NordVPN und Windscribe drohen mit Rückzug aus Kanada bei Verabschiedung von Gesetz C-22
Zwei große VPN-Anbieter haben offiziell angekündigt, den kanadischen Markt zu verlassen, falls das Gesetz C-22 in Kraft tritt. NordVPN und das aus Kanada stammende Windscribe gaben Erklärungen ab, in denen sie bestätigten, dass sie unter einer Gesetzgebung, die sie dazu zwingen würde, Benutzermetadaten für ein Jahr zu speichern und Hintertüren in ihre Verschlüsselung einzubauen, nicht operieren können. Die Ankündigungen folgen auf eine frühere Warnung von Signal, das unter denselben Bedingungen seinen Betrieb in Kanada einstellen würde.
Was das Gesetz C-22 erfordern würde
Der Gesetzentwurf C-22, der dem kanadischen Parlament derzeit vorliegt, würde Telekommunikations- und Messaging-Dienstanbieter dazu zwingen, Metadaten - wer mit wem, wann und von wo aus kommuniziert hat - für mindestens 12 Monate zu speichern und sie den Strafverfolgungsbehörden unter bestimmten Umständen ohne richterlichen Beschluss zur Verfügung zu stellen. Das Gesetz enthält auch Bestimmungen, die von den Anbietern verlangen, technische Voraussetzungen für das rechtmäßige Abfangen zu schaffen, was laut Kritikern funktionell einem Mandat für Verschlüsselungs-Hintertüren entspricht.
Für VPN-Anbieter, deren gesamtes Geschäftsmodell darauf beruht, Benutzeraktivitäten nicht zu protokollieren, wäre die Einhaltung der Vorschriften technisch unmöglich, ohne ihr zentrales Produktversprechen grundlegend zu verraten. Ein VPN, das 12 Monate Verbindungsmetadaten speichert, ist kein privates VPN - es ist ein Überwachungsprotokoll mit einer monatlichen Abonnementgebühr.
Warum die Position von Windscribe besonders bedeutsam ist
Der Hauptsitz von Windscribe befindet sich in Toronto. Im Gegensatz zu NordVPN, das in Panama eingetragen ist und einfach seine kanadische Benutzerbasis abschalten kann, während es den Betrieb anderswo fortsetzt, kann Windscribe nicht einfach umziehen. Sein Gründer und sein Team sind Kanadier. Die Erklärung des Unternehmens, dass es sich lieber zurückziehen würde als sich zu beugen, ist ein besonders starkes Signal – ein kanadisches Unternehmen, das kanadischen Gesetzgebern sagt, dass ihre eigene Gesetzgebung nicht mit dem Betrieb eines legitimen Datenschutzunternehmens auf kanadischem Boden vereinbar ist.
Die Position von NordVPN ist betrieblich weniger kompliziert, aber ebenso symbolisch. Als eine der weltweit bekanntesten VPN-Marken hat ihre öffentliche Weigerung, sich den Vorgaben zu fügen, erhebliches Gewicht in der politischen Debatte.
Das breitere Muster: Exodus als politisches Signal
Dies ist nicht Kanadas erste Erfahrung mit durch Datenschutzanliegen motivierten Marktaustritten. Signal schuf den Präzedenzfall für dieses Thema, als es ankündigte, es werde sich aus Kanada zurückziehen, anstatt seine Verschlüsselung zu kompromittieren. Das Muster erstreckt sich nun auf VPN-Anbieter, die eine andere, sich jedoch überschneidende Nutzerbasis bedienen: Journalisten, Aktivisten, Geschäftsreisende und gewöhnliche Kanadier, die VPNs für die Privatsphäre in öffentlichen Netzwerken anstelle von End-to-End-Messaging nutzen.
In ganz Europa und im englischsprachigen Raum hat sich eine ähnliche Dynamik wiederholt abgespielt. Der Online Safety Act Großbritanniens, der Vorschlag der EU zur Chatkontrolle und der Assistance and Access Act Australiens haben alle ähnliche Warnungen von Datenschutztechnologieunternehmen ausgelöst. In den meisten Fällen haben die Gesetzgeber diese Warnungen als leere Drohungen abgetan. In einigen Fällen - am prominentesten ist Signals Weigerung, unter britischem Druck Hintertüren hinzuzufügen - haben die Unternehmen ihre Ankündigungen wahrgemacht.
Was kanadische Benutzer verlieren würden
Wenn C-22 in seiner jetzigen Form verabschiedet wird und große VPN-Anbieter den Markt verlassen, würden kanadische Benutzer mit einem deutlich verkleinerten Angebot an Datenschutz-Tools konfrontiert sein. Die Anbieter, die am ehesten bleiben, sind diejenigen mit dem geringsten Engagement für den Datenschutz - Dienste, die bereits Daten protokollieren oder in Gerichtsbarkeiten mit schlechter Aufsicht ansässig sind. In der Praxis würde der Gesetzentwurf die Nutzung von VPNs nicht beseitigen; er würde Kanadier zu weniger vertrauenswürdigen Anbietern drängen oder dazu, ihre eigenen Server zu betreiben, um die Einhaltung der Vorschriften gänzlich zu umgehen.
Für die vielen Kanadier, die VPNs für legitime Zwecke nutzen - Unternehmenssicherheit, Schutz von Finanzdaten in öffentlichen WLANs, Umgehung geografischer Inhaltsbeschränkungen - wäre die praktische Auswirkung eine verschlechterte Auswahl verfügbarer Tools und ein verringertes Vertrauen in die Datenschutzversprechen der verbleibenden Anbieter.
Status und nächste Schritte
Gesetzentwurf C-22 befindet sich derzeit in der parlamentarischen Prüfung. Datenschutzbeauftragte, Technologieunternehmen und Bürgerrechtsorganisationen, darunter die Canadian Civil Liberties Association, haben formelle Einwände erhoben. Die Sponsoren des Gesetzentwurfs argumentieren, dass die Bestimmungen zur Speicherung von Metadaten eng gefasst und für die Strafverfolgungsbehörden zur Untersuchung schwerer Straftaten notwendig seien, und dass die Darstellung als Hintertür eine falsche Charakterisierung der technischen Anforderungen darstelle.
NordVPN und Windscribe haben noch kein konkretes Rückzugsdatum festgelegt, und das Gesetz ist noch nicht verabschiedet. Die formellen Ankündigungen beider Anbieter signalisieren jedoch, dass der Widerstand der Branche von der Lobbyarbeit zur Notfallplanung übergegangen ist.
