Signal und DuckDuckGo erwägen Kanada-Ausstieg wegen Gesetz zu gesetzlichem Zugriff

Immer mehr Technologieunternehmen und Internetdienstleister warnen, dass sie ihre Dienste in Kanada einstellen könnten, sollte die vorgeschlagene Gesetzgebung zum gesetzlich erlaubten Zugriff der Bundesregierung umgesetzt werden. Sie befürchten, dass dadurch die Privatsphäre der Nutzer gefährdet wird.

Die verschlüsselte private Messaging-App Signal gehört zu den bekanntesten Plattformen, die mit einem Rückzug drohen und sich gegen das Gesetz Bill C-22 aussprechen. Dieses würde es ermöglichen, Anbieter zu verpflichten, bestimmte Metadaten bis zu einem Jahr zu speichern und Funktionen in ihren Systemen zu entwickeln, damit Polizei und der kanadische Nachrichtendienst auf diese Informationen für Ermittlungen zugreifen können.

„In der jetzigen Form würde Bill C-22 die alltäglichen Werkzeuge, auf die Kanadier vertrauen, in ein großflächiges, unsicheres Überwachungsinstrument verwandeln“, sagte Udbhav Tiwari, Vizepräsident für Strategie und globale Angelegenheiten bei Signal, am Dienstag vor dem öffentlichen Sicherheitsausschuss des Unterhauses.

„Sollten wir jemals vor der Wahl stehen, entweder die Menschen, die auf uns vertrauen, zu verraten oder den Markt zu verlassen, würden wir uns für den Rückzug entscheiden.“

Signal sowie einige der weltweit größten und einflussreichsten Technologieunternehmen wie Apple und Google warnen, dass das Gesetz sie verpflichten könnte, Systeme zu implementieren oder beizubehalten, die Verschlüsselung aufbrechen oder schwächen – also „Hintertüren“ in ihre Produkte einzubauen.

Solche Hintertüren könnten von Cyberkriminellen ausgenutzt werden und die gespeicherten Metadaten einem hohen Risiko von Datenlecks aussetzen.

„Das Gesetz versucht de facto, sich in die Netzwerke und Geräte verschiedener Anbieter einzuschleusen“, erklärte Michael Geist, Professor an der Universität Ottawa und Forschungsleiter für Internet- und E-Commerce-Recht, gegenüber Global News.

„Viele Anbieter sorgen sich, weil sie Verpflichtungen gegenüber ihren Kunden haben. Sie möchten grundlegende Sicherheitsstandards einhalten, etwa Verschlüsselung einsetzen, und ihren Nutzern Datenschutz garantieren. Das wird erschwert, wenn die Regierung sich in diese Systeme einmischt.“

Das Gesetz sieht vor, dass bestimmte „Kernanbieter“ – vermutlich große Telekommunikations- und Satellitenanbieter – verpflichtet werden, spezielle Zugriffsrechte für Strafverfolgungsbehörden zu schaffen.

Zusätzlich kann der Minister für öffentliche Sicherheit per Ministererlass auch von anderen Anbietern verlangen, eine bestimmte Funktion zu entwickeln, selbst wenn diese nicht als Kernanbieter gelten. Anbieter dürfen weder das Bestehen noch den Inhalt eines solchen Erlasses offenlegen, der nur von der Geheimdienstkommission genehmigt werden muss – ein Richtervorbehalt ist nicht vorgesehen.

Geist wies darauf hin, dass die Einhaltung der Vorschriften und Ministererlasse für Unternehmen mit erheblichen Mehrkosten verbunden sein könnte, etwa für Systemanpassungen und zusätzlichen Speicherplatz für Metadaten, was sich letztlich in höheren Preisen für Kunden niederschlagen könnte.

Der große VPN-Anbieter NordVPN erklärte im vergangenen Monat auf der Plattform X, dass er seine Datenschutz- und Verschlüsselungsschutzmaßnahmen nicht aufgeben werde, falls Bill C-22 in der jetzigen Form verabschiedet wird.

„Um dies zu verhindern, prüfen wir alle Optionen, einschließlich einer möglichen Einschränkung oder, falls nötig, einem Rückzug aus der kanadischen Gerichtsbarkeit“, schrieb das Unternehmen.

Dieser Beitrag reagierte auf eine Äußerung von Windscribe, einem kanadischen VPN-Anbieter, der auf X ebenfalls ankündigte, „nicht weit hinter“ Firmen wie Signal zurückzubleiben, die wegen des Gesetzes mit einem Rückzug aus Kanada drohen.

„Wir zahlen der korrupten Regierung enorme Steuern, und im Gegenzug wollen sie das Fundament unseres Dienstes zerstören, um ihre Bürger auszuspionieren“, schrieb Windscribe auf X. „Das wird nicht passieren. Wir verlegen unseren Hauptsitz und zahlen unsere Steuern anderswo.“

Ein Sprecher von DuckDuckGo, einer auf Privatsphäre fokussierten Webbrowser-Plattform, bestätigte gegenüber Global News per E-Mail, dass das Unternehmen seinen VPN-Dienst aus Kanada zurückziehen würde, falls die Gesetzgebung durchkommt.

Avery Pennerun, CEO des in Toronto ansässigen VPN-Anbieters Tailscale, sagte im Podcast Law Bytes von Geist am Montag, dass das Unternehmen „überlegen müsse, was für seine Kunden akzeptabel ist“, sollte das Gesetz in der aktuellen Fassung verabschiedet werden. Dies könnte auch Auswirkungen auf internationale Geschäfte in Ländern ohne vergleichbare Vorschriften haben.

„Wir müssten Wege finden, wie unsere europäischen Kunden nicht von kanadischen Mitarbeitern oder Hosting-Diensten betreut werden“, erklärte er. „Dadurch entgingen Kanada erhebliche Umsätze, die andernorts generiert würden, und auch die Gewinne würden ins Ausland fließen.“

Alle genannten Unternehmen sowie Tiwari von Signal betonten in seiner Aussage am Dienstag, dass sie keine regelmäßigen Protokolle von Nutzermetadaten wie IP-Adressen oder Standortdaten führen.

In einer Anhörung des öffentlichen Sicherheitsausschusses letzte Woche warnten Führungskräfte von Apple und Google davor, dass das Gesetz sie zwingen könnte, ihre Verschlüsselungsschutzmaßnahmen aufzugeben.

Apple hatte im vergangenen Jahr seinen Cloud-basierten Datenverschlüsselungsdienst im Vereinigten Königreich eingestellt, nachdem britische Behörden einen gesetzlichen Zugriffsbefehl erlassen hatten.

Erik Neuenchwander, Apples Senior Director für Nutzerdatenschutz und Kindersicherheit, wollte auf Nachfrage nicht sagen, ob ein ähnlicher Schritt auch in Kanada geplant sei oder ob Apple den Rückzug aus dem Land erwäge.

Jeanette Patell, Leiterin für Regierungsangelegenheiten und öffentliche Politik bei Google Kanada, äußerte sich ebenfalls nicht konkret zur Reaktion des Unternehmens, wies jedoch darauf hin, dass das Gesetz Google dazu zwingen könnte, seine bisherige Praxis zu ändern und Strafverfolgungsbehörden den Zugriff auf Ende-zu-Ende-Verschlüsselung zu gewähren.

Meta – das bereits kanadische Nachrichteninhalte auf Facebook und Instagram blockiert hat, um sich gegen eine Gesetzgebung zu wehren, die Tech-Unternehmen zur Entschädigung von Verlagen verpflichtet – hat das Gesetz ebenfalls kritisiert.

„Wie formuliert, könnte das Gesetz Unternehmen wie Meta verpflichten, Funktionen einzubauen oder zu erhalten, die Verschlüsselung oder andere Zero-Knowledge-Sicherheitsarchitekturen schwächen oder umgehen, und Anbieter dazu zwingen, staatliche Spionagesoftware direkt auf ihren Systemen zu installieren“, sagte Rachel Curran, Direktorin für öffentliche Politik von Meta in Kanada, dem Ausschuss im vergangenen Monat.

Alle drei Unternehmen betonen, dass das Gesetz zwar vorgibt, Risiken für Verschlüsselung zu begrenzen, indem es Anbietern erlaubt, Forderungen anzufechten, die eine „systemische Schwachstelle“ schaffen würden. Doch die Definition dieser Schwachstelle sei zu weit gefasst.

„Begriffe wie ‚Verschlüsselung‘ werden erst in der Verordnung definiert, während Ministererlasse diese Verordnungen außer Kraft setzen können“, erläuterte Curran. „Zudem fehlt ein Verfahren, um problematische Erlasse anzufechten.“

„Diese Unklarheiten schaffen für Unternehmen eine rechtlich unsichere Lage, ohne klar zu wissen, wie diese Befugnisse genutzt werden und welche Auswirkungen dies auf den Datenschutz und die Cybersicherheit der Kanadier hat.“

Der Minister für öffentliche Sicherheit, Gary Anandasangaree, kündigte letzte Woche an, dass das Gesetz dahingehend geändert werde, dass ein Bruch der Verschlüsselung nicht erlaubt sein werde.

Gleichzeitig sagte er dem öffentlichen Sicherheitsausschuss am vergangenen Donnerstag, dass die Speicherdauer von Metadaten von einem Jahr nicht verkürzt werde.

„Wir haben mit den Strafverfolgungsbehörden gesprochen und die Praktikabilität einer Verkürzung erörtert – sie würde ihre Ermittlungen erschweren, daher halte ich an der einjährigen Frist fest“, erklärte er.

„Es gibt jedoch andere Bereiche, in denen wir bereit sind, das Gesetz zu präzisieren oder zu verstärken.“

In einer neuen Analyse des Bill C-22, die am Dienstag veröffentlicht wurde, fordern das Citizen Lab der Munk School of Global Affairs & Public Policy der Universität Toronto und die Canadian Civil Liberties Association, den Abschnitt über die Speicherung von Metadaten und Ministererlasse vollständig aus dem Gesetz zu streichen.

Der „grundlegend fehlerhafte“ Abschnitt „gibt der Regierung maximale Flexibilität, minimale Einschränkungen und kaum gerichtliche Kontrolle“, heißt es in der Analyse.

„Diese Kombination ist inakzeptabel und macht das vorgeschlagene Gesetz für seinen Zweck ungeeignet.“