Wenn Sie glauben, dass Kanada ein die Privatsphäre respektierendes, sanftmütiges Mitglied der globalen demokratischen Ordnung ist, sollten Sie das vielleicht noch einmal überdenken, zumindest wenn es um die digitale Souveränität geht. Mit dem Gesetzentwurf C-2, einem sogenannten "Grenzsicherheitsgesetz", das sich durch das Parlament schlängelt, bereitet sich Kanada darauf vor, eines der umfassendsten digitalen Überwachungssysteme der demokratischen Welt einzuführen.
Und es sind nicht nur kanadische Technologie- oder Telekommunikationsunternehmen, die im Fadenkreuz stehen. Dieses Gesetz hat direkte Auswirkungen auf alle Unternehmen, die digitale Dienste anbieten. Dazu gehören SaaS-Anbieter, Banken, Gesundheitsdienstleister, Hotels und Restaurants.
Auf den ersten Blick sieht der Gesetzentwurf C-2 wie eine Modernisierung der kanadischen Zoll- und Grenzschutzgesetze aus. Doch im Kleingedruckten findet sich ein umfangreiches Paket von Bestimmungen, die auf alle "elektronischen Dienstleistungsanbieter" abzielen - ein Begriff, der so weit gefasst ist, dass er die Definitionen der Datenschutzgrundverordnung (GDPR) alt aussehen lässt.
Laut dem Experten für digitales Recht Michael Geist:
"Beamte des Justizministeriums ... räumten ein, dass der Gesetzentwurf C-2 weit über Telekommunikationsunternehmen hinausgeht und auch Dienstleistungen wie Finanzinstitute, Autovermietungen und Hotels umfasst. Auf die Frage nach Krankenhäusern, Ärzten und anderen Fachleuten des Gesundheitswesens bestätigten die Beamten, dass auch sie davon betroffen sind."
Michael Geist, Lawful Access on Steroids
Übersetzung: Wenn Ihr Unternehmen irgendeine Art von digitalem Service in Kanada anbietet, könnten Sie dazu gezwungen werden:
Kundendaten herauszugeben.
Interne Audits durchzuführen und die Ergebnisse an die kanadische Regierung zu übermitteln.
Echtzeit-Inspektionen Ihrer Systeme zuzulassen, einschließlich Kopieren, Scannen und Beschlagnahme von Daten.
Technische Anordnungen von "designierten Personen" ohne richterliche Aufsicht zu befolgen.
Der Anwendungsbereich von C-2 ist enorm, mit sehr wenig bis gar keiner Aufsicht und Transparenz.
Nach Abschnitt 19 kann eine "benannte Person" in Ihrem Büro auftauchen (irgendwo, wo es sich nicht um eine Wohnung handelt) und Zugang zu Ihren Systemen verlangen. Sie kann Ihre Daten untersuchen, Kopien anfertigen oder sie ganz entfernen. Sie kann Mitarbeiter zur Mithilfe zwingen. Sie können externe "Helfer" hinzuziehen. Und das alles können sie ohne Durchsuchungsbefehl tun.
Sie weigern sich, dem nachzukommen? Sie können mit einer Geldstrafe von bis zu 500.000 CAD pro Tag und Verstoß belegt werden.
Noch beunruhigender ist, dass dieselben Regierungsbeamten Sie zur Einhaltung der Vorschriften verpflichten können, wenn sie glauben, dass Sie in Zukunft gegen die Regeln verstoßen werden. Das ist eine Überwachung im Vorfeld von Straftaten mit administrativer Durchsetzung.
Der Gesetzentwurf schafft auch einen rechtlichen Schutzraum für Unternehmen, die Informationen über Kunden oder Abonnenten freiwillig weitergeben und damit den Strafverfolgungsbehörden oder anderen staatlichen Stellen das Recht einräumen, diese Daten frei zu nutzen. Die düstere Sichtweise ist, dass die Androhung potenziell störender Forderungen dazu verwendet werden könnte, eine stille und verdeckte Einhaltung zu erzwingen.
Es scheint keine Begrenzung für die Anzahl solcher Anfragen zu geben. Darüber hinaus würde der Gesetzentwurf es ermöglichen, dass ein solcher Beamter Sie dazu zwingen kann, ein Jahr lang Stillschweigen darüber zu bewahren.
Einspruchsrecht? Sie können den Minister bitten, die Entscheidung zu überdenken. Das war's.
Gesetzentwurf C-2 gibt dem Minister und seinen Beauftragten auch die Befugnis vorzuschreiben, wo sich Ihre Infrastruktur befindet, wer daran arbeiten darf und welche Verschlüsselungskontrollen Sie verwenden.
Ja, es scheint so weitreichend zu sein.
Wollen Sie ein Datenzentrum außerhalb Kanadas betreiben? Man könnte Ihnen sagen, Sie sollen es verlegen. Wollen Sie einen Ingenieur in Berlin einstellen? Sie benötigen möglicherweise eine Sicherheitsfreigabe der kanadischen Regierung. Sie verwenden eine Ende-zu-Ende-Verschlüsselung? Sie könnten gezwungen werden, diese zu schwächen. Der Grund dafür ist, dass technische Anordnungen von einem Internetdienstanbieter verlangen können, dass er alle Aktivitäten, die als nicht konform angesehen werden, einstellt oder ändert und "alle erforderlichen Maßnahmen" ergreift, um den technischen Anordnungen nachzukommen.
Der Gesetzentwurf verbietet zwar, dass Unternehmen Anfragen nachkommen müssen, die "systemische Schwachstellen" schaffen würden, doch im Gegensatz zu ähnlichen Formulierungen im australischen TOLA-Gesetz (Telecommunications and Other Legislation Amendment) von 2018 bleibt dieses Verbot im Wesentlichen unbestimmt und soll erst durch eine künftige Verordnung gelöst werden. Das Versprechen, keine gefährlichen System-Hintertüren zu erzwingen, hat also in dem Gesetzentwurf in seiner jetzigen Form kein wirkliches Gewicht.
Leider wird dies wahrscheinlich die Art von Schwachstellen für die nationale Sicherheit schaffen, die dazu geführt haben, dass der US-Telekommunikationssektor durch die Salt-Typhoon-Attacke gehackt wurde.
Denken Sie daran, dass dies nicht nur für den Telekommunikationssektor gilt. Wenn Sie mit einem kanadischen Unternehmen als Teil Ihrer Lieferkette Geschäfte machen, könnte dieses Unternehmen gezwungen sein, systemische Schwachstellen zu schaffen (vor allem, wenn spätere Vorschriften diese Schwachstellen unzureichend definieren), mit denen Sie dann leben müssen.
Darüber hinaus gibt es keinen Schutz für Organisationen, die Schwachstellen, Risiken, Datenschutz- oder Sicherheitsbedenken melden wollen, die durch von der Regierung angeordnete Änderungen entstanden sind. Das bedeutet für alle weniger Sicherheit.
Wenn Sie in der EU ansässig sind, ist C-2 ein Warnsignal, weil es den Grundsätzen der GDPR widerspricht:
Datenminimierung
Zweckbindung
Internationale Datenübermittlung
Sicherheit und Integrität der Verarbeitung
Während die aktuellen kanadischen Datenschutzgesetze als angemessen für die DSGVO gelten, führt C-2 ein erhebliches Maß an rechtlicher Unklarheit für Datenverarbeiter und für die Verarbeitung Verantwortliche ein und untergräbt den "Privacy-by-default"-Grundsatz, wodurch der Angemessenheitsstatus Kanadas unter der DSGVO potenziell ungültig wird.
Darüber hinaus wird dieser Gesetzentwurf als Grundlage für eine Angleichung Kanadas an den U.S. Cloud Act angesehen, der ein Gräuel für die GDPR und die EU-Datenschutzgesetze im Allgemeinen darstellt.
Dies alles geschieht unter dem Deckmantel der Grenzsicherheit. Die CBSA (Canada Border Services Agency) ist das öffentliche Gesicht des Gesetzes. Aber täuschen Sie sich nicht: Der Umfang der darin versteckten Änderungen läuft auf ein Allzweckgesetz zur digitalen Überwachung hinaus.
Wenn Sie schon einmal erlebt haben, wie eine Regierung in einer Krise weitreichende Befugnisse erteilt hat, um sie dann für immer zu behalten, kommt Ihnen das vielleicht bekannt vor. Und in diesem Fall wird versucht, diese Maßnahmen ohne öffentliche Debatte in Kraft zu setzen, indem sie in einem "Grenzgesetz" versteckt werden.
Wenn Sie digitale Dienste in Kanada anbieten, kanadische Lösungen in Ihrer digitalen Lieferkette nutzen oder mit kanadischen Kunden zusammenarbeiten, lohnt es sich, sich mit der Anwendung von C-2 auf Ihr Unternehmen zu befassen:
Identifizieren Sie Dienstleistungen, Infrastruktur oder Anbieter, die unter kanadische Rechtsprechung fallen.
Überprüfen Sie Datenübertragungsvereinbarungen, insbesondere SCCs und auf Angemessenheit basierende Mechanismen.
Sprechen Sie mit der Rechtsabteilung: Ihr behördlicher Datenschutzbeauftragter und Ihr Anwalt für den Datenschutz müssen beurteilen, ob die Einhaltung von Bill C-2 überhaupt mit der Datenschutz-Grundverordnung vereinbar ist.
Lösen Sie den Alarm aus: Setzen Sie sich mit Branchengruppen und politischen Entscheidungsträgern auseinander, bevor dies zur neuen Normalität wird.
Der Gesetzentwurf C-2 ist das jüngste Beispiel dafür, wie kaputt viele westliche Regierungen ihre Digitalpolitik machen: versteckte Bestimmungen, unbegrenzte Befugnisse, keine Kontrollen und wenig bis keine Rechenschaftspflicht.
Natürlich verstößt C-2 gegen langjährige Präzedenzfälle im kanadischen Datenschutzrecht und wird sicherlich rechtlich angefochten werden. Nichtsdestotrotz ist die Tatsache, dass diese weitreichenden Befugnisse überhaupt vorgeschlagen werden, ein beunruhigendes Zeichen der Zeit.
Bei der Datensouveränität geht es nicht nur darum, wo Ihre Server stehen. Es geht auch darum, ob die Rechte Ihrer Nutzer das nächste Schlupfloch der "nationalen Sicherheit" überleben.
In seiner jetzigen Fassung würde C-2 einen schweren Schlag ins Herz der digitalen Privatsphäre bedeuten.