Quebecs Datenschutzgesetz 25: Was es ist und wie man es einhält

Autor: Thierry Julien, CEO der TJC Gruppe | Co-Autor: Laura Parri Royo, Marketing Direktorin

Quebec, die föderale Region Kanadas, ist die jüngste Region, die strenge Datenschutzbestimmungen einführt. Im September 2021 wurde mit der Umsetzung des Gesetz 25 („Loi sur la protection des renseignements personnels dans le secteur privé“). Dem Gesetz 25 geht die Gesetzesvorlage 64 voraus, die ursprünglich von der Nationalversammlung am 21. September 2021 verabschiedet wurde.
The Law 25 extends its influence beyond provincial borders, affecting businesses in Quebec, but also those across Canada that interact with Quebec residents.

1. Quebecs Erfolgsbilanz bei der Kontrolle des Datenschutzes

In Quebec, der föderalen Region Kanadas, wird der Schutz der Privatsphäre durch eine Reihe von Gesetzen auf Provinz- und Bundesebene geregelt, die den Umgang mit persönlichen Daten schützen. Diese Gesetze regeln die Erfassung, Verwendung und Weitergabe von persönlichen Daten durch Organisationen im privaten und öffentlichen Sektor.

Die Region Quebec hat sich bereits seit langem dem Schutz persönlicher Daten verschrieben und verfügt über einen soliden Rechtsrahmen mit strengen Datenschutzgesetzen. Dazu gehören das bestehende Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) – LPRPDE – das Akronym auf Französisch – das auf Bundesebene gilt. Die kanadischen Aufsichtsbehörden waren jedoch der Ansicht, dass aufgrund der rasanten Entwicklung der Technologie und der zunehmenden Bedenken hinsichtlich des Datenschutzes ein klarer Bedarf an strengeren Vorschriften bestand, was in der Entwicklung des Gesetzes 25, dem Gesetz zum Schutz personenbezogener Daten im privaten Sektor, gipfelte .

Loi 25 – Text auf Französisch

Gesetz 25 – Text auf Englisch

2. Umsetzung des Gesetzes 25

Die Umsetzung des Gesetzes Nr. 25 erfolgte in mehreren Phasen, wobei in jeder Phase neue Anforderungen und Verantwortlichkeiten hinzukamen:

• Phase 1 – 22. September 2022: Benennung einer Person, die für den Schutz der Privatsphäre verantwortlich ist, obligatorische Meldung von Verstößen, Offenlegung biometrischer Daten.

• Phase 2 – 22. September 2023: Datenschutzpolitik, obligatorische Datenschutz-Folgenabschätzungen (PIAs), Transparenz und Zustimmungssysteme, Anonymisierung, Recht auf Löschung.

• Phase 3 – 22. September 2024: Recht auf Übertragbarkeit.

Mit der Einführung dieser Vorschriften setzt Quebec robuste Regelungen in Kraft, die die Strenge der EU-DSGVO teilen, aber auch einige neue und einzigartige Elemente bieten.

3. Was macht Law 25 besonders? 10 wichtige Merkmale, die
Unternehmen verstehen sollten

Die kanadischen Behörden haben die bestehenden Datenschutzgesetze, z. B. die Datenschutz-Grundverordnung, genau geprüft und viele ihrer Merkmale bei der Entwicklung des Gesetzes 25 berücksichtigt. Darüber hinaus sind sie noch weiter gegangen und haben weitere Elemente aufgenommen, um die Regeln noch durchsetzbarer zu machen.

Hier sind zehn der wichtigsten Funktionen von Law 25:

• Schrittweise Markteinführung. Das Gesetz 25 wird in drei Phasen über drei Jahre hinweg eingeführt. Nachdem man die Auswirkungen der Datenschutzgrundverordnung in Europa beobachtet hat, will man den Unternehmen Zeit geben, sich an die neuen Anforderungen anzupassen. Anstatt eine pauschale Änderung einzuführen, wollen die Behörden in Quebec den Unternehmen die Möglichkeit geben, Prioritäten zu setzen und die erforderlichen Änderungen systematischer umzusetzen.
• Breite des Umfangs. Das Gesetz 25 ist weitreichend und seine Auswirkungen gehen über die Region Quebec hinaus und betreffen alle Unternehmen und Personen, die Geschäfte mit in Quebec ansässigen Personen tätigen.
• Rechenschaftspflicht von oben nach unten. Während die DSGVO die Verantwortung für die Einhaltung der Vorschriften letztlich dem Datenverarbeiter auferlegt, kehrt das Gesetz 25 diesen Schwerpunkt um. Sobald es vollständig umgesetzt ist, wird der CEO oder die Person mit der höchsten Autorität in einer Organisation letztendlich für die Einhaltung der Vorschriften verantwortlich sein. Dies macht die Regelung wesentlich fairer und unterstreicht, wie wichtig der Datenschutz in den Augen der politischen Entscheidungsträger in Quebec ist. Darüber hinaus müssen alle Organisationen einen Verantwortlichen für den Datenschutz benennen. Diese Person hat die Aufgabe, die Einhaltung des neuen Gesetzes sicherzustellen und datenschutzrelevante Angelegenheiten zu verwalten.
• Strenge Anforderungen an die Zustimmung. Das Gesetz 25 setzt sehr strenge Regeln für die Einwilligung in Kraft. Dieses Gesetz schreibt unter anderem vor, dass Unternehmen gesondert um Zustimmung bitten müssen, und zwar in klarer Sprache und mit besonderen Bestimmungen für sensible Informationen, Minderjährige und Menschen mit zusätzlichen Bedürfnissen.
• Hohe Bußgelder. Im Einklang mit den Strafgeldern, die für die Nichteinhaltung der Datenschutzgrundverordnung verhängt werden, ist das Gesetz 25 ebenso strafend. Gegen Verstöße werden hohe Geldstrafen verhängt, die bis zu 25 Millionen C$ oder 4 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen können, je nachdem, welcher Betrag höher ist. Die strenge Durchsetzung durch die Commission d’accès à l’information unterstreicht die Ernsthaftigkeit, mit der die Einhaltung dieser Vorschriften verfolgt wird.
• Verbesserte Datenschutzrechte für Einzelpersonen. In Anerkennung der Rechte von Privatpersonen auf Schutz ihrer Privatsphäre gewährt das Gesetz 25 den Einwohnern von Quebec das Recht auf ‚Datenübertragbarkeit‘ und das Recht, über die automatisierte Verarbeitung ihrer persönlichen Daten informiert zu werden. Privatpersonen haben das Recht, die Löschung ihrer Daten zu verlangen, und Unternehmen müssen personenbezogene Daten anonymisieren, sobald der vorgesehene Zweck erfüllt ist. Ab dem 22. September 2024 werden Einzelpersonen das Recht haben, ihre persönlichen Daten über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden, was eine größere Kontrolle über persönliche Daten ermöglicht.
• Obligatorische Meldung von Verstößen. Das Gesetz 25 stellt sicher, dass Datenschutzverletzungen nicht verheimlicht werden können. In Québec tätige Organisationen sind verpflichtet, den Behörden und den betroffenen Personen alle Datenschutzverletzungen zu melden, die ein „Risiko eines ernsthaften Schadens“ darstellen.
• Datenschutz-Folgenabschätzung (PIA) erforderlich. Das Gesetz 25 geht über die GDPR hinaus und verlangt von den betroffenen Organisationen, dass sie eine PIA durchführen, bevor sie neue Technologien implementieren oder personenbezogene Daten außerhalb von Quebec übertragen können. Dies gewährleistet eine proaktive Identifizierung und Abmilderung von Datenschutzrisiken.
• Schutz biometrischer Daten. Biometrische Daten sind besonders anfällig für Datenschutzverletzungen. Das Gesetz 25 trägt diesem Umstand Rechnung, indem es Organisationen dazu verpflichtet, die Behörden im Voraus zu benachrichtigen, wenn sie biometrische Daten verarbeiten, einschließlich der Einrichtung neuer Datenbanken mit biometrischen Daten.
• Die Betonung liegt auf Transparenz. Das Gesetz 25 verlangt, dass jede betroffene Organisation in Quebec klare Datenschutzrichtlinien veröffentlicht und den Aufsichtsbehörden detaillierte Informationen über alle ihre Datenerfassungs- und Datennutzungspraktiken zur Verfügung stellt.

4. Auswirkungen des Gesetzes 25 auf die Datenverwaltung in SAP-Systemen

Gesetz 25 schreibt vor, dass die Daten vernichtet oder anonymisiert werden müssen, sobald die primäre Datenfunktion erfüllt und das Ziel der Datenerhebung erreicht ist. Hierin liegt die Herausforderung für die Einhaltung des Gesetzes, denn viele Unternehmen, die SAP verwenden, haben keinen internen Mechanismus, um ihre Daten auf diese Weise zu bereinigen, so dass sie auf unbestimmte Zeit bestehen bleiben. Diese Praxis muss jetzt korrigiert werden.

Die Durchsetzung des Gesetzes 25 obliegt der Commission d’accès à l’information du Québec (CAI ). Dies zeigt, wie ernst die kanadische Regierung die Einhaltung des Gesetzes 25 nimmt und unterstreicht die Dringlichkeit der Entwicklung eines automatisierten und sich ständig weiterentwickelnden Rahmens für die Verwaltung des Lebenszyklus von Daten.

Vielleicht interessiert Sie auch dieser Artikel über die Minimierung von Risiken der Nichteinhaltung von Vorschriften in SAP-Systemen

4.1 Was sind die Sanktionen bei Nichteinhaltung?

Wie bereits erwähnt, führt das Gesetz 25 neue Geldstrafen für die Nichteinhaltung der Datenschutzbestimmungen ein. Privatunternehmen, die sich nicht an dieses Gesetz halten, müssen mit Geldstrafen zwischen 15.000 und 25.000.000 C$ oder 4 % ihres Gesamtumsatzes im vorangegangenen Geschäftsjahr rechnen, je nachdem, welcher Betrag höher ist.

Obwohl die Geschwindigkeit, mit der diese Strafen angewandt werden, ungewiss bleibt, können wir eine Parallele zu anderen kanadischen Gesetzen ziehen, wie dem Kanada Anti-Spam-Gesetz (CASL)ziehen, ist klar, dass Zuwiderhandelnde tatsächlich bestraft werden.

4.2 Anonymisierung und Löschung von Daten

Eine Möglichkeit, die Einhaltung des Gesetzes 25 zu gewährleisten, ist die Durchführung eines Projekts zur Anonymisierung und Löschung von Daten. Ab September 2023 wird die Anonymisierung von persönlichen Informationen wurde als eine Möglichkeit zur Einhaltung des Gesetzes 25 akzeptiert und bietet eine Alternative zur Datenvernichtung. Es müssen jedoch bestimmte Regeln und Verfahren befolgt werden, die mit den von der Regierung von Quebec anerkannten bewährten Verfahren übereinstimmen . Lesen Sie die Richtlinien zur Aufbewahrung oder Vernichtung persönlicher Daten sorgfältig durch oder wenden Sie sich an uns, wenn Sie Hilfe bei der Entschlüsselung benötigen.

Während die Datenlöschung, wie beschrieben, die dauerhafte Vernichtung von Daten beinhaltet, wird bei der Datenanonymisierung eine Reihe von irreversiblen Techniken eingesetzt, die es unmöglich machen, eine Person oder einen Datensatz auf irgendeine Weise zu identifizieren. Sobald die Daten anonymisiert sind, können sie für einen unbegrenzten Zeitraum aufbewahrt werden.

Vor der Löschung oder Anonymisierung von Daten muss unbedingt ermittelt werden, welche Informationen entsprechend ihrer Relevanz aufbewahrt werden müssen und welche Elemente der Daten anonymisiert werden müssen.

Welche Daten werden wirklich benötigt? Ein Datensatz könnte zum Beispiel fürGeburtsdatum und Name anonymisiert werden, aber das Transaktionsverhalten, das für die Geschäftsplanung nützlich ist, könnte beibehalten werden. Dies liegt daran, dass anonyme Informationen nicht als personenbezogene Daten betrachtet werden und Datenschutzgesetze wie das Gesetz 25 nicht gelten.

4.3 Datenverwaltungspraktiken für eine solide Einhaltung der Vorschriften

Das Gesetz Nr. 25 von Québec stellt einen entscheidenden Fortschritt im Bereich des Datenschutzes dar und spiegelt die wachsende Bedeutung des Schutzes persönlicher Daten im heutigen digitalen Zeitalter wider. Für Unternehmen, die SAP einsetzen, unterstreicht es die Notwendigkeit eines rigorosen Datenmanagements und der Einhaltung verbesserter Datenschutzstandards. Die weitere Entwicklung des Gesetzes wird tiefgreifende Auswirkungen auf den Schutz der Privatsphäre haben und zu mehr Vertrauen und Sicherheit in der digitalen Landschaft führen.

Die Einhaltung des Gesetzes 25 kann komplex sein; daher sollten Unternehmen auch ein laufendes Programm zur Verwaltung des Lebenszyklus von Informationen einführen müssen. Wenn Sie sich beraten lassen möchten, wie Sie vorgehen können, wenden Sie sich an die TJC Group. Wir sind Experten für SAP-Datenmanagement zur Einhaltung von Datenschutzbestimmungen.

Wie bereits erwähnt, ist PIPEDA Kanadas wichtigstes Gesetz zum Schutz der persönlichen Daten von Privatpersonen im privaten Sektor und legt die Regeln für die Erfassung, Verwendung und Weitergabe solcher Daten fest. Es gilt für föderale Organisationen und Unternehmen des privaten Sektors bei ihren internationalen Aktivitäten zwischen den Provinzen.

5. Ein Wort zu PIPEDA, Kanadas Bundesgesetz zum Datenschutz

Wie bereits erwähnt, ist PIPEDA Kanadas wichtigstes Gesetz zum Schutz der persönlichen Daten von Privatpersonen im privaten Sektor und legt die Regeln für die Erfassung, Verwendung und Weitergabe solcher Daten fest. Es gilt für föderale Organisationen und Unternehmen des privaten Sektors bei ihren internationalen Aktivitäten zwischen den Provinzen.

Das Gesetz basiert auf 10 fairen Prinzipien, die Unternehmen befolgen müssen, um zu gewährleisten, dass personenbezogene Daten ordnungsgemäß geschützt werden. Das Office of the Privacy Commissioner in Kanada bietet einen nützlichen Überblick über diese 10 Grundsätze. Lesen Sie diesen Artikel: https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/p_principle/

6. Zusätzliche Vorschriften zum Schutz von Verbraucherdaten in Kanada

PIPEDA setzt die nationalen Standards für Datenschutzpraktiken im privaten Sektor in Kanada. Darüber hinaus haben einige Provinzen ihre eigenen provinziellen Datenschutzgesetze erlassen, die dem PIPEDA ähneln, aber einige Nuancen und Änderungen in verschiedenen Richtungen vorsehen. Unter vielen Umständen gilt das Gesetz der Provinz anstelle des Bundesgesetzes. Welches Gesetz gilt, muss von Fall zu Fall entschieden werden.

Dies sind die Datenschutzgesetze der Provinzen in Kanada, die in Bezug auf den Schutz personenbezogener Daten als gleichwertig mit PIPEDA angesehen werden.

• Québec: Loi sur la protection des renseignements personnels dans le secteur privé (loi 25), die uns bereits bekannt ist. https://laws-lois.justice.gc.ca/PDF/P-8.6.pdf.
• Britisch-Kolumbien: Gesetz zum Schutz persönlicher Daten (S.B.C., 2003, c. P-63) (‚BC PIPA‘);
• Alberta: Gesetz zum Schutz persönlicher Daten (SA, 2003, c. P-6.5) (‚AB PIPA‘);

7. Das letzte Wort

In allen Lebensbereichen ist die Einhaltung des Datenschutzes ein wichtiges Thema für Unternehmen. Sein Aufstieg zu politischer und gesellschaftlicher Prominenz ist auf zahlreiche Faktoren zurückzuführen. Daten sind unglaublich wertvoll und werden kontinuierlich in einem noch nie dagewesenen Ausmaß gesammelt.

Das Gesetz 25 modernisiert die Vorschriften zum Schutz personenbezogener Daten in Québec, so dass sie besser an die neuen Herausforderungen des heutigen digitalen und technologischen Umfelds angepasst sind. Es hat eindeutig einen Wendepunkt für die Datenschutzgesetze gesetzt und zeigt das starke Engagement der Regierung von Québec für einen besseren Schutz der Verwendung persönlicher Daten durch den Einzelnen.

8. Zusätzliche Ressourcen

Wenn Sie tiefer einsteigen möchten, finden Sie in den folgenden Ressourcen weitere Informationen zu den kanadischen Datenschutzgesetzen sowie zu Datenschutzpraktiken wie Anonymisierung und Pseudonymisierung:

• Legis Québec. Regierung von Québec. Link : https://www.legisquebec.gouv.qc.ca/en/
• Commission d’accès à l’information du Québec. Principaux changements aux lois sur la protection des renseignements personnelS. Link https://www.cai.gouv.qc.ca/protection-renseignements-personnels/sujets-et-domaines-dinteret/principaux-changements-loi-25
• Büro des Datenschutzbeauftragten in Kanada. PIPEDA-Anforderungen in Kürze. https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/pipeda_brief/#business
• Information Commissioner’s Office. Einführung in die Anonymisierung https://ico.org.uk/media/about-the-ico/consultations/2619862/anonymisation-intro-and-first-chapter.pdf
• Datenschutzkommission Irland. Anonymisierung und Pseudonymisierung. Link: https://www.dataprotection.ie/en/dpc-guidance/anonymisation-pseudonymisation
• Agencia Española de Protección de Datos. Missverständnisse im Zusammenhang mit der Anonymisierung. Link: https://www.edps.europa.eu/system/files/2021-04/21-04-27_aepd-edps_anonymisation_en_5.pdf
• CanLII, l’Institut canadien d’information juridique. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1. Link : https://www.canlii.org/fr/qc/legis/lois/rlrq-c-p-39.1/derniere/rlrq-c-p-39.1.html
• One Trust Data Guidance. Vergleich zwischen GDPR und PIPEDA. Link zum PDR: gdpr_v_pipeda.pdf (dataguidance.com)

Informationsquellen: [TJ1]

• Gesetzgebung Québec. LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS DANS LE SECTEUR PRIVÉ. Link: https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-39.1
• Website der Justizgesetze. Government of Canada . Personal Information Protection and Electronic Documents Act (PIPEDA). Link: https://laws-lois.justice.gc.ca/eng/acts/p-8.6/
• Die Regierung von Québec. Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois – Certaines dispositions entrent en vigueur aujourd’hui. Link:https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212
• Kommission für den Zugang zu Informationen in Québec. Wichtigste Änderungen der Datenschutzgesetze. Link : https://www.cai.gouv.qc.ca/protection-renseignements-personnels/sujets-et-domaines-dinteret/principaux-changements-loi-25
• Kommission für den Zugang zu Informationen in Québec. Aufbewahrung und Vernichtung von persönlichen Informationen. Link:https://cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees/conservation-destruction-renseignements-personnels#anonymisation

• Regierung von British Columbia: Gesetz zum Schutz persönlicher Daten (S.B.C., 2003, c. P-63) (‚BC PIPA‘);
• Regierung von Alberta: Gesetz zum Schutz persönlicher Daten (SA, 2003, c. P-6.5) („AB PIPA“); und
• Gouvernement du Québec: Loi sur la protection des renseignements personnels dans le secteur privé (loi 25), die uns bereits bekannt ist. https://laws-lois.justice.gc.ca/PDF/P-8.6.pdf
• Ein Vertrauen. Quebec’s Law 25: Was ist es und was müssen Sie wissen? Link: https:%20automated%