Ihr Metadaten können unter dem Gesetz zur rechtmäßigen Zugangserlaubnis bis zu einem Jahr gespeichert werden – Das sollten Sie wissen
Das vorgeschlagene Gesetz der Bundesregierung zur rechtmäßigen Zugangserlaubnis sorgt für Besorgnis wegen der möglichen langen Speicherung von Metadaten kanadischer Bürger, auf die dann Strafverfolgungsbehörden zugreifen könnten. Datenschutzexperten warnen vor einem riskanten und „beispiellosen“ Vorgehen.
Die Bedenken gegenüber dem Gesetz haben bereits mehrere Dienstanbieter, darunter VPN-Anbieter, veranlasst, Kanada zu verlassen, statt den umstrittenen Vorschriften zuzustimmen, die Ermittlern den Zugang zu unternehmensinternen Daten ermöglichen sollen.
Im Gesetzentwurf C-22 ist eine neue Regelung enthalten, die der Regierung erlaubt, Vorschriften für „zentrale“ Telekommunikationsanbieter zu erlassen, um bestimmte Arten von Metadaten – darunter Übertragungs- und Standortdaten – „für angemessene Zeiträume von bis zu einem Jahr“ zu speichern.
Das Gesetz würde zudem dem Minister für öffentliche Sicherheit erlauben, andere elektronische Dienstanbieter zur Einhaltung dieser Vorschriften zu verpflichten, vorbehaltlich der Zustimmung des Bundesgeheimdienst-Kommissars, im Rahmen von Ermittlungen zu Straftaten oder zur nationalen Sicherheit.
Während Regierungsvertreter betonen, dass die gesammelten Daten keine tatsächlichen Online-Inhalte wie Suchverläufe oder E-Mails umfassen und dass Metadaten nur mit richterlichem Beschluss von Ermittlern eingesehen werden dürfen, warnen Experten, dass allein die Speicherungspraxis problematisch ist.
„Die Regierung baut diesen riesigen Datenhaufen auf in der Hoffnung, gelegentlich die Nadel darin zu finden“, erklärte Michael Geist, Professor an der Universität Ottawa und Canada Research Chair für Internet- und E-Commerce-Recht.
„Dabei entstehen enorme Datenschutzrisiken für die Kanadier.“
Metadaten werden allgemein als „Daten über Daten“ definiert, oder wie Geist sagt, „die Informationen rund um“ eine Online-Kommunikation, nicht deren eigentlicher Inhalt.
Dazu gehören Zeitpunkte, Orte, von denen Nachrichten gesendet wurden, IP-Adressen, die für die Übertragung genutzt wurden, sowie allgemeine Identifikatoren wie Namen von Absendern und Empfängern und die Art der Datei oder Nachricht.
Auch werden Tracking- und Übertragungsdaten erfasst, die entstehen, wenn ein Mobiltelefon sich mit einem Sendemast verbindet – was laut Geist „ständig geschieht“, da die meisten Handys auch im Ruhezustand eingeschaltet bleiben.
„Wann immer Sie kommunizieren, welches Gerät Sie verwenden, wo Sie sich befanden und wann die Kommunikation stattfand – all das sind Metadaten,“ erläuterte er.
Robert Diab, Rechtsprofessor an der Thompson Rivers University in Kamloops, B.C., der sich auf Online-Datenschutz spezialisiert hat, betonte, dass Gerichte seit Jahrzehnten anerkennen, dass „das Mosaik an Informationen, das man durch Metadaten zusammensetzt, viel über das Leben einer Person verraten kann.“
„Was sie tun, wohin sie sich bewegen, mit wem sie kommunizieren – all das verbindet Sie mit Menschen und Orten in der Zeit und erlaubt zahlreiche Rückschlüsse auf eine Person.“
Beide Experten wiesen darauf hin, dass die Metadatenregelung „still und heimlich“ in den Gesetzentwurf C-22 aufgenommen wurde, der den Abschnitt über rechtmäßigen Zugang aus dem umfassenderen Gesetzentwurf C-2 herausnahm und aktualisierte, nachdem dieser weitreichende Datenschutzbedenken ausgelöst hatte.
Polizei- und Geheimdienstvertreter erklärten im Zusammenhang mit C-22, dass Metadaten für Ermittler nützlich sein können, z. B. um einen Entführungsverdächtigen mit mehreren Orten zu verbinden, an denen ein Opfer sein könnte.
Richard Burchill, Direktor für technische Ermittlungsdienste bei der RCMP, berichtete diesem Monat vor dem Sicherheitsausschuss des Unterhauses, dass insbesondere Internetübertragungsdaten und Mobilfunk-Sendemastdaten von Interesse seien.
Die einjährige Speicherfrist diene dazu, einen „einheitlichen“ Standard für die Datenspeicherung großer Telekommunikationsanbieter zu schaffen, auf den Ermittler sich verlassen können.
„Wenn ein Anbieter die Daten nur drei Tage speichert, aber die Entführungsuntersuchung eine Woche dauert, sind die Daten weg, egal ob eine richterliche Genehmigung vorliegt oder nicht – während andere Anbieter die Daten noch verfügbar haben,“ erläuterte er.
Die liberale Abgeordnete Sima Acan merkte bei derselben Anhörung an, dass historische Metadaten „entscheidend sein können, um Zeitabläufe und Verbindungen zu rekonstruieren, die nicht sofort offensichtlich sind“, besonders wenn Straftaten erst lange nach ihrer Begehung gemeldet werden.
Regierungsvertreter erklärten dem Ausschuss, dass die genauen Vorschriften darüber, welche Metadaten gespeichert werden müssen und wie lange – sowie die Definition eines „zentralen“ Anbieters – erst nach Inkrafttreten des Gesetzes in Zusammenarbeit mit Strafverfolgungsbehörden, Sicherheitsdiensten und der Telekommunikationsbranche erarbeitet werden.
Diese Vorschriften können dann bei Bedarf geändert werden, ohne dass ein neues Gesetz notwendig ist.
„Da sich die Technologie schnell ändert und Begriffe bald veraltet sein könnten, würde das Gesetz sonst wirkungslos,“ erklärte Shannon Hiegel, Generaldirektorin für nationale Sicherheitspolitik bei Public Safety Canada.
Simon Lafortune, Sprecher des Ministers für öffentliche Sicherheit Gary Anandasangaree, sagte gegenüber Global News, dass das Gesetz „nur begrenzte Speicherpflichten für Metadaten vorsieht“ und „keine Speicherung von Inhalten, Surfverläufen oder Aktivitäten in sozialen Medien erlaubt.“
Einige Polizeichefs fordern jedoch eine noch umfangreichere und längere Speicherung, obwohl Regierungsvertreter betonten, dass aktuell keine Ausweitung der Befugnisse über C-22 hinaus geplant sei.
Der Polizeichef von Thunder Bay, Darcy Fleury, bezeichnete die einjährige Speicherfrist bei einer separaten Anhörung als „guten Anfang“, erklärte aber, zwei oder sogar drei Jahre wären „ideal“.
Diab wies darauf hin, dass nach geltendem kanadischem Recht die Polizei bereits einen richterlichen Beschluss benötigt, um einen Telekommunikationsanbieter zu veranlassen, Metadaten einer bestimmten Person nur für eine begrenzte Zeit wie einen Monat oder 90 Tage zu speichern.
„Der Grund für diese Regelung ist, dass das Anlegen eines solchen Datensatzes bereits einen Eingriff in die Privatsphäre darstellt,“ erläuterte er.
„Hier hingegen weist der Minister Telus an, die Daten ein Jahr lang aufzubewahren. Wenn ein Dritter angewiesen wird, Kommunikationsdaten eines Bürgers zu speichern, ist das eine Form der Überwachung. Die Bewegungen und Kommunikationen einer Person werden beobachtbar, und das ist entscheidend.“
Er ergänzte, dass das Gesetz in seiner aktuellen Form möglicherweise vor Gericht angefochten werden könnte, da es gegen Abschnitt 8 der Charta der Rechte und Freiheiten verstoßen könnte, der Kanadier vor „unverhältnismäßigen Durchsuchungen oder Beschlagnahmungen“ schützt.
Die Metadatenspeicherpflicht wird im Charta-Statement der Regierung zum Gesetzentwurf nicht erwähnt, das darlegt, wie das Gesetz mit den Charta-Rechten vereinbar ist.
Ein Sprecher des Justizministeriums sagte gegenüber Global News, dies liege daran, dass die Vorschrift „selbst keine Speicherungspflicht einführt, sondern lediglich die Befugnis zur Verordnungserlassung schafft.“
„Jede künftige Verordnung müsste mit der Charta, einschließlich Abschnitt 8, vereinbar sein und wäre Gegenstand eines separaten Charta-Statements sowie weiterer Schutzmaßnahmen,“ erklärte Ian McLeod.
Hiegel erklärte vor dem Unterhausausschuss, dass die Speicherung von Daten durch ein Unternehmen nicht als „Beschlagnahme“ im Sinne der Charta gelte, da erst mit einem richterlichen Beschluss eine Herausgabe angeordnet werde.
Experten wiesen zudem darauf hin, dass die umfangreiche Datenspeicherung auch Sicherheitsrisiken birgt, insbesondere wenn Hacker die durch C-22 geschaffenen Zugangsregelungen für Strafverfolger ausnutzen – eine Hintertür in Online-Plattformen, die Kritiker monieren und die die Regierung zurückweist.
Regierung und Polizeichefs betonen immer wieder, dass Kanada im Vergleich zu seinen Five Eyes- und G7-Partnern mit bereits bestehenden Zugangsrechten hinterherhinke.
Diese Länder unterscheiden sich jedoch in ihren Metadatenspeicherpflichten.
Während Australien eine Speicherung von bis zu zwei Jahren vorschreibt, gibt es in den USA keine gesetzlich festgelegte Speicherfrist, und dort wurden solche Befugnisse in den letzten Jahren eher eingeschränkt.
Auch die Europäische Union hat keine einheitliche Speicherfrist, und einige Mitgliedsländer mit eigenen Zugangsregelungen, wie Deutschland, hatten ihre Metadatenspeicherpflichten gerichtlich als verfassungswidrig aufgehoben bekommen.
„Wir haben Wahlmöglichkeiten und sind nicht gezwungen, diese Änderungen vorzunehmen,“ betonte Geist.
Diab wies darauf hin, dass diese Unterschiede verdeutlichen, wie schwer es Regierungen fällt, die breite Speicherung von Daten der Öffentlichkeit zu vermitteln.
„Wie würden Sie sich fühlen, wenn die Regierung Telus, Freedom oder Fido anweist, ein Jahr lang aufzuzeichnen, wann und wo Sie Anrufe tätigen oder Ihr Handy nutzen – mit möglicher Strafverfolgungsabsicht?“ fragte er. „Würden Sie sich überwacht fühlen? Würden Sie eine Beeinträchtigung Ihrer Privatsphäre spüren?
„Die meisten vernünftigen Kanadier würden antworten: Ja, das fühlt sich schon irgendwie unheimlich an. Ich möchte nicht, dass das passiert.“
