Gemäß Gesetz 25, dem aktualisierten Datenschutzgesetz von Quebec, müssen Unternehmen vor der Erhebung personenbezogener Daten, auch über Cookies, eine ausdrückliche, klare und informierte Einwilligung einholen. Ist Ihr Einwilligungsmanagement auf dem neuesten Stand?
Gesetz 25, ehemals bekannt als Bill 64, ist eine umfassende Reform des Quebecer Gesetzes zum Schutz personenbezogener Daten im privaten Sektor. Es wird schrittweise zwischen 2022 und 2024 eingeführt, modernisiert die Datenschutzanforderungen und stärkt die individuellen Rechte. Es führt strengere Zustimmungsregeln, neue Verpflichtungen für Unternehmen und erhebliche Strafen bei Nichteinhaltung ein.
Wenn Ihre Website Cookies verwendet, die das Nutzerverhalten verfolgen oder Kennungen wie IP-Adressen erfassen, sind Sie verpflichtet, die Nutzer zu informieren und ihre Zustimmung einzuholen, bevor Sie nicht unbedingt erforderliche Cookies aktivieren. Dazu gehört die Implementierung klarer Cookie-Banner und Datenschutzrichtlinien, die darlegen, welche Daten warum erfasst werden.
Um Gesetz 25 einzuhalten, ergreifen Sie folgende Maßnahmen:
Datenschutzbestimmungen aktualisieren:
Maintain clear, up-to-date privacy policies.Halten Sie klare und aktuelle Datenschutzrichtlinien ein.
Implementieren Sie das Einwilligungsmanagement:
Implementieren Sie Cookie-Einwilligungsbanner, Opt-out-Mechanismen und Möglichkeiten für Verbraucher, ihre Einwilligung zu widerrufen.
Datenverwaltung:
Benennen Sie einen Datenschutzbeauftragten, eine Person, die für den Schutz personenbezogener Daten verantwortlich ist, und führen Sie bei Bedarf Datenschutz-Folgenabschätzungen durch.
Umgang mit betroffenen Personen:
Einrichten von Prozessen zur Bearbeitung von Anfragen betroffener Personen
Datensicherheit:
Sicherstellung der Datensicherheitsmaßnahmen und Einführung von Maßnahmen zur obligatorischen Meldung von Verstößen
Gesetz 25 gilt für:
Alle privaten Organisationen, die in Quebec tätig sind oder personenbezogene Daten von Einwohnern Quebecs verarbeiten.
Unternehmen mit Sitz außerhalb Quebecs, die Waren/Dienstleistungen für Personen in der Provinz anbieten oder deren Verhalten überwachen.
Dazu gehören KMU, E-Commerce-Unternehmen, Dienstleister, gemeinnützige Organisationen und mehr.
Das Gesetz 25 gewährt den Einwohnern von Quebec eine breite Palette von Rechten in Bezug auf ihre personenbezogenen Daten:
Wissen Sie, wie und warum ihre Daten erfasst werden.
Fordern Sie eine Kopie Ihrer personenbezogenen Daten an.
Verbraucher können ungenaue oder unvollständige Daten korrigieren.
Verbraucher können der Datenverarbeitung jederzeit widersprechen.
Verbraucher können die Löschung ihrer Daten verlangen.
Verbraucher können personenbezogene Daten in einem strukturierten, allgemein verwendeten Format erhalten.
Verbraucher können die Verwendung ihrer Daten unter bestimmten Bedingungen einschränken.
Verbraucher haben das Recht, informiert zu werden, wenn es zu einer Sicherheitsverletzung ihrer Daten kommt.
Cookies, die Daten erfassen, die mit einer identifizierbaren Person verknüpft sind – wie IP-Adressen, Browserverlauf oder Geolokalisierung – gelten gemäß Gesetz 25 als personenbezogene Daten. Das bedeutet:
Nutzer müssen der Verwendung solcher Cookies aktiv zustimmen.
Ihre Website muss klare Auswahlmöglichkeiten bieten (Opt-in, Opt-out).
Die Zustimmung darf nicht in den Allgemeinen Geschäftsbedingungen gebündelt oder versteckt werden.
Es müssen Cookie-Banner vorhanden sein, die:
klar angeben, welche Arten von Cookies verwendet werden und warum.
Nutzern die Möglichkeit geben, nicht unbedingt erforderliche Cookies zu akzeptieren oder abzulehnen.
Nicht davon ausgehen, dass sie durch fortgesetztes Surfen ihre Zustimmung geben (keine vorab angekreuzten Kästchen oder stillschweigende Zustimmung mehr).
Sie müssen außerdem Ihre Datenschutzrichtlinie aktualisieren, um die Verwendung und den Zweck von Cookies zu berücksichtigen.
Organisationen, die gegen Gesetz 25 verstoßen, drohen:
Verwaltungsgeldbußen von bis zu 10 Millionen CAD oder 2 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.
Bußgelder von bis zu 25 Millionen CAD oder 4 % des weltweiten Umsatzes bei schwerwiegenderen Verstößen.
Öffentliche Meldung von Verstößen durch die Commission d'accès à l'information (CAI), die Datenschutzbehörde von Quebec.
Um Ihre Einhaltung des Gesetzes 25 von Quebec zu überprüfen, sollten Organisationen:
Prüfung:
Führen Sie ein Datenaudit durch, um alle Cookies und Tracker auf Ihren Websites zu identifizieren
Kategorisieren:
Kategorisieren Sie Cookies (z. B. notwendig, Präferenz, Analyse, Marketing)
Implementieren Sie das Einwilligungsmanagement:
Stellen Sie sicher, dass Einwilligungsbanner mit detaillierten Auswahlmöglichkeiten korrekt implementiert werden, dass Benutzer ihre Einwilligung jederzeit widerrufen können und dass Einwilligungsprotokolle geführt werden.
Verträge mit Drittanbietern prüfen:
Überprüfen Sie die Praktiken von Drittanbietern zum Datenaustausch
Eine Consent-Management-Plattform wie CookieHub trägt dazu bei, die Einhaltung von Gesetz 25 sicherzustellen, indem sie die Erfassung von Cookie-Einwilligungen automatisiert, Benutzereinstellungen speichert und Tools zur Verwaltung von Widerrufs- und Datenzugriffsanfragen bereitstellt.
Gesetz 25 gilt für alle privaten Organisationen, die personenbezogene Daten über Einwohner von Quebec sammeln, verwenden oder offenlegen, unabhängig vom physischen Standort der Organisation.
Personenbezogene Daten sind alle Informationen, die eine Person direkt oder indirekt identifizieren, wie etwa Namen, E-Mail-Adressen, IP-Adressen und demografische oder verhaltensbezogene Informationen.
Zu den sensiblen Daten zählen Informationen, die aufgrund ihrer Art oder ihres Kontexts ein höheres Risiko für die Privatsphäre darstellen – beispielsweise Gesundheitsdaten, Finanzdaten, biometrische Daten und Daten, die die rassische oder ethnische Herkunft offenbaren.
Die Commission d'accès à l'information du Québec (CAI) ist für die Durchsetzung von Gesetz 25 und die Bearbeitung von Beschwerden, Untersuchungen und Strafen verantwortlich.
Für öffentliche Stellen gelten andere Gesetze (Informationszugangsgesetz), rein personenbezogene bzw. private Datenverarbeitungen sind davon ausgenommen.
Besuchen Sie die Website der Commission d'accès à l'information (CAI) für offizielle Dokumentation, Compliance-Anleitungen und Aktualisierungen.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
