PIPEDA – Die kanadische Datenschutzgrundverordnung

In diesem Beitrag erklÀren wir Ihnen alles rund um die Kanadische Datenschuzverordnung PIPEDA sowie die kommende CPPA Verordnung. Im nÀchsten Beitrag gehen wir dann genauer auf Cookies & Consent ein.

Kanadische Flagge

Was ist PIPEDA?

PIPEDA ist die AbkĂŒrzung fĂŒr Personal Information Protection and Electronic Documents Act und bezeichnet die neue kanadische Datenschutzgrundverordnung. Die Gesetzesnovelle fĂŒhrt die beiden bisherigen kanadischen Datenschutzgesetze Consumer Privacy Protection Act (CPPA) und Personal Information and Data Protection Tribunal Act (PIDPTA) zu einer umfassenden Verordnung Ă€quivalent zur DSGVO zusammen. Die Anlehnung an die europĂ€ische Datenschutzgrundverordnung ist an vielen Stellen der PIPEDA erkennbar, daher wird sie oft auch DSGVO Kanada genannt.

Ähnlich wie die DSGVO regelt das kanadische Datenschutzgesetz den Umgang mit persönlichen Daten, die im Rahmen kommerzieller AktivitĂ€ten gesammelt und gespeichert werden. Der Personal Information Protection and Electronic Documents Act PIPEDA ist daher fĂŒr alle Unternehmen von Bedeutung, die Verbraucher in Kanada mit Dienstleistungen und Produkten erreichen wollen – ob stationĂ€r oder per Distanzhandel. Als kommerzielle AktivitĂ€ten im Sinne von PIPEDA gelten alle Transaktionen und Handlungen kommerziellen Ursprungs oder in kommerzieller Absicht.

PIPEDA ist gĂŒltig fĂŒr Unternehmen und Organisationen, die föderal reguliert sind und der kanadischen Gesetzgebung unterliegen. Der Personal Information Protection and Electronic Documents Act gilt auch fĂŒr den privaten Sektor jeder Provinz, es sei denn, eine Provinz hat ein eigenes Datenschutzgesetz erlassen, das im Wesentlichen mit dem Personal Information Protection and Electronic Documents Act PIPEDA vergleichbar ist. Nur British Columbia, Alberta und Quebec haben Datenschutzgesetze, die sich weitgehend Ă€hnlich zur Personal Information Protection and Electronic Documents Act PIPEDA einordnen lassen. Wenn ein Unternehmen in British Columbia, Alberta oder Quebec ansĂ€ssig ist, findet der Personal Information Protection and Electronic Documents Act auf von diesen Organisationen erfassten personenbezogenen Daten Anwendung, sofern die kommerzielle Verwendung der Daten die Grenzen der jeweiligen Provinz ĂŒberschreiten.

Die 10 Datenschutzprinzipien im Personal Information Protection and Electronic Documents Act PIPEDA

Unternehmen, die sich an die Verordnungen an PIPEDA halten mĂŒssen, sollten sich rechtzeitig mit den Datenschutzprinzipien dieser DSGVO fĂŒr Kanada auseinandersetzen. In 10 Punkten sind die Rechte und Pflichten beschrieben, die Organisationen bei kommerziellen Transaktionen mit kanadischen Verbrauchern gemĂ€ĂŸ der DSGVO fĂŒr Kanada befolgen mĂŒssen:

  1. Rechenschaftspflicht
  2. Zweckbindung
  3. Einwilligung
  4. Datenvermeidung und Datensparsamkeit
  5. Speicherung, Nutzung und Verarbeitung
  6. Richtigkeit
  7. IntegritÀt und Vertraulichkeit
  8. Transparenz
  9. Auskunftsrecht
  10. Beschwerderecht

Wer die Datenschutzgrundverordnung kennt, erkennt schon in der Übersicht der 10 Prinzipien des PIPEDA viele Aspekte, die sich auch in der DSGVO der EU finden. Dennoch gibt es Abweichungen im Detail, auch und gerade was die Einwilligung zur Erfassung personenbezogener Daten betrifft. Nehmen wir doch jeden der 10 Punkte einmal kurz unter die Lupe:

1. Rechenschaftspflicht

Das Prinzip der Rechenschaftspflicht bewirkt, dass eine Organisation ab einer gewissen GrĂ¶ĂŸe eine Person benennen muss, die fĂŒr die Verwaltung der erhobenen und personenbezogenen Daten verantwortlich zeichnet. Diese Person wird in der DSGVO Datenschutzbeauftragter genannt – im Personal Information Protection and Electronic Documents Act PIPEDA trĂ€gt sie die Bezeichnung Privacy Officer oder Chief Privacy Officer (CPO). In kleineren Unternehmen kann der Privacy Officer seine Funktion auch in Teilzeit ausfĂŒhren. Seine Hauptaufgabe liegt in der Entwicklung, Implementierung und Überwachung von Verfahren, die den Datenschutzanforderungen gemĂ€ĂŸ dem PIPEDA GenĂŒge tun. Weiterhin hat der Datenschutzbeauftragte Beschwerden zur Datenerfassung entgegenzunehmen und zu beantworten. Ein wichtiges Feld ist auch die Schulung der Mitarbeiter und die Kommunikation der fĂŒr einzelne Aufgabenfelder relevanten Datenschutzanforderungen. Wurde vom Verbraucher eine Einwilligung zur Datenverarbeitung durch Dritte erteilt, ist der Privacy Officer fĂŒr die Einhaltung des PIPEDA Vorgaben durch die Drittparteien verantwortlich.

2. Zweckbindung

Aus welchem Grund will das Unternehmen persönliche Daten eines Kunden speichern? Der Zweck muss dem Verbraucher spĂ€testens zum Zeitpunkt der Datenaufnahme genannt werden. Die Offenlegung erzeugt Transparenz, erleichtert aber auch dem Unternehmen die Umsetzung spezifischer Zugriffe. Der Zweck der Datenerfassung ist gemĂ€ĂŸ PIPEDA jedem Mitarbeiter zu vermitteln, der in Kontakt mit Kunden kommt. Wird ein Kunde beim Kauf an der Kasse zum Beispiel nach der Adresse oder der Telefonnummer gefragt, ist ihm auf Nachfrage die Verwendung der Datenauskunft zu erlĂ€utern. Papierformulare und Online-Formulare, die personenbezogene Daten von Kunden erfassen, mĂŒssen den Zweck der Erfassung ebenfalls eindeutig beschreiben. Erfasste personenbezogene Daten dĂŒrfen nicht ohne ausdrĂŒckliche Erlaubnis des Kunden einem neuen Zweck zugefĂŒhrt werden. Eine Ausnahme bilden gesetzliche Vorgaben, die dies bedingen.

3. Einwilligung

Ohne Wissen und Einwilligung des Kunden darf ein Unternehmen keine personenbezogenen Daten sammeln, verwenden oder weitergeben. Die Absicht, Daten des Kunden zu erfassen, ist klar und eindeutig zu vermitteln. Werden in einem Formular personenbezogene Daten erfragt, sind daher keine mehrdeutigen Formulierungen statthaft. Eine Person bei Verweigerung von DatenauskĂŒnften auch nicht benachteiligt werden. Unternehmen mĂŒssen ihre Produkte und Services daher auch Verbrauchern zur VerfĂŒgung zu stellen, die keine Daten bereitstellen wollen, die nicht mit dem Produkt oder der Dienstleistung in Zusammenhang stehen. Es gibt einige Ausnahmen: Von einer Einwilligung kann ein Unternehmen dann absehen, wenn rechtliche oder medizinische GrĂŒnde dagegensprechen. Auch SicherheitsgrĂŒnde können bei bestimmten Produkten gelten gemacht werden. Und werden Informationen fĂŒr die Strafverfolgung gesammelt, entfĂ€llt die Zustimmung ebenfalls. Auf eine Einwilligung lĂ€sst sich auch in solchen FĂ€llen verzichten, in denen eine Person minderjĂ€hrig, schwer krank oder geistig behindert ist. Die Einwilligung kann aber auch von einem bevollmĂ€chtigten Vertreter erteilt werden.

Bei der Art der Einwilligung wird unterschieden zwischen:

  • explizit
  • implizit
  • Opt-out

In vielen FĂ€llen – wie etwa einer Online-Registrierung – ist Ă€hnlich wie in der europĂ€ischen Datenschutzgrundverordnung auch in hier eine explizit erteilte Einwilligung des Verbrauchers gefordert. Ein Opt-out ist in der Regel nicht vorgesehen. So dĂŒrfen auch beim Cookie Consent PIPEDA – Ă€quivalent zu den Cookie-Regelungen in der DSGVO – keine HĂ€kchen oder Buttons vorbelegt sein. GrundsĂ€tzlich muss eine Einwilligung nicht schriftlich erfolgen – die mĂŒndliche Zustimmung reicht aus. Beispielsweise reicht es aus, wenn ein Interessent die Zustimmung zum Eintrag in einen Newsletter telefonisch erteilt. Allerdings erschwert eine am Telefon erteilte Einwilligung regelmĂ€ĂŸig die NachweisfĂŒhrung fĂŒr ein Unternehmen. In einigen FĂ€llen lĂ€sst sich die Einwilligung auch aus den Handlungen des Verbrauchers direkt ableiten.

Verbraucher können ihre Einwilligung jederzeit zurĂŒckziehen, unter Beachtung vertraglicher und gesetzlicher EinschrĂ€nkungen und Fristen Das Unternehmen muss den Kunden ĂŒber die Folgen des Widerrufs der Einwilligung aufklĂ€ren.

4. Datenvermeidung und Datensparsamkeit

Das Prinzip der BeschrĂ€nkung der Datenerhebung auf die fĂŒr einen Verwendungszweck erforderliche Datenmenge ist ein Grundsatz, der ebenso in der europĂ€ischen DSGVO eine wichtige Stellung einnimmt. Die von einem Unternehmen gesammelten persönlichen Daten sollten sich auf die fĂŒr eine Aktion im Rahmen einer GeschĂ€ftsbeziehung notwendigen Umfang beschrĂ€nken.

Die Erfassung und Speicherung unnötiger personenbezogener Daten ist auch gemĂ€ĂŸ PIPEDA zu vermeiden. Der faire und gesetzestreue Umgang mit Daten, der sich hinter der Formulierung „Fair and Lawful Means“ verbirgt, zielt auf die DatensouverĂ€nitĂ€t des Kunden und das Erfordernis transparenter Prozesse ab. Der Zweck, warum bestimmte personenbezogene Daten erhoben werden sollen, darf nicht durch TĂ€uschung oder zweideutige Aussagen verschleiert werden.

5. Speicherung, Nutzung und Verarbeitung

Die Nutzung erfasster Daten darf sich nur in dem Korridor bewegen, der dem Kunden bekannt ist und zu dem er seine Zustimmung erteilt hat. Eine Weitergabe oder anderweitige Verwendung persönlicher Daten ist in der kanadischen Datenschutzgrundverordnung PIPEDA nicht erlaubt. Die Aufbewahrungsfristen orientieren sich an Erfordernissen im Unternehmen und an weiteren gesetzlichen Regulierungen. Die empfohlene Mindestaufbewahrungsfrist fĂŒr Unternehmen ist ein Jahr. Dieser Zeitraum lĂ€sst dem Unternehmen ausreichend KapazitĂ€ten, um gesetzliche Anforderungen zu prĂŒfen und zu erfĂŒllen. Die maximale Aufbewahrungsfrist ist vom Unternehmen zu bestimmen und offenzulegen.

Ein unbegrenztes Vorhalten von Daten ist nicht erlaubt – dem Verbraucher ist auf Anfrage mitzuteilen, wann seine Daten endgĂŒltig gelöscht werden. Auf Wunsch sind Daten unter Beachtung von Fristen zu anonymisieren und vorzeitig zu vernichten. Daneben muss eine Organisation offenlegen können, wer in welchem Umfang die Zustimmung zur Verarbeitung der Daten erhalten hat.

6. Richtigkeit

Das Prinzip der Richtigkeit stellt sicher, dass die von einem Unternehmen gesammelten personenbezogenen Daten fĂŒr die Zwecke, fĂŒr die sie verwendet werden, korrekt, vollstĂ€ndig und aktuell sind.

Hierbei ist zu berĂŒcksichtigen, dass die erfassten Daten im besten Interesse des Verbrauchers zu verwenden sind.

Die Vorgabe der Richtigkeit in der PIPEDA ist nicht nur fĂŒr das VerhĂ€ltnis von Unternehmen und Kunden von Bedeutung. Erfasst eine Organisation beispielsweise personenbezogene Daten, um vor einem Einstellungsverfahren Bewerberprofile zu prĂŒfen, muss gewĂ€hrleistet sein, dass durch eine falsche oder unvollstĂ€ndige Erfassung keine Nachteile fĂŒr Bewerber entstehen.

Aktualisierung von persönlichen Informationen

Eine automatische und turnusmĂ€ĂŸige Aktualisierung personenbezogener Daten ist in der Regel nicht gestattet. Diese Richtlinie in der PIPEDA gilt auch fĂŒr Informationen, die an Dritte weitergegeben werden.

7. IntegritÀt und Vertraulichkeit

Das Prinzip der IntegritĂ€t und Vertraulichkeit bedeutet besagt, dass personenbezogene Daten vor Verlust oder Diebstahl, unbefugtem Zugriff, Veröffentlichung, Kopieren, VerĂ€nderung oder unbefugter Verwendung geschĂŒtzt werden mĂŒssen. Dieser Grundsatz gilt unabhĂ€ngig davon, in welchem Format die Daten gespeichert sind.

Geeignete Schutzmaßnahmen

Der Aufwand hĂ€ngt mit der GrĂ¶ĂŸe des Unternehmens zusammen. Ein kleines Unternehmen, das E-Mail-Adressen von Kunden fĂŒr einen Online-Newsletter anlegt, kann die E-Mail-Adressen in einer Tabellenkalkulation speichern. Wird die Tabelle mit einem Passwort geschĂŒtzt und zusĂ€tzlich hochgradig verschlĂŒsselt, ist von einem adĂ€quaten Schutz auszugehen.

Große Organisationen verwalten oft sensible persönliche Daten in erheblichem Umfang – trotz aller Datensparsamkeit. Diese Unternehmen sind auch öfter Ziele fĂŒr Angreifer, daher sind hier erheblich stĂ€rkere Sicherheitsvorkehrungen zu treffen.

Alle Sicherheitsmaßnahmen sollten einen ĂŒberdurchschnittlichen Schutz fĂŒr die zu schĂŒtzenden personenbezogenen Daten bieten, um IntegritĂ€t auf hohem Niveau zu gewĂ€hrleisten.

Vernichtung von persönlichen Informationen

Wenn personenbezogene Daten entsorgt oder vernichtet werden sollen, ist eine Wiederherstellung nach menschlichem Ermessen und durch Anwendung hoher technologischen Standards zur Datenvernichtung auszuschließen. Dies gilt sowohl fĂŒr die physische Vernichtung von Papierdokumenten als auch fĂŒr die Vernichtung von DatenbestĂ€nden auf Speichermodulen.

8. Transparenz

Ein Unternehmen muss seine Richtlinien und Verfahren, wie es mit personenbezogenen Informationen umgeht, leicht zugĂ€nglich machen. Kunden mĂŒssen daher ohne komplizierte Umwege Zugriff auf diese Informationen erhalten. Antworten auf Anfragen von Verbrauchern zum Datenschutz sind in angemessenem Zeitraum und möglichst direkt zu beantworten. Die erteilten Informationen sind allgemeinverstĂ€ndlich zu formulieren. Juristische Fachbegriffe sind zu vermeiden.

Anforderungen aus PIPEDA

GemĂ€ĂŸ PIPEDA muss eine Organisation auf Anfrage diese Daten bereitstellen:

  • Namen oder Titel und Adresse der Person, die fĂŒr die Richtlinien und Praktiken der Organisation verantwortlich ist und an die Beschwerden oder Anfragen weitergeleitet werden können.
  • Wege fĂŒr den Zugang zu personenbezogenen Daten
  • Art der erfassten personenbezogenen Daten einschließlich der Beschreibung ihrer Verwendung.
  • Schriftliche Informationen, die Richtlinien und Standards der Unternehmens-Organisation erklĂ€ren

9. Auskunftsrecht

Auf Anfrage muss ein Unternehmen einer Person nach Authentifizierung Auskunft zu personenbezogenen gespeicherten Daten und deren Verwendung geben. Zweifelt ein Kunde die Richtigkeit oder VollstĂ€ndigkeit der personenbezogenen Daten an, kann er auf Änderung der erfassten Daten bestehen. Dies kann ein Korrigieren, Löschen oder HinzufĂŒgen von Daten bedeuten.

Ausnahmen

Die Auskunft ĂŒber personenbezogene Daten kann aus diversen GrĂŒnden verweigert werden. Dies ist der Fall, wenn die Informationen dem Anwaltsgeheimnis unterliegen oder wenn vertrauliche GeschĂ€ftsinformationen offengelegt wĂŒrden.

Anforderungen an die Authentifizierung

Bevor Zugang zu personenbezogenen Daten gewÀhrt wird, muss sich ein Unternehmen vergewissern, dass es mit der richtigen Person kommuniziert.

Einige Organisationen tun dies, indem sie nach einem amtlichen Ausweis fragen. Gegebenenfalls ist auch eine Verifizierung anhand von Kontoinformationen in Kombination mit weiteren Informationen wie dem MĂ€dchennamen oder eines hinterlegten Passworts möglich. Strikte Anforderungen an die Authentifizierung dĂŒrfen jedoch kein Hindernis fĂŒr das Auskunftsrecht darstellen.

AuskĂŒnfte – Zeit und Kosten

Auskunftsersuchen sind in einem angemessenen Zeitraum und zu minimalen oder keinen Kosten fĂŒr die Person zu beantworten. SpĂ€testens 30 Tage nach Empfang einer Anfrage ist diese zu beantworten. Benötigt ein Unternehmen ausnahmsweise mehr Zeit zur Erteilung einer Auskunft, muss sie der Person einen Zwischenbescheid zusenden und einen plausiblen Grund fĂŒr die Verzögerungen angeben.

10. Beschwerderecht

Das in PIPEDA verankerte Beschwerderecht versetzt Kunden und Verbraucher in die Lage, bei Verletzung von Punkten der DSVGO Kanada gezielt gegen Unternehmen vorzugehen.

Unternehmen mĂŒssen Verfahren bereitstellen, um Beschwerden und Anfragen entgegenzunehmen und zu beantworten. Diese Verfahren sollten einfach und leicht zu handhaben sein. Weiterhin haben Unternehmen gemĂ€ĂŸ DSGVO Kanada Beschwerden nachzugehen und zu untersuchen, auch wenn sie die Reklamation dem Anschein nach fĂŒr nicht gerechtfertigt halten sollten. Erweist sich die Beschwerde als stichhaltig, sind geeignete Maßnahmen zur Behebung zu ergreifen. FĂŒr die Entgegennahme von Beschwerden und die Einleitung von Verfahren ist der Datenschutzbeauftragte des Unternehmens zustĂ€ndig.

CMP

Ihre Fragen zu CMP & Co.

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung fĂŒr Ihr Unternehmen zu finden.