Fokus auf Kanada: Grenzüberschreitender Datenschutz im Fadenkreuz

Kanadische Unternehmen achten auf Datenschutzrichtlinien, die sich auf ihre Nutzung ausländischer Cloud-Dienste und Datenverarbeiter auswirken könnten - insbesondere in den USA. Die jüngsten Entscheidungen zur Datenlokalisierung beginnen auf nationaler, provinzieller und internationaler Ebene zu greifen. Diese auch als Datenlokalisierung bezeichneten Maßnahmen könnten dazu führen, dass personenbezogene Daten von Kanadiern nur noch in Kanada verarbeitet und gespeichert werden dürfen.

Der grenzüberschreitende Datenverkehr steht schon seit Jahren auf der politischen Agenda Kanadas, ob er nun die USA oder andere Handelspartner betrifft. Der Datenfluss mit den USA hat jedoch aufgrund des zunehmenden Einflusses von Big Tech, der wachsenden Besorgnis über den Datenschutz der Verbraucher und der anhaltenden Auswirkungen der amerikanischen Überwachungs- und Datenerfassungsbestimmungen im Patriot Act an Priorität gewonnen.

In diesem Sommer wurde die Angemessenheit des Datenschutzes in den USA erneut in Frage gestellt, als Europas oberstes Gericht das Privacy Shield, eine Vereinbarung für den Datentransfer zwischen der Europäischen Union und den USA, für ungültig erklärte. Während die EU und die USA über einen Ersatz verhandeln, haben Rechtsbeobachter angedeutet, dass das Urteil einen Dominoeffekt in anderen Ländern, einschließlich Kanada, haben könnte.[1] Ein Beispiel dafür ist Israel, wo die israelische Datenschutzbehörde im September erklärte, dass sie ebenfalls neue Mechanismen für Datenübertragungen in die USA finden müsse.[2]

Angesichts dieser Bedenken haben multinationale Cloud-Service-Anbieter wie Mimecast Drehkreuze in Kanada und anderen Ländern eingerichtet, um ihren Geschäftskunden mehr Möglichkeiten zur Weiterleitung und Speicherung von Unternehmens-E-Mails, Kundeninformationen und anderen Daten zu bieten.

Kanadas Vorschriften und Vorschläge zum Datenaufenthalt

Der durchschnittliche Kanadier ist auch besorgt über die Weitergabe seiner persönlichen Daten außerhalb des Landes - das sagen zumindest 75 % der Britisch-Kolumbianer, die an einer Umfrage zum Datenschutz teilgenommen haben.[3] Und 81 % der kanadischen Unternehmen geben an, dass der Schutz der persönlichen Daten ihrer Kunden wichtig ist - im Vergleich zu 62 % im Jahr 2011.[4]

Die von Ottawa und den Provinzen vorgeschlagenen neuen Datenschutzgesetze ( ) könnten diese Probleme endlich lösen, einschließlich einiger Fragen zur Speicherung kanadischer Daten in den USA und anderen Ländern, auch wenn dies wahrscheinlich noch Monate dauern wird. In der Zwischenzeit bleiben die Unternehmen im Ungewissen, wie sie einige ihrer kritischsten Operationen durchführen sollen. Hier sind fünf wichtige Entwicklungen, die das Ergebnis beeinflussen werden:

• Maßnahmen auf Bundesebene: Das kanadische Office of the Privacy Commissioner (OPC) hat vor kurzem eine Vorschrift erlassen und dann wieder aufgehoben, nach der Unternehmen die ausdrückliche Zustimmung zur Übermittlung personenbezogener Daten an Dienstleister außerhalb Kanadas einholen müssen.[5] Das OPC hat betont, dass Unternehmen ihre Kunden informieren sollten, wenn ihre Daten in einem anderen Land verarbeitet werden, wo Strafverfolgungs- und nationale Sicherheitsbehörden darauf zugreifen könnten. Die Frage der Datenresidenz wird auch im Rahmen einer Neufassung des kanadischen Gesetzes zum Schutz persönlicher Informationen und elektronischer Dokumente (PIPEDA) diskutiert.
• Gesetzesvorschlag in Quebec: Quebec hat vor kurzem einen neuen Gesetzentwurf zum Datenschutz vorgelegt, der von Unternehmen verlangt, eine Datenschutz-Folgenabschätzung durchzuführen, bevor sie personenbezogene Daten zur Verarbeitung in ein Land außerhalb der Provinz senden.
• BC-Initiativen: Im Gegensatz dazu hat Britisch-Kolumbien, das von den Behörden der Provinz verlangt, alle personenbezogenen Daten in Kanada zu speichern, diese Beschränkung aufgrund von COVID-19 vorübergehend gelockert. Generell ist BC jedoch dabei, sein Datenschutzgesetz zu aktualisieren, ein Prozess, der auch eine Konsultation der Öffentlichkeit über die Anforderungen an die Datenspeicherung und damit verbundene Fragen umfasst.[6]
• Corporate Pushback: Gruppen wie der Business Council of Canada und die Investment Industry Association of Canada (IIAC) haben sich gegen kanadische Anforderungen an den Datenaufenthalt ausgesprochen. Selbst die Einführung neuer Offenlegungs- und Zustimmungspflichten für die Nutzung von Drittverarbeitern im Ausland wäre undurchführbar und ineffektiv, so der IIAC. Als Grund für die Undurchführbarkeit solcher Maßnahmen führte der IIAC die riesige Menge an Kundendaten an, die für die Anlageverwaltung benötigt werden, einschließlich persönlicher Identifikation, Bankinformationen, Listen von Vermögenswerten, Verbindlichkeiten, Steuern, Details über Familienmitglieder und mehr.
• Das neue nordamerikanische Handelsabkommen: Der grenzüberschreitende Datenverkehr ist auch Gegenstand des Abkommens zwischen Kanada und den USA sowie Mexiko (CUSMA). Das Abkommen von 2018, das das Nordamerikanische Freihandelsabkommen (NAFTA) ersetzt, trat am 1. Juli in Kraft und besagt, dass "keine Partei die grenzüberschreitende Übermittlung von Informationen verbieten oder einschränken darf." [7] Aber es gibt Raum für unterschiedliche Interpretationen. So weist die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) darauf hin, dass das Abkommen auch Bestimmungen für nationale Regierungen enthält, um die persönlichen Daten aller am digitalen Handel beteiligten Parteien zu schützen. Darüber hinaus weist die OECD darauf hin, dass es inzwischen weltweit mehr als 200 Datenschutzvorschriften für die Übertragung von Daten und die lokale Speicherung gibt. "Die Regierungen aktualisieren datenbezogene Vorschriften und konditionieren zunehmend den grenzüberschreitenden Datentransfer oder verlangen, dass die Daten lokal gespeichert werden", schreibt die Organisation.[8]

Vor dem Hintergrund dieser und anderer bevorstehender Änderungen der grenzüberschreitenden Datenschutzbestimmungen hat der Datenschutzbeauftragte von British Columbia, Michael McEvoy, einen Artikel verfasst, der Ratschläge zum Schutz personenbezogener Daten und zur Minimierung der rechtlichen, finanziellen und betrieblichen Risiken gibt, die Unternehmen bei Nichteinhaltung der Vorschriften drohen. "Für Unternehmen, die an grenzüberschreitenden Transaktionen zwischen Kanada und den USA beteiligt sind", so McEvoy, "ist es unerlässlich, die Gesetze und Vorschriften auf beiden Seiten der Grenze zu kennen und ein angemessenes Programm zur Einhaltung der Cybersicherheit einzurichten." [9]

Die Quintessenz

Angesichts der nationalen, provinziellen und internationalen Debatten über den Datenschutz wird der grenzüberschreitende Datenverkehr zwischen Kanada und den USA immer genauer unter die Lupe genommen. Dies hat kanadische Unternehmen dazu veranlasst, die zahlreichen Entwicklungen, die sich auf die Art und Weise auswirken könnten, wie sie mit wichtigen Daten ihres Unternehmens umgehen, genau im Auge zu behalten.

[1] "The End of the 'Privacy Shield' Is an Opportunity for Canadian Business," Lawson Lundell LLP

[2] "Israelische Datenschutzbehörde erklärt Privacy Shield für unzureichend," Geneva Internet Platform

[3] "British Columbians Want Action on Privacy Protection," BC Freedom of Information and Privacy Association

[4] "2019-20 Survey of Canadian Businesses on Privacy-Related Issues," Office of the Privacy Commissioner of Canada

[5] "Bank gewährleistet Offenheit und vergleichbaren Schutz für persönliche Daten, die an Dritte weitergegeben werden," Office of the Privacy Commissioner of Canada

[6] Rede von Michael McEvoy, Informations- und Datenschutzbeauftragter für Britisch-Kolumbien

[7] "As New NAFTA Takes Effect, Much Remains Undone," New York Times

[8] "Handel und grenzüberschreitende Datenströme," Organisation für wirtschaftliche Zusammenarbeit und Entwicklung

[9] "Kritische Fragen zur Einhaltung der Cybersicherheit für kanadische und US-amerikanische Unternehmen, die grenzüberschreitend tätig sind," Business Law Today