Gemäß dem aktuellen kanadischen PIPEDA und dem kommenden CPPA (Consumer Privacy Protection Act) müssen Organisationen vor der Erhebung, Verwendung oder Offenlegung personenbezogener Daten eine aussagekräftige Einwilligung einholen – dazu gehören auch Daten, die über Cookies und ähnliche Tracking-Technologien erhoben werden. Wie verwalten Sie die Einwilligung?
PIPEDA (Personal Information Protection and Electronic Documents Act) ist Kanadas Bundesdatenschutzgesetz, das den Umgang privater Organisationen mit personenbezogenen Daten im Rahmen ihrer Geschäftstätigkeit regelt. Es ist seit dem Jahr 2000 der wichtigste Rahmen für den Datenschutz.
CPPA (Consumer Privacy Protection Act) ist Kanadas vorgeschlagenes neues Datenschutzgesetz, das PIPEDA ersetzen soll. Es ist Teil des Gesetzesentwurfs C-27, der den Bundesdatenschutz modernisieren, die Durchsetzungsbefugnisse stärken und Kanada an globale Datenschutzstandards wie die DSGVO anpassen soll.
Unternehmen, die unter PIPEDA arbeiten oder sich auf CPPA vorbereiten, müssen:
Vor der Erhebung oder Verwendung personenbezogener Daten eine gültige und informierte Einwilligung einholen.
Die Datenerhebung auf das für die angegebenen Zwecke erforderliche Maß beschränken.
Personenbezogene Daten durch geeignete Sicherheitsvorkehrungen schützen.
Personen Zugriff auf ihre Daten gewähren und Ungenauigkeiten korrigieren.
Klare Datenschutzrichtlinien und -praktiken einhalten.
Im Rahmen des CPPA müssen Unternehmen außerdem:
Datenmobilität (Datenportabilität zwischen Organisationen) ermöglichen.
Implementieren Sie transparente Algorithmen, wenn Sie automatisierte Entscheidungsfindung nutzen.
Ermöglichen Sie Nutzern, die Löschung von Daten zu beantragen.
CPPA führt höhere Standards, strengere Zustimmungsregeln und strenge Strafen für Verstöße ein.
Um PIPEDA/CPPA-konform zu sein, sollten Sie:
Führen Sie ein Audit durch:
Führen Sie eine vollständige Prüfung der Datenerfassungs- und -freigabepraktiken durch und identifizieren Sie die erfassten personenbezogenen Daten und deren Zwecke.
Datenschutzbestimmungen aktualisieren:
Überprüfen und aktualisieren Sie Ihre Datenschutz- und Cookie-Richtlinien.
Implementieren Sie das Einwilligungsmanagement:
Implementieren Sie Cookie-Einwilligungsbanner und Opt-out-Flows, um die Einwilligungserfassung und das Präferenzmanagement zu automatisieren
Sorgen Sie für Datenminimierung:
Beschränken Sie die Datenerfassung auf das für legitime Geschäftszwecke erforderliche Maß
Verbraucherrechte gewährleisten:
Informieren Sie Einzelpersonen darüber, warum und wie ihre persönlichen Daten erfasst und verwendet werden, und richten Sie Mechanismen ein, um innerhalb von 45 Tagen auf Anfragen zu Verbraucherrechten zu reagieren.
Ernennung eines Datenschutzbeauftragten:
Implementieren Sie Rechenschaftsmaßnahmen und ernennen Sie eine Person, die für den Datenschutz verantwortlich ist
Führen Sie Datenschutzbewertungen durch:
Schützen Sie die Privatsphäre im Hinblick auf gezielte Werbung, Datenverkauf, Profilerstellung oder die Verarbeitung sensibler Daten.
Wenn Ihre Antworten unsicher oder negativ sind, entspricht Ihr Unternehmen möglicherweise nicht den Vorschriften und sollte seine Datenschutzpraktiken aktualisieren.
Die Gesetze gelten für:
Alle privatwirtschaftlichen Organisationen in Kanada, die kommerzielle Aktivitäten betreiben.
Ausländische Unternehmen, die Waren und Dienstleistungen anbieten oder Daten von Kanadiern erheben.
Organisationen in staatlich regulierten Sektoren (z. B. Banken, Fluggesellschaften, Telekommunikation).
Die Datenschutzgesetze der Provinzen haben in British Columbia, Alberta und Quebec möglicherweise Vorrang, jedoch nur, wenn sie als „im Wesentlichen ähnlich“ zu Bundesgesetzen gelten.
Sowohl PIPEDA als auch CPPA besagen, dass Verbraucher das Recht haben:
Verbraucher haben das Recht, zum Zeitpunkt der Erhebung oder davor darüber informiert zu werden, warum ihre personenbezogenen Daten erhoben, verwendet oder weitergegeben werden.
Organisationen müssen eine aussagekräftige Einwilligung (je nach Situation ausdrücklich oder stillschweigend) einholen, bevor sie personenbezogene Daten erfassen, verwenden oder offenlegen.
Verbraucher können Zugriff auf ihre persönlichen Daten anfordern, die von einer Organisation gespeichert werden, einschließlich Einzelheiten darüber, wie diese verwendet werden und wem sie offengelegt wurden.
Einzelpersonen haben das Recht, die Korrektur ihrer personenbezogenen Daten zu verlangen, wenn diese ungenau oder unvollständig sind.
Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen.
Verbraucher können ihre Einwilligung jederzeit widerrufen, vorbehaltlich gesetzlicher oder vertraglicher Beschränkungen und einer angemessenen Frist.
Verbraucher können verlangen, dass ihre Daten in einem nutzbaren Format bereitgestellt werden.
Verbraucher haben das Recht zu erwarten, dass ihre personenbezogenen Daten durch geeignete Sicherheitsmaßnahmen geschützt werden, um unbefugten Zugriff, unbefugte Erfassung, Verwendung, Offenlegung oder Zerstörung zu verhindern.
Verbraucher sollten informiert werden und die Möglichkeit haben, Ergebnisse anzufechten (gemäß CPPA).
Organisationen dürfen personenbezogene Daten nur zu angemessenen Zwecken erheben, verwenden oder offenlegen, die eine vernünftige Person unter den gegebenen Umständen für angemessen halten würde.
Diese Rechte geben den Kanadiern die Möglichkeit, ihre digitale Privatsphäre zu kontrollieren und von den Unternehmen Rechenschaft zu verlangen.
Cookies, die identifizierbare Informationen wie Geräte-IDs, Standortdaten oder Verhaltensprofile erfassen, fallen sowohl unter die Definition personenbezogener Daten des PIPEDA als auch des CPPA. Daher gilt:
Vor der Erfassung dieser Informationen durch Cookies ist eine Einwilligung erforderlich.
Sie müssen klar erklären, was Cookies tun, welche Daten erfasst werden und warum.
Sie müssen den Nutzern eine echte Wahlmöglichkeit bieten – ob sie sich anmelden oder ihre Präferenzen verwalten möchten.
Unter dem CPPA sind irreführende oder zwanghafte Praktiken im Zusammenhang mit der Einwilligung (z. B. Dark Patterns) ausdrücklich verboten.
Cookie-Banner müssen klar sein, spezifische Informationen zur Datennutzung enthalten und den Nutzern die Möglichkeit geben, sich anzumelden oder ihre Präferenzen zu verwalten, bevor nicht unbedingt erforderliche Cookies aktiviert werden. Das CPPA stärkt diese Einwilligungsanforderungen durch explizitere Transparenz- und Rechenschaftspflichten.
Gemäß PIPEDA:
Der Datenschutzbeauftragte kann Verstöße untersuchen und öffentlich melden, hat aber nur begrenzte Durchsetzungsbefugnisse.
Schwere Verstöße können an ein Bundesgericht verwiesen werden.
Der vorgeschlagene CPPA:
Der Datenschutzbeauftragte würde Anordnungsbefugnis erhalten.
Ein neues Datenschutzgericht könnte Geldstrafen von bis zu 10 Millionen kanadischen Dollar oder 3 % des weltweiten Umsatzes verhängen, je nachdem, welcher Betrag höher ist.
Vorsätzliche Verstöße können strafrechtlich verfolgt werden.
Um Ihre Einhaltung von PIPEDA und CPPA zu überprüfen, sollten Organisationen:
Prüfung:
Führen Sie ein Datenaudit durch, um alle Cookies und Tracker auf Ihren Websites zu identifizieren
Kategorisieren:
Kategorisieren Sie Cookies (z. B. notwendig, Präferenz, Analyse, Marketing)
Implementieren Sie das Einwilligungsmanagement:
Stellen Sie sicher, dass Einwilligungsbanner mit detaillierten Auswahlmöglichkeiten korrekt implementiert werden, dass Benutzer ihre Einwilligung jederzeit widerrufen können und dass Einwilligungsprotokolle geführt werden.
Überprüfen Sie die Praktiken von Drittanbietern:
Überprüfen Sie die Praktiken von Drittanbietern zum Datenaustausch
Um die Compliance zu gewährleisten, ist eine robuste Consent-Management-Plattform wie CookieHub erforderlich. Eine CMP unterstützt Unternehmen bei der Einhaltung von PIPEDA und CPPA, indem sie gültige Einwilligungen erfasst, Benutzereinstellungen verwaltet und detaillierte Einwilligungsprotokolle für Audits und Rechenschaftslegung führt.
Diese Gesetze regeln die Erhebung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten von Organisationen des privaten Sektors in ganz Kanada, einschließlich internationaler Unternehmen, die mit Kanadiern Geschäfte machen.
Personenbezogene Daten sind alle Informationen, die eine Person identifizieren können, darunter Namen, Kontaktdaten, IP-Adressen, Standortdaten und Verhaltensprofile.
Zu den sensiblen Daten zählen Finanz-, Gesundheits-, biometrische und andere Informationen, die bei Missbrauch Einzelpersonen erheblichen Schaden oder Leid zufügen könnten.
Das Büro des kanadischen Datenschutzbeauftragten (OPC) überwacht PIPEDA und wird CPPA durchsetzen, sobald es in Kraft tritt.
Nichtkommerzielle Einrichtungen (z. B. Wohltätigkeitsorganisationen), staatliche Institutionen und Einzelpersonen, die Daten für den persönlichen Gebrauch verarbeiten, sind grundsätzlich ausgenommen. Einige Provinzen haben eigene Datenschutzgesetze, die PIPEDA in bestimmten Bereichen außer Kraft setzen können.
Weitere Informationen, Compliance-Tools und Gesetzesaktualisierungen finden Sie auf der Website des Büros des Datenschutzbeauftragten von Kanada.
©2025 CookieHub ehf.
