Angesichts der Weiterentwicklung globaler Datenschutzbestimmungen müssen Unternehmen, die in Kanada tätig sind oder mit kanadischen Verbrauchern interagieren, stets auf dem neuesten Stand bleiben. Eine der wichtigsten Entwicklungen im kanadischen Datenschutzrecht ist das Quebec Law 25 – früher bekannt als Bill 64 –, das den Datenschutzrahmen der Provinz überarbeitet und strengere Anforderungen an die Einhaltung der Datenschutzbestimmungen stellt. persönliche Daten werden gesammelt, verwendet und gesichert.
Was ist das Quebecer Gesetz 25
Das im September 2021 verabschiedete Quebecer Gesetz 25 (Loi modernisant des dispositions législatives en matière de Protection des renseignements personals) modernisiert die Datenschutzgesetze von Quebec und passt sie stärker an globale Standards wie an EU-DSGVO und Kaliforniens CCPA/CPRADie Bestimmungen werden schrittweise über einen Zeitraum von drei Jahren eingeführt, wobei die wichtigsten Fristen für die Umsetzung im September 2023 und September 2024 liegen.
Das Quebecer Gesetz 25 führt mehrere wesentliche Verbesserungen des Datenschutzrahmens der Provinz ein, darunter stärkere Datenschutzrechte für Einzelpersonen und neue Pflichten für Datenverantwortliche. Dazu gehören die Verpflichtung, klare Datenschutzrichtlinien einzuhalten, Risiko- und Datenschutzfolgenabschätzungen durchzuführen und im Falle einer Datenschutzverletzung rechtzeitig zu benachrichtigen.
Quebec Law 25 vs. PIPEDA
Quebecer Gesetz 25 und PIPEDA (Personal Information Protection and Electronic Documents Act) sind beides kanadische Datenschutzgesetze, unterscheiden sich jedoch erheblich in Umfang, Durchsetzung und Modernisierung. PIPEDA ist ein Bundesgesetz, das für private Organisationen in den meisten Teilen Kanadas gilt und grundlegende Datenschutzstandards für die Erhebung, Nutzung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten festlegt. Im Gegensatz dazu ist Quebec Law 25 ein Provinzgesetz, das strengere und umfassendere Anforderungen für Organisationen einführt, die in Quebec tätig sind oder Daten von Einwohnern Quebecs verarbeiten. Law 25 schreibt eine klare, informierte Einwilligung, Datenschutz-Folgenabschätzungen und Transparenz bei automatisierten Entscheidungen vor und sieht bei Nichteinhaltung deutlich höhere Strafen vor als PIPEDA. Während PIPEDA derzeit auf eine Modernisierung geprüft wird (über den vorgeschlagenen CPPA) hat Quebec bereits einen Rahmen implementiert, der eher der DSGVO ähnelt, und positioniert sich damit als Vorreiter bei der Regulierung des Datenschutzes in Kanada.
Für wen gilt Gesetz 25?
Quebecs Gesetz 25, früher bekannt als Bill 64, hat einen breiten Anwendungsbereich, der weit über traditionelle Organisationsgrenzen hinausgeht. Im Gegensatz zu einigen Datenschutzgesetzen, die nur für bestimmte Branchen oder Unternehmensgrößen gelten, soll Gesetz 25 die personenbezogenen Daten aller Einwohner Quebecs schützen, unabhängig davon, wer ihre Daten verarbeitet. Dazu gehören Unternehmen des privaten Sektors, öffentliche Einrichtungen (Regierungsbehörden, Bildungseinrichtungen und andere öffentliche Einrichtungen), gemeinnützige Organisationen und Einzelpersonen, die in beruflicher Funktion handeln (Gesundheitsdienstleister, Rechtsberater, Finanzfachleute oder Immobilienmakler)
Wichtig ist, dass das Gesetz territorialer Natur ist. Seine Anwendbarkeit richtet sich nach dem Standort der Person, deren Daten verarbeitet werden, nicht nach dem Standort der Organisation. Das bedeutet, dass Sie, selbst wenn Ihr Unternehmen außerhalb von Quebec – oder sogar außerhalb Kanadas – ansässig ist, dem Gesetz 25 unterliegen, wenn Sie personenbezogene Daten von Einwohnern Quebecs verarbeiten. Diese umfassende Reichweite unterstreicht das Ziel des Gesetzes, die Datenschutzrechte von Einzelpersonen in der gesamten Provinz zu wahren und durchzusetzen.
Anforderungen des Quebecer Gesetzes 25
Hier sind die wichtigsten Aspekte, die Unternehmen verstehen müssen:
1. Einwilligung und Transparenz
Unternehmen müssen insbesondere bei der Erfassung sensibler Daten eine klare, freie und informierte Einwilligung der betroffenen Personen einholen. Zustimmung müssen detailliert und auf den jeweiligen Zweck der Datennutzung zugeschnitten sein. Darüber hinaus müssen Datenschutzrichtlinien leicht zugänglich sein und die Datenverarbeitungspraktiken klar darlegen.
2. Datenschutz-Folgenabschätzungen (DSFA)
Gesetz 25 verpflichtet Organisationen zur Durchführung Datenschutz-Folgenabschätzungen in bestimmten Situationen, wie etwa bei der Erhebung, Verwendung, Offenlegung oder Löschung personenbezogener Daten, beim Erwerb, der Entwicklung oder Einführung neuer Technologien oder Informationssysteme, bei der Übertragung personenbezogener Daten außerhalb von Quebec und bei der Durchführung automatisierter Entscheidungsfindung unter Verwendung personenbezogener Daten.
Eine Bewertung sollte Informationen zu folgenden Punkten enthalten:
- Die Sensibilität der Informationen
- Zweck und Verwendung von Informationen
- Die Datenschutzmaßnahmen
- Die Gerichtsbarkeit, in der die Informationen weitergegeben werden, und der geltende Rechtsrahmen
3. Betroffenenrechte
Die Rechte der betroffenen Personen gemäß Gesetz 25 sind denen der Datenschutz-Grundverordnung (DSGVO) der EU sehr ähnlich.
Zu den Rechten der betroffenen Personen in Quebec gehören:
- Recht auf Auskunft
- Recht auf Berichtigung unrichtiger Informationen
- Recht auf Löschung
- Recht auf Widerruf der Einwilligung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Recht auf Information und Widerspruch gegen automatisierte Entscheidungsfindung.
Datenschutzteams müssen innerhalb von 30 Tagen nach Erhalt der Anfrage antworten, unter bestimmten Umständen besteht jedoch die Möglichkeit einer Verlängerung.
4. Benachrichtigung über Verstöße
Das Gesetz 25 verpflichtet Organisationen dazu, die Commission d'accès à l'information (CAI) und betroffene Personen zu benachrichtigen von Datenschutzverletzungen, wie zum Beispiel unbefugter Zugriff von persönlichen Informationen, die ein „Risiko einer schweren Verletzung“ darstellen könnten.
Gemäß Gesetz 25 sind Organisationen verpflichtet, jeden Verstoß unverzüglich zu melden, sobald er auftritt, und detaillierte Aufzeichnungen aller Sicherheitsvorfälle zu führen.

5. Datenminimierung und -aufbewahrung
Unternehmen vernichten nicht mehr benötigte Daten sicher. Die Daten dürfen nur so lange wie nötig aufbewahrt und für einen legitimen Zweck verwendet werden. Darüber hinaus müssen Unternehmen ein Dateninventar und einen Aufbewahrungsplan führen.
6. Governance und Rechenschaftspflicht
Gesetz 25 schreibt die Ernennung eines Datenschutzbeauftragten vor. Wird keiner ernannt, wird standardmäßig der CEO als Datenschutzbeauftragter fungieren. Der Datenschutzbeauftragte ist verantwortlich für die Überwachung bestimmter Compliance-Aktivitäten wie: DSAR-Erfüllung, Meldung von Datenschutzverletzungenund Durchführung von Datenschutz-Folgenabschätzungen.
Aus Governance-Sicht verlangt das Gesetz die Führung von Aufzeichnungen über Datenverarbeitungsaktivitäten sowie die Umsetzung interner Richtlinien und Schulungsprogramme für Mitarbeiter.
7. Automatisierte Entscheidungsfindung
Wenn Unternehmen KI oder Algorithmen für Entscheidungen mit erheblichen Auswirkungen auf Einzelpersonen einsetzen, müssen sie die Betroffenen informieren, die Gründe für die Entscheidung darlegen und ihnen das Recht einräumen, das Ergebnis anzufechten.
Gesetz 25 Strafen bei Nichteinhaltung
Die Strafen nach Regel 25 sind erheblich:
- Verwaltungsstrafen können bis zu $10 Millionen CAD oder 2% des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist.
- Bei schweren Verstößen können die Strafen bis zu 1425 Millionen kanadische Dollar oder 413 Billionen kanadische Dollar des weltweiten Umsatzes betragen.
- Einzelpersonen können ihr privates Klagerecht ausüben und rechtliche Schritte gegen Organisationen einleiten, die gegen das Gesetz verstoßen. Der Schadensersatz beträgt mindestens 14 Billionen TP1.000 pro Person. Darüber hinaus können Einzelpersonen kollektive Klagen im Rahmen von Sammelklagen einreichen.
Wie BigID bei der Einhaltung von Gesetz 25 hilft
BigID hilft Unternehmen, die Zusammenhänge zwischen Daten und KI hinsichtlich Sicherheit, Datenschutz, Compliance und AI-DatenmanagementBigID ist eine führende Data-Intelligence-Plattform, die Unternehmen dabei unterstützt, persönliche und sensible Daten in ihrem gesamten Ökosystem zu erkennen, zu verwalten und zu schützen. So unterstützt BigID die Einhaltung des Quebec Law 25:
1. Entdeckung und Klassifizierung von Daten
BigID nutzt fortschrittliches maschinelles Lernen und KI, um automatisch Entdecken und klassifizieren Sie persönliche und vertrauliche Informationen über strukturierte und unstrukturierte Datenquellen hinweg, um Unternehmen dabei zu helfen, zu verstehen, über welche Daten sie verfügen und wo diese gespeichert sind, sensible und regulierte Daten zu identifizieren und genaue und vollständige Datenkarten und -inventare sicherzustellen.
2. Datenschutz-Folgenabschätzungen (DSFA)
BigID bietet Workflows für die Durchführung automatisierter PIAs und Datenschutz-Folgenabschätzungen (DPIAs). Dadurch wird die Bewertung des mit neuen Projekten verbundenen Risikos, die Dokumentation der Compliance und die Weitergabe von Bewertungen intern oder an Aufsichtsbehörden nach Bedarf vereinfacht.
3. Einwilligungs- und Präferenzverwaltung
Durch Integrationen und APIs ermöglicht BigID eine detaillierte Zustimmungsverfolgung über Datenquellen und Systeme hinweg, Aktualisierungen und Einblicke in den Zustimmungsstatus des Benutzers sowie die Verwaltung von Benutzereinstellungen über Plattformen hinweg, um die Einhaltung der Transparenz- und Zustimmungsstandards von Gesetz 25 sicherzustellen.
4. Wahrnehmung der Betroffenenrechte
BigID rationalisiert DSR (Antrag einer betroffenen Person) mit End-to-End-Workflows, die die Ermittlung relevanter personenbezogener Daten verarbeiten, eine einfache Datenextraktion, -redaktion und -bereitstellung ermöglichen und die Rechte auf Zugriff, Korrektur, Löschung und Portabilität unterstützen.
5. Risiko- und Verletzungsmanagement
BigID hilft bei der Erkennung riskanten Datenverhaltens und unterstützt proaktive Risikobewertung, automatisierte Risikowarnungen bei ungewöhnlichen Zugriffsmustern oder Richtlinienverstößen sowie optimierte Arbeitsabläufe bei Vorfällen und Verstößen, um die Melderegeln für Verstöße gemäß Gesetz 25 einzuhalten.
6. Governance und Richtlinienautomatisierung
BigID hilft bei der Durchsetzung Datenaufbewahrung, Minimierungund Governance-Richtlinien durch richtlinienbasiertes Datenlebenszyklusmanagement, Datenbeschriftung und -kennzeichnung, und Integration mit vorhandenen Sicherheits- und Datenschutztools.
Ob es um die Verbesserung der Transparenz, das Risikomanagement oder die Umsetzung von Datenschutz durch Technikgestaltung geht: BigID ist Ihr strategischer Partner bei der Erreichung und Aufrechterhaltung der Einhaltung von Gesetz 25 und darüber hinaus. Fordern Sie eine Demo an, um es in Aktion zu sehen.