Kanadas C-2-Gesetz: Neue Bedrohung für Datenschutz und digitale Souveränität

Kanada gilt oft als datenschutzfreundlich, liberal und demokratisch. Doch mit dem neuen Gesetzentwurf C-2 – einem angeblichen „Grenzsicherheitsgesetz“ – plant das Land eine der umfassendsten digitalen Überwachungsmaßnahmen der westlichen Welt.

Die Auswirkungen betreffen dabei nicht nur kanadische Technologieunternehmen. Wenn Ihre Organisation digitale Dienste in Kanada anbietet – z. B. SaaS, Banking, Healthcare, Gastronomie oder Kommunikation – sind auch Sie wahrscheinlich betroffen.

Nicht nur ein Telekommunikationsgesetz. Nicht nur ein kanadisches Thema.

Was wie eine reine Neufassung des Zollrechts aussieht, enthält im Detail weitreichende Bestimmungen: Gesetz C-2 zielt auf alle „elektronischen Dienstleistungsanbieter“ ab – eine Definition, die weiter geht als die GDPR, HIPAA oder der U.S. Cloud Act.

Rechtsprofessor Michael Geist bringt es auf den Punkt:

„Beamte bestätigten, dass auch Finanzinstitute, Hotels, Krankenhäuser und Ärzte unter das Gesetz fallen.“ – Michael Geist, Lawful Access on Steroids

Was das konkret bedeutet? Unternehmen könnten verpflichtet werden zu:

• Herausgabe sensibler Kundendaten auf Anfrage
• Durchführung & Offenlegung interner Audits
• Echtzeit-Zugang der Regierung zu Systemen inkl. Scan, Kopie & Datenmitnahme
• Befolgung technischer Anordnungen – ohne Gericht, ohne Haftbefehl, ohne Begrenzung

Keine richterliche Kontrolle. Keine Begrenzung. Keine Transparenz.

Nach Abschnitt 19 des Gesetzes kann eine „designierte Person“ jederzeit in Ihrem Büro erscheinen – ohne richterlichen Beschluss – und verlangen:

• Zugang zu IT-Systemen, Cloud-Diensten und Logs
• Unterstützung durch Personal, ggf. mit Zwangsmitteln
• Verpflichtung zur Verschwiegenheit über den Vorgang – für ein gesamtes Jahr

Unterlassung? Pro Verstoß und Tag sind bis zu 500.000 CAD Strafe möglich.

Noch brisanter: Behörden können präventiv anordnen, dass sich Unternehmen zukünftigem Fehlverhalten enthalten – selbst ohne konkreten Vorfall. Vertraulichkeit und Unschuldsvermutung werden de facto ausgehebelt.

Technische Einflussnahme durch den Staat

Gesetz C-2 ermächtigt das kanadische Innenministerium, technische Anforderungen zu erzwingen:

• Verlagerung von Infrastruktur in Kanada
• Sicherheits-Freigaben für ausländische Mitarbeitende
• Deaktivierung von Ende-zu-Ende-Verschlüsselung

Offiziell sollen „systemische Schwachstellen“ verboten sein – doch das Verbot bleibt unkonkret und ist laut Entwurf erst durch nachgelagerte Verordnungen zu definieren. Solange das nicht konkretisiert ist, bleibt der Spielraum für Übergriffigkeit groß.

Solche Maßnahmen können unbeabsichtigt dieselben Sicherheitslücken schaffen, wie sie etwa beim „Salt Typhoon“-Hack in den USA ausgenutzt wurden.

Bedenklich: Auch wenn Ihr Unternehmen nicht direkt betroffen ist, kann jedes kanadische Unternehmen in Ihrer Lieferkette durch C-2 zur Schwächung Ihrer eigenen Sicherheitsarchitektur gezwungen werden.

Kanadas DSGVO-Angemessenheit in Gefahr

C-2 widerspricht fundamental mehreren Kernprinzipien der GDPR:

• Datenminimierung
• Zweckbindung
• Integrität & Vertraulichkeit bei der Verarbeitung
• Risiko-basierte Zugriffskontrolle auf personenbezogene Daten

Die aktuelle Einstufung Kanadas als „angemessenes Drittland“ durch die EU-Kommission basiert auf bisherigen Datenschutzgesetzen – nicht auf C-2. Sollten die Regelungen in Kraft treten, droht der Verlust dieses Angemessenheitsstatus. Dies hätte weitreichende Folgen für DSGVO-konforme Datenübertragungen nach Kanada.

Hinzu kommt die Annäherung an den US CLOUD Act, gegen den der EuGH im „Schrems-II“-Urteil bereits eine klare Grenze gezogen hat.

Ein trojanisches Gesetz – unter dem Deckmantel der Grenzsicherheit

Die CBSA (Canada Border Services Agency) ist das offizielle Gesicht des Entwurfs. Doch der Anwendungsbereich geht weit darüber hinaus. C-2 ist ein Schlüsselgesetz zur strukturellen digitalen Überwachung, versteckt in einem vermeintlich administrativen Grenzgesetz.

Keine öffentliche Debatte. Keine juristische Beschränkung. Kein klarer Einspruchsweg. Das ist eine Entwicklung, die jedem Anlass zur Sorge geben sollte – nicht nur in Kanada.

Empfehlungen für europäische Unternehmen, Behörden und CISOs

Wenn Sie in irgendeiner Weise mit kanadischen Systemen, Cloud-Anbietern oder Dienstleistern verbunden sind:

• Prüfen Sie, ob Infrastruktur, Daten oder Partnerschaften in den Geltungsbereich von C-2 fallen
• Bewerten Sie Folgen für SCCs, TIA (Transfer Impact Assessments) & Intercompany-Verträge
• Klären Sie mit Datenschutzbeauftragten & Rechtsteam, ob eine DSGVO-Vereinbarkeit überhaupt realistisch bleibt
• Melden Sie regulatorische Risiken frühzeitig in Verbandsgremien & Initiativen zur digitalen Souveränität

Ein Prüfstein für globale Datenschutzstandards

Gesetz C-2 ist mehr als ein Fall kanadischer Innenpolitik. Es ist ein Lackmustest dafür, ob westliche Demokratien digitale Souveränität ernst nehmen – oder staatliche Allmachtsideen in Gesetzesform gießen.

Auch wenn das Gesetz hausintern juristisch angefochten wird: Wenn es kommt, droht eine fundamentale Verschiebung. Nicht nur im Umgang mit Verschlüsselung und Infrastruktur. Sondern im Wert, den wir datenschutzkonformen Prozessen zuschreiben.

Fazit: Souveränität endet nicht an der Landesgrenze – sie beginnt in der Architektur

Datenschutz & digitale Rechte brauchen Klarheit, Kontrolle und Transparenz. Gesetz C-2 hingegen schafft Unsicherheit, Zugriff ohne Legitimation und entzieht Unternehmen die Sicherheit, ihre Systeme gegenüber dem Staat strategisch abzusichern.

Wenn Datenschutz international koordiniert sein soll, muss solche Gesetzgebung klar benannt und systematisch zurückgedrängt werden – im Interesse aller Nutzer: innen weltweit.