In Kanada hat die Regierung im November 2020 einen Entwurf für einen Digital Charter Implementation Act vorgelegt. Dabei handelt es sich um die umfassendste Bemühung zur Reform von Kanadas Datenschutzrecht seit Langem.
(Dieser Beitrag wurde auch veröffentlich in ZD-Aktuell 2021, 05040)
Auslöser der Reform
Mit Schreiben vom 13. Dezember 2019 beauftragte (https://pm.gc.ca/en/mandate-letters/2019/12/13/minister-innovation-science-and-industry-mandate-letter) Premierminister Trudeau offiziell seinen Minister of Innovation, Science and Industry, Navdeep Bains, mit der Schaffung neuer Online-Rechte: „including: data portability; the ability to withdraw, remove and erase basic personal data from a platform; the knowledge of how personal data is being used, including with a national advertising registry and the ability to withdraw consent for the sharing or sale of data; the ability to review and challenge the amount of personal data that a company or government has collected; proactive data security requirements; the ability to be informed when personal data is breached with appropriate compensation; and the ability to be free from online discrimination including bias and harassment.” Zudem solle Canada’s Digital Charter vorangetrieben werden. Die Charta wurde am 21. Mai 2019 offiziell vorgestellt und enthält zehn Prinzipien: 1. Universal Access, 2. Safety and Security, 3. Control and Consent, 4. Transparency, Portability and Interoperability, 5. Open and Modern Digital Government, 6. A Level Playing Field, 7. Data and Digital for Good, 8. Strong Democracy, 9. Freedom from Hate and Violent Extremism, 10. Strong Enforcement and Real Accountability.
Die Umsetzung des Auftrags und die Verwirklichung der Prinzipien der Digital Charter soll nun durch den am 17. November 2020 ins Parlament eingebrachten Digital Charter Implementation Act, 2020 erfolgen; im vollen Titel: An Act to enact the Consumer Privacy Protection Act and the Personal Information and Data Protection Tribunal Act and to make consequential and related amendments to other Acts, Bill C-11.
Bislang wird der Datenschutz in Kanada im Wesentlichen vom Privacy Act (öffentlicher Bereich) und dem Personal Information Protection and Electronic Documents Act (privater Bereich) geregelt. Die Gesetze stammen in ihren ursprünglichen Fassungen aus dem Jahr 1983 bzw. 2000. Letzteres Gesetz würde in seinem ersteren Teil durch das neue Gesetz außer Kraft gesetzt und sein Kurztitel zu Electronic Documents Act geändert. Daneben stehen Datenschutzregelungen auf Ebene der Provinzen und Territorien, z.B. der Québec Act Respecting the Protection of Personal Information in the Private Sector aus dem Jahr 1993, der starken Einfluss auf die Schaffung des Personal Information Protection and Electronic Documents Act ausübte.
Inhalte der Reform
Das Reformgesetz gliedert sich als Mantelgesetz in zwei Teile: Teil 1 enthält einen Consumer Privacy Protection Act und Anpassungen bestehenden Rechts (insb. die Korrektur von Verweisungen), Teil 2 einen Personal Information and Data Protection Tribunal Act. Der Consumer Privacy Protection Act und zugleich Herzstück der Reform umfasst 126 Sektionen. Sein Anwendungsbereich betrifft vor allem „personal information that is collected, used or disclosed interprovincially or internationally by an organization” (s6(2)(a)) im Kontext kommerzieller Aktivitäten oder dem Arbeitnehmerdatenschutz (s6(1)). Unter anderem fordert das Gesetz die Bestellung eines betrieblichen Datenschutzbeauftragen („designated individual“, s8) sowie die Implementierung eines „privacy management program“ (s9) und legt der Verarbeitung personenbezogener Daten grundlegende Prinzipien zugrunde wie etwa die Erforderlichkeit.
Ganz ähnlich zu Art. 7 Abs. 2 und 12 Abs. 1 DSGVO („in einer klaren und einfachen Sprache“) fordert s15(3) des Gesetzesentwurfs bei der Einholung einer Einwilligung die Bereitstellung von bestimmten Informationen „in plain language“. Zu den bereitzustellenden Informationen gehören auch die Namen oder Typen von dritten Parteien, denen personenbezogene Daten zugänglich gemacht oder übermittelt werden (s15(3)(e); vgl. Art. 13 Abs. 1 lit. e, 14 Abs. 1 lit. e und 15 Abs. 1 lit. c DSGVO). In beschränkten Fällen soll jedoch auch eine implizite Einwilligung genügen (s15(4)); in anderen wird keine Einwilligung benötigt, wobei der Entwurf hier umfangreiche Ausnahmen formuliert. Eine Einwilligung soll jederzeit widerrufen werden können.
Art. 32 DSGVO vergleichbare Regelungen finden sich in s57 ff. Hier wird auf die Verhältnismäßigkeit der Sicherheitsmaßnahmen zu der Sensitivität der zu schützenden Informationen abgestellt. Eine Entsprechung zu Art. 22 DSGVO findet sich in s63(3): „If the organization has used an automated decision system to make a prediction, recommendation or decision about the individual, the organization must, on request by the individual, provide them with an explanation of the prediction, recommendation or decision and of how the personal information that was used to make the prediction, recommendation or decision was obtained.“ Anstelle von Anonymisierung oder Pseudonymisierung spricht der Gesetzesentwurf von der „de-identification of personal information“ (s74 f.).
Ganz ähnlich zu Art. 83 Abs. 4 und 5 DSGVO sollen bestimmte Verstöße mit Bußgeldern bis zu fünf Prozent des weltweiten Jahresumsatzes des vorausgegangenen Jahres oder 25 Millionen Dollar geahndet werden (s125(a)). Zudem würden die Befugnisse des Privacy Commissioner of Canada deutlich ausgeweitet. So soll etwa die Möglichkeit eröffnet werden, die Einstellung der Verarbeitung personenbezogener Daten zu verlangen; s77 enthält Anforderungen an Zertifizierungsprogramme. Der Privacy Commissioner ist zudem als zentrale Anlaufstelle für Beschwerden betroffener Personen ausgestaltet.
Zur Mediation soll durch den Personal Information and Data Protection Tribunal Act (Teil 2 des Gesetzesentwurfs) ein Tribunal geschaffen werden, das auch über die Höhe und das Ob von Bußgeldern auf Vorschlag des Privacy Commissioners entscheidet. Das Tribunal soll aus drei bis sechs Mitgliedern bestehen, die entweder in Vollzeit oder in Teilzeit zur Arbeit im Tribunal berufen werden. Innerhalb von 30 Tagen nach dem Erlass einer Order durch den Privacy Commissioner kann beim Tribunal Beschwerde gegen diese Order eingelegt werden.
Erwähnenswert sind unter anderem auch Regelungen zu Whistleblowing (s123 f.), die bei der Meldung von Datenschutzverstößen dem Meldenden Vertraulichkeit garantieren.
Fazit
Kanada eifert mit seinen jüngsten Reformbemühungen in zentralen Fragen dem Vorbild der EU-Datenschutz-Grundverordnung nach. Dennoch finden sich auch echte Innovationen, zu denen insbesondere das Personal Information and Data Protection Tribunal als Mediator gehört. Es bleibt freilich abzuwarten, ob der Entwurf wie vorgeschlagen Gesetz wird. Erste positive Resonanz kam etwa von Seiten der Canadian Internet Registration Authority. (https://www.cbc.ca/news/politics/privacy-bill-bains-fines-1.5804779)