PIPEDA: Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente

Abgedeckt durch Termly

von: Anokhy Desai CIPP/US, CIPT, CIPM Anokhy Desai CIPP/US, CIPT, CIPM | Aktualisiert am: Oktober 24, 2024

Kostenlos mit PIPEDA konform gehen
PIPEDA-Gesetz über den Schutz personenbezogener Daten und elektronischer Dokumente-01

Der kanadische Personal Information Protection and Electronic Documents Act (PIPEDA ) ist ein Bundesgesetz für den privaten Sektor, das vorschreibt, wie Organisationen persönliche Daten sammeln und verwenden.

Im Folgenden erörtere ich alles rund um PIPEDA, einschließlich der Frage, für wen es gilt, welche Strafen bei Verstößen gegen das Gesetz verhängt werden und welche Auswirkungen es auf Unternehmen und Verbraucher hat.

Inhaltsübersicht
  1. Was ist PIPEDA?
  2. Für wen gilt PIPEDA?
  3. Die wichtigsten Anforderungen des PIPEDA
  4. Verbraucherrechte unter PIPEDA
  5. PIPEDAs Auswirkungen auf Unternehmen
  6. Durchsetzung und Sanktionen bei Nichteinhaltung der Vorschriften
  7. Wie Termly bei der Einhaltung von PIPEDA hilft
  8. Zusammenfassung

Was ist PIPEDA?

PIPEDA ist Kanadas umfassendes Bundesgesetz zum Datenschutz, das die Grundlage dafür bildet, wie Organisationen kanadische private Daten sammeln, verarbeiten und nutzen dürfen.

In Kanada gibt es noch weitere Gesetze zum Schutz der Privatsphäre, darunter Gesetze der Provinzen und das Privacy Act, das personenbezogene Daten im Besitz der Bundesregierung schützt, aber PIPEDA ist das wichtigste Gesetz für den privaten Sektor.

Kurze Geschichte des Gesetzes

Im November 2020 brachte die kanadische Regierung einen Gesetzesentwurf ein, der PIPEDA überarbeitet und durch ein neues Gesetz ersetzt hätte; dieser Entwurf erhielt jedoch nie die königliche Zustimmung.

Im September 2021 rief die Regierung Neuwahlen aus, und alle nicht verabschiedeten Gesetzentwürfe (einschließlich desjenigen, der eine Aktualisierung des PIPEDA-Gesetzes vorsah) blieben auf der Tagesordnung stehen.

Infolgedessen wurde PIPEDA weder überarbeitet noch ersetzt.

Für wen gilt PIPEDA?

PIPEDA gilt für privatwirtschaftliche Organisationen in ganz Kanada, die personenbezogene Daten im Rahmen kommerzieller Aktivitäten erfassen, verwenden oder weitergeben.

Jede kanadische Organisation, die Daten über die Provinz- und Landesgrenzen hinweg überträgt, muss diese Bestimmungen ebenfalls einhalten, unabhängig davon, wo sie ihren Sitz hat und welche Datenschutzgesetze in ihrer Provinz gelten.

Die folgenden staatlich beaufsichtigten Organisationen müssen sich ebenfalls daran halten:

  • Fluggesellschaften und Flughäfen
  • Banken
  • Telekommunikationsunternehmen
  • Interprovinzielle und internationale Transportunternehmen

Wer ist befreit?

Die folgenden Organisationen sind von PIPEDA ausgenommen, es sei denn, sie üben kommerzielle Tätigkeiten aus, die nicht zu ihrem Kerngeschäft gehören:

  • Gemeinnützige Organisationen
  • Wohltätigkeitsgruppen
  • Politische Parteien

Darüber hinaus sind Organisationen in den folgenden Provinzen ebenfalls von dem Gesetz ausgenommen und unterliegen stattdessen den folgenden Provinzgesetzen für den Privatsektor, die einen ähnlichen Geltungsbereich haben:

Die wichtigsten Anforderungen des PIPEDA

Im Folgenden erläutere ich einige der wichtigsten Anforderungen des PIPEDA und ihre Auswirkungen auf Unternehmen.

Die 10 Grundsätze der fairen Information

Organisationen, die unter das PIPEDA fallen, müssen sich an die zehn Grundsätze für faire Informationen halten, in denen die Rechte der Verbraucher und die Standards für die Erhebung und Verwendung personenbezogener Daten festgelegt sind.

Rechtliche Definition von persönlichen Informationen

Gemäß PIPEDA bezieht sich der Begriff persönliche Daten auf alle faktischen oder subjektiven Informationen über eine identifizierbare Person, einschließlich:

  • Direkte Identifikatoren wie Alter, Name, ID-Nummern
  • Subjektive Informationen wie Meinungen, Bewertungen und Disziplinarmaßnahmen
  • Angaben zur Beschäftigung, z. B. Mitarbeiterakten, Kreditunterlagen und Darlehensunterlagen
  • Persönliche Gesundheitsinformationen
  • Cookie-Daten

Ausgenommen sindpersonenbezogene Daten, die von Bundesbehörden verarbeitet werden, die unter dem Privacy Act aufgeführt sind, sowie geschäftliche Kontaktinformationen, die für direkte Mitteilungen verwendet werden.

Anforderungen an die Benachrichtigung bei Datenschutzverletzungen

PIPEDA verlangt von den betroffenen Unternehmen, dass sie Datenverletzungen, die ein "reales Risiko eines erheblichen Schadens" darstellen, dem Office of the Privacy Commissioner (OPC) von Kanada mit Hilfe eines PIPEDA-Formulars melden.

Beispiele für erhebliche Schäden sind:

  • Körperlicher Schaden
  • Reputationsschaden
  • Finanzieller Verlust
  • Verlust von Arbeitsplätzen

Unternehmen müssen die betroffenen Personen so schnell wie möglich über den Verstoß informieren und Aufzeichnungen über alle Datenschutzverletzungen zwei Jahre lang aufbewahren.

Verbraucherrechte unter PIPEDA

PIPEDA gibt Kanadiern das Recht auf:

  • Zugang zu den über sie gesammelten persönlichen Informationen
  • Korrigieren Sie die persönlichen Informationen
  • die Zustimmung zur Verarbeitung ihrer personenbezogenen Daten zu widerrufen
  • bei den Behörden eine Beschwerde über die Verarbeitung ihrer Daten einreichen

PIPEDAs Auswirkungen auf Unternehmen

PIPEDA wirkt sich auf Unternehmen aus, da sie verpflichtet sind, auf ihren Websites und Anwendungen Lösungen zur Einhaltung des Datenschutzes bereitzustellen, wie etwa Datenschutzrichtlinien und Cookie-Banner.

Diese Lösungen tragen dazu bei, dass geschützte Nutzer angemessen informiert werden, damit Ihr Unternehmen die gesetzlich vorgeschriebenen Grundsätze der fairen Information erfüllt.

Um die Melde- und Transparenzanforderungen zu erfüllen, sollten die Unternehmen darüber verfügen:

  • Eine genaue Datenschutzrichtlinie
  • Eine aktualisierte Cookie-Richtlinie
  • Eine klare Möglichkeit für die Nutzer, Anträge auf Durchsetzung ihrer Rechte zu stellen
  • Ein Zustimmungsbanner, das die Präferenzen der Nutzer einholt und verfolgt

Durchsetzung und Sanktionen bei Nichteinhaltung der Vorschriften

PIPEDA wird vom Amt des Datenschutzbeauftragten(Office of the Privacy Commissioner, OPC) durchgesetzt, das aber nicht die eigentlichen Bußgelder verhängt.

Sie führen Untersuchungen als Reaktion auf Beschwerden im Rahmen des PIPEDA durch und geben dann im Rahmen ihrer Ergebnisse Empfehlungen an die Bundesregierung ab.

Dies kann zu einer Strafverfolgung auf Bundesebene und zu Geldstrafen von bis zu 100.000 CAD (79.815 USD) führen.

Wie Termly bei der Einhaltung von PIPEDA hilft

Unternehmen können Termly's Datenschutzerklärung Generator verwenden, um eine maßgeschneiderte PIPEDA-konforme Richtlinie zu erstellen.

Unser Generator wird von unserem Rechtsteam und unseren Datenschutzexperten unterstützt und wurde so entwickelt, dass er für jeden leicht zu bedienen ist. Er stellt einfache Fragen zu Ihrem Unternehmen und Ihren Datenverarbeitungsaktivitäten und erstellt dann auf der Grundlage Ihrer Antworten eine einzigartige Richtlinie.

Wir bieten auch eine Consent Management Platform die Ihnen dabei helfen kann, die gesetzlich vorgeschriebenen Zustimmungserfordernisse (Opt-in und Opt-out) zu erfüllen.

Zusammenfassung

Um PIPEDA einzuhalten, müssen Organisationen die zehn Grundsätze für faire Informationen einhalten, die die Grundregeln für den Umgang mit Daten festlegen.

Unternehmen sollten eine Datenschutzrichtlinie erstellen, in der sie sich zum Schutz der Nutzerdaten verpflichten, und sicherstellen, dass Datenschutzverletzungen dem OPC und allen betroffenen Nutzern so schnell wie möglich gemeldet werden.

Um die Anforderungen von PIPEDA besser zu verstehen, lesen Sie die PIPEDA-Gesetzgebung oder besuchen Sie die OPC-Website, wo Sie verschiedene Ressourcen zu PIPEDA finden.

Anokhy Desai CIPP/US, CIPT, CIPM
Mehr über die Autorin

Geschrieben von Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy ist Anwältin für Datenschutz mit Erfahrung in den Bereichen Datenschutz und Cybersicherheit im öffentlichen und privaten Sektor. Als ehemalige Westin Fellow bei der IAPP veröffentlichte sie mehrere Artikel, White Papers und Infografiken und leitete, koordinierte und moderierte Webinare und Diskussionsrunden zu den Themen Datenschutz und Datenschutztechnologie in den USA. Anokhy erwarb ihren Master an der Carnegie Mellon University und ihren Juris Doctor an der University of Pittsburgh. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen