Wenn Sie jemals eine Datenschutzrichtlinie gelesen haben, haben Sie möglicherweise einen Abschnitt bemerkt, der etwas darüber aussagt, wie Ihre Daten an die Strafverfolgungsbehörden weitergegeben werden. Aber vielleicht lesen Sie, wie die meisten amerikanischen Erwachsenen, die Datenschutzrichtlinien nicht sehr sorgfältig, wenn überhaupt. In diesem Fall werden Sie überrascht sein zu erfahren, wie viele Ihrer Daten sich in den Händen Dritter befinden, wie viel Zugriff die Strafverfolgungsbehörden darauf haben, wie sie gegen Sie verwendet werden können oder welche Rechte Sie — falls vorhanden — haben, um dies zu verhindern.

Viele der Kapitol-Aufständischen könnten dies jetzt entdecken, da Fälle gegen sie mit Beweisen aus Internetdiensten wie Facebook und Google aufgebaut werden. Während sie den Ermittlern (und Internetdetektiven) eine Spur digitaler Beweise hinterließen, waren nicht alle diese Daten öffentlich verfügbar. Wenn Sie Fälle von Personen durchlesen, die wegen Verbrechen im Zusammenhang mit den Ereignissen in Washington am 6. Januar angeklagt sind, werden Sie feststellen, dass das FBI auch interne Aufzeichnungen von verschiedenen Social-Media-Plattformen und Mobilfunkanbietern erhalten hat.

Aber Sie müssen kein angeblicher Aufständischer für die Strafverfolgung sein, um Daten über Sie von einem anderen Unternehmen zu erhalten. In der Tat müssen Sie überhaupt nicht eines Verbrechens verdächtigt werden. Die Polizei verwendet zunehmend Taktiken wie Reverse Search Warrants, um die Daten vieler Menschen zu erfassen, in der Hoffnung, ihren Verdächtigen unter ihnen zu finden. Sie könnten in einem gefegt werden, nur weil Sie zur falschen Zeit am falschen Ort waren oder den falschen Suchbegriff nachgeschlagen haben. Und Sie werden vielleicht nie wissen, dass Sie sich im Schlepptau verfangen haben.

„Ermittler gehen ohne Verdächtigen zu diesen Anbietern und fragen nach einer breiten Palette von Informationen, die nicht gezielt sind, um Verdächtige zu identifizieren, die sie nicht bereits im Sinn hatten“, sagte Jennifer Granick, Beraterin für Überwachung und Cybersicherheit für das Speech, Privacy und Technology Project der ACLU, gegenüber Recode. „Diese Massenüberwachungstechniken werden immer häufiger.“

Wenn ein Unternehmen Ihre Daten sammelt und speichert, kann die Polizei sie wahrscheinlich in die Hände bekommen. Und wenn es um Ihr digitales Leben geht, werden viele Ihrer Daten von Dritten gespeichert, um sie zu erhalten. Hier ist, wie sie es bekommen.

Wie die Strafverfolgung Ihre Daten kauft, kein Haftbefehl erforderlich

Die gute Nachricht ist, dass es einige Datenschutzgesetze gibt, die regeln, ob und wie die Regierung Ihre Daten erhalten kann: Der Electronic Communications Privacy Act (ECPA), der erstmals 1986 erlassen wurde, hat diese Regeln festgelegt.

Aber das Gesetz ist mehrere Jahrzehnte alt. Obwohl es seit 1986 aktualisiert wurde, spiegeln viele seiner Grundsätze nicht wirklich wider, wie wir das Internet heute nutzen oder wie viele unserer Daten in den Händen der Unternehmen bleiben, die uns diese Dienste anbieten.

Das bedeutet, dass es Grauzonen und Schlupflöcher gibt, und für einige Dinge muss die Regierung überhaupt keine rechtlichen Prozesse durchlaufen. Strafverfolgungsbehörden können und kaufen Standortdaten beispielsweise von Datenbrokern. Und während Standortdatenunternehmen behaupten, dass ihre Daten anonymisiert wurden, sagen Experten, dass es oft möglich ist, Personen erneut zu identifizieren.

„Die Vorstellung ist, dass es in Ordnung ist, wenn es zum Verkauf steht“, sagte Kurt Opsahl, stellvertretender Geschäftsführer und General Counsel der Electronic Frontier Foundation (EFF). „Eines der Probleme ist natürlich, dass viele dieser Datenbroker Informationen erhalten, ohne den gewünschten Zustimmungsprozess zu durchlaufen.“

Und es sind nicht nur Standortdaten. Das gesamte Geschäftsmodell des Gesichtserkennungsunternehmens Clearview AI besteht darin, Strafverfolgungsbehörden den Zugriff auf seine Gesichtserkennungsdatenbank zu verkaufen, von denen ein Großteil aus öffentlich zugänglichen Fotos stammt, die Clearview aus dem Internet entfernt hat. Wenn Sie nicht in einer Stadt oder einem Staat leben, der die Gesichtserkennung verboten hat, ist es derzeit legal, dass die Polizei für Ihre Gesichtsdaten bezahlt, unabhängig davon, wie fehlerhaft die Technologie dahinter ist.

Dies könnte sich ändern, wenn so etwas wie der Fourth Amendment Is Not for Sale Act, der Strafverfolgungsbehörden den Kauf kommerziell verfügbarer Daten verbietet, Gesetz werden würde. Aber im Moment ist das Schlupfloch offen.

„Eine der Herausforderungen bei jedem Technologiegesetz ist, dass sich die Technologie schneller entwickelt als das Gesetz“, sagte Opsahl. „Es ist immer eine Herausforderung, diese Gesetze zu einem modernen Umfeld anzuwenden, aber immer noch, all diese Jahrzehnte später, einen soliden Schutz der Privatsphäre zur Verfügung gestellt. Es könnte definitiv Verbesserungen geben, aber es macht heute noch gute Arbeit.“

Was Strafverfolgungsbehörden durch die Gerichte bekommen können

Wenn Sie eines Verbrechens verdächtigt werden und die Polizei nach Beweisen in Ihrem digitalen Leben sucht, sagt ECPA, dass sie eine Vorladung, einen Gerichtsbeschluss oder einen Haftbefehl haben müssen, bevor ein Unternehmen die angeforderten Daten zur Verfügung stellen darf. Das heißt, das Unternehmen kann es nicht einfach freiwillig abgeben. Es gibt einige Ausnahmen — zum Beispiel, wenn Grund zu der Annahme besteht, dass eine unmittelbare Gefahr besteht oder ein Verbrechen im Gange ist. Bei strafrechtlichen Ermittlungen gelten diese Ausnahmen jedoch nicht.

Im Großen und Ganzen hängt das rechtliche Verfahren, das Ermittler anwenden müssen, davon ab, nach welchen Daten sie suchen:

• Facebook-Vorladung: Dies gibt Ermittlern sogenannte Abonnenteninformationen wie Ihren Namen, Ihre Adresse, Ihre Dienstzeit (z. B. wie lange Sie Ihr Facebook-Profil haben), Protokollinformationen (wenn Sie telefoniert haben) Anrufe oder Ein- und Ausloggen aus Ihrem Facebook-Konto) und Kreditkarteninformationen.
• Gerichtsbeschluss oder „D“ -Beschluss: Das D bezieht sich auf 18 US-Code § 2703 (d), der besagt, dass ein Gericht Internetdienstanbieter anweisen kann, Strafverfolgungsbehörden Aufzeichnungen über den Abonnenten außer dem Inhalt ihrer Kommunikation zu geben. Das könnte also beinhalten, wer Ihnen wann eine E-Mail geschickt hat, aber nicht den Inhalt der eigentlichen E-Mail.
• Durchsuchungsbefehl: Dies gibt den Strafverfolgungsbehörden Zugriff auf den Inhalt selbst, insbesondere auf gespeicherte Inhalte, einschließlich E-Mails, Fotos, Videos, Posts, Direktnachrichten und Standortinformationen. Während die ECPA besagt, dass E-Mails, die über 180 Tage gespeichert wurden, mit nur einer Vorladung abgerufen werden können, stammt diese Regel aus der Zeit, als die Leute ihre E-Mails routinemäßig auf dem Server eines anderen Unternehmens aufbewahrten (wie weit reicht Ihr Google Mail-Posteingang zurück?) oder verwendet es als Backup. Zu diesem Zeitpunkt haben mehrere Gerichte entschieden, dass ein Haftbefehl für E-Mail-Inhalte erforderlich ist, unabhängig davon, wie alt die E-Mails sind, und Dienstanbieter verlangen im Allgemeinen einen Haftbefehl, bevor sie der Übergabe zustimmen.

Wenn Sie eine Vorstellung davon bekommen möchten, wie oft die Regierung Daten von diesen Unternehmen anfordert, veröffentlichen einige von ihnen Transparenzberichte, die grundlegende Details darüber enthalten, wie viele Anfragen sie erhalten, welche Art und wie viele dieser Anfragen sie erfüllen. Sie zeigen auch, wie stark diese Anfragen im Laufe der Jahre zugenommen haben. Hier ist der Transparenzbericht von Facebook, hier ist der von Google und hier ist der von Apple. Die EFF hat 2017 auch einen Leitfaden herausgegeben, der zeigt, wie mehrere Technologieunternehmen auf Regierungsanfragen reagieren.

Sie müssen kein Verdächtiger sein oder an einem Verbrechen beteiligt sein, damit die Strafverfolgungsbehörden an Ihre Daten gelangen können

Nehmen wir also an, Sie haben beschlossen, dass Sie niemals ein Verbrechen begehen werden, sodass die Strafverfolgung, die Ihre Daten erhält, für Sie niemals ein Problem darstellt. Du irrst dich.

Wie oben erwähnt, können Ihre Daten in einen Kauf bei einem Datenbroker einbezogen werden. Oder es kann in einem digitalen Dragnet, auch bekannt als umgekehrter Durchsuchungsbefehl, geschöpft werden, wo die Polizei Daten über eine große Gruppe von Menschen anfordert, in der Hoffnung, ihren Verdächtigen in ihnen zu finden.

„Dies sind neuartige Techniken, um Dinge zu entdecken, die in der Vergangenheit nie hätten entdeckt werden können und die die Fähigkeit haben, unschuldige Menschen einzuseilen“, sagte Granick von der ACLU.

Zwei Beispiele dafür: Wohin du gegangen bist und wonach du gesucht hast. In einem Geofence-Haftbefehl erhält die Strafverfolgung Informationen über alle Geräte, die sich zu einem bestimmten Zeitpunkt in einem bestimmten Gebiet befanden — beispielsweise dort, wo ein Verbrechen stattgefunden hat —, schränkt sie dann ein und erhält Kontoinformationen für die Geräte, von denen sie glauben, dass sie zu ihren Verdächtigen gehören. Bei Schlüsselwortbefehlen kann die Polizei einen Browser nach allen IP-Adressen fragen, die nach einem bestimmten Begriff im Zusammenhang mit ihrem Fall gesucht haben, und dann einen möglichen Verdächtigen aus dieser Gruppe identifizieren.

Diese Situationen stellen nach wie vor eine rechtliche Grauzone dar. Während einige Richter sie als Verstoß gegen den vierten Verfassungszusatz bezeichnet und die Anträge der Regierung auf Haftbefehle abgelehnt haben, haben andere sie zugelassen. Und wir haben mindestens einen Fall gesehen, in dem umgekehrte Durchsuchungsbefehle zur Verhaftung einer unschuldigen Person geführt haben.

Möglicherweise wird Ihnen jahrelang nicht mitgeteilt, dass Ihre Daten erhalten wurden — wenn Sie dies überhaupt erfahren

Ein weiterer beunruhigender Aspekt dabei ist, dass Sie je nachdem, was angefordert wird und warum, möglicherweise nie wissen, ob die Polizei Ihre Daten von einem Unternehmen angefordert hat oder ob dieses Unternehmen sie ihnen gegeben hat. Wenn Sie wegen eines Verbrechens angeklagt werden und diese Daten als Beweismittel gegen Sie verwendet werden, wissen Sie es. Wenn Ihre Daten jedoch durch den Kauf bei einem Datenbroker oder als Teil einer Massenanforderung abgerufen werden, ist dies möglicherweise nicht der Fall. Wenn ein Unternehmen Ihnen mitteilt, dass die Strafverfolgungsbehörden Ihre Daten benötigen, und Sie im Voraus benachrichtigt, können Sie versuchen, ihre Anfrage selbst zu bekämpfen. Aber Ermittler können Knebelbefehle erhalten, die Unternehmen daran hindern, Benutzern etwas zu sagen, an welchem Punkt Sie hoffen müssen, dass das Unternehmen für Sie kämpft.

Laut ihren Transparenzberichten scheinen Google, Apple und Facebook manchmal zu kämpfen oder sich zurückzudrängen — zum Beispiel, wenn sie denken, dass eine Anfrage zu umfangreich oder belastend ist —, so dass nicht jede Anfrage erfolgreich ist. Aber das sind sie. Es gilt nicht unbedingt für alle.

„Nicht jeder Anbieter ist ein Google oder ein Facebook, das eine tiefgreifende Rechtsabteilung mit ernsthafter Expertise im Bundesüberwachungsrecht hat“, sagte Granick, „Einige Anbieter wissen nicht, was sie tun. Vielleicht tun sie gar nichts. Das ist ein echtes Problem.“

Die Mehrheit der Regierungsanfragen, selbst an die größten Unternehmen der Welt, führt zur Offenlegung zumindest einiger Benutzerdaten, und wir haben Fälle gesehen, in denen jemandes Daten an die Regierung weitergegeben wurden und diese Person es jahrelang nicht wusste. Zum Beispiel, Das Justizministerium erhielt demokratische Reps. Adam Schiffs und Eric Swalwells Abonnentenaufzeichnungen (und die ihrer Familienmitglieder) von Apple durch eine Vorladung der Grand Jury. Dies geschah in den Jahren 2017 und 2018, aber die Kongressmitglieder erfuhren erst im Juni 2021 davon, als die Knebelanordnung auslief.

Wenn Ihre Informationen in so etwas wie einem umgekehrten Durchsuchungsbefehl gefunden werden, Sie jedoch nie als Verdächtiger oder Beschuldigter identifiziert werden, wissen Sie möglicherweise überhaupt nichts davon, wenn das Unternehmen, das sie zur Verfügung gestellt hat, es Ihnen nicht mitteilt. Opsahl von der EFF sagte, dass die meisten großen Technologieunternehmen Transparenzberichte veröffentlichen und dies als Best Practice der Branche angesehen wird. Das bedeutet nicht, dass sie alle folgen, noch müssen sie.

Wie Sie dies verhindern können

Wenn es um Ihre Daten geht, die von Dritten gespeichert werden, haben Sie nicht viel Kontrolle oder Mitsprache darüber, ob und was diese offenlegen. Sie verlassen sich auf Gesetze, die geschrieben wurden, bevor das moderne Internet existierte, auf die Interpretation eines Richters (vorausgesetzt, es geht vor einen Richter, was Vorladungen möglicherweise nicht tun) und auf die Unternehmen, die Ihre Daten haben, um sie zu bekämpfen. Wenn Sie über eine ausstehende Bestellung benachrichtigt werden, können Sie diese möglicherweise selbst bekämpfen. Das ist keine Garantie, dass du gewinnst.

Der beste Weg, Ihre Daten zu schützen, besteht darin, Dienste zu verwenden, die sie überhaupt nicht erhalten. Datenschutzbedenken, einschließlich der Fähigkeit, frei von staatlicher Überwachung zu kommunizieren, haben verschlüsselte Messaging-Apps wie Signal und private Browser wie DuckDuckGo in den letzten Jahren populär gemacht. Sie minimieren die Daten, die sie von Benutzern sammeln, was bedeutet, dass sie nicht viel zu geben haben, wenn Ermittler versuchen, sie zu sammeln. Sie können auch Dienste bitten, Ihre Daten von ihren Servern zu löschen oder sie überhaupt nicht auf sie hochzuladen (vorausgesetzt, dies sind Optionen). Das FBI kann nicht viel von Apples iCloud bekommen, wenn Sie nichts hochgeladen haben.

Zu diesem Zeitpunkt müssen die Ermittler versuchen, die gewünschten Daten von Ihrem Gerät abzurufen … das ist eine ganz andere Dose legaler Würmer.