Fokus auf Kanada: Datenschutzpolitik vor dem Wandel

Die kanadische Datenschutzpolitik steht vor einem tiefgreifenden Wandel - und die kanadischen Unternehmen werden mit anhaltender Unsicherheit und Verwirrung zu kämpfen haben, da in den kommenden Monaten verschiedene Vorschläge beraten werden.

Auf nationaler und provinzieller Ebene werden derzeit strengere Datenschutzrichtlinien entwickelt, die auch strenger durchgesetzt werden. Kanadas Unternehmen haben ihre politischen Präferenzen dargelegt und unterstützen neue Ansätze für die Erhebung und Nutzung personenbezogener Daten, die Fortsetzung des grenzüberschreitenden Datenverkehrs und eine bessere Abstimmung der Vorschriften zwischen den Provinzen und Ottawa.

Kanada gilt als Vorreiter in Sachen Datenschutz. Der Personal Information Protection and Electronic Documents Act (PIPEDA), das kanadische Bundesgesetz über die Erhebung, Nutzung und Offenlegung personenbezogener Daten, trat 2001 in Kraft - lange vor den Gesetzen in vielen anderen Ländern. Doch technologische, cyberkriminelle und internationale Entwicklungen haben das PIPEDA überholt, und die meisten sind sich einig, dass es jetzt eine umfassende Aktualisierung benötigt.

Kanadas Datenschutzdebatte wird auch durch die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union beeinflusst, die aufgrund ihrer Auswirkungen auf den transatlantischen Geschäftsverkehr globale Auswirkungen hat. Die EU hat Kanadas Datenschutzbestimmungen als "angemessen" für den Schutz der Daten europäischer Bürger innerhalb ihrer Grenzen eingestuft, während Länder wie die USA diesen Datenschutzstandard nicht erfüllen . Dennoch stellen einige Beobachter in Frage, ob die in die Jahre gekommenen kanadischen Datenschutzbestimmungen bei ihrer nächsten Überprüfung dem GDPR-Standard entsprechen werden.

Aus diesen und anderen Gründen arbeitete die Bundesregierung an der Überarbeitung von PIPEDA, als Québec ein neues Datenschutzgesetz einführte, [1] gefolgt von der Veröffentlichung politischer Vorschläge in British Columbia und Ontario. [2] Da Québec zuerst kam, hat seine Gesetzgebung die meiste Aufmerksamkeit auf sich gezogen.

Gesetzentwurf aus Quebec führt politische Debatte an

Der kanadische Datenschutzbeauftragte, Daniel Therrien, hat erklärt, dass eine Reihe von Bestimmungen in Quebecs Gesetzentwurf mit den Überlegungen auf Bundesebene übereinstimmen, [3] obwohl noch keine nationalen Rechtsvorschriften eingeführt wurden. So stimmte Therrien beispielsweise generell den strengeren Durchsetzungsbestimmungen in Quebecs "Bill 64" zu. Er warnte jedoch vor Bestimmungen, die den Datenfluss außerhalb von Quebec behindern könnten.

Viele der Bestimmungen des Gesetzentwurfs 64 spiegeln die GDPR der EU wider. Mit dem Gesetzentwurf sollen die Anforderungen in Bezug auf die Zustimmung von Einzelpersonen geklärt werden, die erforderlich ist, bevor ihre personenbezogenen Daten erfasst, verwendet oder an Dritte, z. B. einen Datenverarbeiter, weitergegeben werden. Juristische Beobachter haben einige Bestimmungen als potenziell problematisch für Unternehmen bezeichnet, darunter Strafen in Höhe von 10 Mio. C$ (ca. 7,5 Mio. USD) oder 2 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist, bei Verstößen.

Ein weiterer Abschnitt des Gesetzentwurfs 64 würde sich auf die Datenresidenz auswirken und eine Erklärung über die Auswirkungen auf die Privatsphäre vorschreiben, bevor personenbezogene Daten zur Verarbeitung ins Ausland verlagert werden. [4] Die Datenresidenz ist ein Bereich, der in Kanada für einige Verwirrung gesorgt hat, da das Büro des Datenschutzbeauftragten vor kurzem eine Vorschrift erlassen und dann wieder aufgehoben hat, die besagt, dass Unternehmen eine ausdrückliche Zustimmung für die Übertragung personenbezogener Daten an Dienstleister außerhalb Kanadas einholen müssen. [5]

Diese und unzählige andere Details in den politischen Vorschlägen auf Bundes- und Provinzebene werden in den kommenden Monaten weiter diskutiert werden, darunter das "Recht auf Vergessenwerden", Meldepflichten für Datenschutzverletzungen und mehr. Zu den weiteren Entwicklungen, die sich auf die nationale Politik auswirken könnten, gehört eine koordinierte Sammelklage, die in drei Provinzen eingereicht wurde und die Sammlung personenbezogener Daten durch einen großen multinationalen Technologiekonzern anfechtet. [6] Und inmitten eines ohnehin schon komplizierten Umfelds hat COVID Regierungsbeamte dazu veranlasst, einige Datenschutzbestimmungen in Bezug auf personenbezogene Daten zu lockern. [7]

Unternehmen äußern ihre Besorgnis

"Es ist von entscheidender Bedeutung, dass der private Sektor eine Rolle bei der Gestaltung der kanadischen Datenstrategie spielt", schrieb der Business Council of Canada in einem Grundsatzpapier, das den Konsens großer kanadischer Unternehmen und Tochtergesellschaften ausländischer multinationaler Konzerne widerspiegelt. "Jeder ist im Datengeschäft tätig." [8] Eine Auswahl der Empfehlungen des Rates umfasst:

• PIPEDA sollte Rechtsgrundlagen für die Einwilligung, Ausnahmen und Alternativen - einschließlich der Verwendung von Algorithmen für die automatisierte Entscheidungsfindung - enthalten.
• Kanadier sollten ein gewisses, wenn auch begrenztes Recht haben, von Unternehmen die Löschung ihrer persönlichen Daten zu verlangen.
• Die Durchsetzung der Datenschutzgesetze sollte im Falle schwerwiegender Verstöße verstärkt werden.
• Freiwillige Methoden zur Einhaltung der Vorschriften, wie die Vorabgenehmigung von Anwendungsfällen oder die Selbstauskunft bei unbeabsichtigtem Missbrauch, sollten ohne Sanktionen angewandt werden.
• Künftige internationale Handelsabkommen sollten Bestimmungen gegen Anforderungen an die Datenlokalisierung/Datenresidenz und andere Hindernisse für den grenzüberschreitenden Datenverkehr enthalten.
• Die Bundesregierung sollte mit den Provinzen zusammenarbeiten, um Datenstrategien abzustimmen und einen nationalen Markt für den freien Datenfluss zu schaffen.

Das Mitnehmen

Während kanadische Politiker und Wirtschaftsführer über neue Datenschutzgesetze diskutieren, werden kanadische Unternehmen aufgefordert, sich auf strengere Vorschriften und deren Durchsetzung vorzubereiten. Es kann bis zu zwei Jahre dauern, bis die Maßnahmen in Kraft treten, aber die Uhr tickt bereits.

[1] " Bill 64, Ein Gesetz zur Modernisierung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten ," Nationalversammlung von Quebec

[2] " Konsultation: Strengthening Privacy Protections in Ontario ," Ontario Ministry of Government and Consumer Services

[3] " Anhörung vor dem Ausschuss für Institutionen der Nationalversammlung von Quebec zu Gesetzentwurf 64, einem Gesetz zur Modernisierung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten ," Büro des kanadischen Datenschutzbeauftragten

[4] " Vorgeschlagene Änderungen des Quebecer Gesetzes über den Schutz personenbezogener Daten: Auswirkungen auf Unternehmen ," BLG

[5] " Bank stellt Offenheit und vergleichbaren Schutz für persönliche Daten sicher, die an Dritte weitergegeben werden ," Office of the Privacy Commissioner of Canada

[6] " Google sieht sich in Kanada mit einer Sammelklage konfrontiert, in der behauptet wird, dass es die elektronischen Geräte der Kanadier ohne deren Zustimmung in Ortungsgeräte verwandelt ," Branch MacMaster LLP

[7] " A Framework for the Government of Canada to Assess Privacy-Impactful Initiatives in Response to COVID-19 ," Office of the Privacy Commissioner of Canada

[8] " Datengesteuert ," Business Council of Canada