Kanada gilt oft als datenschutzfreundlich, liberal und demokratisch. Doch mit dem neuen Gesetzentwurf C-2 – einem angeblichen „Grenzsicherheitsgesetz“ – plant das Land eine der umfassendsten digitalen Überwachungsmaßnahmen der westlichen Welt.
Die Auswirkungen betreffen dabei nicht nur kanadische Technologieunternehmen. Wenn Ihre Organisation digitale Dienste in Kanada anbietet – z. B. SaaS, Banking, Healthcare, Gastronomie oder Kommunikation – sind auch Sie wahrscheinlich betroffen.
Was wie eine reine Neufassung des Zollrechts aussieht, enthält im Detail weitreichende Bestimmungen: Gesetz C-2 zielt auf alle „elektronischen Dienstleistungsanbieter“ ab – eine Definition, die weiter geht als die GDPR, HIPAA oder der U.S. Cloud Act.
Rechtsprofessor Michael Geist bringt es auf den Punkt:
„Beamte bestätigten, dass auch Finanzinstitute, Hotels, Krankenhäuser und Ärzte unter das Gesetz fallen.“ – Michael Geist, Lawful Access on Steroids
Was das konkret bedeutet? Unternehmen könnten verpflichtet werden zu:
Nach Abschnitt 19 des Gesetzes kann eine „designierte Person“ jederzeit in Ihrem Büro erscheinen – ohne richterlichen Beschluss – und verlangen:
Unterlassung? Pro Verstoß und Tag sind bis zu 500.000 CAD Strafe möglich.
Noch brisanter: Behörden können präventiv anordnen, dass sich Unternehmen zukünftigem Fehlverhalten enthalten – selbst ohne konkreten Vorfall. Vertraulichkeit und Unschuldsvermutung werden de facto ausgehebelt.
Gesetz C-2 ermächtigt das kanadische Innenministerium, technische Anforderungen zu erzwingen:
Offiziell sollen „systemische Schwachstellen“ verboten sein – doch das Verbot bleibt unkonkret und ist laut Entwurf erst durch nachgelagerte Verordnungen zu definieren. Solange das nicht konkretisiert ist, bleibt der Spielraum für Übergriffigkeit groß.
Solche Maßnahmen können unbeabsichtigt dieselben Sicherheitslücken schaffen, wie sie etwa beim „Salt Typhoon“-Hack in den USA ausgenutzt wurden.
Bedenklich: Auch wenn Ihr Unternehmen nicht direkt betroffen ist, kann jedes kanadische Unternehmen in Ihrer Lieferkette durch C-2 zur Schwächung Ihrer eigenen Sicherheitsarchitektur gezwungen werden.
C-2 widerspricht fundamental mehreren Kernprinzipien der GDPR:
Die aktuelle Einstufung Kanadas als „angemessenes Drittland“ durch die EU-Kommission basiert auf bisherigen Datenschutzgesetzen – nicht auf C-2. Sollten die Regelungen in Kraft treten, droht der Verlust dieses Angemessenheitsstatus. Dies hätte weitreichende Folgen für DSGVO-konforme Datenübertragungen nach Kanada.
Hinzu kommt die Annäherung an den US CLOUD Act, gegen den der EuGH im „Schrems-II“-Urteil bereits eine klare Grenze gezogen hat.
Die CBSA (Canada Border Services Agency) ist das offizielle Gesicht des Entwurfs. Doch der Anwendungsbereich geht weit darüber hinaus. C-2 ist ein Schlüsselgesetz zur strukturellen digitalen Überwachung, versteckt in einem vermeintlich administrativen Grenzgesetz.
Keine öffentliche Debatte. Keine juristische Beschränkung. Kein klarer Einspruchsweg. Das ist eine Entwicklung, die jedem Anlass zur Sorge geben sollte – nicht nur in Kanada.
Wenn Sie in irgendeiner Weise mit kanadischen Systemen, Cloud-Anbietern oder Dienstleistern verbunden sind:
Gesetz C-2 ist mehr als ein Fall kanadischer Innenpolitik. Es ist ein Lackmustest dafür, ob westliche Demokratien digitale Souveränität ernst nehmen – oder staatliche Allmachtsideen in Gesetzesform gießen.
Auch wenn das Gesetz hausintern juristisch angefochten wird: Wenn es kommt, droht eine fundamentale Verschiebung. Nicht nur im Umgang mit Verschlüsselung und Infrastruktur. Sondern im Wert, den wir datenschutzkonformen Prozessen zuschreiben.
Datenschutz & digitale Rechte brauchen Klarheit, Kontrolle und Transparenz. Gesetz C-2 hingegen schafft Unsicherheit, Zugriff ohne Legitimation und entzieht Unternehmen die Sicherheit, ihre Systeme gegenüber dem Staat strategisch abzusichern.
Wenn Datenschutz international koordiniert sein soll, muss solche Gesetzgebung klar benannt und systematisch zurückgedrängt werden – im Interesse aller Nutzer: innen weltweit.