Die kanadische Datenschutzlandschaft in 2023 entwickelt sich weiter. In diesem Artikel geben wir Ihnen einen Überblick über die neuesten Entwicklungen in der kanadischen Datenschutzlandschaft. Dabei gehen wir auf die kommenden Datenschutzanforderungen in Quebec, die neuen KI-Vorschriften, insbesondere im Rahmen des Consumer Privacy Act (Bill C-27), und weitere Datenschutz-Updates von andere andere kanadische Provinzen bezüglich der Regulierung von KI.
Wenn Sie in Kanada ansässig sind oder innerhalb Kanadas geschäftlich tätig sind, müssen Sie möglicherweise sicherstellen, dass Ihr Unternehmen den bevorstehenden Änderungen der kanadischen Gesetzgebung entspricht.
Nachfolgend ein Überblick über die Einzelheiten und die möglichen Auswirkungen auf Ihr Unternehmen.
Neue Phase der Datenschutzanforderungen in Quebec tritt am 22. September 2023 in Kraft
Das Quebecer Datenschutzgesetz für den privaten Sektor (Private Sector Personal Information Protection Act „PPIPS“) wird in einer zweiten Runde durch den Bill 64, jetzt Law 25, aktualisiert und soll am 22. September 2023 in Kraft treten. Unternehmen, die in Québec tätig sind, müssen bis dahin u.a. folgende wichtige Anforderungen erfüllen:
- Eine Datenschutzfolgenabschätzung (Privacy Impact Assessment – PIA) zu führen ist jetzt Pflicht: Unternehmen müssen nun für jede datenschutzsensible Aktivität eine PIA durchführen. Das heißt, wenn Ihr Unternehmen datenschutzsensible Aktivitäten durchführt, die unter anderem die Erhebung, Verarbeitung oder Speicherung personenbezogener Daten, die Verarbeitung biometrischer Daten oder die gemeinsame Nutzung und Weitergabe von Informationen beinhalten.
- Richtlinien müssen aktualisiert wer den: Unternehmen müssen nun den Nutzern die Möglichkeit geben, ihre persönlichen Daten zu behalten oder zu löschen. Die aktualisierten Richtlinien müssen nun die Aufgaben und Verantwortlichkeiten der Mitarbeiter/innen erklären, die mit persönlichen Daten während ihres gesamten Lebenszyklus umgehen, und auch, wie das Unternehmen mit Beschwerden umgeht.
- Weitere Rechte für natürliche Personen: Gesetz 25 führt Rechte für Einzelpersonen ein, darunter das Recht bezüglich Datenübertragbarkeit, automatisierte Entscheidungsfindung, Datenprofilierung und Vergessenwerden. Einzelpersonen haben zusätzliche Rechte auf Weiterverarbeitung und Weitergabe ihrer personenbezogenen Daten zu widerrufen.
- Datenverarbeitungsverträge mit Dienstleistern, die bestimmte Bestimmungen enthalten: Organisationen, die dies noch nicht getan haben, sind gemäß Gesetzentwurf 64 verpflichtet, mit Dienstleistern, an die sie personenbezogene Daten weitergeben, schriftliche Datenverarbeitungsverträge abzuschließen.
- Strafen: Ähnlich wie die europäischen Datenschutzgesetze, z.B. die DSGVO, sehen die neuen kanadischen Datenschutzgesetze Strafen von bis zu 50.000 USD pro Person und bis zu 10.000.000 USD oder 2 % des weltweiten Vorjahresumsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist.
Neue KI-Vorschriften im Rahmen des Consumer Privacy Act (Bill C-27):
Kanadas Gesetzentwurf C-27, das Gesetz zum Schutz der Privatsphäre der Verbraucher, geht in die zweite Lesung seit seiner Einführung im Juni 2022. Dieses Gesetz, das noch nicht in Kraft getreten ist, würde das bestehende Datenschutzgesetz des Personal Information Protection and Electronic Documents Act („PIPEDA“) ersetzen und zusammen den Consumer Privacy Protection Act („CPPA“), den Personal Information and Data Protection Tribunal Act („PIDPTA“) und den Artificial Intelligence and Data Act („AIDA“) erlassen.
Ebenso hat das Office of the Privacy Comissioner of Canada (OPC) 15 wichtige Empfehlungen zum Gesetzentwurf C-27 abgegeben. Dazu gehören die Anerkennung der Privatsphäre als Grundrecht, das Recht auf Zugang zu personenbezogenen Daten, die Schaffung einer Datenschutzkultur in Organisationen, um Produkte und Dienstleistungen nach dem Prinzip „Privacy by Design“ zu entwickeln, und die Verpflichtung von Organisationen, ihre Entscheidungen und die Erstellung von Profilen durch automatisierte Entscheidungssysteme auf Anfrage zu erläutern.
Die AIDA, eine neue Verordnung, die auf die sich verändernde und schnell entwickelnde Landschaft der künstlichen Intelligenz (KI) reagiert, wird neue Gesetze für den Einsatz von KI-Systemen auferlegen. Wenn Sie in Kanada geschäftlich tätig sind, ist es daher wichtig, dass Sie sich jetzt Gedanken darüber machen, wie Ihr Unternehmen KI einsetzt und welche Maßnahmen Sie ergreifen, um die Privatsphäre und die persönlichen Daten Ihrer Nutzer zu schützen. Laut AIDA müssen Sie, ähnlich wie bei früheren Datenschutzgesetzen, erklären, welche Daten Sie sammeln, wie Sie sie sammeln und dass Einzelpersonen Zugang zu diesen Daten verlangen können. Sie müssen erklären, wie der Algorithmus funktioniert und bereit sein, Informationen in transparenter Weise offen zu legen. Dies gilt auch für Drittanbieter, die für KI-Systemen nutzen.
Die Gesetzesvorlage C-27 befindet sich derzeit in zweiter Lesung und wird wahrscheinlich noch einige Änderungen durchgehen, bevor es offiziell in Kraft tritt.
Andere kanadische Bundesstaaten ziehen bei der Regulierung von KI-Systemen nach:
Seit Mai haben die kanadischen Datenschutzbeauftragten und auf Bundesebene die Datenschutzbeauftragten von Québec, British Columbia und Alberta gemeinsam eine Untersuchung gegen OpenAI, das Unternehmen hinter dem von künstlicher Intelligenz angetriebenen Chatbot ChatGPT, eingeleitet.
Untersucht wird unter anderem, ob OpenAI eine gültige und angemessene Einwilligung für die Erhebung und Nutzung personenbezogener Daten von in Kanada ansässigen Personen durch ChatGPT eingeholt hat, ob es seinen Verpflichtungen in Bezug auf Transparenz und Rechenschaftspflicht nachgekommen ist und ob die erhobenen personenbezogenen Daten auf das für die angegebenen und beabsichtigten Zwecke erforderliche Maß beschränkt sind.
Eine Erklärung von Philippe Dufresne, dem kanadischen Datenschutzbeauftragten, signalisiert die Bereitschaft Kanadas, bei sich entwickelnden Technologien wie der künstlichen Intelligenz einen Schritt voraus zu sein und dabei den Datenschutz in den Vordergrund zu stellen.
„Künstliche Intelligenz und ihre Auswirkungen auf den Datenschutz sind globale Themen, die für die Datenschutzbehörden in Kanada und weltweit von zentraler Bedeutung sind. Als Regulierungsbehörden müssen wir mit der rasanten technologischen Entwicklung Schritt halten und ihr voraus sein, um die grundlegenden Datenschutzrechte der Kanadierinnen und Kanadier zu schützen.“
Quelle:
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/
Unternehmen mit Sitz in Kanada können mit consentmanager schon heute den Weg zu einer umfassenden Compliance einschlagen. Klicken Sie einfach hier, und sehen Sie sich unsere dedizierte Seite zur Einhaltung kanadischer Vorschriften.
