Die kanadische Regierung hat ein umfassendes neues Datenschutzgesetz auf den Weg gebracht, das die veralteten Privatsektor-Regeln aus den 1990er-Jahren ablösen soll. Der Gesetzesentwurf C-36, bekannt als „Protecting Privacy and Consumer Data Act“ (PPCDA), wurde am Montag dieser Woche eingebracht und definiert den Umgang mit persönlichen Daten grundlegend neu.
Das Gesetz erhebt den Datenschutz offiziell zum Grundrecht und wird als zentraler Baustein der nationalen KI-Strategie verstanden. Unternehmen müssen künftig deutlich transparenter agieren – insbesondere bei automatisierten Entscheidungen und der Datenerhebung von Minderjährigen.
Strengere Regeln für Unternehmen und neue Rechte für Verbraucher
Anzeige: Wer die neuen Bußgelder von bis zu 25 Millionen Dollar vermeiden will, braucht jetzt einen klaren Fahrplan für das kanadische Datenschutzgesetz C-36. Dieser Report liefert die wichtigsten Compliance-Schritte – von der Einwilligung bis zur KI-Transparenz. Jetzt kostenlosen Compliance-Report anfordern
Der Gesetzesentwurf räumt kanadischen Bürgern weitreichende neue Befugnisse ein, darunter das Recht auf Löschung ihrer persönlichen Daten. Firmen sind verpflichtet, eine „gültige, sinnvolle Einwilligung“ einzuholen – in verständlicher Sprache, nicht im Kleingedruckten.
Die Strafen bei Verstößen sind drastisch: Für schwere Vergehen drohen Bußgelder von bis zu 25 Millionen Kanadischen Dollar oder fünf Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt. Eine zweite Stufe sieht Strafen von bis zu zehn Millionen Dollar oder drei Prozent des globalen Umsatzes vor.
Zur Durchsetzung dieser Regeln wird eine neue Digital Safety and Data Protection Commission geschaffen. Dieses fünfköpfige Gremium übernimmt die Durchsetzungsaufgaben des bisher zuständigen Datenschutzbeauftragten (OPC) und erhält weitreichende Befugnisse: Es kann verbindliche Anordnungen erlassen und die genannten Verwaltungsstrafen verhängen.
KI-Transparenz als Kernanliegen
KI-Minister Evan Solomon betonte bei der Vorstellung des Gesetzes, dass es darum gehe, Vertrauen in die digitale Wirtschaft zu schaffen. Der PPCDA zielt gezielt auf neue Technologien ab: Unternehmen müssen offenlegen, wann KI bei Einstellungsverfahren zum Einsatz kommt – etwa beim Screening von Lebensläufen oder der Bewertung von Kandidaten.
Das Gesetz adressiert zudem moderne digitale Missbrauchsformen wie „Surveillance Pricing“ – bei dem Firmen Standort-, Surf- und Kaufdaten nutzen, um individuelle Preise festzulegen – sowie die Verbreitung von Deepfakes. Organisationen werden verpflichtet, Risikobewertungen für grenzüberschreitende Datentransfers durchzuführen. Auch der Schutz von Arbeitnehmerdaten wird gestärkt.
Kritik an neuer „Superbehörde“
Obwohl Datenschutzbeauftragter Philippe Dufresne die Empfehlungen des Gesetzes begrüßte, regt sich Widerstand von Juristen und Bürgerrechtlern. Professor Michael Geist kritisierte die Schaffung der neuen „Superregulierungsbehörde“. Er warnte vor geheimen Anhörungen und einer Machtkonzentration, die die traditionelle Rolle des Datenschutzbeauftragten untergraben könnte.
Die Canadian Civil Liberties Association (CCLA) zeigte sich ebenfalls skeptisch. Einige Schutzbestimmungen für Kinder und das Löschungsrecht seien lediglich eine Neuauflage bestehender Gesetze. Die Organisation kritisierte zudem weitreichende Ausnahmen für die Wirtschaft und unzureichende Schutzvorkehrungen gegen den Zugriff der Polizei auf private Daten.
Anzeige: Die neue Digital Safety and Data Protection Commission erhält weitreichende Befugnisse – inklusive verbindlicher Anordnungen. Unternehmen mit grenzüberschreitenden Datentransfers müssen jetzt Risikobewertungen durchführen. Unser Leitfaden zeigt, wie Sie Ihre Prozesse rechtssicher gestalten. Risikoanalyse-Leitfaden jetzt sichern
Auch die USA ziehen nach
Während Kanada auf eine bundesweite Reform zusteuert, gibt es auch in den USA Bewegung: Der Bundesstaat Connecticut hat am Dienstag mehrere Änderungen an seinem Datenschutzrahmen verabschiedet. Die neuen Regelungen, die zwischen Ende 2026 und 2028 in Kraft treten, verbieten den Verkauf präziser Geolokalisierungsdaten und führen neue Transparenzpflichten für Gesichtserkennungstechnologie ein.
Connecticut führt zudem einen staatlich verwalteten Löschungsmechanismus ein und verpflichtet Datenhändler zur Registrierung. Dies spiegelt einen nordamerikaweiten Trend zu schärferer Kontrolle von Datenausbeutung und kommerzieller Überwachung wider.
