Kanada steht kurz davor, ein Gesetz zu verabschieden, das verschlüsselte Messaging-Plattformen zwingen würde, geheime Hintertüren für Strafverfolgungsbehörden einzubauen - und große Akteure wie Signal und Apple warnen bereits, dass sie eher den kanadischen Markt verlassen würden, als sich daran zu halten. Der im Mai 2026 eingebrachte Gesetzentwurf C-22 stellt das bisher aggressivste Gesetz zur obligatorischen Entschlüsselung dar, das jemals von einem G7-Land vorgeschlagen wurde. Datenschützer warnen, dass dies einen gefährlichen Präzedenzfall schafft, der von anderen westlichen Regierungen genau beobachtet wird.
Was der Gesetzentwurf C-22 tatsächlich vorschreibt
Das Gesetz mit dem offiziellen Titel „Protecting Canadians from Online Harms Act (encryption provisions)“ würde Kommunikationsplattformen in Kanada verpflichten, Polizei- und Geheimdiensten einen verdeckten technischen Zugang zu verschlüsselter Kommunikation zu gewähren - ohne die Nutzer darüber zu informieren, dass ihre Nachrichten abgefangen werden. Der Entwurf umfasst Ende-zu-Ende-verschlüsselte Anwendungen. Das bedeutet, die Regierung würde Unternehmen effektiv dazu zwingen, die kryptografischen Garantien zu brechen, auf denen ihre Produkte aufbauen.
Im Gegensatz zu herkömmlichen Abhörgesetzen, die Daten bei der Übertragung abfangen, würde C-22 von den Plattformen verlangen, dauerhafte technische Möglichkeiten einzurichten, die auf behördliche Anordnung hin aktiviert werden könnten. Die Geheimhaltungsklauseln des Gesetzentwurfs würden es den Unternehmen verbieten, den Nutzern offenzulegen, dass sie eine solche Anordnung erhalten haben - was ein System der heimlichen Überwachung ohne öffentliche Rechenschaftsmechanismen schafft.
- Geltungsbereich: Alle in Kanada operierenden verschlüsselten Messaging-Plattformen, einschließlich Signal, iMessage, WhatsApp und andere.
- Mechanismus: Verdeckter technischer Hintertür-Zugang, kein Abfangen von bestehendem unverschlüsseltem Datenverkehr.
- Maulkorberlass: Plattformen ist es untersagt, Nutzer über behördliche Zugriffsanordnungen zu informieren.
- Strafen bei Nichteinhaltung: Noch nicht vollständig geklärt, aber erhebliche Geldstrafen und möglicher Marktausschluss.
Deutliche Gegenwehr von Signal und Apple
Signal, der Goldstandard für private Nachrichten, antwortete direkt: Die Organisation erklärte, sie würde sich eher vom kanadischen Markt zurückziehen, als Hintertüren einzubauen. Signals Position ist technisch fundiert - ihr Sicherheitsmodell basiert auf der mathematischen Garantie, dass sie keine Nutzernachrichten lesen kann, selbst wenn sie durch einen Gerichtsbeschluss dazu gezwungen wird. Der Bau einer Hintertür würde eine grundlegende Neugestaltung des Protokolls erfordern, was die Sicherheit für alle Nutzer weltweit untergraben würde, nicht nur in Kanada.
Apple gab eine Warnung heraus, dass das Unternehmen gezwungen sein könnte, iMessage und FaceTime aus dem kanadischen App Store zu entfernen, wenn es gezwungen wird, die Ende-zu-Ende-Verschlüsselung aufzubrechen. Dies steht im Einklang mit Apples früherer Position in Großbritannien, wo ähnliche Bestimmungen des Online Safety Act das Unternehmen dazu veranlassten, mit dem Rückzug verschlüsselter Dienste zu drohen, anstatt die Sicherheit weltweit für eine einzige Rechtsprechung zu schwächen.
Die Electronic Frontier Foundation (EFF) war in ihrer Einschätzung noch schärfer und nannte C-22 einen „neu verpackten Überwachungs-Albtraum“. Sie zog explizite Vergleiche zum EU-Vorschlag zur Chatkontrolle, der nach jahrelangem Widerstand von Bürgerrechtsgruppen und technischen Experten wiederholt auf Eis gelegt wurde. Die EFF wies darauf hin, dass Kanada als Geheimdienstpartner der „Five Eyes“ den Hintertür-Zugang effektiv auf die gesamte Allianz ausweiten könnte.
Warum Hintertüren niemals sicher sein können
Der technische Konsens unter Kryptografen und Sicherheitsforschern ist eindeutig: Es gibt keine Möglichkeit, eine Hintertür zu bauen, die nur für autorisierte Regierungen zugänglich ist. Eine Schwachstelle, die für kanadische Strafverfolgungsbehörden geschaffen wird, ist eine Schwachstelle, die von feindlichen Nationalstaaten, kriminellen Hackern und ausländischen Geheimdiensten ausgenutzt werden kann. Die Geschichte beweist dies - die NOBUS-Doktrin („Nobody But Us“) der NSA, die davon ausging, dass Hintertüren exklusiv für US-Geheimdienste gehalten werden könnten, erwies sich als katastrophal falsch, als ihre eigenen Hacking-Tools geleakt und von Ransomware-Gruppen als Waffe eingesetzt wurden.
Wenn C-22 in seiner jetzigen Form verabschiedet wird, wird das praktische Ergebnis kein sauberes System der gerichtlich angeordneten Überwachung sein. Es wird ein geschwächtes Sicherheitsökosystem sein, in dem die Kommunikation der Kanadier weniger geschützt ist als die der Bürger in Ländern ohne solche Gesetze - und in dem Bedrohungsakteure, von Kriminellen bis hin zu staatlich geförderten Hackern, eine größere Angriffsfläche haben.
Das G7-Vorbildproblem
Was C-22 über Kanadas Grenzen hinaus so bedeutsam macht, ist sein Potenzial als Modell. Der britische Online Safety Act, das australische Gesetz über Hilfe und Zugang (Assistance and Access Act) und die Chatkontroll-Vorschläge der EU haben alle versucht, Versionen eines obligatorischen rechtmäßigen Zugangs zu verschlüsselter Kommunikation zu implementieren, mit unterschiedlichem Grad an technischer Raffinesse und Bürgerrechtsschutz. Kanadas Version zeichnet sich dadurch aus, dass sie einen obligatorischen Hintertür-Zugang mit einem vollständigen Verbot der Nutzerbenachrichtigung kombiniert - eine weitaus aggressivere Kombination als die meisten vergleichbaren Vorschläge in Demokratien.
Wenn Kanada - ein Land mit starken rechtsstaatlichen Traditionen und einer technikaffinen Bevölkerung - den verdeckten Zugang zu verschlüsselter Kommunikation normalisiert, wird es für andere G7-Regierungen deutlich einfacher zu argumentieren, dass derselbe Ansatz auch für sie vernünftig ist. Die Sorge der EFF, dass C-22 eine Blaupause ist, die von verbündeten Regierungen beobachtet wird, ist keine Übertreibung - sie spiegelt wider, wie sich Überwachungsgesetze historisch in westlichen Demokratien verbreitet haben, sobald ein Land den Konsens bricht.
Die weitreichendere Lehre aus C-22 ist eine, auf die Datenschützer seit Jahren drängen: Verschlüsselung ist keine Funktion, die Regierungen für „schlechte Akteure“ selektiv schwächen können, während sie sie für „gute Akteure“ intakt lassen. Es ist eine mathematische Eigenschaft, die entweder gilt oder nicht. Jedes Gesetz, das den Zugang durch Hintertüren vorschreibt, ist ein Gesetz, das eine schwächere Sicherheit für alle vorschreibt - und in einer Zeit, in der kritische Infrastrukturen, Finanzsysteme und persönliche Kommunikation auf denselben kryptografischen Grundlagen basieren, ist das kein Kompromiss, der sicher eingegangen werden kann.
Was Sie wirklich tun können
Es ist wichtig, ehrlich darüber zu sein, welche Werkzeuge vor Gesetzen wie C-22 schützen können und welche nicht. Ein VPN verschlüsselt Ihren Datenverkehr auf Netzwerkebene und verbirgt Ihre IP-Adresse sowie Ihre Browsing-Aktivitäten vor Ihrem Internetanbieter und Netzwerkbeobachtern - aber es kann den Inhalt von Nachrichten nicht schützen, wenn die Messaging-App selbst gesetzlich gezwungen ist, eine Hintertür in ihren eigenen Code einzubauen. Was Datenschutz-Tools auf Netzwerkebene jedoch schützen, sind Ihre Metadaten: Wen Sie kontaktiert haben, wann, wie oft und von wo. Unter einem Überwachungsgesetz, das Plattformen zwingt, Kommunikation heimlich zu melden, bleibt die Abschirmung Ihrer Identität auf Netzwerkebene eine der wenigen technischen Maßnahmen, die noch unter Ihrer Kontrolle stehen - und eine, die relevanter, nicht weniger relevant wird, wenn die Verschlüsselung auf Anwendungsebene unter rechtlichen Druck gerät.
