Was ist PIPEDA und inwiefern gelten die PIPEDA-Anforderungen für ein in Kanada tätiges Unternehmen? Lesen Sie weiter, um dies herauszufinden.

Was bedeutet PIPEDA? Der Personal Information Protection and Electronic Documents Act (PIPEDA) ist ein Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente.

Was versteht man unter PIPEDA?

PIPEDA (Personal Information Protection and Electronic Documents Act) ist das Bundesgesetz zum Datenschutz für privatwirtschaftliche Unternehmen in Kanada. PIPEDA wurde im Jahr 2000 in Kraft gesetzt, um das Vertrauen und den Datenschutz im E-Commerce zu fördern. Seitdem wurde es auf andere Branchen wie Banken, Medien und Unterhaltung sowie das Gesundheitswesen ausgeweitet.

PIPEDA regelt die Erfassung, Verwendung und Weitergabe von personenbezogenen Daten und erkennt gleichzeitig das Recht des Einzelnen auf Schutz seiner persönlichen Daten an. Es regelt auch die Notwendigkeit für Unternehmen, personenbezogene Daten in einer Weise zu erheben, zu verwenden oder weiterzugeben, die als angemessen angesehen wird.

Ähnlich wie bei der General Data Protection Regulation (GDPR, DSGVO) der Europäischen Union haben Einzelpersonen unter PIPEDA das Recht, auf die von einer Organisation gespeicherten personenbezogenen Daten zuzugreifen, festzustellen, wer für die Erfassung der Daten verantwortlich ist, zu verstehen, warum die Daten erfasst werden, und ihre Richtigkeit in Frage zu stellen.

PIPEDA soll dafür sorgen, dass die kanadischen Vorschriften zur Meldung von Datenschutzverletzungen, mit denen der Handelspartner des Landes übereinstimmen. Laut einer Folgenabschätzung der kanadischen Regierung aus dem Jahr 2017 wird das Gesetz derzeit als gleichwertig mit der GDPR angesehen, die den freien Verkehr personenbezogener Daten aus der EU an kanadische Unternehmen ermöglicht.

Was sind personenbezogene Daten laut PIPEDA?

Der PIPEDA in Kanada regelt die Verwendung, Erfassung und Weitergabe von personenbezogenen Daten. Gemäß dem Gesetz umfassen personenbezogene Daten faktische oder subjektive Informationen über eine identifizierbare Person, unabhängig davon, ob sie aufgezeichnet wurden oder nicht. Dazu gehören persönliche Informationen in jeder Form, die in die folgenden Kategorien fallen:

Direkte Identifikatoren:

  • Alter, Name und Ausweisnummer
  • Rasse, Nationalität oder ethnische Zugehörigkeit
  • Blutgruppe einer Person
  • DNA
  • Familienstand
  • Medizinische Informationen (vergleichbar mit dem Health Insurance Portability and Accountability Act [HIPAA] in den Vereinigten Staaten)

Subjektive Informationen:

  • Meinungen, Einschätzungen und Kommentare
  • Sozialer Status

Details zur Beschäftigung:

  • Medizinische, bildungsbezogene und arbeitsbezogene Daten
  • Sozialversicherungsnummer oder Führerschein
  • Mitarbeiterakten, Kreditgeschichte und Finanzdaten
  • Disziplinarmaßnahmen

Was fällt nicht unter den PIPEDA?

Zu den Details, die gemäß PIPEDA nicht als personenbezogene Daten gelten, gehören im Allgemeinen:

  • Persönliche Daten, die von Einrichtungen der kanadischen Regierung verarbeitet werden, die unter dem kanadischen Datenschutzgesetz (Canadian Privacy Act) aufgeführt sind
  • Provinz- oder Territorialregierungen und ihre Vertreter
  • Geschäftliche Kontaktinformationen, die ausschließlich zur Kommunikation mit dieser Person über ihre Beschäftigung oder ihren Beruf erworben, verwendet oder weitergegeben werden
  • Die Erfassung, Verwendung oder Weitergabe von persönlichen Informationen durch eine Einzelperson für rein persönliche Zwecke
  • Die Erfassung, Verwendung oder Weitergabe personenbezogener Daten durch eine Organisation zu nichtkommerziellen Zwecken, z. B. für journalistische, künstlerische oder literarische Zwecke

Warum ist die Einhaltung des PIPEDA wichtig?

Jedes privatwirtschaftliche Unternehmen, das im Rahmen seiner kommerziellen Aktivitäten innerhalb der kanadischen Grenzen personenbezogene Daten, einschließlich geschützter Patienteninformationen, erfasst, speichert und weitergibt, muss die Bestimmungen des PIPEDA einhalten. Das Gesetz legt den Schwerpunkt auf kommerzielle Aktivitäten, die den Bestimmungen des Gesetzes entsprechen. Es ist jedoch zu beachten, dass es viele kommerzielle Aktivitäten gibt, die nicht alle unter das PIPEDA fallen.

Im Rahmen des PIPEDA bezieht sich eine kommerzielle Aktivität auf eine bestimmte Transaktion, Handlung oder Vorgehensweise oder eine regelmäßige Handlungsweise, die kommerzieller Natur ist, einschließlich des Verkaufs, Tauschhandels oder der Vermietung von Spender-, Mitglieder- oder anderen Spendenlisten. Jedes in Kanada registrierte Unternehmen, das diese Definition einer kommerziellen Tätigkeit erfüllt, muss die Einhaltung des PIPEDA nachweisen. Über diese Einhaltung wacht das Office of the Privacy Commissioner of Canada.

Auch für Unternehmen, die in einem anderen Land ansässig sind, kann PIPEDA gelten. Insbesondere auf der Grundlage der PIPEDA-Bestimmungen für den internationalen Handel müssen alle Unternehmen, die Daten von in Kanada ansässigen Personen zu kommerziellen Zwecken verarbeiten, das kanadische Datenschutzgesetz einhalten.

Organisationen, die nicht zur Einhaltung des PIPEDA verpflichtet sind

Die Einhaltung des PIPEDA gilt nicht für gemeinnützige Organisationen, Wohltätigkeitsorganisationen und politische Parteien, es sei denn, sie üben neben ihrer Haupttätigkeit auch kommerzielle Aktivitäten aus.

PIPEDA gilt auch nicht unbedingt für Organisationen und Aktivitäten in den Provinzen, die ähnliche Datenschutzgesetze erlassen haben. Zu den Provinzen mit ähnlichen Gesetzen wie PIPEDA gehören Quebec, British Columbia, Alberta, Ontario, New Brunswick, Nova Scotia, Newfoundland und Labrador.

PIPEDA gilt auch für Transaktionen zwischen den Provinzen und für internationale Transaktionen von Unternehmen, die grenzüberschreitend tätig sind, sowie für Unternehmen, die von der kanadischen Bundesregierung reguliert werden. Dazu gehören Telekommunikationsunternehmen, Banken und Transportunternehmen.

In Provinzen mit einer ähnlichen Gesetzgebung gilt das Gesetz weiterhin für personenbezogene Daten, die von bundesstaatlich regulierten Organisationen, d.h. staatlichen Betrieben, Unternehmen oder Institutionen (FWUBs) erhoben, verwendet oder weitergegeben werden. Dazu gehören:

  • Interprovinzieller Lkw-Verkehr
  • Banken
  • Flughäfen und Fluggesellschaften
  • Radio- und Fernsehsender
  • Telekommunikationsunternehmen, einschließlich Internetdienstanbieter, Mobilfunk- oder Festnetzunternehmen und Kabelnetzbetreiber
  • Eisenbahnen, Kanäle, Pipelines und Fähren, die Grenzen überschreiten

Für welchen geografischen Bereich gilt der PIPEDA?

Der PIPEDA gilt für privatwirtschaftliche Unternehmen in Kanada, die staatlich reguliert sind und im Rahmen ihrer kommerziellen Aktivitäten personenbezogene Daten erheben, verwenden oder weitergeben. Diese Unternehmen müssen ihren Hauptsitz nicht in Kanada haben. Das Gesetz gilt für sie, solange sie personenbezogene Daten von Kanadiern erheben, verwenden oder weitergeben und wenn das Unternehmen in Kanada tätig ist. Dies gilt unabhängig von der Provinz oder dem Territorium, in der/dem das Unternehmen seinen Sitz hat, und unabhängig davon, ob die Provinz, in der das Unternehmen seinen Sitz hat, ähnliche Gesetze zum Datenschutz hat.

Was sind die 10 Grundsätze des PIPEDA?

Um den PIPEDA einzuhalten, muss ein Unternehmen die 10 Datenschutzprinzipien des PIPEDA befolgen. Diese Prinzipien umreißen die Standards für die Erfassung, Verwendung und Weitergabe von persönlichen Informationen und die Rechte der Nutzer. Diese Prinzipien sind die Grundlage, auf der die Gesetzgebung basiert.

Verantwortung. Unternehmen sind für die unter ihrer Kontrolle stehenden persönlichen Daten verantwortlich und müssen eine Person benennen, die für die Einhaltung des PIPEDA durch das Unternehmen verantwortlich ist. Dies gilt auch für alle Informationen, die zur Verarbeitung an einen externen Dienstleister weitergegeben werden können. 

Verwendungszweck. Die Gründe, aus denen personenbezogene Daten erhoben werden, müssen von dem Unternehmen bei oder vor der Erhebung der Daten angegeben werden.

Einverständnis. Das Wissen und die Zustimmung einer Person sind erforderlich, bevor personenbezogene Daten erfasst, verwendet oder offengelegt werden. Je nach Sensibilität der gesammelten persönlichen Daten können Unternehmen Opt-In- oder Opt-Out-Optionen einführen, um die Zustimmung der Personen einzuholen.

Limitierte Datenerhebung. Die Erfassung von personenbezogenen Daten ist auf das beschränkt, was für die von dem erfassenden Unternehmen angegebenen Zwecke erforderlich ist. Die Informationen müssen mit legitimen und angemessenen Mitteln erhoben werden.

Beschränkung der Nutzung, Offenlegung und Aufbewahrung. Personenbezogene Daten dürfen nicht für andere Zwecke als die, für die sie erhoben wurden, verwendet oder offengelegt werden. Es sei denn, die Person hat ihre Zustimmung gegeben oder es ist gesetzlich vorgeschrieben. Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es zur Erfüllung dieser Zwecke erforderlich ist.

Korrektheit. Die von einem Unternehmen erfassten personenbezogenen Daten müssen so genau, vollständig und aktuell sein, wie es für die Zwecke, für die sie verwendet werden sollen, erforderlich ist.

Sicherheitsvorkehrungen. Personenbezogene Daten müssen durch Sicherheitsvorkehrungen geschützt werden, die der Sensibilität der Informationen angemessen sind.

Transparenz. Ein Unternehmen muss denjenigen, die dies wünschen, spezifische Informationen über seine Richtlinien und Verfahren in Bezug auf die Verwaltung von personenbezogenen Daten zur Verfügung stellen.

Zugang für Einzelpersonen. Auf Antrag muss eine Person über das Vorhandensein, die Verwendung und die Offenlegung von personenbezogenen Daten informiert werden und Zugang zu diesen Informationen erhalten. Eine Person muss in der Lage sein, die Richtigkeit und Vollständigkeit der Informationen zu überprüfen und kann sie bei Bedarf ändern lassen.

Anfechten der Compliance. Eine Person muss in der Lage sein, jede Anfechtung bezüglich der Einhaltung dieser Grundsätze an die Person zu richten, die für die Einhaltung der Datengesetze durch das Unternehmen verantwortlich ist.

Wie unterscheidet sich der PIPEDA von den Bestimmungen der GDPR?

Das kanadische PIPEDA und die GDPR der EU sind ähnliche Gesetze, da sie beide den Datenschutz regeln und den Benutzern mehr Kontrolle über ihre Daten geben. Es gibt jedoch einige entscheidende Unterschiede zwischen den beiden Gesetzen:

Gerichtsbarkeit. Die GDPR gilt für alle Unternehmen im Europäischen Wirtschaftsraum (EWR) und für Unternehmen außerhalb des EWR, die Dienstleistungen anbieten oder das Verhalten von EWR-Bürgern überwachen. PIPEDA gilt jedoch nicht in jeder kanadischen Provinz. Sie gilt nicht unbedingt für Provinzen, in denen ähnliche Gesetze gelten.

Anwendung. Während der PIPEDA für viele privatwirtschaftliche Unternehmen gilt, die personenbezogene Daten zu kommerziellen Zwecken verarbeiten, gilt die GDPR für jedwede Organisation, die personenbezogene Daten von EWR-Bürgern erfasst und verwendet.

Einverständnis. Während die GDPR eine aktive Zustimmung der Nutzer zur Datenerfassung und -verarbeitung verlangt, erlaubt der PIPEDA eine stillschweigende oder ausdrückliche Zustimmung, je nachdem wie sensibel die erfassten Informationen sind.

Diese beiden Datenschutzgesetze unterscheiden sich zwar in Bezug auf den Anwendungsbereich und die Anforderungen an die Einhaltung, aber sie betonen die Verantwortlichkeit und Transparenz der Unternehmen, die personenbezogene Daten erfassen. Unabhängig davon, ob ein Unternehmen in Europa oder in Kanada tätig ist, muss es die geltenden Datenschutzbestimmungen einhalten, um rechtliche Konsequenzen zu vermeiden. Im Gegenzug müssen Unternehmen strenge Regeln für das Risikomanagement im Bereich der Cybersicherheit befolgen.

Datenschutzverletzungen unter dem PIPEDA

Seit November 2018 müssen Unternehmen, die dem PIPEDA unterliegen und bei denen ein Datenschutzverstoß auftritt, feststellen, ob der Zugriff auf oder der Verlust von personenbezogenen Daten das Risiko eines erheblichen Schadens für Einzelpersonen darstellen kann. Ein Datenschutzverstoß ist laut PIPEDA der Verlust von, der unbefugte Zugriff auf oder die unbefugte Weitergabe von personenbezogenen Daten, die sich im Besitz eines Unternehmens befinden.

Die Einhaltung der PIPEDA-Bestimmungen erfordert, dass ein Unternehmen, sobald es feststellt, dass ein Verstoß gegen die Datenschutzbestimmungen vorliegt, diesen dem Office of the Privacy Commissioner of Canada melden muss, indem es ein Formular zur Meldung des Verstoßes ausfüllt.

Ein Unternehmen muss außerdem die betroffenen Personen so schnell wie möglich über den Verstoß informieren. Das Gesetz verlangt, dass Unternehmen Aufzeichnungen über alle Datenschutzverletzungen zwei Jahre lang aufbewahren. Die Nichteinhaltung der Verfahren zur Meldung von Datenschutzverletzungen stellt einen Verstoß gegen den PIPEDA dar.

PIPEDA und die Kommunikation sensibler Inhalte

In einer zunehmend digitalen Welt ist die Einhaltung von Datenschutzgesetzen wie dem PIPEDA nicht nur eine gesetzliche Vorschrift, sondern auch eine sinnvolle Geschäftspraxis. Bei der digitalen Kommunikation von personenbezogenen Daten innerhalb von, in und aus Unternehmen müssen die Vorgaben des PIPEDA beachtet werden. Die Nichteinhaltung oder der fehlende Nachweis der Einhaltung von PIPEDA kann erhebliche Geldstrafen und Sanktionen nach sich ziehen.

Die Kiteworks-Plattform vereint die Kommunikation sensibler Inhalte – E-Mail, File-Sharing, Dateiübertragung, Managed File Transfer, Web-Formulare und API-Protokolle (Application Programming Interface) – in einem einzigen Kanal. Konsolidierte Metadaten ermöglichen es Unternehmen, Risiken zu verwalten und potenzielle Datenschutz- und Compliance-Probleme proaktiv zu erkennen, indem sie einheitliche Sicherheits- und Governance-Richtlinien anwenden, die nachverfolgen und kontrollieren, wohin die Daten gehen, wer auf sie zugreift und wie sie weitergegeben werden. Dieses Private Content Network ermöglicht eine optimierte Governance, strenge Compliance, proaktive Erkennung von Bedrohungen und schnelle Reaktion auf Vorfälle.

Vereinbaren Sie einen Termin für eine individuelle Demo der Kiteworks-Plattform, um zu erfahren, wie sie personenbezogene Daten vereinheitlicht, verfolgt, kontrolliert und schützt.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks