Gerate-IDs, Browserverlauf, Transaktionsdaten, vom Nutzer eingereichte Inhalte. Der Detaillierungsgrad muss es einer durchschnittlichen Person erlauben zu erkennen, was sie betrifft.

3. Zwecke der Erhebung. Geben Sie fur jede Kategorie an, warum Sie die Daten erheben: Bestellabwicklung, Kontoverwaltung, Website-Sicherheit, Reichweitenmessung, Marketing, gesetzliche Pflichten. Der zweite Grundsatz verbietet eine Erhebung “fur den Fall der Falle”: Jede Erhebung muss einen dokumentierten Zweck haben.

4. Einwilligungsgrundlage. Geben Sie an, welche Art von Einwilligung Sie pro Zweckkategorie einholen (ausdrucklich oder konkludent) und wie der Nutzer sie widerrufen kann. Fur sensible Daten (Gesundheit, Finanzen, Biometrie) ist die ausdruckliche Einwilligung verpflichtend.

5. Empfanger und Dritte. Identifizieren Sie die Kategorien Dritter, mit denen Sie Daten teilen: Zahlungsdienstleister, Hosting, Analysedienste, Marketing-Auftragsverarbeiter, Geschaftspartner. Geben Sie den Zweck jeder Ubertragung an. Wenn Sie Google Analytics, Meta, Stripe oder einen US-amerikanischen E-Mail-Anbieter verwenden, mussen sie aufgefuhrt werden.

6. Grenzuberschreitende Ubertragungen. Wenn Daten Kanada verlassen, muss Ihre Erklarung dies ausdrucklich erwahnen und die Zielstaaten benennen. Die OPC hat klargestellt, dass die Nutzer daruber informiert werden mussen, dass ihre Daten auslandischen Gesetzen unterliegen konnen, einschliesslich solcher, die den Zugriff durch auslandische Behorden ermoglichen.

7. Sicherheitsmassnahmen. Beschreiben Sie in nichttechnischer Form die Massnahmen zum Schutz der Daten: Verschlusselung in der Ubertragung (HTTPS), Verschlusselung im Ruhezustand, Zugriffskontrollen, Uberwachung, Backups. Der siebte Grundsatz verlangt Massnahmen, die im Verhaltnis zur Sensibilitat der Daten stehen.

8. Aufbewahrungsfristen. Geben Sie an, wie lange Sie jede Datenkategorie aufbewahren und nach welchen Kriterien (Dauer der Kundenbeziehung + steuerliche und buchhalterische gesetzliche Pflichten). Eine vage Formel wie “so lange wie notig” reicht nicht.

9. Rechte der Betroffenen. Nennen Sie die Rechte, die eine Person unter PIPEDA ausuben kann: Zugang zu ihren Daten, Berichtigung von Ungenauigkeiten, Widerruf der Einwilligung, Beschwerde beim Datenschutzbeauftragten und anschliessend bei der OPC. Beschreiben Sie das praktische Verfahren zur Ausubung jedes Rechts (Formular, dedizierte E-Mail, Antwortfrist).

10. Verfahren bei Datenschutzverletzungen und Beschwerden. Geben Sie an, wie die Organisation Verletzungen der Sicherheitsmassnahmen behandelt und wie der Nutzer eine Beschwerde einreichen kann. Dieser Abschnitt wird unten ausfuhrlicher behandelt, da die meisten Vorlagen ihn weglassen.

Unterschiede zu einer DSGVO-Erklarung

Wenn Sie auch in Europa tatig sind, haben Sie moglicherweise bereits eine DSGVO-Erklarung. Konnen Sie diese einfach fur Kanada erneut veroffentlichen? Die kurze Antwort lautet nein. Um die Unterschiede zu verstehen, lesen Sie unseren Vergleich PIPEDA vs DSGVO.

Wortschatz und Bezeichnungen. PIPEDA spricht von “personal information” und nicht von “personenbezogenen Daten” im DSGVO-Sinne; von “Verletzung der Sicherheitsmassnahmen” und nicht von “Datenschutzverletzung”; vom “Office of the Privacy Commissioner of Canada” und nicht von einer “Aufsichtsbehorde” oder dem BfDI. Eine Erklarung, die von einer “Aufsichtsbehorde” spricht, ohne die OPC zu benennen, ist fur ein kanadisches Publikum ungeeignet.

Rechtsgrundlagen. Die DSGVO zahlt sechs Rechtsgrundlagen auf (Artikel 6): Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, offentliches Interesse, berechtigte Interessen. PIPEDA funktioniert fast ausschliesslich uber die Einwilligung (mit begrenzten Ausnahmen in Abschnitt 7). Eine Erklarung, die unter PIPEDA “berechtigte Interessen” anfuhrt, ist rechtlich unbegrundet.

Rechte der Betroffenen. Die DSGVO zahlt acht ausdruckliche Rechte auf (Auskunft, Berichtigung, Loschung, Einschrankung, Datenubertragbarkeit, Widerspruch, automatisierte Entscheidung, Beschwerde). PIPEDA erkennt drei klare Rechte an: Auskunft, Berichtigung, Beschwerde. Das “Recht auf Vergessenwerden” existiert formell nicht unter PIPEDA — auch wenn die Rechtsprechung sich entwickelt. Eine Erklarung, die nicht existierende Rechte verspricht, konnte eine nicht durchsetzbare Erwartung wecken.

Meldung von Verletzungen. Die DSGVO verlangt 72 Stunden zur Meldung an die Behorde. PIPEDA verlangt eine Meldung an die OPC “sobald durchfuhrbar”, wenn die Verletzung ein reales Risiko erheblichen Schadens darstellt, ohne festgelegte Frist. Die Modalitaten unterscheiden sich genug, um eine eigene Formulierung zu rechtfertigen.

Der Abschnitt zu Verletzungen: was Vorlagen vergessen

Seit November 2018 verpflichten die Abschnitte 10.1 bis 10.3 von PIPEDA zur Meldung von Verletzungen der Sicherheitsmassnahmen. Diese Pflicht hat eine direkte Folge fur Ihre Datenschutzerklarung: Sie muss das Verfahren bei Verletzungen offentlich beschreiben, denn die Nutzer haben das Recht zu wissen, wie sie informiert werden, wenn ihre Daten kompromittiert werden.

Elemente, die in diesen Abschnitt aufgenommen werden mussen:

Die Verpflichtung der Organisation, jede Verletzung anhand des Kriteriums des “realen Risikos eines erheblichen Schadens” (RRES) zu bewerten
Den verwendeten Benachrichtigungskanal (direkte E-Mail, Brief, Benachrichtigung im Kundenkonto)
Die Zielfrist fur die Benachrichtigung nach Erkennung
Die Verpflichtung, die OPC in den Fallen zu benachrichtigen, in denen das RRES festgestellt wird
Die Fuhrung eines internen Registers aller Verletzungen, auch derer, die die RRES-Schwelle nicht erreichen
Die Moglichkeit fur den Nutzer, die Einsicht in seine eigenen historischen Benachrichtigungen zu beantragen

Warum dieser Abschnitt so selten ist. Die kostenlos online verfugbaren generischen Vorlagen wurden meist vor 2018 verfasst oder von europaischen Vorlagen kopiert. Sie erwahnen das RRES selten, das interne Register nie und nennen nur selten einen klaren Benachrichtigungskanal. Das ist eine massive Compliance-Lucke, die die OPC bei einer Untersuchung leicht erkennen kann.

Die Nichteinhaltung der Meldepflicht ist mit spezifischen Bussgeldern bis zu 100.000 CAD bewehrt — die einzige direkt bezifferte Geldsanktion im aktuellen PIPEDA.

Vier Ansatze fur die Erstellung Ihrer Erklarung

Auf Datenschutz spezialisierter Anwalt

Kosten: 2.500 bis 8.000 CAD. Dauer: 2 bis 4 Wochen.

Ein spezialisierter kanadischer Anwalt pruft Ihre tatsachlichen Datenflusse, verfasst eine massgeschneiderte Erklarung und passt sie bei regulatorischen Anderungen an. Es ist die strengste Option, empfohlen fur Unternehmen, die sensible Daten verarbeiten (Gesundheit, Finanzen, Daten Minderjahriger) oder in mehreren kanadischen Rechtsraumen tatig sind (PIPEDA + Gesetz 25 + Alberta PIPA + B.C. PIPA).

Kostenlose Online-Vorlage

Kosten: 0 CAD. Risiko: hoch.

Kostenlose Vorlagen sind generisch, oft unter einem anderen Rechtsregime verfasst (DSGVO, CCPA) und nie an Ihre konkrete Tatigkeit angepasst. Sie lassen den Verletzungsabschnitt typischerweise weg, erwahnen die OPC nicht korrekt und erzeugen ein falsches Sicherheitsgefuhl. Im Falle einer Beschwerde reichen sie nicht aus.

Generisches KI-Tool (ChatGPT und Aquivalente)

Scheinbare Kosten: 0 CAD. Tatsachliche Kosten: die Lucken, die es hinterlasst.

Ein generalistischer KI-Assistent erzeugt einen Text, der wie eine konforme Erklarung aussieht, kann aber Ihre tatsachlichen Praktiken nicht prufen, kennt die neueste Version der OPC-Leitlinien nicht und verwechselt PIPEDA haufig mit anderen Regelwerken. Das Ergebnis besteht den optischen Test, nicht den juristischen.

Spezialisierter Generator fur Rechtsdokumente

Kosten: 14,90 bis 49,90 CAD. Dauer: unter 10 Minuten.

Ein spezialisierter Generator stellt gezielte Fragen zu Ihrer Tatigkeit, Ihren Datenkategorien, Ihren Auftragsverarbeitern und Ihrem Rechtsraum und produziert dann eine Erklarung, die die spezifischen Anforderungen von PIPEDA erfullt — einschliesslich des Verletzungsabschnitts, der kanadischen Rechte und der Verweise auf die OPC. Der WebLegal-Compliance-Scanner deckt die PIPEDA-Anforderungen ab und identifiziert die Lucken Ihrer aktuellen Erklarung. Dieser Ansatz bietet das beste Verhaltnis von Strenge zu Kosten fur die meisten online tatigen kanadischen Unternehmen.

Fazit

Eine PIPEDA-konforme Datenschutzerklarung ist kein Copy-Paste einer europaischen Vorlage und kein generischer Generator. Sie ist ein Dokument, das Ihre tatsachlichen Praktiken widerspiegelt, die zehn Grundsatze von Anhang 1 integriert, die kanadischen Behorden korrekt benennt und einen robusten Verletzungsabschnitt enthalt. Mit dem Gesetz C-27, das die Sanktionen auf 10 Millionen CAD oder 3 % des weltweiten Umsatzes anheben wird, wird der Abstand zwischen einer “passablen” und einer wirklich konformen Erklarung schnell zu einem grossen finanziellen Risiko. Handeln Sie, bevor dieser Ubergang verbindlich wird.