Die neueste Version des laufenden kanadischen Gesetzesentwurfs C-22 hat erneut eine Gegenreaktion globaler Technologieunternehmen gegen die Versuche der Regierung ausgelöst, „Überwachung“ in die Internetinfrastruktur einzubauen. Der Gesetzentwurf sieht vor, verschiedene Anbieter digitaler Dienste zu verpflichten, Benutzermetadaten über einen langen Zeitraum aufzubewahren und Strafverfolgungsbehörden Kanäle für den „legalen Zugriff“ bereitzustellen. Einige Unternehmen, deren wichtigstes Verkaufsargument der Schutz der Privatsphäre ist, haben öffentlich erklärt, dass sie sich lieber aus dem kanadischen Markt zurückziehen würden, als bei der Durchsetzung zu kooperieren.

Laut dem aktuellen öffentlichen Text wird „Bill C-22“ Internetdienstanbieter, Instant-Messaging-Plattformen und E-Mail-Dienste abdecken und möglicherweise sogar Hardwarehersteller betreffen, indem er sie verpflichtet, die Metadateninformationen der Benutzer bis zu einem Jahr aufzubewahren. Gleichzeitig müssen die betreffenden Unternehmen auch technische Mechanismen einrichten, die es den Strafverfolgungsbehörden ermöglichen, diese Informationen im Rahmen strafrechtlicher Ermittlungen gesetzeskonform einzuholen. Kritiker glauben, dass dies im Wesentlichen damit gleichbedeutend ist, dass die Regierung Unternehmen dazu zwingt, „Hintertüren“ im System zu reservieren, wodurch sich die Datenschutz- und Sicherheitsgrenzen von Internetdiensten grundlegend ändern.

Udbhav Tiwari, Geschäftsführer von Signal, sagte vor dem Ständigen Ausschuss für öffentliche Sicherheit und nationale Sicherheit des kanadischen Repräsentantenhauses aus, dass Bill C-22 die digitalen Werkzeuge, die die Menschen jeden Tag nutzen, in ein riesiges Überwachungsnetzwerk verwandeln würde. Er wies darauf hin, dass es den langjährigen Datenschutzpraktiken von Signal völlig widerspricht, Unternehmen zu zwingen, Metadaten der Benutzerkommunikation aufzubewahren. Signal vertritt den Standpunkt, dass es für das Unternehmen im Falle der Verabschiedung dieses Gesetzes schwierig sein wird, seine Geschäftstätigkeit in Kanada fortzusetzen, ohne seine Kernverpflichtungen zum Datenschutz aufzugeben.

Auch DuckDuckGo, ein datenschutzorientiertes Such- und Webdienstunternehmen, sendete ein ähnliches Signal. Sein Sprecher bestätigte, dass das Unternehmen seine VPN-Dienste in Kanada einstellen wird, sobald Bill C-22 genehmigt ist. Der bekannte VPN-Anbieter NordVPN und andere ähnliche Dienstanbieter haben ebenfalls erklärt, dass sie einen Ausstieg aus dem kanadischen Markt nicht ausschließen werden, um nicht gezwungen zu werden, sich am Aufbau von Metadatenspeicherungs- und Zugriffsmechanismen zu beteiligen.

Auch große Plattformunternehmen haben Vorbehalte oder sogar Widerspruch gegen den Gesetzentwurf. Apple und Google haben sich den Warnungen der Branche angeschlossen, dass die Gesetzgebung sie dazu zwingen könnte, bestehende Verschlüsselungsmaßnahmen zu schwächen. Letztes Jahr blockierte Apple erfolgreich einen ähnlichen Vorschlag in Großbritannien, der eine für die Regierung zugängliche Hintertür in iCloud geschaffen hätte. Dieser Vorfall ist nur der jüngste in einer Reihe von Konflikten zwischen Apple und Aufsichtsbehörden in verschiedenen Ländern über Sicherheit und Datenschutz der Benutzer. Es unterstreicht auch das langfristige Spiel zwischen Unternehmen und Regierungen zum Thema „Sicherheit vs. Datenschutz“.

Die Hauptsorge der Gegner besteht darin, dass, sobald eine „Hintertür“ künstlich in ein digitales System eingebaut wird, unabhängig davon, ob ihre ursprüngliche Absicht nur der Strafverfolgung oder der nationalen Sicherheit dient, sie schließlich von böswilligen Akteuren entdeckt und ausgenutzt wird. Die Zivilorganisation OpenMedia bezeichnete Bill C-22 als Versuch, einen „Überwachungsstaat“ zu schaffen und führte als Beweis einen Fall Ende 2024 an. Damals drangen angeblich von der chinesischen Regierung unterstützte Hacker in die Systeme mehrerer US-amerikanischer Kommunikationsbetreiber zur rechtmäßigen polizeilichen Überwachung ein und stahlen große Mengen sensibler Daten von Unternehmen wie AT&T, Verizon und Lumen Technologies, was zeigte, dass das System der „rechtmäßigen Überwachung“ selbst ebenfalls zu einem hochwertigen Angriffsziel werden könnte.

Angesichts der Skepsis seitens der Industrie und der Zivilgesellschaft sagte Kanadas Minister für öffentliche Sicherheit, Gary Anandasangaree, letzte Woche, dass der Gesetzentwurf C-22 geändert werde, um klarzustellen, dass Anbieter digitaler Dienste nicht verpflichtet seien, die Ende-zu-Ende-Verschlüsselung selbst zu knacken. Allerdings betonte er auch, dass die Pflicht zur Aufbewahrung von Metadaten bestehen bleibe, die ebenfalls einen Schwerpunkt des aktuellen Streits darstellt.

In anderen Bereichen kam es in letzter Zeit häufig zu Kontroversen um „Hintertüren“. Ein Sicherheitsforscher warf Microsoft kürzlich vor, absichtlich eine Hintertür in seinem BitLocker-Verschlüsselungssystem zu hinterlassen, und versuchte, das Problem zum Schweigen zu bringen, nachdem der Forscher Fragen gestellt hatte. Nachdem die Details der Schwachstelle veröffentlicht wurden, veröffentlichte Microsoft dringend ein vorübergehendes Abhilfeupdate, hat jedoch noch nicht direkt darauf reagiert, ob es sich bei der Schwachstelle um einen Designfehler oder um Absicht handelte. Kritiker sind der Ansicht, dass solche Vorfälle die Besorgnis der Öffentlichkeit über die Grenze zwischen „legitimem Zugriff“ und „technischen Hintertüren“ verstärken und es schwieriger machen, Vertrauen in Gesetzesvorschläge wie Bill C-22 zu gewinnen.