Quebecs modernisiertes Datenschutzgesetz fuehrt DSGVO-aehnliche Anforderungen ein, darunter verpflichtende Datenschutz-Folgenabschaetzungen, 72-Stunden-Vorfallbenachrichtigung und Transparenz bei automatisierter Entscheidungsfindung. Wir helfen Ihnen, alle drei Umsetzungsphasen zu navigieren.
Quebec Law 25 (Bill 64) ist das Gesetz zur Modernisierung der gesetzlichen Bestimmungen zum Schutz personenbezogener Informationen. Es wurde 2021 erlassen und staerkt den Datenschutz in Quebec erheblich, indem es das Gesetz zum Schutz personenbezogener Informationen im privaten Sektor aendert.
Warum das jetzt wichtig ist: Alle drei Umsetzungsphasen sind seit dem 22. September 2024 in Kraft. Organisationen muessen verpflichtende PIAs, 72-Stunden- Vorfallbenachrichtigung, Datenschutz durch Voreinstellung und Transparenz bei automatisierter Entscheidungsfindung einhalten. Hoechst- strafen von CAD $25 Millionen gelten nun.
Aehnlicher Umfang und Strafen wie die EU-Verordnung
Verpflichtende Meldung an CAI und Personen
Ergaenzt die DSGVO- und CCPA-Compliance fuer jurisdiktionsuebergreifend taetige Organisationen.
In Quebec ansaessige Organisationen
Jede Organisation in Quebec, die personenbezogene Informationen erhebt
Verarbeiter von Daten von Quebec-Einwohnern
Organisationen ausserhalb Quebecs, die Informationen von Quebec-Einwohnern verarbeiten
Oeffentliche Einrichtungen
Regierungsbehoerden, die den Modernisierungsbestimmungen von Law 25 unterliegen
KI-Systembetreiber
Organisationen, die automatisierte Entscheidungsfindung einsetzen, die Quebec-Einwohner betrifft
Auftragsverarbeiter
Dienstleister, die personenbezogene Informationen im Auftrag von Quebec-Einrichtungen verarbeiten
Grenzueberschreitende Datenuebermittlungen
Organisationen, die personenbezogene Informationen ausserhalb Quebecs uebermitteln
Umfassende Funktionen fuer verpflichtende Datenschutzpflichten
Fuehren Sie verpflichtende PIAs fuer Hochrisiko-Verarbeitungsaktivitaeten mit strukturierten Frageboegen durch, die an CAI-Leitlinien ausgerichtet sind. Die Plattform dokumentiert Notwendigkeit, Verhaeltnismaessigkeit, Schutzmassnahmen und erstellt Compliance-Nachweise fuer behoerdliche Ueberpruefungen.
Adressiert: Art. 3.3 - PIA-Pflichten fuer Hochrisikoverarbeitung
Verfolgen Sie Datenschutzvorfaelle mit automatisierten 72-Stunden-Benachrichtigungs-Workflows an CAI und betroffene Personen. Die Plattform pflegt Vorfallzeitplaene, Folgenabschaetzungen und gemaess Law 25 erforderliche Abhilfemassnahmen.
Adressiert: Art. 3.5-3.8 - Vorfallbenachrichtigung innerhalb von 72 Stunden
Dokumentieren Sie KI-Systeme, die Entscheidungen ausschliesslich durch automatisierte Mittel treffen. Die Plattform verfolgt Offenlegungspflichten, individuelle Benachrichtigungsanforderungen und bietet Workflows fuer die Einreichung von Stellungnahmen.
Adressiert: Art. 12.1 - Transparenz und Individualrechte bei automatisierten Entscheidungen
Etablieren Sie Datenschutz-Governance-Strukturen mit benannten Datenschutzbeauftragten, Rechenschaftsrahmenwerken und Richtlinienmanagement. Die Plattform pflegt Governance-Dokumentation und stellt organisatorische Compliance-Bereitschaft sicher.
Adressiert: Art. 3.1-3.2 - Datenschutz-Governance und Beauftragtenbestellung
Implementieren Sie technische und organisatorische Massnahmen, die den Datenschutz von der Systemgestaltung bis zur Bereitstellung gewaehrleisten. Die Plattform verfolgt Datenschutzkontrollen, Datenminimierungspraktiken und Datenschutz-Voreinstellungen.
Adressiert: Art. 3.4 - Datenschutz durch Technikgestaltung und durch Voreinstellung
Bewerten Sie den gleichwertigen Schutz fuer Uebermittlungen personenbezogener Informationen ausserhalb von Quebec. Die Plattform dokumentiert Uebermittlungsmechanismen, Angemessenheitsbewertungen und vertragliche Schutzmassnahmen fuer internationale Datenfluesse.
Adressiert: Art. 17 - Gleichwertiger Schutz fuer Uebermittlungen ausserhalb von Quebec
Alle Datenschutzaktivitaeten werden mit Zeitstempeln, zugewiesenen Verantwortlichen und Genehmigungsworkflows verfolgt. Dies schafft den Pruefpfad, der systematische Compliance fuer CAI-Untersuchungen nachweist.
VerifyWise bietet dedizierte Tools fuer alle wesentlichen Law 25-Pflichten
Kernanforderungen von Law 25
Anforderungen mit dedizierten Tools
Abdeckung ueber alle Kategorien
Richtlinien, Rechenschaftspflicht, Datenschutzbeauftragter, Governance-Struktur
Auskunft, Uebertragbarkeit, Loeschung, Einwilligungswiderruf, automatisierte Entscheidungen
PIAs, Datenschutz durch Voreinstellung, Sicherheitsmassnahmen, Aufbewahrungsfristen
72-Stunden-Benachrichtigung, individuelle Warnungen, CAI-Meldung, Abhilfe
CAI-konforme Vorlagen und Verfahren fuer Datenschutz-Folgenabschaetzungen
Automatisierte Vorfallverfolgung und CAI-Melde-Workflows
KI-Systemdokumentation und Tools zur individuellen Benachrichtigung
Zuordnung zu DSGVO- und CCPA-Anforderungen
Law 25 trat schrittweise zwischen September 2022 und September 2024 in Kraft
Alle Bestimmungen sind nun vollstaendig in Kraft. Organisationen muessen alle Law 25- Anforderungen einhalten, einschliesslich PIAs, Vorfallbenachrichtigung, Datenschutz durch Voreinstellung und Transparenz bei automatisierter Entscheidungsfindung.
Kernanforderungen, die Organisationen gemaess Law 25 umsetzen muessen
Verpflichtende PIAs sind fuer Verarbeitungsaktivitaeten erforderlich, die voraussichtlich ein erhebliches Risiko schwerwiegender Schaeden fuer die Privatsphaere darstellen. Sie muessen vor Beginn der Verarbeitung abgeschlossen und bei Aenderung der Umstaende aktualisiert werden.
Kernanforderungen
Organisationen muessen CAI und betroffene Personen innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalls mit personenbezogenen Informationen benachrichtigen, der ein Risiko schwerwiegender Schaeden darstellt.
Kernanforderungen
Wenn Entscheidungen ausschliesslich durch automatisierte Verarbeitung getroffen werden, muessen Personen informiert werden und das Recht haben, Stellungnahmen einzureichen, menschliches Eingreifen zu erhalten und die Entscheidung anzufechten.
Kernanforderungen
Erweiterte Transparenzpflichten erfordern klare Datenschutzhinweise. Die Einwilligung muss spezifisch, ausdruecklich und fuer verschiedene Zwecke separat eingeholt werden. Besonderer Schutz gilt fuer Minderjaehrige.
Kernanforderungen
Ein praktischer Weg zur Erreichung vollstaendiger Compliance
Die Commission d'acces a l'information du Quebec verfuegt ueber umfassende Befugnisse und erhebliche Strafen
Je nachdem, welcher Betrag hoeher ist, fuer schwerwiegende Verstoesse
Beispiele
Fuer strafrechtliche Verstoesse und wiederholte Nichteinhaltung
Beispiele
Unabhaengige Behoerde mit Untersuchungs- und Durchsetzungsbefugnissen
Beispiele
Die Commission d'acces a l'information du Quebec (CAI) ist Quebecs unabhaengige Datenschutzbehoerde. Die CAI verfuegt ueber Befugnisse zur Untersuchung von Beschwerden, Durchfuehrung von Audits, Erteilung von Anordnungen und Verhaengung von Strafen.
CAI-Website besuchen →Quebecs Datenschutzgesetz im Kontext globaler Verordnungen verstehen
| Aspekt | Quebec Law 25 | DSGVO | CCPA |
|---|---|---|---|
Rechtsordnung | Quebec (Kanada) | Europaeische Union + EWR | Kalifornien (USA) |
Rechtsstatus | Provinzgesetz (Quebec) | EU-Verordnung (verpflichtend) | Staatsgesetz (Kalifornien) |
Anwendbarkeit | Daten von Quebec-Einwohnern | Daten von EU-Einwohnern | Daten kalifornischer Verbraucher |
Strafen | Bis zu CAD $25 Mio. oder 4 % Umsatz | Bis zu 20 Mio. EUR oder 4 % Umsatz | Bis zu $7.500 pro vorsaetzlichem Verstoss |
Meldung von Verletzungen | 72 Stunden an CAI + Personen | 72 Stunden an Datenschutzbehoerde + Personen | Keine verpflichtende Frist fuer Verletzungsmeldungen |
Einwilligungsmodell | Opt-in (insbesondere Minderjaehrige) | Opt-in (ausdrueckliche Einwilligung) | Opt-out (Recht, Nein zu sagen) |
Folgenabschaetzungen | Verpflichtende PIAs fuer Hochrisiko | Verpflichtende DSFAs fuer Hochrisiko | Keine verpflichtenden Folgenabschaetzungen |
Datenuebertragbarkeit | Ja (neues Recht unter Law 25) | Ja (umfassendes Recht) | Eingeschraenkte Uebertragbarkeitsrechte |
Durchsetzung | CAI (Quebec) | Nationale Datenschutzbehoerden | Kalifornischer Generalstaatsanwalt + CPPA |
Profi-Tipp: Organisationen, die dieDSGVOeinhalten, werden die Law 25-Anforderungen vertraut finden. Viele DSGVO-Praktiken (PIAs, Meldung von Verletzungen, Datenschutz durch Technikgestaltung) lassen sich direkt auf Law 25 uebertragen, mit Quebec-spezifischen Anpassungen.
Multi-Jurisdiktions-Compliance besprechenZugriff auf einsatzbereite Datenschutzrichtlinienvorlagen, die an Law 25, DSGVO und CCPA-Anforderungen angepasst sind
Haeufige Fragen zur Einhaltung von Quebec Law 25
Starten Sie Ihre Datenschutz-Compliance-Reise fuer Quebec mit unserer umfassenden Bewertung und Implementierungstools.