Geheimdienst behauptet, er habe Daten kanadischer Staatsbürger „unzulässig“ an internationale Partner weitergegeben

Einer der kanadischen Geheimdienste sagt, er habe „unzulässigerweise“ Informationen über Kanadier, die er „zufällig“ erhalten habe, an internationale Partner weitergegeben.

Das Communications Security Establishment (CSE) gab einige Einzelheiten zu dem Vorfall bekannt, nachdem der Geheimdienstkommissar – die quasi-richterliche Position, die die Aktivitäten der Cyber-Spionageagentur überprüft – den Fall in seinem Jahresbericht, der Anfang dieser Woche dem Parlament vorgelegt wurde, erwähnt hatte.

CSE-Sprecherin Janny Bender Asselin erklärte gegenüber CBC News, dass die Agentur im vergangenen Jahr den Verteidigungsminister „über einen Vorfall informieren musste, bei dem das CSE Informationen unrechtmäßig weitergegeben hat“.

„Der CSE hat eine Aktivität festgestellt, bei der wir zwischen 2020 und 2023 einige Informationen an internationale Partner weitergegeben haben, ohne kanadische Informationen, die bei der gezielten Verfolgung gültiger ausländischer Geheimdienstziele zufällig erworben worden waren, ordnungsgemäß zu entfernen“, sagte sie.

„CSE hat schnell gehandelt, um das Problem einzudämmen.“

Der CSE gilt als eines der Kronjuwelen des kanadischen Geheimdienstes und ist verantwortlich für das Abfangen und Analysieren ausländischer elektronischer Kommunikation, die Durchführung von Cyberoperationen und den Schutz der Netzwerke und kritischen Infrastruktur der Regierung vor Angriffen.

Asselin sagte, dazu gehöre auch, dass man sich von den vertrauenswürdigen Partnern des CSE die Zusicherung holen müsse, dass die weitergegebenen Informationen gelöscht würden.

„Wir aktualisieren unsere Richtlinien und Verfahren ständig, um ein erneutes Auftreten zu verhindern“, sagte sie.

CSE gab unter Berufung auf die Betriebssicherheit keine Auskunft darüber, wie viele Kanadier betroffen waren oder an welche Länder die Informationen weitergegeben wurden.

Einzelheiten wurden dem Geheimdienstkommissar Simon Noël mitgeteilt, der sie in seinem kürzlich veröffentlichten Bericht zur Sprache brachte.

Der Kommissar ist Teil der Genehmigungskette, bevor der CSE und seine Schwesteragentur, der Canadian Security Intelligence Service (CSIS), mit bestimmten Aktivitäten zur Informationsbeschaffung und Cybersicherheit fortfahren können.

Das CSE muss zunächst die Genehmigung des Verteidigungsministers einholen (die sogenannte Ministergenehmigung), wenn die geplante Maßnahme andernfalls gegen das Gesetz verstoßen oder möglicherweise die Privatsphäre der Kanadier verletzen würde.

Laut Gesetz muss die ministerielle Genehmigung nachweisen, dass die Aktivitäten angemessen und notwendig sind und dass Maßnahmen zum Schutz der Privatsphäre der Kanadier vorhanden sind.

Der Geheimdienstbeauftragte übernimmt dann die Aufsicht und genehmigt die Mission entweder, genehmigt sie unter Auflagen oder lehnt den Antrag rundweg ab.

Noël stellt außerdem sicher, dass CSE nach Erhalt des grünen Lichts weiterhin konform bleibt und sich an das Genehmigte hält – was in dieser Angelegenheit des Informationsaustauschs nicht der Fall war.

Der Bericht des Kommissars enthält mit Verweis auf die nationale Sicherheit nicht viele Einzelheiten.

CSE sagt, Daten zwischen 2020 und 2023 geteilt

Der Fall werde in den Jahresbericht des CSE aufgenommen, der noch in diesem Monat erwartet werde, sagte Asselin.

In Noëls Bericht heißt es, er habe den Geheimdienst aufgefordert, den Vorfall so transparent wie möglich zu machen.

Es scheint nicht, dass die beteiligten Personen gewarnt wurden, obwohl CSE sagte, es habe den Vorfall seinen Aufsichts- und Prüforganen, darunter dem Büro des Datenschutzbeauftragten, gemeldet.

„Die Bekanntgabe dieses Vorfalls mit CSE gibt Anlass zu zahlreichen ernsthaften Bedenken“, sagte Matt Malone, Direktor der Canadian Internet Policy and Public Interest Clinic.

Der Professor der Universität Ottawa sagte, die Ergebnisse bestätigten viele der von zivilgesellschaftlichen Gruppen geäußerten Befürchtungen hinsichtlich potenziell unangemessener Informationen im Cybersicherheitsgesetz der liberalen Regierung. Die erste Fassung des Gesetzesentwurfs scheiterte Anfang des Jahres bei der Vertagung des Repräsentantenhauses und wurde von der Regierung von Premierminister Mark Carney als Gesetzentwurf C-8 erneut eingebracht.

Im Falle einer Verabschiedung müssten staatlich regulierte Branchen Cybersicherheitsvorfälle dem CSE melden, was bedeutet, dass das CSE über mehr Informationen verfügen würde.

„All dies verheißt nichts Gutes für den Zustand des Datenschutzes in Kanada“, sagte Malone.

„Drei der acht bisher in diesem Parlament eingebrachten Gesetzentwürfe der Regierung greifen die Privatsphäre extrem an.“

Im Jahr 2024 erhielt der Informationsbeauftragte 13 ministerielle Genehmigungen zur Prüfung – sieben im Zusammenhang mit CSE-Aktivitäten und sechs im Zusammenhang mit CSIS-Aktivitäten. Er genehmigte die Aktivitäten in elf Genehmigungen, genehmigte die Aktivitäten in einer Genehmigung unter Auflagen und genehmigte die Aktivitäten in der anderen Genehmigung teilweise.