Quebecs Gesetz 25, offiziell das Gesetz zur Modernisierung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten, hat die Datenschutzlandschaft der Provinz grundlegend verandert. Im September 2021 verabschiedet und in drei Phasen eingefuhrt (September 2022, September 2023 und September 2024), hat es die Pflichten von Unternehmen, die personenbezogene Daten von Einwohnern Quebecs erheben, erheblich verstarkt. In vielen Punkten strenger als das Bundes-PIPEDA, bringt Gesetz 25 Quebec in Einklang mit den hochsten internationalen Standards im Datenschutz. Fur deutsche Unternehmen, die mit der DSGVO und dem BDSG vertraut sind, bietet Gesetz 25 interessante Parallelen und wesentliche Unterschiede zum europaischen Rahmenwerk. Dieser Leitfaden behandelt die wesentlichen Pflichten, die jedes in Quebec tatige Unternehmen verstehen muss.
Geltungsbereich und Anwendbarkeit
Gesetz 25 andert zwei bestehende Gesetze: das Gesetz uber den Schutz personenbezogener Daten im Privatsektor und das Gesetz uber den Zugang zu Dokumenten offentlicher Stellen. Es gilt fur jedes Unternehmen, das personenbezogene Daten von Einwohnern Quebecs erhebt, besitzt, nutzt oder weitergibt, unabhangig davon, ob das Unternehmen in Quebec ansassig ist.
Extraterritoriale Reichweite. Ein Unternehmen mit Sitz in Toronto, New York, Berlin oder Paris, das Produkte oder Dienstleistungen fur Verbraucher in Quebec anbietet oder deren Daten erhebt, unterliegt Gesetz 25. Diese extraterritoriale Reichweite bringt das Gesetz Quebecs eng in Einklang mit der europaischen DSGVO. Fur deutsche Unternehmen bedeutet dies, dass sie bei Kunden in Quebec neben der DSGVO auch Gesetz 25 einhalten mussen.
Zusammenspiel mit PIPEDA. Fur innerprovinzielle kommerzielle Aktivitaten in Quebec ersetzt Gesetz 25 PIPEDA (Kanadas Bundesdatenschutzgesetz). PIPEDA gilt jedoch weiterhin fur interprovinzielle und internationale Aktivitaten. Unternehmen, die sowohl in Quebec als auch in anderen Provinzen tatig sind, mussen beide Regelwerke einhalten.
Obligatorischer Datenschutzbeauftragter
Seit September 2022 muss jedes Gesetz 25 unterliegende Unternehmen eine fur den Schutz personenbezogener Daten verantwortliche Person (PRPI) benennen. Standardmassig fallt diese Verantwortung auf die Person mit der hochsten Autoritat in der Organisation (Geschaftsfuhrer, Vorstandsvorsitzender).
Delegation. Die Funktion kann schriftlich an einen Mitarbeiter oder einen Dritten delegiert werden. Die Identitat und Kontaktdaten des PRPI mussen auf der Website des Unternehmens veroffentlicht werden.
Rolle. Der PRPI uberwacht die Compliance der Organisation, genehmigt die Datenschutzpraktiken, dient als Ansprechpartner fur Beschwerden und Auskunftsersuchen und stellt die Erfullung der gesetzlichen Pflichten sicher. Diese Rolle ist vergleichbar mit dem DSB (Datenschutzbeauftragten) unter der europaischen DSGVO. In Deutschland wird die Pflicht zur Benennung eines DSB durch das BDSG auf Unternehmen mit mindestens 20 mit automatisierter Datenverarbeitung beschaftigten Personen erweitert.
Verstarkte Einwilligungsanforderungen
Gesetz 25 hat die Einwilligungsanforderungen im Vergleich zum fruheren Regime erheblich verstarkt.
Ausdrueckliche, freie und informierte Einwilligung. Die Einwilligung muss fur bestimmte Zwecke erteilt und fur jeden Zweck gesondert angefragt werden. Formulare, die mehrere Zwecke in einem einzigen Kontrollkastchen bundeln, sind nicht mehr konform.
Gesonderte Einwilligung fur jeden Zweck. Wenn Sie Informationen erheben, um eine Bestellung zu bearbeiten UND um Marketing-Newsletter zu versenden, mussen Sie zwei gesonderte Einwilligungen einholen. Die Einwilligung fur die Transaktion stellt keine Einwilligung fur Marketing dar.
Einwilligung fur Minderjahrige. Fur Kinder unter 14 Jahren muss die Einwilligung von der Person mit elterlicher Sorge erteilt werden. Fur 14- bis 17-Jahrige reicht die eigene Einwilligung des Minderjahrigen aus, sie muss jedoch die Klarheits- und Spezifitatsanforderungen erfullen.
Verbot der Einwilligung als Servicebedingung. Sie durfen einen Dienst nicht verweigern oder diskriminierende Bedingungen gegenuber einer Person auferlegen, die die Einwilligung zur Erhebung von fur die Erbringung des Dienstes nicht notwendigen Informationen ablehnt.
Datenschutzrichtlinie und Transparenz
Gesetz 25 stellt prazise Anforderungen an Datenschutzrichtlinien.
Pflichtinhalt. Ihre Richtlinie muss enthalten:
- Kontaktdaten der fur den Schutz personenbezogener Daten verantwortlichen Person
- Arten der erhobenen personenbezogenen Daten
- Zwecke der Erhebung
- Mittel der Erhebung
- Rechte der betroffenen Personen und wie diese auszuuben sind
- Informationen uber Ubermittlungen personenbezogener Daten ausserhalb Quebecs
- Aufbewahrungs- und Vernichtungsrichtlinien und -praktiken
Zuganglichkeit. Die Richtlinie muss in klarer, einfacher Sprache verfasst und auf der Website des Unternehmens veroffentlicht sein. Die Commission d’acces a l’information du Quebec (CAI) hat betont, dass ubermassig lange, in juristischem Fachjargon verfasste Richtlinien die Klarheitsanforderung nicht erfullen.
Hinweis zum Zeitpunkt der Erhebung. Uber die allgemeine Richtlinie hinaus mussen Sie zum Zeitpunkt der Erhebung einen spezifischen Hinweis geben, der die beabsichtigten Zwecke, die verwendeten Mittel, die Rechte der Person und gegebenenfalls Ubermittlungen ausserhalb Quebecs angibt.
Datenschutz-Folgenabschatzungen (DSFA)
Seit September 2023 ist eine Datenschutz-Folgenabschatzung (DSFA) obligatorisch vor:
- Jedem Projekt zur Beschaffung, Entwicklung oder Neugestaltung eines Informationssystems, das personenbezogene Daten betrifft
- Jeder Weitergabe personenbezogener Daten ausserhalb Quebecs
Die DSFA muss Datenschutzrisiken analysieren und Minderungsmassnahmen vorschlagen. Sie muss nicht veroffentlicht, aber dokumentiert und der CAI auf Anfrage zur Verfugung gestellt werden.
Individuelle Rechte
Gesetz 25 gewahrt Individuen mehrere grundlegende Rechte:
Auskunftsrecht. Jede Person kann Zugang zu den personenbezogenen Daten verlangen, die Sie uber sie besitzen. Sie mussen innerhalb von 30 Tagen antworten.
Berichtigungsrecht. Individuen konnen die Korrektur ungenauer oder unvollstandiger Informationen verlangen.
Recht auf De-Indexierung (Recht auf Vergessenwerden). Wenn die Verbreitung personenbezogener Daten gegen das Gesetz oder eine gerichtliche Anordnung verstoesst, kann die Person die Einstellung der Verbreitung, die De-Indexierung durch eine Suchmaschine oder die Entfernung des Links, der Zugang zu den Informationen bietet, verlangen.
Recht auf Datenubertragbarkeit. Seit September 2024 konnen Individuen die Ubermittlung ihrer personenbezogenen Daten in einem strukturierten, gangigen technologischen Format oder deren Ubertragung an eine andere Organisation verlangen.
Recht auf Widerruf der Einwilligung. Jede Person kann die Einwilligung jederzeit widerrufen. Der Widerruf wirkt fur die Zukunft, ohne die Rechtmaessigkeit der fruheren Verarbeitung zu beruhren.
Obligatorische Meldung von Datenschutzverletzungen
Gesetz 25 verlangt die obligatorische Meldung von Vertraulichkeitsvorfallen (unbefugter Zugang zu, Nutzung oder Weitergabe personenbezogener Daten oder Verlust personenbezogener Daten).
An die CAI. Sie mussen jeden Vorfall, der ein Risiko eines schweren Schadens fur betroffene Personen darstellt, der Commission d’acces a l’information du Quebec melden.
An betroffene Personen. Die Benachrichtigung muss zeitnah erfolgen und eine Beschreibung des Vorfalls, die betroffenen Daten, die Schritte, die die Person zu ihrem Schutz unternehmen kann, sowie die Kontaktdaten einer Person in Ihrer Organisation enthalten.
Vorfallregister. Sie mussen ein Register aller Vertraulichkeitsvorfalle fuhren, auch derjenigen, die kein Risiko eines schweren Schadens darstellen. Dieses Register muss mindestens funf Jahre aufbewahrt werden.
Sanktionen und Durchsetzung
Gesetz 25 hat erhebliche administrative Geldstrafen (AGS) und strafrechtliche Sanktionen eingefuhrt:
Administrative Geldstrafen. Die CAI kann AGS von bis zu 10 Millionen CAD oder 2 % des weltweiten Umsatzes des vorangegangenen Geschaftsjahres verhangen, je nachdem, welcher Betrag hoher ist. Diese Sanktionen werden direkt von der CAI verhagngt, ohne den Gerichtsweg.
Strafrechtliche Sanktionen. Straftaten konnen zu Geldstrafen von 15.000 bis 25 Millionen CAD oder 4 % des weltweiten Umsatzes fuhren. Diese Betrage bringen Gesetz 25 in Einklang mit der Sanktionsskala der europaischen DSGVO. Fur deutsche Unternehmen sind diese Betrague vergleichbar mit den Sanktionen, die der BfDI und die Landesdatenschutzbehorden verhangen konnen.
Privatklage. Individuen konnen Zivilklagen auf Schadensersatz wegen Verstossen gegen Gesetz 25 erheben. Das Gericht kann Strafschadensersatz von mindestens 1.000 CAD zusprechen, wenn der Verstoss vorsaetzlich oder auf grobe Fahrlassigkeit zuruckzufuhren ist.
Ubermittlungen ausserhalb Quebecs
Gesetz 25 regelt Ubermittlungen personenbezogener Daten ausserhalb Quebecs streng. Vor jeder Ubermittlung mussen Sie:
- Eine Datenschutz-Folgenabschatzung durchfuhren
- Sicherstellen, dass die Zielgerichtsbarkeit einen angemessen gleichwertigen Schutz bietet
- Einen vertraglichen Rahmen fur die Ubermittlung schaffen
- Informationen uber die Ubermittlung in Ihrer Datenschutzrichtlinie veroffentlichen
Dieser Ansatz ist vergleichbar mit dem Mechanismus der Standardvertragsklauseln (SCCs) unter der DSGVO. Deutsche Unternehmen, die bereits internationale Ubermittlungen unter der DSGVO verwalten, werden diese Anforderungen vertraut finden.
Vier Ansatze zur Einhaltung von Gesetz 25
Einen spezialisierten Anwalt beauftragen
Kosten: 5.000 bis 15.000 CAD fur ein umfassendes Compliance-Programm. Zeitrahmen: 4 bis 8 Wochen.
Fur Unternehmen mit komplexen Datenflusssen oder internationalen Ubermittlungen bleibt ein Quebec-Datenschutzanwalt die grundlichste Option.
Ein generisches KI-Tool verwenden
Scheinbare Kosten: 0 $. Tatsachliche Kosten: die Gesetz-25-spezifischen Lucken, die es nicht abdeckt.
Generische KI-Tools kennen die spezifischen Anforderungen von Gesetz 25 (PRPI, DSFA, Ubertragbarkeit, De-Indexierung) nicht und erstellen Richtlinien, die PIPEDA, aber nicht das Quebec-Gesetz erfullen mogen.
Eine kostenlose Vorlage kopieren
Kosten: 0 $. Risiko: hoch.
Kostenlose Vorlagen sind in der Regel fur PIPEDA oder die DSGVO verfasst, nicht fur Gesetz 25. Sie lassen Quebec-spezifische Anforderungen aus.
Einen spezialisierten Generator fur Rechtsdokumente verwenden
Kosten: 19,90 € bis 49,90 €. Zeitrahmen: unter 10 Minuten.
Ein spezialisierter Generator, der die Anforderungen von Gesetz 25 integriert, erstellt Datenschutzrichtlinien, die an den Quebec-Rahmen angepasst sind, einschliesslich der obligatorischen PRPI-Angaben, der Ubertragbarkeitsrechte und der De-Indexierungsbestimmungen.
Fazit
Uberprufen Sie Ihre Gesetz-25-Konformitat mit unserem kostenlosen Compliance-Scanner, der kanadische Vorschriften abdeckt.
Gesetz 25 hat Quebec an die Spitze des Schutzes personenbezogener Daten in Nordamerika gestellt. Mit Sanktionen von bis zu 25 Millionen CAD oder 4 % des globalen Umsatzes sind die Folgen der Nichteinhaltung potenziell verheerend. Die Benennung eines PRPI, die Aktualisierung Ihrer Datenschutzrichtlinie, die Durchfuhrung von DSFA und die Einrichtung von Vorfallmeldeverfahren sind keine Option mehr — sie sind gesetzliche Pflichten. Jeder Tag ohne Compliance ist ein Tag unnotiger regulatorischer Risikoexposition.