Google hat sein Versprechen gebrochen, und jetzt hat ICE meine Daten

 (eff.org)
2 Punkte von GN⁺ 14 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Kontodaten der internationalen Studentin in den USA, Amandla Thomas-Johnson, wurden der Regierung über eine administrative Vorladung von ICE übermittelt, wobei Googles Richtlinie zur vorherigen Benachrichtigung verletzt wurde
  • Die EFF hat die Generalstaatsanwälte der Bundesstaaten aufgefordert zu prüfen, ob Googles Zusammenarbeit mit Strafverfolgungsbehörden ohne Benachrichtigung der Nutzer eine irreführende Geschäftspraxis darstellt
  • Die übermittelten Daten umfassten personenbezogene Informationen wie IP-Adressen, physische Adressen und Sitzungszeiten und wurden als ausreichend bewertet, um ein Überwachungsprofil zu erstellen
  • Googles Benachrichtigung wurde erst versendet, nachdem die Daten bereits dem Department of Homeland Security zur Verfügung gestellt worden waren, sodass der Nutzerin jede Möglichkeit zum Widerspruch genommen wurde
  • Der Fall zeigt, dass die Verknüpfung staatlicher Macht mit den Daten von Technologieunternehmen die Privatsphäre und die Meinungsfreiheit des Einzelnen bedrohen kann

Googles gebrochenes Versprechen und der Zugriff von ICE auf Daten

  • Im September 2024 nahm Amandla Thomas-Johnson, die in den USA studierte, kurz an einer pro-palästinensischen Demonstration teil; im April 2025 stellte die US-Einwanderungs- und Zollbehörde (ICE) Google eine administrative Vorladung zur Herausgabe ihrer Daten zu
    • Im folgenden Monat übermittelte Google die Daten an ICE, ohne die Nutzerin zu benachrichtigen
    • Das ist ein Fall, in dem Google gegen seine ausdrücklich formulierte Richtlinie verstoßen hat, Nutzer vor der Datenweitergabe zu informieren
  • Die Electronic Frontier Foundation (EFF) reichte bei den Generalstaatsanwälten von Kalifornien und New York eine formelle Beschwerde ein und forderte eine Untersuchung von Googles Verhalten als irreführende Geschäftspraxis
    • Die EFF argumentiert, Google habe sein Versprechen zur Nutzerbenachrichtigung gebrochen und bei einer gezielten staatlichen Ermittlung kooperiert

Konflikt mit den US-Einwanderungsbehörden

  • Thomas-Johnson dachte nach ihrer Ausreise nach Kanada, die Sache sei beendet, erkannte aber später, dass sie sich dem Einfluss der US-Regierung weiterhin nicht entziehen konnte
    • Während der Trump-Regierung musste sie wegen des verschärften Vorgehens gegen politische Aktivitäten ausländischer Studierender drei Monate untertauchen
    • Bundesbeamte durchsuchten ihr Zuhause, und eine ihr nahestehende Person wurde am Flughafen zu ihrem Aufenthaltsort befragt
  • Sie ist britisch-trinidadisch-tobagische Doppelstaatsbürgerin ohne strafrechtliche Vorwürfe und geriet allein wegen ihrer Teilnahme an einem politischen Protest ins Visier der Überwachung

Googles Benachrichtigungs-E-Mail

  • Während ihres Aufenthalts in Genf in der Schweiz erhielt sie von Google eine E-Mail, dass ihre Daten bereits dem Department of Homeland Security (DHS) übermittelt worden waren
    • In anderen früheren Fällen hatten Google und Facebook nach einer Vorabbenachrichtigung erlebt, dass Strafverfolgungsbehörden ihre Anfragen zurückzogen
    • Diese E-Mail war jedoch eine abschließende Mitteilung, dass „Google auf Anfrage von Strafverfolgungsbehörden bereits Informationen bereitgestellt hat“
    • Sie stellte fest, dass ihre Daten übergeben worden waren, ohne dass sie überhaupt Gelegenheit zum Widerspruch erhalten hatte

Googles Vertragsbruch gegenüber dem eigenen Versprechen

  • In seinen offiziellen Richtlinien erklärt Google, Nutzer bei rechtlichen Anfragen wie administrativen Vorladungen im Voraus zu benachrichtigen
    • Diese Benachrichtigung soll sicherstellen, dass Nutzer rechtliche Schritte einleiten können
    • Im Fall von Thomas-Johnson wurde dieses Verfahren ausgelassen und die Daten trotzdem übermittelt
  • Die von der EFF beschaffte Vorladung umfasste Bestandsdaten wie IP-Adressen, physische Adressen und Sitzungszeiten
    • Die Kombination dieser Daten ermöglicht die Erstellung eines Überwachungsprofils, das Standortverfolgung und die Analyse von Aktivitätsmustern erlaubt
    • Auch ohne Nachrichteninhalte reicht dies aus, um das Leben und das Beziehungsnetz einer Person detailliert nachzuvollziehen

Verknüpfung staatlicher Macht mit privaten Daten

  • Der Fall zeigt, dass Strafverfolgungsbehörden praktisch jede Person gezielt ins Visier nehmen können und dass die riesigen Datenbestände von Technologieunternehmen dies ermöglichen
    • Wenn staatliche Macht, Unternehmensdaten und algorithmusbasierte Schlussfolgerungen zusammenkommen, erweitert sich der Umfang der Überwachung unsichtbar
    • Eine solche Struktur macht es für überwachte Personen schwer, dies überhaupt zu bemerken oder darauf zu reagieren
  • Thomas-Johnson hat die USA verlassen, sagt aber, sie habe weiterhin das Gefühl, sich noch immer im Einflussbereich der Überwachung durch die US-Regierung zu befinden
    • Sie schildert ihre Angst davor, ob sie „als Zielperson eingestuft wurde“, ob „ihre journalistische Arbeit überwacht werden könnte“ und ob sie „sicher reisen kann, um ihre Familie zu besuchen“
    • Abschließend weist sie darauf hin, dass nicht einmal klar ist, wer überhaupt zur Verantwortung gezogen werden kann

Verwandte Themen

  • Privatsphäre (Privacy), Meinungsfreiheit (Free Speech), Anonymität (Anonymity)

    • Der Fall zeigt, wie die politische Meinungsäußerung und digitale Privatsphäre von Einzelnen durch staatliche Überwachung und die Kooperationsstrukturen von Unternehmen bedroht werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 14 일 전
Hacker-News-Kommentare

  • In Googles Richtlinie steht, dass „keine Benachrichtigung erfolgt, wenn dies gesetzlich verboten ist“
    Ein Anwalt habe die Vorladung zwar geprüft, aber es wurde nicht erwähnt, ob eine Geheimhaltungsanordnung (gag order) vorlag. Genau dieser Punkt ist entscheidend, wenn man behaupten will, Google habe gegen seine Richtlinie verstoßen

    • Laut dem offenen Brief der EFF enthielt die betreffende Vorladung keine Geheimhaltungsanordnung
    • Laut dem Dokument der ACLU ist eine in einer administrativen Vorladung enthaltene Geheimhaltungsanordnung rechtlich nicht durchsetzbar; der Betroffene kann informiert werden und die Sache kann offengelegt werden. Außerdem besteht ohne Gerichtsbeschluss keine Pflicht, der Vorladung Folge zu leisten
    • Tatsächlich ist eine administrative Vorladung rechtlich nur schwach bindend, und selbst wenn ein ICE-Beamter sagt, man solle nichts offenlegen, hat das keine rechtliche Wirkung
    • Solche Klagen und Berichte dienen zu einem großen Teil dazu, ein aktivistisches Narrativ zu stärken. Wenn man Googles Richtlinie liest, wird das klar, und die Grundlage für Kritik an Google ist schwach

  • Dieser Vorfall war für mich der Auslöser, mein fast 20 Jahre lang genutztes Google-Konto vollständig zu löschen
    Zehn Jahre Google Photos, sogar mein Google-One-Abo, habe ich komplett aufgeräumt und bin zu Proton Mail und Self-Hosting gewechselt. Ich werde meine Daten keinem Unternehmen anvertrauen, das sie schon auf Basis eines administrativen Durchsuchungsbeschlusses herausgibt

    • Die eigentliche Lösung ist, Daten verschlüsselt selbst zu speichern. Schon die Vorstellung, alles in die Cloud hochladen zu müssen, führt zu Machtkonzentration
    • Man muss Dienste nicht alle auf einmal umziehen. Ich bin über mehrere Jahre zu Fastmail gewechselt und habe immer dann ein weiteres Konto migriert, wenn Google wieder etwas gemacht hat, das mir nicht gefiel. Es war lästig, aber es fühlte sich befreiend an
    • Ich empfehle Immich. Das ist eine self-hosted Lösung, die Google Photos fast perfekt ersetzt
    • Ich frage mich, ob es einen Hosting-Service gibt, der auf Datenanfragen ohne Gerichtsbeschluss nicht reagiert. Self-Hosting wäre ideal, aber die Zeit ist knapp
    • Mich würde interessieren, welchen Workflow jemand genutzt hat, um alle Websites mit einer Gmail-Adresse auf Proton Mail umzustellen. Ich möchte auch anfangen, selbst wenn es Jahre dauert

  • Viele konzentrieren sich nur auf Googles Datenschutzprobleme, aber das eigentliche Problem ist, dass die Regierung rechtmäßig aufhältige Menschen ins Visier nimmt
    Statt nur staatlicher Überwachung entgehen zu wollen, sollte man darüber empört sein, dass so etwas überhaupt möglich ist

    • Allerdings ist es in vielen Ländern eine legitime Visabedingung, Ausländern politische Aktivitäten zu untersagen. Für solche Einschränkungen gibt es Gründe

  • Ich verstehe nicht, wie ICE zu solchen Befugnissen gekommen ist. Die Behörde verhält sich fast wie eine private Armee

    • Letztlich haben die Wähler diese Befugnisse ermöglicht. In den 25 Jahren seit 9/11 gab es Chancen, das zu ändern, aber niemand hat gehandelt
    • Der Kongress hat diese Befugnisse verliehen, und ihr Einsatz wurde nur durch den Willen des Präsidenten begrenzt. Diese Begrenzung ist jetzt verschwunden
    • Google hätte die Vorladung gemäß den Richtlinien der ACLU zurückweisen oder die betroffene Person benachrichtigen können; der Kern des Problems ist, dass das Unternehmen freiwillig kooperiert hat
    • Zu glauben, Befugnisse würden formell „verliehen“, ist ein Irrtum. US-Behörden handeln oft einfach, und wenn keine andere Macht sie stoppt, machen sie weiter. Im Moment ignoriert die Trump-Regierung jede Begrenzung
    • Letztlich haben Trump und die Republikaner diese Befugnisse politisch gestützt

  • ICE hat offenbar ohne Gerichtsbeschluss darum gebeten, „keine Benachrichtigung zu senden“, und Google scheint dieser Bitte gefolgt zu sein
    Aber warum benachrichtigt die Stelle, die eine administrative Vorladung ausstellt, die betroffene Person nicht direkt? Muss Google dafür die Verantwortung tragen?

    • Normalerweise passiert eine Benachrichtigung, aber es gibt Ausnahmen, etwa bei Nicht-Staatsbürgern, wenn die Person die USA verlassen hat oder bei Ermittlungen zur nationalen Sicherheit
    • Trotzdem ist es immerhin positiv, dass Google letztlich doch benachrichtigt hat

  • Ich frage mich, wie Amandla identifiziert wurde. Über Stingray-Geräte, die Mobiltelefone bei der Demonstration verfolgt haben? Über Gesichtserkennung? Wegen Visadaten? So oder so ist es beunruhigend

    • Tatsächlich verkaufen Telekommunikationsanbieter Standortdaten für bestimmte Gebiete. Wegen KYC-Gesetzen sind Name und E-Mail bereits registriert, und der Staat kann darauf zugreifen, ohne den Kunden zu informieren

  • Interessant ist, dass der Autor Googles Richtliniendokument als ein „Versprechen“ interpretiert
    Tatsächlich ist das aber kein Vertrag, sondern nur eine Beschreibung der Richtlinie. Kein rechtlich bindendes Versprechen
    Es wäre sehr schwer, Googles interne Abläufe oder Absichten zu beweisen. Praktisch ist es nur eine „Darstellung (representation)“
    Silicon-Valley-Unternehmen geben ihren Nutzern fast nie rechtliche Zusagen. Wenn sie das täten, könnten sie die Folgen kaum tragen

    • Letztlich heißt das, dass Fähigkeit (capability) wichtiger ist als ein Versprechen

  • Ich gehe davon aus, dass alle Daten, die mein Zuhause verlassen, vom Staat nachverfolgt und gespeichert werden
    Mein Telefon, die Bewegungen meines Autos, alles wird aufgezeichnet. Auch die J6-Demonstranten wurden über Telefondaten verfolgt

    • Einige Randalierer haben sogar Selfies im Kapitol gemacht und damit Beweise hinterlassen
    • Man sollte die Lehre nicht vergessen, dass die Cloud letztlich nur der Computer eines anderen ist. Das gilt für Gmail, iCloud, AWS, Facebook, WhatsApp und iMessage gleichermaßen
    • Aber diese Denkweise kann in totalitäres Misstrauen führen. Eine Gesellschaft, in der man jeden für einen Spion hält, ist gefährlich
    • Snowden hat diese Überwachungsstruktur bereits offengelegt. Danach gab es etwas Gegenwind, aber es entstehen weiterhin neue Überwachungsprogramme
    • Diese resignierte Haltung bringt nichts. Es gibt viele Dinge, die Einzelne tun können: VPN, verschlüsseltes DNS, Cloud-Vermeidung, Sicherheitsschulungen und mehr

  • Datenschutz, Technik und Freiheit sind eng miteinander verbunden
    Dass so etwas auf HN erscheint, ist wichtig, weil die Menschen, die Googles interne Richtlinien oder Technik bauen, HN lesen
    Solche Fälle bringen Gründer und Entscheidungsträger dazu, neu zu bewerten, ob man Google vertrauen kann

    • Es gibt keine Garantie, dass bei Google kein geheimes Team für Datenabflüsse existiert. Die eigentliche Lösung sind nur Strukturen mit Open Source, E2E-Verschlüsselung und nutzerverwalteten Schlüsseln
    • Solange Technik im Spiel ist, passt diese Diskussion perfekt zu HN. Dass der Staat Technik nutzt, um Überwachung auszubauen, ist ein ernstes Problem
    • Es ist ironisch, wenn Menschen, die Freiheit und Ausdruck verteidigen, solche Themen ignorieren. Es gibt sogar Berichte, dass studentische Demonstrierende verhaftet wurden oder sich verstecken mussten
    • Wenn Google lediglich das Gesetz befolgt hat, sei Kritik daran schwer zu begründen, meinen manche. Unternehmen sollten nicht wie Aktivisten, sondern als Rechtssubjekte handeln

  • Das erinnert an Googles früheren Slogan „Don’t be evil“

    • Dieser Satz wurde schon vor etwa zehn Jahren abgeschafft. Ironischerweise war „nicht böse sein“ offenbar ein Hindernis für das Unternehmenswachstum
    • Inzwischen schafft Google es nicht einmal mehr, „nicht gruselig zu sein“. Es gibt keinen Kundensupport, und intern herrscht eine konkurrenzgetriebene Kultur, weshalb ich Google bei wichtigen Dingen meide
    • Eigentlich war schon dieser Slogan selbst eine Art witzlerische Heuchelei. Gerade wirklich böse Unternehmen werben mit solchen Sprüchen