Wie die Polizei an deine privaten Online-Daten kommt

 (eff.org)
1 Punkte von GN⁺ 2025-11-11 | 1 Kommentare | Auf WhatsApp teilen
  • Bundes- und Landesgesetze in den USA geben Strafverfolgungsbehörden die Befugnis, persönliche Daten anzufordern, die Online-Diensten bereitgestellt wurden
  • Strafverfolgungsbehörden können über rechtliche Verfahren verschiedene Arten von Daten erhalten, darunter Bestandsdaten, Metadaten, gespeicherte Inhalte und Inhalte während der Übertragung
  • Solche Anfragen werden in Vorladungen, Gerichtsbeschlüsse, Durchsuchungsbefehle und Super-Warrants unterteilt; je nach Verfahren unterscheiden sich die erforderliche Beweislast und die Frage, ob Nutzer benachrichtigt werden
  • Dienstanbieter können den Schutz der Privatsphäre ihrer Nutzer durch minimale Datenerhebung, Transparenzberichte und Ende-zu-Ende-Verschlüsselung (e2ee) stärken
  • Wenn Einzelpersonen und Dienstanbieter gemeinsam handeln, lässt sich übermäßige Überwachung und der Missbrauch von Daten eindämmen

Die rechtliche Struktur des Zugriffs auf private Online-Daten

  • US-Strafverfolgungsbehörden können über verschiedene rechtliche Verfahren auf persönliche Daten zugreifen, die bei Online-Diensten gespeichert sind
    • Bundes- und Landesgesetze regeln diese Zugriffsrechte
    • Nutzer sollten sich dieser rechtlichen Risiken bewusst sein, sobald sie Daten teilen
  • Schon in den frühen Tagen des Internets gab es Fälle übermäßiger Beschlagnahmungen und Durchsuchungen; heute betrifft das nicht nur große Dienste, sondern auch Betreiber persönlicher Server
  • Die „Cloud“ ist letztlich der Computer von jemand anderem, daher tragen Dienstanbieter die Verantwortung, die Privatsphäre ihrer Nutzer innerhalb der rechtlichen Grenzen zu schützen

Welche Arten von Daten erfasst werden können

  • Bestandsdaten: Name, Zahlungsinformationen, IP-Adresse, E-Mail, Telefonnummer und andere Angaben, die bei der Nutzung eines Dienstes gemacht werden
    • Dadurch lässt sich der tatsächliche Nutzer eines anonymen Kontos identifizieren
  • Nicht-Inhaltsdaten (Metadaten): Zugriffszeiten, Kommunikationspartner, Nutzungsmuster usw.
    • Strafverfolgungsbehörden können damit soziale Netzwerke oder Login-Verläufe nachverfolgen
  • Gespeicherte Inhalte: Nachrichten, Entwürfe und andere tatsächliche Inhalte, auf die der Dienst zugreifen kann
    • Das dient der Sicherung von Beweismitteln, kann bei überzogenen Anfragen aber auch Informationen anderer Nutzer einschließen
  • Inhalte während der Übertragung: Echtzeitdaten laufender Kommunikation
    • Strafverfolgungsbehörden können Abhöranordnungen gegen den Dienst erlassen, was auch die Privatsphäre der beteiligten Nutzer beeinträchtigt

Rechtliche Verfahren für den Datenzugriff

  • Vorladung (Subpoena)
    • Kann ohne richterliche Genehmigung ausgestellt werden; es genügt, die Relevanz für die Ermittlungen darzulegen
    • Wegen fehlender gerichtlicher Kontrolle besteht ein hohes Missbrauchsrisiko
  • Gerichtsbeschluss (Court Order)
    • Erfordert die Zustimmung eines Richters auf Grundlage eines bestimmten Gesetzes
    • Beispiel: Nach dem Stored Communications Act (SCA) können Nicht-Inhaltsdaten angefordert werden
  • Durchsuchungsbefehl (Search Warrant)
    • Wird von einem Richter erlassen und erfordert den Nachweis von wahrscheinlichem Vorliegen von Beweismitteln für eine Straftat (probable cause)
    • In der Regel ist kein vorheriger Widerspruch möglich; oft wird zugleich eine Verschwiegenheitsanordnung (gag order) erlassen
  • Super-Warrant
    • Dient der Echtzeitüberwachung von Kommunikation und setzt Anforderungen wie Ausschöpfung (exhaustion) und Minimierung (minimization) voraus
    • Während der Überwachung darf die betroffene Person nicht benachrichtigt werden; nach Abschluss kann unter Umständen eine Benachrichtigungspflicht bestehen
  • Verschwiegenheitsanordnung (Gag Order)
    • Verbietet Dienstanbietern, die Überwachung offenzulegen
    • Die EFF kritisiert dies fortlaufend wegen möglicher Eingriffe in die Meinungsfreiheit

Wie Dienstanbieter den Schutz der Nutzer stärken können

  • Einhaltung rechtlicher Verfahren: Informelle Datenweitergaben oder Ausnahmen führen schnell zu Eingriffen in die Privatsphäre
    • Auch kleine Host-Anbieter sollten sich rechtlich beraten lassen, um auf unzulässige Anfragen reagieren zu können
  • Widerspruch gegen unzulässige Anfragen: Überzogene oder verfassungswidrige Forderungen können vor Gericht aufgehoben werden
  • Benachrichtigung der Nutzer: Soweit rechtlich nicht verboten, sollten Nutzer schnell über entsprechende Anfragen informiert werden
  • Klare Datenschutzrichtlinien: Statt vager Formulierungen wie „wird bei Bedarf bereitgestellt“ sollte klar festgehalten werden, dass man im Rahmen des gesetzlich Zulässigen maximalen Widerstand leisten will
    • Regelmäßige Transparenzberichte schaffen zusätzlich Vertrauen
  • Minimale Datenerhebung und kürzere Aufbewahrungsfristen
    • Unnötige Daten können zum Ziel von Ermittlungen werden; deshalb sind automatische Löschrichtlinien und selbstlöschende Nachrichten wirksam
  • Begrenzung der Datenweitergabe
    • Die Weitergabe an Drittanbieter-Logins, Werbenetzwerke und Datenbroker sollte minimiert werden
    • So lässt sich ein indirekter Ermittlungszugang über Datenbroker erschweren
  • Echte Ende-zu-Ende-Verschlüsselung (e2ee)
    • Die Architektur muss so gestaltet sein, dass selbst der Dienstanbieter Nachrichteninhalte nicht lesen kann
    • Beispiel: Signal speichert nur Telefonnummer, Erstellungsdatum und Datum des letzten Zugriffs
    • Backdoor-Verschlüsselung oder Client-Side-Scanning widersprechen den Grundprinzipien von e2ee

Schutzmaßnahmen für einzelne Nutzer

  • Der Schutz persönlicher Daten beginnt mit der Wahl vertrauenswürdiger Dienste und stärkeren Sicherheitseinstellungen
  • Mit den Materialien von EFFs Surveillance Self-Defense (SSD) lassen sich Risiken bewerten und Gegenmaßnahmen lernen
  • Browser-Erweiterungen wie Privacy Badger helfen, Datenverfolgung zu verhindern
  • Privatsphäre bleibt eine gemeinsame Aufgabe, bei der Bildung und die Beteiligung an besseren Richtlinien wichtig sind
  • Langfristige Veränderungen sind durch Engagement in lokalen und nationalen Bewegungen für digitale Rechte möglich

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-11
Hacker-News-Kommentare

  • Ich nutze CryptPad, um kollaborative Dokumente mit Ende-zu-Ende-Verschlüsselung zu schützen.
    Vor allem die Kanban-App ist sehr schnell. Im Vergleich dazu ist Trello viel zu schwerfällig und langsam.
    Eine weitere Empfehlung ist das XMPP-Protokoll. Es unterstützt E2E-Verschlüsselung mit OMEMO (auch als Signal-Protokoll bekannt), und ich nutze die Clients Dino (Debian) und Conversations (Android).
    Audio- und Videoanrufe wie bei WhatsApp sind ebenfalls möglich, und über öffentliche Kanäle kann man auch mit neuen Leuten in Kontakt kommen.
    Serveranbieter findet man unter providers.xmpp.net. Mir gefällt, dass alles auf freier Software basiert.

  • Der Satz „Die Cloud existiert nicht, sie ist nur der Computer von jemand anderem“ ist mir besonders im Gedächtnis geblieben.
    Dass die EFF jetzt Stallman zitiert, wirkt wie ein Eingeständnis, dass er am Ende doch recht hatte.

    • Ich glaube nicht, dass die EFF Stallmans Ansichten jemals bestritten hat.
      Der Widerstand gegen seine Wiederwahl bei der FSF im Jahr 2021 lag an seinem problematischen Verhalten, nicht an der Philosophie freier Software.
    • Das Meme stammt womöglich gar nicht von Stallman.
    • Stallman liegt bei freier Software oft richtig, aber wegen der Epstein-Affäre und seiner Äußerungen über Minderjährige finde ich ihn menschlich enttäuschend.

  • Datenbroker sind ein Schlupfloch für legale Überwachung.
    Die Polizei kann persönliche Daten ohne Durchsuchungsbefehl von kommerziellen Brokern kaufen.
    Dieser Markt ist unreguliert und umgeht damit die klassischen Schutzmechanismen der Privatsphäre vollständig.
    Für das Abhören von Echtzeitkommunikation ist ein „Super-Warrant“ nötig, aber die meisten Menschen wissen nicht einmal, dass es so etwas gibt.
    Außerdem verhindern Geheimhaltungsanordnungen (gag orders), dass Unternehmen ihre Nutzer über solche Anfragen informieren, wodurch das Ausmaß der Überwachung verborgen bleibt.

  • Ich denke, die Aussage im Artikel, dass „gegen Durchsuchungsbefehle für gespeicherte Kommunikation kein vorheriger Einspruch möglich ist“, ist falsch.
    Tatsächlich legen Unternehmen häufig Einspruch wegen mangelnder Bestimmtheit oder unzumutbarer Belastung ein.
    Google erklärte zum Beispiel, 2024 nur bei etwa 90 % der erhaltenen Durchsuchungsbefehle Daten herausgegeben zu haben.
    Das US-Rechtssystem ist eher so aufgebaut, dass es die Folgen schlechten Polizeiverhaltens als Beweismittel vor Gericht unzulässig macht, statt das Verhalten selbst zu verhindern.

    • Rechtswidrig erlangte Beweise können ausgeschlossen werden.
      Für eine Durchsuchung ist jedoch ein vorheriger richterlicher Beschluss nötig, daher ist das Recht durchaus darauf ausgelegt, schon die Erhebung selbst zu begrenzen.

  • Schade, dass der Artikel das Verhältnis zwischen US-Daten und ausländischen Nachrichtendiensten kaum anspricht.
    Mich würde interessieren, welches Verfahren tatsächlich gilt, wenn ausländische Strafverfolgungsbehörden Daten von Nutzern US-amerikanischer Dienste anfordern.
    Ich würde zum Beispiel gern wissen, was praktisch passiert, wenn ein Ermittler aus dem Ausland bei einer in den USA ansässigen .com-Domain-Registrierungsstelle Informationen über den Betreiber einer bestimmten Website verlangt.
    In dem Zusammenhang muss ich an den Fall denken, in dem das FBI die Offenlegung der Identität des archive.today-Gründers verlangte.

  • In diesem Artikel habe ich zum ersten Mal den Begriff „Super-Warrant“ gehört.

    • Das scheint eine leicht verständliche Bezeichnung für die verschärften Anforderungen des Fourth Amendment bei der Überwachung von Echtzeitkommunikation zu sein.

  • Ich frage mich, ob der Zugriff auf Online-Daten nicht durch das First Amendment geschützt sein sollte.
    Um ein Haus zu durchsuchen, braucht man einen Durchsuchungsbefehl; bei Online-Daten sollte es doch genauso sein, oder nicht?
    Wenn kein Gericht eingeschaltet wird, verschwinden grundlegende Freiheiten und Rechte.

    • Gerichte betrachten den Dienstanbieter als Dritten (third party).
      Sobald der Nutzer die Daten übermittelt hat, gelten sie nicht mehr als sein Eigentum.
      Siehe Third-party doctrine.
    • Am Ende läuft es darauf hinaus, dass Unternehmen der Polizei sagen können: „Es sind unsere Daten, schaut euch an, was ihr wollt.“
      Rechtlich mag das möglich sein, aber aus Sicht der Privatsphäre ist es extrem gefährlich.
    • Relevant ist nicht der erste, sondern der vierte Verfassungszusatz (Schutz vor unangemessenen Durchsuchungen und Beschlagnahmen).
      Online-Daten liegen auf den Servern des Anbieters und sind rechtlich daher nicht das persönliche „Haus“ des Einzelnen.
    • Der Staat betrachtet den vierten Verfassungszusatz als lästige Einschränkung und nimmt Dinge wie E-Mail-Metadaten vom Schutz aus.
      Letztlich lautet die Logik: „Deine Daten liegen auf dem Computer eines anderen, also reicht die Zustimmung dieser Person.“
    • Kurz gesagt: Wenn sich Daten auf dem Computer eines anderen befinden, gelten sie als deren „Haus“ und können daher durchsucht werden.

  • Googles Transparenzbericht ist eine sehr nützliche Quelle.

  • Noch vor zehn Jahren war schon der Zugriff auf Metadaten hoch umstritten, heute wird sogar der Inhalt von Nachrichten überwacht.
    Der Staat kann Suchergebnisse manipulieren oder bestimmte Informationen verbergen oder hervorheben.
    Zwar gibt es rechtliche Verfahren, doch in der Praxis dient das meiste der nachrichtendienstlichen Informationssammlung und nicht der Verwendung als Beweis vor Gericht.
    Datenbroker, App-Entwickler und Gerätehersteller müssen alle mit dem Staat kooperieren, um ihr Geschäft aufrechterhalten zu können.
    Sogar Identitätsmanipulation oder onlinebasierter Identitätsdiebstahl sind möglich.
    Der Gedanke ist unheimlich, dass Ermittlungsbehörden während der Arbeit an Cloud-Dokumenten Inhalte in Echtzeit mitlesen könnten.

    • Die Formulierung, Strafverfolgungsbehörden würden „sich oft nicht selbst zur Rechenschaft ziehen“, ist mit dem Wort „oft“ viel zu naiv.
      In der Realität übernehmen sie überhaupt keine Verantwortung und sind durch politische Interessen völlig korrupt.

  • Der Suchverlauf gehört zu den Bereichen, auf die ohne Durchsuchungsbefehl oder Benachrichtigung zugegriffen werden kann.
    Wegen der Third-party doctrine genießt er keinen Schutz.