Am 7. November 2020 führte die kanadische Regierung Gesetzentwurf C-11, das aus zwei Gesetzen besteht: dem Consumer Privacy Protection Act (CPPA) und dem Personal Information and Data Protection Tribunal Act (PIDPTA).
Das CPPA wird das bestehende kanadische Datenschutzgesetz ersetzen, das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA), während PIDPTA ein neues Tribunal einrichten wird, um das CPPA durchzusetzen und Verstöße zu bestrafen.
Zwar könnten sich einige Aspekte des Gesetzentwurfs C-11, der sich derzeit im Gesetzgebungsprozess befindet, auf dem Weg zur königlichen Zustimmung noch ändern, doch soll es sich dabei um eines der strengsten Datenschutzgesetze der gesamten G-7 (Kanada, Frankreich, Deutschland, Italien, Japan, Großbritannien und die USA) handeln.
Gesetzentwurf C-11: Was gibt es Neues?
Das vorgeschlagene CPPA wird einige wichtige Änderungen der kanadischen Datenschutzgesetze mit sich bringen. Insbesondere wird es die Datenschutzrechte von Einzelpersonen, die Verpflichtungen von Verantwortliche und Auftragsverarbeiter, die Durchsetzungsbefugnisse und die Strafen.
Individuelle Rechte und Definitionen
Das Recht auf Datenmobilität: Das CPPA wird Rechte der betroffenen Person für Einzelpersonen, indem es Kanadiern einen klareren und besser kontrollierbaren Zugriff auf ihre persönlichen Daten ermöglicht. Datenschutz-Grundverordnung der EU Das neue Gesetz erweitert das Recht auf Datenportabilität der DSGVO um einen Schritt und führt ein Recht auf Mobilität personenbezogener Daten ein. Dadurch kann eine Person die Übertragung ihrer Daten von der Organisation, die sie erhoben hat, an eine andere Organisation ihrer Wahl verlangen, sofern beide Organisationen die Voraussetzungen für die Datenmobilität erfüllen. Die genauen Voraussetzungen dieses Rahmens werden im endgültigen Entwurf des CPPA dargelegt.
Das Recht auf Löschung: Kanadische Verbraucher haben außerdem die Recht auf Löschung. Das bedeutet, dass Einzelpersonen von einer Organisation die Löschung aller sie betreffenden personenbezogenen Daten verlangen können. Organisationen müssen der Aufforderung einer Person zur Ausübung dieser Rechte innerhalb eines noch festzulegenden Zeitraums nachkommen.
Aussagekräftige Einwilligung: Eine aussagekräftige Einwilligung ist der Eckpfeiler des CPPA und kann nur dann als gültig angesehen werden, wenn die folgenden Informationen in einfacher Sprache bereitgestellt werden:
- Der Zweck der Erhebung, Verwendung oder Offenlegung von Informationen
- Die Art und Weise, wie die Informationen gesammelt, verwendet oder weitergegeben werden sollen
- Alle vernünftigerweise vorhersehbaren Folgen einer solchen Erhebung, Verwendung oder Offenlegung
- Die spezifische Art der Informationen, die gesammelt, verwendet oder offengelegt werden sollen
- Die Namen aller dritte Parteien oder Arten von Drittparteien, denen die Organisation die personenbezogenen Daten offenlegen kann
Leichte Sprache: Der Zweck der Betonung einer klaren Sprache besteht darin, sicherzustellen, dass die Personen vollständig verstehen, wozu sie ihre Einwilligung erteilen. Die Gültigkeit der Einwilligung hängt auch davon ab, ob sie entweder ausdrücklich oder aufgrund der Umstände konkludent erteilt wurde. Während die akzeptablen Umstände für eine konkludent erteilte Einwilligung geklärt werden müssen, bedeutet der bloße Nachweis der Einwilligung, dass Unternehmen bereit sein müssen, neue interne Dokumentationsverfahren zu entwickeln oder bestehende zu evaluieren.
Die CPPA wird auch Transparenz erhöhen rund um die Verwendung automatisierter Entscheidungssysteme, indem Einzelpersonen das Recht auf eine Erklärung für alle Vorhersagen, Empfehlungen oder Entscheidungen dieser Systeme eingeräumt wird.
Pflichten der Organisationen
Datenschutzrichtlinien, -verfahren und -berichterstattung an das OPC: Das CPPA erhöht die Pflichten von Verantwortlichen und Datenverarbeitern und verpflichtet Organisationen zur Implementierung von Datenschutzmanagementprogrammen, die Datenschutzrichtlinien und -verfahren gewährleisten. Diese Verfahren müssen dem Büro des kanadischen Datenschutzbeauftragten (OPC) auf Anfrage zugänglich sein. Diese Programme müssen die Entgegennahme und Bearbeitung von Anfragen zu individuellen Rechten, Mitarbeiterschulungen sowie alle unterstützenden Richtlinien und Dokumente umfassen, die die unternehmensweite Umsetzung des Gesetzes erläutern.
Das CPPA ermöglicht es Organisationen zudem, die Genehmigung des OPC für Verhaltenskodizes und Zertifizierungsprogramme einzuholen, die die Anwendung des CPPA auf bestimmte Aktivitäten, Branchen oder Geschäftsmodelle regeln. Dies hilft Organisationen, ihre Verpflichtungen im Rahmen des CPPA zu verstehen und die Einhaltung der Vorschriften besser nachzuweisen.
Dienstanbieter: Gemäß dem CPPA unterliegen Dienstleister, die personenbezogene Daten übermitteln, besonderen Verpflichtungen. Dienstleister sind definiert als jede Organisation, die „Dienstleistungen für oder im Auftrag einer anderen Organisation erbringt, um diese bei der Erfüllung ihrer Zwecke zu unterstützen“, einschließlich Tochter- und Partnerunternehmen sowie Auftragnehmer.
Wenn eine Organisation personenbezogene Daten an einen Dienstleister übermittelt, ist dieser vertraglich oder anderweitig verpflichtet, im Wesentlichen den gleichen Schutz zu gewährleisten wie die Organisation, die die Daten erhoben hat. Sofern der Dienstleister die übermittelten Daten nicht für andere Zwecke erhebt, verwendet oder offenlegt als für den Zweck, für den die personenbezogenen Daten übermittelt wurden, ist er von den meisten Verpflichtungen des CPPA befreit, mit Ausnahme der Anforderungen in Bezug auf Sicherheit und Benachrichtigung bei Datenschutzverletzungen.
De-Identifizierung: Das CPPA erlaubt es Organisationen, personenbezogene Daten für bestimmte Zwecke ohne Wissen oder Zustimmung der betroffenen Person zu verwenden, sofern sie die Informationen anonymisieren. Akzeptable Umstände können beispielsweise interne Forschungs- und Entwicklungstätigkeiten oder den Rahmen potenzieller Geschäftstransaktionen umfassen.
Alle technischen und administrativen Maßnahmen, die ein Unternehmen auf die Informationen anwendet, müssen dem Zweck der Anonymisierung und der Sensibilität der personenbezogenen Daten angemessen sein. Unternehmen dürfen anonymisierte Informationen auch nicht in Kombination mit anderen Daten verwenden, die eine Person erneut identifizieren könnten.
Durchsetzung
Zusätzlich zur Gewährleistung dieser individuellen Rechte und Unternehmensanforderungen wird der Gesetzentwurf C-11:
- Schaffung einer zweiten Durchsetzungsstelle in Form eines Sondergerichts durch PIDPTA
- Erhöhung der Strafen für CPPA-Verstöße
- Einzelpersonen ein neues privates Klagerecht zu verleihen
PIDPTA: Derzeit obliegt die Durchsetzung der kanadischen Datenschutzgesetze dem OPC. Durch das PIDPTA wird die Durchsetzung jedoch zwischen dem OPC und einem neuen Gericht aufgeteilt. Mit dem CPPA erhält das OPC die Befugnis, eine offizielle Untersuchung einzuleiten und ist für die Entscheidung zum Abschluss der Untersuchung verantwortlich. Das OPC kann dem neuen Gericht auch Geldstrafen empfehlen.
Entscheidungen des OPC können gerichtlich angefochten werden. Einzelpersonen können gegen Feststellungen, Anordnungen oder Entscheidungen des neuen Tribunals Berufung einlegen. Das Tribunal kann über die Verhängung einer Strafe entscheiden. Es kann sich dafür entscheiden, der Empfehlung des OPC zu folgen oder eine eigene Entscheidung zu treffen.
Erhöhte Strafen: Das CPPA sieht zudem höhere Bußgelder für Verstöße vor als derzeit unter PIPEDA. Einige Verwaltungsstrafen könnten bis zu 31 TP3T des weltweiten Umsatzes eines Unternehmens (im Gegensatz zu 21 TP3T der DSGVO) oder 10.000.000 CA$ betragen – je nachdem, welcher Betrag höher ist. Schwerwiegende Verstöße könnten bis zu 51 TP3T des weltweiten Umsatzes eines Unternehmens (im Gegensatz zu 41 TP3T der DSGVO) oder 25.000.000 CA$ betragen – je nachdem, welcher Betrag höher ist.
Privates Klagerecht: Das CPPA führt ein neues privates Klagerecht ein, das es Einzelpersonen ermöglicht, Schadensersatzansprüche geltend zu machen, die durch den Verstoß einer Organisation entstanden sind. Voraussetzung für die Geltendmachung eines Schadensersatzanspruchs ist, dass die Organisation entweder:
- tatsächlich gegen das CPPA verstoßen haben oder
- für einen Verstoß, der unter bestimmte Abschnitte des CPPA fällt, mit einer Geldstrafe belegt werden
Die Privatklage verjährt in zwei Jahren.
Parallele Datenschutzreform der Provinz
Zusätzlich zum Gesetzentwurf C-11 müssen Organisationen die Datenschutzreformen der Provinzen beachten. Quebec hat im Juni 2020 den Gesetzentwurf 64 eingeführt, um seine geltenden Datenschutzgesetze zu modernisieren. Sollte der Gesetzentwurf 64 verabschiedet werden, erhöht er die Verpflichtungen öffentlicher und privater Organisationen hinsichtlich der Speicherung und des Schutzes personenbezogener Daten ihrer Kunden.
British Columbia befindet sich in der Anfangsphase der Reform seines Personal Information Protection Act, nachdem 2020 eine Überprüfung durchgeführt wurde, die das Versäumnis der Gesetzgebung aufzeigte, mit den nationalen und internationalen Datenschutztrends Schritt zu halten.
Ebenfalls im Jahr 2020 begann Ontario, Verbesserungen seines Datenschutzrahmens in Erwägung zu ziehen und stellte fest, dass die Gesetzgebung Mängel aufwies. Organisationen können in naher Zukunft mit neuen Gesetzesvorschlägen in British Columbia und Ontario rechnen.
Was Organisationen tun müssen, um sich vorzubereiten
Während der Gesetzentwurf C-11 in Kanada den Gesetzgebungsprozess durchläuft, sollten Unternehmen die Entwicklung des Gesetzesentwurfs verfolgen und bedenken, welche Auswirkungen er auf ihr Geschäft haben wird.
Organisationen, die bereits DSGVO-konform sind und Brasiliens Allgemeines Gesetz zum Schutz personenbezogener Daten („LGPD“) Die CPPA-Konformität wird verbessert, muss aber dennoch zusätzliche Schritte unternehmen, um die besonderen Bestimmungen des kanadischen Gesetzes einzuhalten. Die Data-Intelligence-Plattform von BigID ermöglicht es Unternehmen, alle ihre persönlichen, sensiblen und regulierten Daten richtlinienübergreifend und in ihrer gesamten Datenlandschaft zu ermitteln, zu identifizieren, abzubilden und vollständige Transparenz zu gewährleisten. Unternehmen können ihren CPPA-Compliance-Verpflichtungen nachkommen, den Datenschutz unternehmensweit operationalisieren, Datenrechtsanfragen automatisieren und letztendlich die Daten ihrer Kunden umfassend schützen.
Kasse BigID in Aktion um zu sehen, wie wir Unternehmen dabei helfen, die kommenden Anforderungen zur CPPA-Konformität zu erfüllen – und ein proaktives Datenschutzprogramm für aktuelle und neue Vorschriften aufzubauen.
Autor
