Quebecs Gesetz 25 (Bill 64): Der vollständige Leitfaden zu Cookie-Einwilligung und Datenschutz für Publisher im Jahr 2026
Die meisten nordamerikanischen Datenschutzgespräche beginnen und enden mit Kalifornien. Dieser Rahmen ist überholt. Quebecs Gesetz 25, früher bekannt als Bill 64, verhängt nun Strafen, die CCPA, CPRA und jedes US-Staatsgesetz übertreffen — bis zu CAD 25 Millionen oder 4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist. Die letzte Phase von Gesetz 25 trat am 22. September 2024 in Kraft und führte ein vollständiges Recht auf Datentransferabilität ein; die Durchsetzung hat sich durch 2025 und bis in das Jahr 2026 verschärft. Jeder Publisher, jede SaaS-Plattform oder jeder Adtech-Anbieter mit Quebec-Traffic steht nun vor DSGVO-ähnlichen Verpflichtungen — in bestimmten Bereichen wie grenzüberschreitende Übertragungen und Hinweise zur automatisierten Entscheidungsfindung oft anspruchsvoller als die DSGVO selbst.
Was Quebecs Gesetz 25 tatsächlich verlangt
Gesetz 25 ändert Quebecs bestehendes Datenschutzgesetz für den privaten Sektor (Act Respecting the Protection of Personal Information in the Private Sector) und nähert es der europäischen DSGVO an, während es ausgeprägt kanadische Merkmale beibehält. Die Kernanforderungen, die Publisher und digitale Betreiber betreffen, sind:
- Ausdrückliche, granulare Einwilligung vor der Erhebung oder Verwendung personenbezogener Daten für jeden Zweck, der über den ursprünglich genannten hinausgeht.
- Ein benannter Datenschutzbeauftragter (standardmäßig der ranghöchste Geschäftsführer, sofern nicht formal delegiert), dessen Name und Kontaktdaten auf der Website veröffentlicht werden müssen.
- Obligatorische Datenschutz-Folgenabschätzungen (PIA) vor dem Start eines Projekts, das personenbezogene Daten betrifft, insbesondere grenzüberschreitende Übertragungen oder neue Technologien.
- Meldung von Datenpannen an die Commission d'accès à l'information (CAI) und an betroffene Personen, wenn die Panne das Risiko einer schweren Verletzung darstellt.
- Individuelle Rechte, darunter Auskunft, Berichtigung, Löschung, Portabilität und — einzigartig — das Recht, über automatisierte Entscheidungsfindung informiert zu werden und eine menschliche Überprüfung zu verlangen.
Die Durchsetzungsbehörde ist die Commission d'accès à l'information du Québec (CAI), die im Verlauf des Jahres 2025 mehreren internationalen Publishern und Plattformen formelle Untersuchungshinweise ausgestellt hat. Anders als einige Aufsichtsbehörden hat die CAI die Bereitschaft gezeigt, nicht-kanadische Einheiten zu verfolgen, die Quebec-Einwohner bedienen.
Cookie-Einwilligung im Detail: in Schlüsselbereichen strenger als die DSGVO
Gesetz 25 verwendet das Wort „Cookie" nicht direkt, aber seine Definition von Technologie, die eine Person identifiziert, lokalisiert oder profiliert, erfasst Cookies, Pixel, Fingerprinting und SDK-basierte mobile Identifikatoren. Abschnitt 8.1 ist die entscheidende Vorschrift: Jede solche Technologie, die standardmäßig aktiviert ist, muss standardmäßig deaktiviert sein und eine aktive Einwilligung zur Aktivierung erfordern.
Keine vorangekreuzten Kästchen, keine implizierte Einwilligung
Diese Formulierung ist in einem konkreten Punkt strenger als der ePrivacy-Rahmen der DSGVO: Nicht nur muss die Einwilligung Opt-in sein, sondern die zugrunde liegende Technologie muss technisch deaktiviert sein, bis die Einwilligung erteilt wird. Ein Cookie-Banner, das Analysen lädt, bevor der Nutzer auf „Akzeptieren" klickt, verstößt gegen Gesetz 25, selbst wenn das Banner selbst technisch korrekt ist. Publisher müssen echtes einwilligungsgesteuertes Script-Loading implementieren, ähnlich wie Google Consent Mode v2 im advanced-Modus — der Basismodus ist im Allgemeinen unzureichend.
Profilbasierte Personalisierung erfordert separate Einwilligung
Wenn Sie Cookies verwenden, um ein Nutzerprofil für personalisierte Werbung aufzubauen, behandelt Gesetz 25 dies als einen eigenständigen Zweck, der eine eigene Einwilligungsebene erfordert, zusätzlich zur grundlegenden Einwilligung für die Cookie-Platzierung. Eine einzige Schaltfläche „Alle akzeptieren", die Speicherung, Analysen und Personalisierung bündelt, ist gefährdet — Quebecs Regulierungsbehörde hat eine Präferenz für granulare zweckbezogene Umschalter signalisiert.
Grenzüberschreitende Übertragungen: die PIA-Anforderung
Quebec ist die einzige kanadische Provinz, die eine formelle Datenschutz-Folgenabschätzung verlangt, bevor personenbezogene Daten außerhalb von Quebec übertragen werden — einschließlich des restlichen Kanada, der USA und europäischer Rechenzentren. Die PIA muss bewerten:
- Die Sensibilität der betroffenen Daten.
- Den Zweck und die Notwendigkeit der Übertragung.
- Den rechtlichen Rahmen der Zielrechtsordnung.
- Die geltenden vertraglichen und technischen Schutzmaßnahmen.
Für Publisher betrifft dies am häufigsten Analysen, Tag-Management, CDN-Protokolle und Ad-Server-Daten, die in die US-Infrastruktur fließen. Eine Quebec-Angemessenheits-PIA blockiert diese Übertragungen nicht, erfordert aber eine dokumentierte Bewertung und — entscheidend — eine schriftliche Bestätigung der empfangenden Partei, dass die Daten nach gleichwertigen Grundsätzen geschützt werden. Standard-SaaS-Verträge mit US-Hosting enthalten diese Formulierung selten standardmäßig und müssen geändert werden.
Hinweise zur automatisierten Entscheidungsfindung
Abschnitt 12.1 von Gesetz 25 ist einzigartig im nordamerikanischen Recht: Wenn ein Unternehmen personenbezogene Daten verwendet, um eine Entscheidung zu treffen, die ausschließlich auf automatisierter Verarbeitung basiert, muss es:
- Die betroffene Person zum Zeitpunkt der Entscheidung oder davor informieren.
- Auf Anfrage die verwendeten personenbezogenen Daten, die Gründe und die wesentlichen Faktoren erläutern, die zur Entscheidung geführt haben.
- Die Möglichkeit bieten, Stellungnahmen bei einem menschlichen Prüfer einzureichen.
Für Adtech erfasst dies programmatische Entscheidungen bei Gebotsanfragen, dynamische Preisgestaltung, Betrugsbewertung und jedes KI-gestützte Content-Ranking. Publisher kontrollieren diese Algorithmen selten direkt — sie verlassen sich auf SSPs und DSPs — aber Gesetz 25 behandelt den Publisher als gemeinsam verantwortliche Partei, wenn die Entscheidung Daten nutzt, die der Publisher erhoben hat. Das Hinzufügen einer kurzen Offenlegung automatisierter Entscheidungen in Ihren Datenschutzhinweis ist der minimal tragfähige Compliance-Schritt.
Praktische Compliance-Checkliste für 2026
Schritt 1: Quebec-Traffic und Datenflüsse kartieren
Verwenden Sie IP-Geolokalisierung in Ihren Analysen, um das Quebec-Besuchervolumen zu schätzen. Selbst wenn Quebec weniger als 5 % Ihres Publikums ausmacht, macht die Strafe von 4 % des Umsatzes das Ignorieren unverhältnismäßig riskant. Kartieren Sie jeden Cookie, Pixel und SDK, der für Quebec-Nutzer ausgelöst wird, und wohin deren Daten gelangen.
Schritt 2: Eine einwilligungsgesteuerte CMP einsetzen
Ihre CMP muss echtes Blockieren auf Script-Ebene unterstützen, nicht nur kosmetisches Schließen von Bannern. FlexyConsent und andere Google-zertifizierte CMPs bieten Quebec-spezifische Geo-Regeln, die die Logik von Gesetz 25 mit den breiteren Signalen von Consent Mode v2 und GPP auf nationaler US-Ebene kombinieren. Der vorkonfigurierte Quebec-Modus sollte alle nicht wesentlichen Kategorien standardmäßig deaktivieren.
Schritt 3: Einen Datenschutzbeauftragten benennen und veröffentlichen
Wenn Ihre Organisation keine kanadische Präsenz hat, ist Ihr CEO oder Äquivalent standardmäßig der Datenschutzbeauftragte, sofern Sie nicht formal schriftlich delegieren. Veröffentlichen Sie den Namen und die E-Mail-Adresse in Ihrem Datenschutzhinweis — die CAI überprüft dies bei der ersten Inspektion.
Schritt 4: Vor neuen Projekten eine PIA durchführen
Jeder neue Anbieter, jede neue grenzüberschreitende Übertragung, jede neue Tracking-Technologie erfordert eine dokumentierte PIA. Vorlagen-PIAs der CAI werden akzeptiert; Sie benötigen kein individuelles Rechtsgutachten für routinemäßige Analysen oder CDN-Verträge.
Schritt 5: Datenschutzhinweis aktualisieren
Quebec verlangt spezifische Offenlegungen: Kontaktdaten des Datenschutzbeauftragten, Kategorien der erhobenen personenbezogenen Daten, Aufbewahrungsfristen, Drittempfänger, Ziele grenzüberschreitender Übertragungen und Praktiken der automatisierten Entscheidungsfindung. Ein allgemeiner DSGVO-Hinweis erfüllt Gesetz 25 ohne wesentliche Ergänzungen fast nie.
Wie Quebecs Gesetz 25 mit PIPEDA interagiert und die Zukunft von Gesetz 25
PIPEDA, Kanadas föderales Datenschutzgesetz, gilt für kommerzielle Aktivitäten in ganz Kanada — aber Quebecs Gesetz 25 hat innerhalb von Quebec Vorrang, da die Provinz für Datenschutzzwecke im privaten Sektor als im Wesentlichen gleichwertig erklärt wurde. In der Praxis bedeutet dies, dass Quebec-Aktivitäten standardmäßig Gesetz 25 folgen und PIPEDA nur auf Aktivitäten anwendbar ist, die Provinzgrenzen überschreiten.
Kanada modernisiert PIPEDA auch durch den vorgeschlagenen Consumer Privacy Protection Act (CPPA). Wenn CPPA in seiner aktuellen Form verabschiedet wird, wird es das restliche Kanada dem Quebec-Modell annähern — ausdrückliche Einwilligung, bedeutungsvolle Strafen, ein bundesweiter Datenschutzbeauftragter mit Anordnungsbefugnis und Transparenz bei der automatisierten Entscheidungsfindung. Publisher, die ihren Stack heute auf Quebecs Gesetz 25 aufbauen, werden für die föderalen Änderungen von morgen gut positioniert sein.
Kurz gesagt: Quebecs Gesetz 25 ist keine provinzielle Kuriosität. Es ist die Vorlage für die Richtung, in die sich der kanadische Datenschutz entwickelt, und das aggressivste Datenschutzregime in Amerika. Publisher, Werbetreibende und SaaS-Anbieter, die kanadischen Traffic bedienen, sollten die Einhaltung von Gesetz 25 als Priorität für 2026 betrachten, nicht als künftiges Projekt.