7.3 Kanadas PIPEDA & Bill C-27
Modul 7: Datenschutzgesetze in Amerika
Erklärt Kanadas PIPEDA, den Reformvorschlag Bill C-27 und Quebecs Law 25, die alle einem prinzipienbasierten Ansatz folgen und zunehmend DSGVO-ähnliche Rechte einführen.
Learning Material
1 pagesKanadas PIPEDA & Bill C-27
Kanada war eines der ersten Länder außerhalb Europas, das ein umfassendes privatwirtschaftliches Datenschutzgesetz verabschiedete: der Personal Information Protection and Electronic Documents Act (PIPEDA, 2001). Das Gesetz gilt für private Unternehmen, die im Rahmen kommerzieller Tätigkeiten personenbezogene Daten erheben, verwenden oder weitergeben — und zwar bundesweit, sofern kein gleichwertiges Provinzgesetz existiert.
Der prinzipienbasierte Ansatz von PIPEDA
Im Gegensatz zur regelintensiven europäischen DSGVO folgt PIPEDA einem prinzipienbasierten Ansatz. Die zehn Fair Information Principles — darunter Zweckbindung, Einwilligungserfordernis, Datensparsamkeit und Rechenschaftspflicht — bilden den normativen Kern. Unternehmen haben einen gewissen Interpretationsspielraum bei der Umsetzung. Das Office of the Privacy Commissioner of Canada (OPC) ist die zuständige Aufsichtsbehörde, allerdings mit vergleichsweise begrenzten Sanktionsbefugnissen.
Bill C-27 — Consumer Privacy Protection Act
Kanadas Gesetzgeber arbeitet seit Jahren an einer grundlegenden PIPEDA-Reform. Bill C-27 (2022 eingebracht) würde den Consumer Privacy Protection Act (CPPA) einführen: stärkere individuelle Rechte einschließlich eines Löschungsrechts, algorithmische Transparenz (Recht auf Erklärung bedeutsamer automatisierter Entscheidungen) und eine Reform des Einwilligungsregimes. Gleichzeitig würde ein neues Datenschutztribunal entstehen mit deutlich höheren Bußgeldern — bis zu 25 Millionen kanadische Dollar oder 5 % des globalen Jahresumsatzes. Stand 2024: Das Gesetz befindet sich in der parlamentarischen Beratung im Senat.
Quebecs Law 25 — bereits in Kraft
Die frankophone Provinz Quebec hat die Bundesreform nicht abgewartet: Law 25 (offiziell: Loi 64, Gesetz zur Modernisierung des Datenschutzes, in Kraft seit 2021 bis 2023 schrittweise umgesetzt) ist deutlich DSGVO-näher als PIPEDA. Es schreibt Datenschutz-Folgenabschätzungen, strengere Einwilligungsanforderungen, ein Recht auf Datenportabilität sowie Datenpannen-Meldepflichten vor. Quebecs Commission d'accès à l'information (CAI) ist die zuständige Durchsetzungsbehörde.
Vergleich mit der deutschen DSGVO-Umsetzung
Für deutsche Unternehmen, die in Kanada tätig sind oder kanadische Kundendaten verarbeiten, ist PIPEDA seit 2001 als 'angemessener Schutz' im Sinne der EU anerkannt — ein EU-Angemessenheitsbeschluss existiert. Bill C-27 würde diesen Status festigen. Quebecs Law 25 ist strukturell DSGVO-ähnlicher als das Bundesgesetz und bietet für europäisch geprägte Datenschutzabteilungen einen vertrauten Rahmen. Der wesentliche Unterschied bleibt: In Kanada ist Datenschutz kein Grundrecht mit Verfassungsrang, sondern ein gesetzlicher Anspruch im Privatrecht.