Bill C-36: Kanada führt Datenschutz-Bußgelder bis 10 Millionen Euro ein
27.06.2026 - 10:49:40 | boerse-global.de
Bill C-36 soll das alte PIPEDA-Gesetz ersetzen und Privatsphäre zum Grundrecht erheben. Unternehmen drohen Bußgelder von bis zu zehn Millionen Euro.
Der „Protecting Privacy and Consumer Data Act“ stellt den Datenschutz auf ein völlig neues Fundament. Firmen müssen künftig detaillierte Datenschutzprogramme vorweisen, den Einsatz von Künstlicher Intelligenz transparent machen und Kinderdaten besonders schützen.
Bis zu drei Prozent des weltweiten Umsatzes als Strafe
Die neue Aufsichtsbehörde DSDPCC bekommt scharfe Zähne. Sie darf Bußgelder von bis zu zehn Millionen Euro verhängen – oder drei Prozent des weltweiten Jahresumsatzes. Damit zieht Kanada mit der europäischen DSGVO gleich.
Parallel dazu reguliert der „Safe Social Media Act“ (Bill C-34) den Zugang zu sozialen Netzwerken für unter 16-Jährige. Eine verpflichtende Altersverifikation soll das sicherstellen. Branchenbeobachter sehen hier ein Problem: Während Bill C-36 Datensparsamkeit fordert, verlangt Bill C-34 die Erhebung von Identitätsdaten wie Gesichtsscans oder Ausweisen. Frühestens 2030 sollen die neuen Regeln vollständig umgesetzt sein.
Kritik an neuer Super-Behörde
Wer sein Unternehmen auf die neuen Bußgelder von bis zu 10 Mio Euro vorbereiten will, findet in diesem Report die wichtigsten Compliance-Hebel – von der Datenschutzprogramm-Pflicht bis zur KI-Transparenz. Jetzt kostenlosen Report anfordern
Die geplante DSDPCC stößt bei Datenschützern auf Widerstand. Die Kommission soll als „Super-Regulator“ sowohl für Datenschutz als auch für Sicherheit in sozialen Medien zuständig sein. Rechtsprofessor Michael Geist kritisiert, dass die Behörde direkt ans Kabinett berichtet – nicht ans Parlament. Das gefährde ihre Unabhängigkeit.
Der bisherige Privacy Commissioner Philippe Dufresne verliert große Teile seiner Zuständigkeit an die neue Kommission. Experten warnen vor einem „Regulator mit zwei Köpfen“, bei dem Untersuchung, Durchsetzung und rechtliche Entscheidung verschwimmen. Die DSDPCC soll 18 bis 24 Monate nach Inkrafttreten des Gesetzes ihre Arbeit aufnehmen.
Blinder Fleck beim Arbeitnehmerschutz
Trotz der Verschärfungen gibt es Lücken. Aktuelle Fälle wie der Einsatz von Monitoring-Software bei der TD Bank zeigen das Problem. Die Bank erfasste Browserzeiten und Meeting-Nutzung ihrer Mitarbeiter. Bill C-36 enthält keine spezifischen Schutzvorkehrungen gegen solche elektronische Überwachung von Beschäftigten.
Die DSDPCC-Superbehörde bekommt scharfe Zähne – und Ihr Datenschutzprogramm muss bis 2026 stehen. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie die neuen Anforderungen erfüllen und teure Strafen vermeiden. DSDPCC-Compliance-Fahrplan jetzt sichern
Kanada reiht sich damit in einen globalen Trend strengerer Digitalregulierung ein. In Italien drohen bei Verstößen gegen den EU AI Act Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes. Das EU-Parlament bestätigte Mitte Juni neue Fristen für Hochrisiko-KI-Systeme – je nach Einsatzbereich zwischen Ende 2027 und Mitte 2028. In Deutschland wählte der Bundestag am 25. Juni den Rechtswissenschaftler Moritz Hennemann zum neuen Bundesdatenschutzbeauftragten.
Die Dringlichkeit solcher Gesetze unterstreicht ein aktueller Vorfall: Der Apple-Zulieferer Tata Electronics bestätigte am 22. Juni einen massiven Datendiebstahl. 630 Gigabyte an Informationen – darunter technische Zeichnungen und Qualitätsspezifikationen – wurden entwendet.
