CPPA-Zustimmung: Was sind die wichtigsten Anforderungen?

CPPA von Kanada, Consumer Privacy Protection Act, befindet sich derzeit mit dem Gesetzentwurf C-27 in zweiter Lesung im Unterhaus. Der Volltext ist bereits verfügbar. Sie kann jedoch noch erhebliche Veränderungen erfahren.

Einer der interessantesten Aspekte des neuen kanadischen Datenschutzgesetzes betrifft sicherlich die Zustimmung des Einzelnen, die die Hauptgrundlage für viele Aktivitäten zur Erhebung und Verarbeitung personenbezogener Daten durch Organisationen sein wird.

In diesem kurzen Leitfaden gehen wir auf die wichtigsten Anforderungen an die Zustimmung zum CPPA ein, damit Sie vorbereitet sind, wenn das Gesetz in Kraft tritt!

Zustimmung nach dem Verbraucherschutzgesetz

Gemäß dem kanadischen Gesetz zum Schutz der Privatsphäre von Verbrauchern müssen Sie die ausdrückliche und gültige Zustimmung Ihrer Nutzer einholen, wenn Sie personenbezogene Daten sammeln, verwenden und/oder weitergeben.

Die Zustimmung muss bei oder vor der Erhebung personenbezogener Daten eingeholt werden, und es muss eine “einfache Sprache” verwendet werden, die die Nutzer leicht verstehen können.

Affinché il consenso sia valido, gli utenti devono essere informati su:

👉 quali dati personali raccoglierete, elaborerete o divulgherete;
👉 le modalità di raccolta, utilizzo e divulgazione;
👉 il vostro scopo dietro tali attività;
👉 una valutazione degli effetti “ragionevolmente prevedibili” legati alla raccolta, all’uso o alla divulgazione;
👉 le categorie o l’identità dei terzi a cui potrebbero essere comunicate le informazioni personali.

Sobald Sie die Zustimmung Ihrer Nutzer erhalten haben, dürfen Sie deren personenbezogene Daten nur für die von Ihnen beschriebenen Zwecke verwenden und müssen ihnen die Möglichkeit geben, ihre Zustimmung jederzeit zu widerrufen.

Inoltre, se si raccoglie il consenso attraverso “pratiche ingannevoli o fuorvianti”, come ad esempio schemi oscuri, tali consensi sono considerati non validi.

Zustimmung nach dem CPPA und PIPEDA

Das CPPA basiert auf dem PIPEDA, das von Organisationen verlangt, vor der Verarbeitung personenbezogener Daten die ausdrückliche Zustimmung einzuholen.

Mit dem CPPA müssen die Unternehmen jedoch, wie bereits erwähnt, dem Einzelnen genauere Angaben zur Datenerhebung und -verarbeitung machen.

Darüber hinaus erläutert das CPPA das Konzept der implied consent und liefert weitere Informationen dazu. Wir erläutern diesen Punkt im nächsten Abschnitt.

Gibt es Ausnahmen von der Einwilligung nach dem CPRA (CCPA-Novelle)?

Ja, das neue kanadische Datenschutzgesetz sieht einige Ausnahmen von der Einwilligung vor.

Im Folgenden werden einige Fälle genannt, in denen die Zustimmung der Nutzer nicht erforderlich ist:

die Sammlung oder Nutzung dient dem Zweck einer gewerblichen Tätigkeit e:
- die Nutzer erwarten, dass ihre Daten im Rahmen einer solchen kommerziellen Tätigkeit erhoben oder verwendet werden; und
- dass personenbezogene Daten nicht zu dem Zweck erhoben oder verwendet werden, das Verhalten oder die Entscheidungen des Einzelnen zu beeinflussen;
Die Erhebung oder Verwendung erfolgt auf der Grundlage des berechtigten Interesses Ihres Unternehmens, das die möglichen Auswirkungen auf die Person überwiegt.

Die folgenden Tätigkeiten gelten als gewerbliche Tätigkeiten im Sinne des CPPA:

notwendig sind, um ein Produkt oder eine Dienstleistung bereitzustellen, die die Nutzer von Ihrem Unternehmen angefordert haben;
die für die Sicherheit von Unternehmens-, System- oder Netzinformationen erforderlich sind;
die für die Sicherheit eines Produkts oder einer Dienstleistung des Unternehmens erforderlich sind.

✉️