PIPEDA – Die kanadische Datenschutzgrundverordnung

In diesem Beitrag erklären wir Ihnen alles rund um die Kanadische Datenschuzverordnung PIPEDA sowie die kommende CPPA Verordnung. Im nächsten Beitrag gehen wir dann genauer auf Cookies & Consent ein.

Was ist PIPEDA?

PIPEDA ist die Abkürzung für Personal Information Protection and Electronic Documents Act und bezeichnet die neue kanadische Datenschutzgrundverordnung. Die Gesetzesnovelle führt die beiden bisherigen kanadischen Datenschutzgesetze Consumer Privacy Protection Act (CPPA) und Personal Information and Data Protection Tribunal Act (PIDPTA) zu einer umfassenden Verordnung äquivalent zur DSGVO zusammen. Die Anlehnung an die europäische Datenschutzgrundverordnung ist an vielen Stellen der PIPEDA erkennbar, daher wird sie oft auch DSGVO Kanada genannt.

Ähnlich wie die DSGVO regelt das kanadische Datenschutzgesetz den Umgang mit persönlichen Daten, die im Rahmen kommerzieller Aktivitäten gesammelt und gespeichert werden. Der Personal Information Protection and Electronic Documents Act PIPEDA ist daher für alle Unternehmen von Bedeutung, die Verbraucher in Kanada mit Dienstleistungen und Produkten erreichen wollen – ob stationär oder per Distanzhandel. Als kommerzielle Aktivitäten im Sinne von PIPEDA gelten alle Transaktionen und Handlungen kommerziellen Ursprungs oder in kommerzieller Absicht.

PIPEDA ist gültig für Unternehmen und Organisationen, die föderal reguliert sind und der kanadischen Gesetzgebung unterliegen. Der Personal Information Protection and Electronic Documents Act gilt auch für den privaten Sektor jeder Provinz, es sei denn, eine Provinz hat ein eigenes Datenschutzgesetz erlassen, das im Wesentlichen mit dem Personal Information Protection and Electronic Documents Act PIPEDA vergleichbar ist. Nur British Columbia, Alberta und Quebec haben Datenschutzgesetze, die sich weitgehend ähnlich zur Personal Information Protection and Electronic Documents Act PIPEDA einordnen lassen. Wenn ein Unternehmen in British Columbia, Alberta oder Quebec ansässig ist, findet der Personal Information Protection and Electronic Documents Act auf von diesen Organisationen erfassten personenbezogenen Daten Anwendung, sofern die kommerzielle Verwendung der Daten die Grenzen der jeweiligen Provinz überschreiten.

Die 10 Datenschutzprinzipien im Personal Information Protection and Electronic Documents Act PIPEDA

Unternehmen, die sich an die Verordnungen an PIPEDA halten müssen, sollten sich rechtzeitig mit den Datenschutzprinzipien dieser DSGVO für Kanada auseinandersetzen. In 10 Punkten sind die Rechte und Pflichten beschrieben, die Organisationen bei kommerziellen Transaktionen mit kanadischen Verbrauchern gemäß der DSGVO für Kanada befolgen müssen:

  1. Rechenschaftspflicht
  2. Zweckbindung
  3. Einwilligung
  4. Datenvermeidung und Datensparsamkeit
  5. Speicherung, Nutzung und Verarbeitung
  6. Richtigkeit
  7. Integrität und Vertraulichkeit
  8. Transparenz
  9. Auskunftsrecht
  10. Beschwerderecht

Wer die Datenschutzgrundverordnung kennt, erkennt schon in der Übersicht der 10 Prinzipien des PIPEDA viele Aspekte, die sich auch in der DSGVO der EU finden. Dennoch gibt es Abweichungen im Detail, auch und gerade was die Einwilligung zur Erfassung personenbezogener Daten betrifft. Nehmen wir doch jeden der 10 Punkte einmal kurz unter die Lupe:

1. Rechenschaftspflicht

Das Prinzip der Rechenschaftspflicht bewirkt, dass eine Organisation ab einer gewissen Größe eine Person benennen muss, die für die Verwaltung der erhobenen und personenbezogenen Daten verantwortlich zeichnet. Diese Person wird in der DSGVO Datenschutzbeauftragter genannt – im Personal Information Protection and Electronic Documents Act PIPEDA trägt sie die Bezeichnung Privacy Officer oder Chief Privacy Officer (CPO). In kleineren Unternehmen kann der Privacy Officer seine Funktion auch in Teilzeit ausführen. Seine Hauptaufgabe liegt in der Entwicklung, Implementierung und Überwachung von Verfahren, die den Datenschutzanforderungen gemäß dem PIPEDA Genüge tun. Weiterhin hat der Datenschutzbeauftragte Beschwerden zur Datenerfassung entgegenzunehmen und zu beantworten. Ein wichtiges Feld ist auch die Schulung der Mitarbeiter und die Kommunikation der für einzelne Aufgabenfelder relevanten Datenschutzanforderungen. Wurde vom Verbraucher eine Einwilligung zur Datenverarbeitung durch Dritte erteilt, ist der Privacy Officer für die Einhaltung des PIPEDA Vorgaben durch die Drittparteien verantwortlich.

2. Zweckbindung

Aus welchem Grund will das Unternehmen persönliche Daten eines Kunden speichern? Der Zweck muss dem Verbraucher spätestens zum Zeitpunkt der Datenaufnahme genannt werden. Die Offenlegung erzeugt Transparenz, erleichtert aber auch dem Unternehmen die Umsetzung spezifischer Zugriffe. Der Zweck der Datenerfassung ist gemäß PIPEDA jedem Mitarbeiter zu vermitteln, der in Kontakt mit Kunden kommt. Wird ein Kunde beim Kauf an der Kasse zum Beispiel nach der Adresse oder der Telefonnummer gefragt, ist ihm auf Nachfrage die Verwendung der Datenauskunft zu erläutern. Papierformulare und Online-Formulare, die personenbezogene Daten von Kunden erfassen, müssen den Zweck der Erfassung ebenfalls eindeutig beschreiben. Erfasste personenbezogene Daten dürfen nicht ohne ausdrückliche Erlaubnis des Kunden einem neuen Zweck zugeführt werden. Eine Ausnahme bilden gesetzliche Vorgaben, die dies bedingen.

3. Einwilligung

Ohne Wissen und Einwilligung des Kunden darf ein Unternehmen keine personenbezogenen Daten sammeln, verwenden oder weitergeben. Die Absicht, Daten des Kunden zu erfassen, ist klar und eindeutig zu vermitteln. Werden in einem Formular personenbezogene Daten erfragt, sind daher keine mehrdeutigen Formulierungen statthaft. Eine Person bei Verweigerung von Datenauskünften auch nicht benachteiligt werden. Unternehmen müssen ihre Produkte und Services daher auch Verbrauchern zur Verfügung zu stellen, die keine Daten bereitstellen wollen, die nicht mit dem Produkt oder der Dienstleistung in Zusammenhang stehen. Es gibt einige Ausnahmen: Von einer Einwilligung kann ein Unternehmen dann absehen, wenn rechtliche oder medizinische Gründe dagegensprechen. Auch Sicherheitsgründe können bei bestimmten Produkten gelten gemacht werden. Und werden Informationen für die Strafverfolgung gesammelt, entfällt die Zustimmung ebenfalls. Auf eine Einwilligung lässt sich auch in solchen Fällen verzichten, in denen eine Person minderjährig, schwer krank oder geistig behindert ist. Die Einwilligung kann aber auch von einem bevollmächtigten Vertreter erteilt werden.

Bei der Art der Einwilligung wird unterschieden zwischen:

  • explizit
  • implizit
  • Opt-out

In vielen Fällen – wie etwa einer Online-Registrierung – ist ähnlich wie in der europäischen Datenschutzgrundverordnung auch in hier eine explizit erteilte Einwilligung des Verbrauchers gefordert. Ein Opt-out ist in der Regel nicht vorgesehen. So dürfen auch beim Cookie Consent PIPEDA – äquivalent zu den Cookie-Regelungen in der DSGVO – keine Häkchen oder Buttons vorbelegt sein. Grundsätzlich muss eine Einwilligung nicht schriftlich erfolgen – die mündliche Zustimmung reicht aus. Beispielsweise reicht es aus, wenn ein Interessent die Zustimmung zum Eintrag in einen Newsletter telefonisch erteilt. Allerdings erschwert eine am Telefon erteilte Einwilligung regelmäßig die Nachweisführung für ein Unternehmen. In einigen Fällen lässt sich die Einwilligung auch aus den Handlungen des Verbrauchers direkt ableiten.

Verbraucher können ihre Einwilligung jederzeit zurückziehen, unter Beachtung vertraglicher und gesetzlicher Einschränkungen und Fristen Das Unternehmen muss den Kunden über die Folgen des Widerrufs der Einwilligung aufklären.

4. Datenvermeidung und Datensparsamkeit

Das Prinzip der Beschränkung der Datenerhebung auf die für einen Verwendungszweck erforderliche Datenmenge ist ein Grundsatz, der ebenso in der europäischen DSGVO eine wichtige Stellung einnimmt. Die von einem Unternehmen gesammelten persönlichen Daten sollten sich auf die für eine Aktion im Rahmen einer Geschäftsbeziehung notwendigen Umfang beschränken.

Die Erfassung und Speicherung unnötiger personenbezogener Daten ist auch gemäß PIPEDA zu vermeiden. Der faire und gesetzestreue Umgang mit Daten, der sich hinter der Formulierung „Fair and Lawful Means“ verbirgt, zielt auf die Datensouveränität des Kunden und das Erfordernis transparenter Prozesse ab. Der Zweck, warum bestimmte personenbezogene Daten erhoben werden sollen, darf nicht durch Täuschung oder zweideutige Aussagen verschleiert werden.

5. Speicherung, Nutzung und Verarbeitung

Die Nutzung erfasster Daten darf sich nur in dem Korridor bewegen, der dem Kunden bekannt ist und zu dem er seine Zustimmung erteilt hat. Eine Weitergabe oder anderweitige Verwendung persönlicher Daten ist in der kanadischen Datenschutzgrundverordnung PIPEDA nicht erlaubt. Die Aufbewahrungsfristen orientieren sich an Erfordernissen im Unternehmen und an weiteren gesetzlichen Regulierungen. Die empfohlene Mindestaufbewahrungsfrist für Unternehmen ist ein Jahr. Dieser Zeitraum lässt dem Unternehmen ausreichend Kapazitäten, um gesetzliche Anforderungen zu prüfen und zu erfüllen. Die maximale Aufbewahrungsfrist ist vom Unternehmen zu bestimmen und offenzulegen.

Ein unbegrenztes Vorhalten von Daten ist nicht erlaubt – dem Verbraucher ist auf Anfrage mitzuteilen, wann seine Daten endgültig gelöscht werden. Auf Wunsch sind Daten unter Beachtung von Fristen zu anonymisieren und vorzeitig zu vernichten. Daneben muss eine Organisation offenlegen können, wer in welchem Umfang die Zustimmung zur Verarbeitung der Daten erhalten hat.

6. Richtigkeit

Das Prinzip der Richtigkeit stellt sicher, dass die von einem Unternehmen gesammelten personenbezogenen Daten für die Zwecke, für die sie verwendet werden, korrekt, vollständig und aktuell sind.

Hierbei ist zu berücksichtigen, dass die erfassten Daten im besten Interesse des Verbrauchers zu verwenden sind.

Die Vorgabe der Richtigkeit in der PIPEDA ist nicht nur für das Verhältnis von Unternehmen und Kunden von Bedeutung. Erfasst eine Organisation beispielsweise personenbezogene Daten, um vor einem Einstellungsverfahren Bewerberprofile zu prüfen, muss gewährleistet sein, dass durch eine falsche oder unvollständige Erfassung keine Nachteile für Bewerber entstehen.

Aktualisierung von persönlichen Informationen

Eine automatische und turnusmäßige Aktualisierung personenbezogener Daten ist in der Regel nicht gestattet. Diese Richtlinie in der PIPEDA gilt auch für Informationen, die an Dritte weitergegeben werden.

7. Integrität und Vertraulichkeit

Das Prinzip der Integrität und Vertraulichkeit bedeutet besagt, dass personenbezogene Daten vor Verlust oder Diebstahl, unbefugtem Zugriff, Veröffentlichung, Kopieren, Veränderung oder unbefugter Verwendung geschützt werden müssen. Dieser Grundsatz gilt unabhängig davon, in welchem Format die Daten gespeichert sind.

Geeignete Schutzmaßnahmen

Der Aufwand hängt mit der Größe des Unternehmens zusammen. Ein kleines Unternehmen, das E-Mail-Adressen von Kunden für einen Online-Newsletter anlegt, kann die E-Mail-Adressen in einer Tabellenkalkulation speichern. Wird die Tabelle mit einem Passwort geschützt und zusätzlich hochgradig verschlüsselt, ist von einem adäquaten Schutz auszugehen.

Große Organisationen verwalten oft sensible persönliche Daten in erheblichem Umfang – trotz aller Datensparsamkeit. Diese Unternehmen sind auch öfter Ziele für Angreifer, daher sind hier erheblich stärkere Sicherheitsvorkehrungen zu treffen.

Alle Sicherheitsmaßnahmen sollten einen überdurchschnittlichen Schutz für die zu schützenden personenbezogenen Daten bieten, um Integrität auf hohem Niveau zu gewährleisten.

Vernichtung von persönlichen Informationen

Wenn personenbezogene Daten entsorgt oder vernichtet werden sollen, ist eine Wiederherstellung nach menschlichem Ermessen und durch Anwendung hoher technologischen Standards zur Datenvernichtung auszuschließen. Dies gilt sowohl für die physische Vernichtung von Papierdokumenten als auch für die Vernichtung von Datenbeständen auf Speichermodulen.

8. Transparenz

Ein Unternehmen muss seine Richtlinien und Verfahren, wie es mit personenbezogenen Informationen umgeht, leicht zugänglich machen. Kunden müssen daher ohne komplizierte Umwege Zugriff auf diese Informationen erhalten. Antworten auf Anfragen von Verbrauchern zum Datenschutz sind in angemessenem Zeitraum und möglichst direkt zu beantworten. Die erteilten Informationen sind allgemeinverständlich zu formulieren. Juristische Fachbegriffe sind zu vermeiden.

Anforderungen aus PIPEDA

Gemäß PIPEDA muss eine Organisation auf Anfrage diese Daten bereitstellen:

  • Namen oder Titel und Adresse der Person, die für die Richtlinien und Praktiken der Organisation verantwortlich ist und an die Beschwerden oder Anfragen weitergeleitet werden können.
  • Wege für den Zugang zu personenbezogenen Daten
  • Art der erfassten personenbezogenen Daten einschließlich der Beschreibung ihrer Verwendung.
  • Schriftliche Informationen, die Richtlinien und Standards der Unternehmens-Organisation erklären

9. Auskunftsrecht

Auf Anfrage muss ein Unternehmen einer Person nach Authentifizierung Auskunft zu personenbezogenen gespeicherten Daten und deren Verwendung geben. Zweifelt ein Kunde die Richtigkeit oder Vollständigkeit der personenbezogenen Daten an, kann er auf Änderung der erfassten Daten bestehen. Dies kann ein Korrigieren, Löschen oder Hinzufügen von Daten bedeuten.

Ausnahmen

Die Auskunft über personenbezogene Daten kann aus diversen Gründen verweigert werden. Dies ist der Fall, wenn die Informationen dem Anwaltsgeheimnis unterliegen oder wenn vertrauliche Geschäftsinformationen offengelegt würden.

Anforderungen an die Authentifizierung

Bevor Zugang zu personenbezogenen Daten gewährt wird, muss sich ein Unternehmen vergewissern, dass es mit der richtigen Person kommuniziert.

Einige Organisationen tun dies, indem sie nach einem amtlichen Ausweis fragen. Gegebenenfalls ist auch eine Verifizierung anhand von Kontoinformationen in Kombination mit weiteren Informationen wie dem Mädchennamen oder eines hinterlegten Passworts möglich. Strikte Anforderungen an die Authentifizierung dürfen jedoch kein Hindernis für das Auskunftsrecht darstellen.

Auskünfte – Zeit und Kosten

Auskunftsersuchen sind in einem angemessenen Zeitraum und zu minimalen oder keinen Kosten für die Person zu beantworten. Spätestens 30 Tage nach Empfang einer Anfrage ist diese zu beantworten. Benötigt ein Unternehmen ausnahmsweise mehr Zeit zur Erteilung einer Auskunft, muss sie der Person einen Zwischenbescheid zusenden und einen plausiblen Grund für die Verzögerungen angeben.

10. Beschwerderecht

Das in PIPEDA verankerte Beschwerderecht versetzt Kunden und Verbraucher in die Lage, bei Verletzung von Punkten der DSVGO Kanada gezielt gegen Unternehmen vorzugehen.

Unternehmen müssen Verfahren bereitstellen, um Beschwerden und Anfragen entgegenzunehmen und zu beantworten. Diese Verfahren sollten einfach und leicht zu handhaben sein. Weiterhin haben Unternehmen gemäß DSGVO Kanada Beschwerden nachzugehen und zu untersuchen, auch wenn sie die Reklamation dem Anschein nach für nicht gerechtfertigt halten sollten. Erweist sich die Beschwerde als stichhaltig, sind geeignete Maßnahmen zur Behebung zu ergreifen. Für die Entgegennahme von Beschwerden und die Einleitung von Verfahren ist der Datenschutzbeauftragte des Unternehmens zuständig.

CMP

Nicht sicher ob Sie ein CMP brauchen?

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden!

In Kontakt treten