Utah Supreme Court: „Verdächtige dürfen die Herausgabe des Handy-Passcodes an die Polizei verweigern“
(arstechnica.com)- Der Utah Supreme Court hat einstimmig entschieden, dass sich strafrechtlich Verdächtige auf das Recht gegen Selbstbelastung nach dem 5. Zusatzartikel zur US-Verfassung berufen können, um eine mündliche Aufforderung zur Nennung des Handy-Passcodes gegenüber der Polizei zu verweigern
- Der Fall begann, nachdem Alfonso Valdez wegen Entführung und Körperverletzung festgenommen worden war und die Polizei trotz Durchsuchungsbeschluss daran scheiterte, sein Handy zu entsperren
- Die Staatsanwaltschaft nutzte Valdez’ Weigerung, den Passcode herauszugeben, sowie das Fehlen von Handy-Beweisen im Prozess zu seinem Nachteil; die Jury sprach Valdez schuldig
- Das Berufungsgericht und der Utah Supreme Court werteten die mündliche Herausgabe des Passcodes als testimonial communication und kamen zu dem Schluss, dass die Vorgehensweise der Staatsanwaltschaft, diese Weigerung nachteilig zu erwähnen, mit den Rechten aus dem 5. Zusatzartikel kollidiert
- Orin Kerr, Professor an der Berkeley Law, bewertet den Fall angesichts uneinheitlicher Urteile unterer Gerichte zu Handy-Entsperrung und erzwungener Entschlüsselung als möglichen Kandidaten für eine Prüfung durch den Supreme Court der USA
Das Valdez-Urteil des Utah Supreme Court
- Der Utah Supreme Court entschied in State v. Valdez, dass strafrechtlich Verdächtige eine Aufforderung verweigern dürfen, der Polizei ihren Handy-Passcode mündlich mitzuteilen
- Streitpunkt war, ob die mündliche Mitteilung eines Handy-Passcodes eine testimonial communication ist, die durch das Recht gegen Selbstbelastung nach dem 5. Zusatzartikel zur US-Verfassung geschützt wird
- Das Gericht unterschied den Fall Valdez von Fällen, in denen Verdächtige angewiesen werden, ein Gerät zu entsperren: Hier habe die Polizei darum gebeten, den Passcode selbst mündlich mitzuteilen
- Der Utah Supreme Court bestätigte die Einschätzung des Berufungsgerichts, dass die mündliche Herausgabe eines Passcodes eine testimonial communication im Sinne des 5. Zusatzartikels darstellt
Ablauf des Falls und Verwendung im Prozess
- Alfonso Valdez wurde wegen des Vorwurfs festgenommen, seine Ex-Freundin entführt und angegriffen zu haben
- Die Polizei hatte einen Durchsuchungsbeschluss für die Inhalte von Valdez’ Handy, konnte den Passcode aber nicht knacken
- Nachdem Valdez sich weigerte, einem Ermittler den Passcode zu geben, nutzte der Staat dies im Prozess als belastenden Umstand
- Ein Ermittler sagte aus, Valdez habe die Herausgabe des Passcodes verweigert
- Im abschließenden Gegenplädoyer argumentierte die Staatsanwaltschaft, Valdez’ Weigerung und das Fehlen von Handy-Beweisen schwächten die Glaubwürdigkeit eines seiner Verteidigungsargumente
- Die Jury sprach Valdez schuldig
- Das Berufungsgericht entschied, dass Valdez nach dem 5. Zusatzartikel das Recht hatte, die Herausgabe des Passcodes zu verweigern, und dass der Staat dieses Recht verletzt habe, indem er die Weigerung im Prozess zu seinem Nachteil verwendete
- Auch der Utah Supreme Court bestätigte die Entscheidung des Berufungsgerichts
Rechtlicher Unterschied zwischen Passcode-Herausgabe und Entsperrung
- Passcodes und Verschlüsselung elektronischer Geräte schaffen wichtige Streitfragen zwischen Zugriffsversuchen der Strafverfolgungsbehörden und Rechten aus dem 5. Zusatzartikel
- Kern des Falls Valdez war nicht, dass ein Nutzer selbst ein Gerät entsperrt, sondern die Aufforderung, den Passcode mündlich mitzuteilen
- Das Gericht befand, dass die Weitergabe eines Passcodes an die Polizei und die physische Übergabe eines entsperrten Handys zwar funktional ähnlich sein können, diese funktionale Gleichwertigkeit nach der aktuellen Dogmatik des 5. Zusatzartikels aber nicht entscheidend ist
- Der Analyseansatz des act of production sei nur passend, wenn Strafverfolgungsbehörden jemanden zu einer Handlung zwingen, um ein elektronisches Gerät zu entsperren
- Auch biometrische Entsperrmethoden wie Fingerabdruck oder Gesichtserkennung wurden erwähnt; mündliche Passcode-Herausgabe und biometrisches Entsperren seien im Rahmen des 5. Zusatzartikels jedoch unterschiedliche Fragen
Die Ausnahme der „foregone conclusion“ greift nicht
- Der Staat argumentierte, selbst wenn die Herausgabe des Passcodes testimonial sei, bestehe die einzige neu übermittelte relevante Information in diesem Fall darin, dass Valdez den Passcode des Handys kenne
- Da die Polizei bereits gewusst habe, dass das Handy Valdez gehöre und Valdez seinen eigenen Passcode kennen würde, hielt der Staat die foregone-conclusion-Ausnahme für anwendbar
- Der Utah Supreme Court wies dieses Argument zurück
- Die mündliche Mitteilung eines Handy-Passcodes sei klassische mündliche Zeugenaussage
- Die foregone-conclusion-Ausnahme sei eine in act-of-production-Fällen diskutierte Ausnahme, die sich damit befasst, ob die Vorlage von Beweismitteln implizit Informationen übermittelt
- Der Supreme Court der USA habe diese Ausnahme nie auf mündliche Zeugenaussagen ausgeweitet, und der Utah Supreme Court sah dafür ebenfalls keine Grundlage
- Die Passcode-Herausgabe im Fall Valdez ist eine sprachliche Kommunikation, die Informationen aus dem Kopf ausdrücklich übermittelt; daher greift die Ausnahme nicht
Auch Äußerungen der Staatsanwaltschaft im Prozess sind begrenzt
- Der Utah Supreme Court prüfte, ob der Staat im Prozess unzulässig die Ausübung des Schweigerechts kommentiert hatte, indem er Valdez’ Weigerung erwähnte, den Passcode herauszugeben
- Der Staat argumentierte, Valdez habe die Inhalte des Handys zum Streitpunkt gemacht, weshalb die Äußerungen der Staatsanwaltschaft eine faire Erwiderung gewesen seien
- Auch dieses Argument wies das Gericht zurück
- Der Staat hatte bereits Aussagen zu den Textnachrichten und zur Weigerung der Passcode-Herausgabe hervorgebracht, bevor Valdez die Inhalte von Handy-Textnachrichten als Beweismittel vorlegte
- Es lag daher keine Situation vor, in der Valdez sein früheres Schweigen zugleich als „Schwert“ und „Schild“ verwendet hätte
- Der Utah Supreme Court kam zu dem Schluss, dass die Art und Weise, wie die Staatsanwaltschaft Valdez’ Weigerung zur Passcode-Herausgabe nachteilig nutzte, mit seinen Rechten aus dem 5. Zusatzartikel kollidierte
Mögliche Prüfung durch den Supreme Court der USA
- Orin Kerr, Professor an der Berkeley Law, schreibt in einer Analyse, dass die Anwendung des 5. Zusatzartikels auf die Entsperrung von Handys eine zentrale Frage des Ermittlungsrechts für digitale Beweise sei
- Kerr zufolge ist die Rechtsprechung der unteren Gerichte ein „total mess“, und es brauche einen Kandidatenfall für eine Prüfung durch den Supreme Court der USA, um die Rechtslage zu klären
- Der Fall Valdez könnte wegen unterschiedlicher Auffassungen zwischen den Supreme Courts der Bundesstaaten ein solcher Kandidat sein
- Die Entscheidung des Utah Supreme Court ähnelt der des Pennsylvania Supreme Court
- Sie steht im Konflikt mit der Entscheidung des New Jersey Supreme Court
- Kerr sieht auch darin, dass im Fall Valdez ein endgültiges Urteil vorliegt, einen Faktor, der die Wahrscheinlichkeit einer Supreme-Court-Prüfung erhöht
- Allerdings geht es bei Valdez um erzwungene Offenlegung eines Passcodes, nicht um einen Fall der erzwungenen Entsperrung, bei dem Nutzer selbst ein Gerät entsperren müssen
- Selbst wenn sich der Supreme Court der USA mit Valdez befasst, könnte er nur die Frage der Passcode-Offenlegung klären und die Frage erzwungener Entsperrung einem späteren Fall überlassen
2 Kommentare
Sollte das nicht möglich sein, wenn ein Durchsuchungsbefehl vorliegt? Wenn das so ist, was bedeutet der Durchsuchungsbefehl dann überhaupt?
Hacker-News-Kommentare
Ich frage mich, ob es Gerichtsverfahren zu verschlüsselten Daten oder Geheimcodes gab, bei denen keine Computer beteiligt waren.
Wenn die Polizei mit einem Durchsuchungsbeschluss meine Telefonleitung abhört und ich mit einem Komplizen wie Spione oder Kriminelle im Fernsehen in Codewörtern spreche: Könnte ich dann gezwungen werden zu erklären, was diese Codewörter tatsächlich bedeuten?
https://en.wikipedia.org/wiki/Right_to_silence
Auf diesem Recht beruhte auch dieses Verfahren, und es ist beunruhigend, dass darüber überhaupt gestritten werden musste.
Es geht um die Frage: „Eines der großen Themen bei Ermittlungen zu digitalen Beweisen ist, wie das Privileg gegen Selbstbelastung nach dem Fifth Amendment auf das Entsperren von Mobiltelefonen anzuwenden ist.“
Zu Hochverratsverfahren gegen gefasste Spione dürfte es einiges an entsprechender Geschichte geben; ob diese Akten öffentlich sind, ist eine andere Frage.
https://en.wikipedia.org/wiki/Book_cipher
https://en.wikipedia.org/wiki/Codebook
https://en.wikipedia.org/wiki/Poem_code
Die Daily Mail berichtete, dass ein 22-jähriger Mann zu sechs Monaten Haft verurteilt wurde, weil er das Passwort für eine verschlüsselte Festplatte nicht herausgab. Er wurde nach Bestimmungen des britischen Gesetzes RIPA inhaftiert, das ursprünglich als Anti-Terror-Maßnahme vorangetrieben wurde, inzwischen aber auf viele Kriminalitätsbereiche ausgeweitet ist; Bürgerrechtsgruppen sehen das mit Sorge.
Christopher Wilson stand im Verdacht, versucht zu haben, in Websites von Strafverfolgungsbehörden einzudringen, die Newcastle Police mit Scherzanrufen hereingelegt und „getrollt“ zu haben; der unmittelbare Grund für seine Haft waren jedoch nicht diese Vorwürfe, sondern dass er das Passwort nicht herausgab.
Ich habe den Artikel und den Blogbeitrag auf reason.com gelesen, und die Sache wirkt immer noch zu instabil, um zu erwarten, dass der Supreme Court sie endgültig entscheidet.
Im ursprünglichen Fall argumentierte die Staatsanwaltschaft, die Weigerung des Angeklagten, beim Entsperren des Telefons mitzuwirken, sei ein Beweis für Schuld. Dann ginge es bei einer Entscheidung des Supreme Court doch wohl darum, ob ein Staatsanwalt ein solches Argument als Beweis vorbringen darf. Das scheint sich ziemlich von der Handlung der Weigerung, ein Telefon zu entsperren, und der Frage des entsprechenden Rechts selbst zu unterscheiden.
Es ist ähnlich, als würde die Staatsanwaltschaft sagen: „Er hatte eine Waffe, also muss er schuldig sein!“, und man dann erwarten, dass der Fall vor den Supreme Court geht und dieser über die Rechtmäßigkeit des Second Amendment entscheidet.
https://reason.com/volokh/2023/12/14/is-compelled-decryption...
Ich stelle mir ein Authentifizierungssystem vor, das nicht einfach nur nach dem Passwort fragt, sondern zugleich prüft, ob die anfragende Person wirklich die richtige ist und ob sie ohne Zwang aus freiem Willen Zugriff verlangt.
Eine primitive Variante wäre, alle 12 Stunden eine Authentifizierung mit dem Hauptpasswort zu verlangen; wenn das Hauptpasswort in diesem Zeitraum nicht verwendet wurde, könnte man mit einem nicht auswendig gelernten Ersatzpasswort entsperren. Dieses Ersatzpasswort würde an einem Ort aufbewahrt, auf den nur man selbst zugreifen kann und den man nur in einem völlig freien Zustand aufsuchen kann.
Und wenn es ohnehin um einen Tyrannen geht, würde der dir einfach eine Pistole an den Kopf halten und verlangen, dass du dieses zweite Passwort holst.
Zum Glück gibt es verfassungsmäßige Rechte.
In vielen Ländern gibt es Gesetze, nach denen Verdächtige die Herausgabe von Passwörtern nicht verweigern dürfen und bei Weigerung ins Gefängnis kommen.
Ich halte solche Gesetze für gefährlich. Sie könnten für einen besonders bösartigen Angriff genutzt werden, bei dem jemandem ein verschlüsseltes Handy in die Tasche gelegt wird und man ihn aus irgendeinem ungerechtfertigten Grund festnehmen lässt.
Wenn die Person das Passwort nicht liefern kann, ist sie automatisch schuldig.
Ich habe mich immer gefragt, was passiert, wenn der Entsperrcode das Profil wechselt und ein anderes Profil verschlüsselt.
Wenn einem in einer Interaktion mit der Polizei etwas „Schlaues“ einfällt, ist das meistens eine schlechte Idee.
Einige Hardware-Wallets für Kryptowährungen haben tatsächlich so eine Funktion. Die Einrichtung ist optional, aber eine PIN kann die echte Wallet öffnen, während eine andere PIN eine Köder-Wallet mit nur wenigen Coins öffnet.
P.S.: Wahrscheinlich werden die Leute jetzt den $5 wrench attack erwähnen.
Und könnte das als vorsätzliche Irreführung oder als Verbergen von Beweisen gewertet werden?
Ich meine mich zu erinnern, dass dies einer der wenigen Fälle war, in denen man Geschworene in einem Strafverfahren anweisen darf, eine nachteilige Schlussfolgerung zu ziehen. Ich bin kein Jurist.
Hinweis: Dieses Urteil gilt nur für Personen in Utah. In anderen US-Bundesstaaten gibt es andere Präzedenzfälle. Man muss warten, bis eine Entscheidung des U.S. Supreme Court ergeht, die landesweite Wirkung hat.
Derzeit sollte man keine biometrischen Verfahren verwenden. Sie können rechtlich erzwungen werden. Man sollte auch keinen Zahlencode verwenden, sondern ein alphanumerisches Passwort.
Wenn der Bildschirm zum Ausschalten/Notruf SOS erscheint, kann man ihn einfach ignorieren oder auf Abbrechen tippen. Sobald dieser Bildschirm sichtbar ist, sind Face ID/Touch ID bereits vorübergehend deaktiviert. Da das iPhone auch per Vibration eine Bestätigung gibt, funktioniert das sogar in der Hosentasche oder Tasche.
Natürlich hilft das nicht, wenn einem das Gerät mit einer ausgefeilten Methode à la Ross Ulbricht entrissen wird, aber in Situationen, in denen man die andere Person kommen sieht, ist es nützlich. Das dürfte vermutlich meistens der Fall sein.
Der Autor meint, dieser Fall könnte vor den SCOTUS gehen.
In Großbritannien muss man auf Verlangen das Passwort herausgeben.
Diese Kanzlei-Website hat eine gute Zusammenfassung: https://www.reeds.co.uk/insight/section-49-ripa-2000-trendin...
Das ist wichtig, weil die britische Polizei solche Befugnisse oft größer darstellt, als sie tatsächlich sind, um Menschen dazu zu drängen, Entsperrcodes und Passwörter freiwillig herauszugeben. Ohne S49-Mitteilung ist es nur eine Bitte, und man hat das Recht, mit „Nein danke“ abzulehnen. Selbst wenn eine Mitteilung erlassen wird, kann man verlangen, sie vor Gericht anzufechten.
Ich weiß nicht, ob ich etwas übersehe oder ob der Titel und der Großteil der Diskussion auf HN den Kern dieses Urteils verfehlen. In diesem Urteil geht es nicht darum, ob man das Recht hat, die Herausgabe eines Passworts zu verweigern. Dieses Recht gibt es natürlich.
Der Streitpunkt ist vielmehr, ob die Weigerung, ein Passwort herauszugeben, vor Gericht als belastendes Indiz für Schuld verwendet werden darf.
[https://law.justia.com/cases/new-jersey/supreme-court/2020/a...]
Es gab Menschen, die schon vor einem Prozess wegen irgendeines Vorwurfs wegen Missachtung des Gerichts inhaftiert wurden, weil sie sich weigerten, ein Passwort herauszugeben.
Man sollte Telefone meiden, bei denen Klartextzeichen des Passworts während der Eingabe kurz auf dem Bildschirm erscheinen und von Videokameras in der Nähe aufgezeichnet und später abgespielt werden könnten.
Gilt das nur für Mobiltelefone? Wenn ja, dann liegt das wahrscheinlich daran, dass Mobiltelefone bereits kompromittiert sind und es eine Backdoor gibt, sofern es nicht auch für andere Medien und elektronische Geräte gilt.
Andererseits meine ich gelesen zu haben, dass Grenzkontrollen auch innerhalb des Landes bis zu einer gewissen Entfernung von der Grenze greifen können, und soweit ich weiß, können sie dort die Herausgabe von Passwörtern verlangen.
https://www.aclu.org/know-your-rights/border-zone
Wenn man allerdings kein US-Bürger ist und einreisen möchte, können sie diese Weigerung als Grund für die Einreiseverweigerung heranziehen. Das ist mies, aber so ist es.