Seit fast zwei Jahren wird in Kanada über eine umfassende gesetzliche Reform des kanadischen Datenschutzes geredet. Der Prozess wurde im Juni dieses Jahres mit der Einführung eines Gesetzentwurfs zur Verabschiedung des Digital Charter Implementation Act beschleunigt. Dabei handelt es sich um ein umfassendes Gesetz, das nicht nur ein neues Datenschutzgesetz (Consumer Privacy Protection Act/CPPA), sondern auch Gesetze zur Schaffung eines Datenschutzgerichts und zur Regulierung der Entwicklung künstlicher Intelligenz (AI) vorsieht. Es wird erwartet, dass der Gesetzesentwurf in den nächsten ein bis zwei Jahren anhängig bleiben wird, da er den Rest des Gesetzgebungsverfahrens durchlaufen muss und dann einer Wartefrist unterliegt, damit Unternehmen Initiativen zur Einhaltung der Vorschriften entwickeln können. Wird das Gesetz in der vorgeschlagenen Form verabschiedet, würde es sich in die Reihe der GDPR einreihen, die einige strengere Bestimmungen und hohe Geldstrafen vorsieht, weshalb es wichtig ist, den Prozess zu verfolgen und jetzt mit den Vorbereitungen zu beginnen.

Das alte Gesetz

Kanada stützt sich bei der Regelung des Datenschutzes seit über zwanzig Jahren auf den Personal Information Protection and Electronic Documents Act (PIPEDA). In dieser Zeit hat sich die Welt im Hinblick auf die elektronische Kommunikation und den Datenaustausch drastisch verändert. Fast alles ist jetzt digital, was PIPEDA extrem veraltet macht und die Daten kanadischer Verbraucher gefährdet. Die großen Lücken, die PIPEDA aufweist, bieten mehr Möglichkeiten für Datenmissbrauch und ein erhöhtes Risiko von Datenschutzverletzungen. Dazu gehören das Fehlen einer verbesserten Verbraucherkontrolle - wie ein festes Recht auf Löschung - und das Fehlen von Aufsichtsanforderungen, um eine unnötige Verarbeitung oder längere Speicherung von personenbezogenen Daten zu verhindern.

Das neue Gesetz

Wenn der Digital Charter Implementation Act verabschiedet wird, würde das CPPA das PIPEDA-Gesetz ersetzen und den kanadischen Verbrauchern mehr Kontrolle über ihre Daten geben. Das Gesetz gilt für die Datenverarbeitung auf Bundesebene, was notwendig ist, da einige Provinzen wie Quebec ihre Datenschutzlandschaft bereits modernisiert haben. Ein bundesweiter Standard wird Unternehmen, die in mehreren Ländern tätig sind, eine klarere Orientierung bieten und auch als Modell für künftige Provinzen dienen, die ihre eigenen Gesetze erlassen wollen.

Das Gesetz gilt nicht nur für die Datenverarbeitung im Zusammenhang mit kommerziellen Aktivitäten, sondern auch für Daten, die für Bundesbedienstete oder Bewerber verarbeitet werden. Beschäftigtendaten im privaten Sektor werden nicht speziell beschrieben, was bei anderen Datenschutzgesetzen auf der ganzen Welt eher die Regel ist.

Hier sind einige wichtige Bestimmungen des CPPA zu nennen:

Verbraucher

Zu den wichtigsten Verbraucherrechten gehören die Löschung, der Zugang, die Verfügung, die Berichtigung und die Übertragbarkeit. Diese Rechte finden sich in der Regel in den meisten neuen Datenschutzgesetzen.

Bevor eine Organisation rechtmäßig Daten erheben kann, ist die Zustimmung des Einzelnen erforderlich. Zu den Ausnahmen gehören Datenverarbeitungsaktivitäten zu folgenden Zwecken: öffentliche Interessen wie ein gesundheitlicher Notfall; öffentlich zugängliche Informationen; anonymisierte personenbezogene Daten; Untersuchung eines Vertragsbruchs nach Bundes- oder Landesrecht oder Sicherheitsvorkehrungen; wenn die Annahme gerechtfertigt ist, dass die Daten für geschäftliche Zwecke erhoben werden; und für einen Dienstleister, wenn der gleiche Schutz gewährleistet ist, was häufig durch einen Vertrag geschieht. Diese Ausnahmen sollen ein besseres Gleichgewicht zwischen den Verbraucherrechten und den Interessen einer Organisation an der Verwendung der Daten herstellen. Diese Liste ist nicht erschöpfend.

Organisationen

Bevor Organisationen Daten sammeln, müssen sie den Zweck festlegen und aufzeichnen. Die Abwägung der Interessen mit den Verbraucherrechten ist Teil dieses Prozesses, der den Folgenabschätzungen der Datenschutz-Grundverordnung ähnelt.

Unternehmen müssen eine einzelne Person oder ein Team benennen, das die Einhaltung der Vorschriften überwacht. Wenn Unternehmen bereits einen Datenschutzbeauftragten für die Einhaltung der GDPR benannt haben, werden sich die Pflichten zweifellos überschneiden.

Unternehmen müssen ein Datenschutzmanagementprogramm erstellen, das alle CPPA-Verpflichtungen berücksichtigt. Wenn bereits ein solches Programm vorhanden ist, muss das Compliance-Team ein Audit vorbereiten, um etwaige Lücken in den Richtlinien oder Prozessen zu ermitteln. Das CPPA weist die Betroffenen beispielsweise eindeutig an, personenbezogene Daten zu löschen, sobald der Verwendungszweck erfüllt ist. Dies kann Änderungen an bestehenden Aufbewahrungsprogrammen erforderlich machen.

Die Möglichkeit, Daten über Minderjährige zu sammeln und zu verarbeiten, wird eingeschränkt, da das CPPA diese Informationen eindeutig als sensibel einstuft. Dies war in der vorherigen Fassung des Gesetzes stark umstritten.

Strafen und Vollstreckung

Die zu verhängenden Strafen belaufen sich auf den höheren der folgenden Beträge: fünf Prozent des weltweiten Bruttoumsatzes einer Organisation oder 25 Millionen CAD für kriminelle oder schwerwiegende Verstöße; drei Prozent oder 10 Millionen CAD für administrative Verstöße. Dies ist insofern von Bedeutung, als die Höchststrafen nach der Datenschutz-Grundverordnung niedriger sind. Das Datenschutzgericht wird in der Lage sein, Einsprüche gegen Bußgelder, die der Datenschutzbeauftragte verhängt, anzuhören.

Der Datenschutzbeauftragte kann auch Anordnungen zur Einhaltung der Vorschriften erlassen, Prüfungen durch Dritte anordnen, interne Zertifizierungsprogramme genehmigen und gegebenenfalls den Informationsaustausch mit anderen Aufsichtsbehörden erzwingen.

Es ist wichtig, die KI-Komponente des Gesetzes zur Umsetzung der Digitalen Charta zu berücksichtigen, da dies ein zunehmendes Anliegen zu sein scheint. Im Falle einer Verabschiedung würde dieses Gesetz unter anderem die Betreiber von KI-Systemen mit großer Wirkung dazu verpflichten, das mit Voreingenommenheit verbundene Risiko zu mindern und die Transparenz gegenüber der Öffentlichkeit zu erhöhen. Es wird eine Liste verbotener Verhaltensweisen geben und einen eigenen Beauftragten, der für die Durchsetzung zuständig ist. Auch in der EU und im Vereinigten Königreich gibt es Gesetzesvorschläge zu bestimmten KI-Regelungen, so dass es interessant sein wird, die Unterschiede bei der Verabschiedung von Gesetzen in verschiedenen Regionen der Welt zu beobachten.

Abschließende Überlegungen

Die oben beschriebenen Schutzmaßnahmen zeigen, wie das neue kanadische Gesetz darauf abzielt, ein Gleichgewicht zwischen den Interessen der Unternehmen und den Rechten der Verbraucher herzustellen, während es gleichzeitig den strengen Schutzmaßnahmen von Gesetzen wie der GDPR entspricht. Beobachten Sie im weiteren Verlauf des Gesetzgebungsverfahrens alle Änderungen und Auslegungshinweise. Besonders interessant wird sein, wie sich das Sanktionssystem entwickelt, denn es könnte zu rekordverdächtigen Geldstrafen kommen. Wenn Sie auf dem Laufenden bleiben, können Sie proaktiv Pläne für die Einhaltung der Vorschriften erstellen und sind besser vorbereitet, wenn das Gesetz in Kraft tritt. Und schließlich sollten Sie sich unbedingt rechtlich beraten lassen, bevor Sie Entscheidungen treffen.

 
Wenn Sie mehr darüber erfahren möchten, wie Epiq Ihnen helfen kann, klicken Sie hier.
Der Inhalt dieses Artikels dient lediglich der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.