Die Vereinigten Staaten sind für schwache Datenschutzgesetze bekannt. Mit geheimen Überwachungsgerichten und allmächtigen Geheimdiensten hat die USA viele Mittel, um Daten von Personen innerhalb ihres Hoheitsgebiets und darüber hinaus zu sammeln.
In jüngster Zeit wurde diese Macht genutzt, um Frauen strafrechtlich zu verfolgen. Selbst bevor der Oberste Gerichtshof der USA das bundesweite Recht auf Abtreibung 2022 aufhob, hatten viele Staaten Gesetze erlassen, die das Recht auf Abtreibung einschränken.
Zur Verfolgung dieser Fälle haben Ermittler Chatprotokolle, Standortdaten und Websuchen genutzt, die auf den Servern amerikanischer Unternehmen wie Google und Meta gespeichert sind, wie TechCrunch kürzlich berichtete(neues Fenster). Manchmal betreffen diese Datenanfragen Personen, die keine Gesetze gebrochen haben.
Anstatt die Daten ihrer Nutzer zu schützen, geben Unternehmen wie Google sie in der Regel an die Polizei weiter. Dafür gibt es zwei Gründe:
- Sie sind in den USA ansässig
Unternehmen unterliegen den Gesetzen des Landes, in dem sie tätig sind. Im Falle von Google, Meta und vielen anderen Technologieunternehmen bedeutet das, dass sie jeder gültigen gerichtlichen Anordnung zur Bereitstellung von Nutzerdaten an Strafverfolgungsbehörden nachkommen müssen. - Sie nutzen keine Ende-zu-Ende-Verschlüsselung
Obwohl einige Big-Tech-Apps mittlerweile Ende-zu-Ende-Verschlüsselung anbieten, bleiben die meisten Nutzerdaten für die Dienstanbieter zugänglich. Dazu gehören Dinge wie E-Mails in Gmail, Chats in Facebook Messenger mit der Standardeinstellung und Google-Suchen. Wären die Daten Ende-zu-Ende-verschlüsselt, könnten die Unternehmen sie nicht an Dritte weitergeben.
Bei Proton ist das anders, da wir ein Schweizer Unternehmen sind, befolgen wir keine US-Gesetze. Und aufgrund der Art der Verschlüsselung, die wir verwenden, haben wir keinen Zugriff auf den Großteil der Nutzerdaten.
Dieser Artikel erklärt, warum Personen, die Proton nutzen, einzigartig vor US-Datenanfragen geschützt sind.
Wie Datenanfragen in den USA funktionieren
Wie Datenanfragen in der Schweiz funktionieren
Daten sind standardmäßig verschlüsselt
Was wäre, wenn die US-Polizei in einem Abtreibungsfall Daten anfordern würde?
Abschließende Gedanken
Wie Datenanfragen in den USA funktionieren
Strafverfolgungsbehörden fordern regelmäßig Informationen von Unternehmen an, wenn sie glauben, dass dies ihnen bei einer Ermittlung helfen könnte. Google und Facebook erhalten jedes Jahr hunderttausende Anfragen aus aller Welt.
Diese können Situationen von Terroranschlägen und Vermisstenfällen bis hin zu kleineren Verbrechen umfassen. Und die Datenanfragen könnten jedes Stück Daten betreffen, das ein Unternehmen speichert, einschließlich:
- Kontoinformationen, wie IP-Logs, Kontoanmeldungen und Kreditkarteninformationen
- Standortinformationen, einschließlich der Frage, ob du eine bestimmte Adresse besucht hast, die Tatort eines Verbrechens war (bekannt als Geofence-Befehl)
- Kommunikation, einschließlich E-Mails, Chats, Anrufe und Sprachnachrichten
- Suchverläufe, einschließlich Rasterfahndungsanfragen für jeden Nutzer, der ein bestimmtes Stichwort gesucht hat (bekannt als Keyword-Warrant)
- Medien, wie Bilder, Videos und Dokumente in deinem Cloud-Drive
In den USA gibt es unterschiedliche rechtliche Anforderungen für verschiedene Arten von Anfragen. Zum Beispiel ist es einfacher, Kontoinformationen als den Inhalt von E-Mails zu erhalten. In manchen Fällen können die Behörden auch bei Vorliegen eines vollständigen Durchsuchungsbefehls Rasterfahndungsanfragen stellen und Daten von zufälligen Personen sammeln, die nicht des Verbrechens verdächtigt werden.
Die USA haben auch ein geheimes Gericht, das unter dem Foreign Intelligence Surveillance Act (FISA) eingerichtet wurde, welches der Regierung erlaubt, elektronische Überwachungen einzurichten. Google sagt, es genehmigt hunderttausende(neues Fenster) von FISA-Gerichtsanfragen pro Jahr.
Google und Facebook sagen, sie prüfen jede Anfrage sorgfältig. Wenn sie glauben, dass eine Anfrage unangemessen oder zu weit gefasst ist, können sie dagegen vorgehen. Aber laut ihren Transparenzberichten(neues Fenster) berichten(neues Fenster) die beiden Unternehmen, dass sie den meisten Anfragen nachkommen.
Die Konsequenzen der Nichtbefolgung können für Unternehmen fatal sein: Der E-Mail-Anbieter Lavabit entschied sich für die Schließung(neues Fenster), anstatt private Schlüssel herauszugeben, die der Regierung Zugang zu Edward Snowdens E-Mails gegeben hätten. Wie wir bereits geschrieben haben, schließt der Mangel an Aufsicht, geheime Haftbefehle und das Fehlen von starken Datenschutzgesetzen die USA als glaubwürdigen Standort für jedes Unternehmen aus, das behauptet, die Privatsphäre der Nutzer zu schützen.
Wie Datenanfragen in der Schweiz funktionieren
Die Schweiz ist ein grundlegend anderes Umfeld. Zwei der Dinge, für die die Schweiz am bekanntesten ist, sind auch sehr förderlich für den Datenschutz: Privatsphäre und Neutralität.
Wenn eine Strafverfolgungsbehörde in den USA Nutzerdaten von einem Schweizer Unternehmen anfordert, ist es für dieses Unternehmen illegal, die Daten bereitzustellen. Bei Proton lehnen wir alle Datenanfragen von ausländischen Behörden ab.
Proton und andere Schweizer Unternehmen geben Nutzerdaten nur heraus, wenn sie von einer Schweizer Behörde dazu aufgefordert werden. Und selbst dann ist es Protons allgemeine Politik, Datenanfragen nach Möglichkeit anzufechten und nur nach Ausschöpfung aller rechtlichen Mittel nachzukommen.
Schweizer Gesetze schützen die individuellen Freiheiten viel stärker als US-Gesetze. Zum Beispiel haben die USA und die EU die Möglichkeit, Nutzer ohne deren Wissen zu überwachen. In der Schweiz müssen Staatsanwälte die betroffene Person schließlich über die Überwachung informieren, damit sie die Möglichkeit haben, die Überwachung anzufechten. Und es gibt keine geheimen nationalen Sicherheitsgerichte.
In der Schweiz wird die elektronische Überwachung durch das Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs geregelt. Als das Gesetz 2020 aktualisiert wurde, hat Proton die Änderungen angefochten und einen Gerichtsentscheid gewonnen, dass E-Mail-Dienste nicht verpflichtet sind, Nutzerdaten für Überwachungszwecke zu speichern.
Obwohl Privatsphäre und Neutralität tief in der nationalen Ethik verankert sind, ist es nicht ausreichend, in einer datenschutzfreundlichen Rechtsprechung zu sein. Proton verwendet mehrere Ebenen technologischer Sicherheitsmaßnahmen, um die Privatsphäre der Nutzer weiter zu schützen.
Daten sind standardmäßig verschlüsselt
Es ist leicht zu verstehen, warum Strafverfolgungsbehörden Millionen von Datenanfragen an Unternehmen wie Google und Meta stellen — ihre gesamten Geschäftsmodelle basieren auf Überwachung.
Im Gegensatz dazu besteht das Geschäftsmodell von Proton darin, unserer Gemeinschaft nutzerfreundliche und datenschutzorientierte Dienste anzubieten. Um unser Engagement für den Datenschutz zu wahren, haben wir unsere Produkte bewusst so entwickelt, dass sie so wenig Nutzerdaten wie möglich sammeln.
Das beginnt mit der Ende-zu-Ende-Verschlüsselung und der Null-Zugriff-Verschlüsselung, die standardmäßig in Proton Mail, Proton Calendar und Proton Drive enthalten ist. Immer wenn du eine E-Mail sendest oder einen Kalendereintrag erstellst, verschlüsselt Proton die Daten, bevor sie dein Gerät verlassen, mit deinem privaten Schlüssel. Nur dein Passwort kann deinen privaten Schlüssel entsperren, und nur du kennst dein Passwort.
Daher hat Proton keinen Zugriff auf den Inhalt deiner E-Mails, Kalendereinträge oder Drive-Dateien. Selbst wenn ein Schweizer Gericht uns anweisen würde, Daten herauszugeben, könnten wir nur einige Kategorien von Informationen bereitstellen, über die du in unserer Datenschutzerklärung mehr erfahren kannst.
Was wäre, wenn die US-Polizei in einem Abtreibungsfall Daten anfordern würde?
Um den Unterschied zwischen US-amerikanischen und Schweizer Technologieunternehmen zu veranschaulichen, hier ein Beispiel, was passieren könnte, wenn die Polizei in den USA Daten über einen Nutzer anfordert, der verdächtigt wird, gegen das staatliche Recht eine Abtreibung vorgenommen zu haben.
- Nehmen wir an, die Polizei hätte eine Datenanfrage an Proton gestellt, um den Inhalt von E-Mails zwischen dem Verdächtigen und einer Person, von der er Abtreibungspillen erhalten hat, einzusehen. In diesem Fall würde Proton die Anfrage ablehnen, da es für uns illegal wäre, Nutzerdaten ohne eine gültige Schweizer Anordnung von Schweizer Behörden offenzulegen.
- Wenn die US-Polizei anschließend versuchen würde, in der Schweiz über internationale Rechtshilfe eine Anordnung zu erhalten, würden die Schweizer Behörden die Petition fast sicher ablehnen, da Abtreibung in der Schweiz legal ist. Selbst wenn die Schweizer Behörden irgendwie der Datenherausgabe zustimmen würden, würde Proton die Anordnung anfechten.
- Letztendlich, wenn alle rechtlichen Mittel erschöpft wären und Proton gezwungen wäre, Nutzerdaten herauszugeben, wären die E-Mail-Nachrichten oder Anhänge des Nutzers verschlüsselt und für die US-Polizei unzugänglich.
Zum Vergleich: Wenn US-Behörden ähnliche Daten von Google und Meta angefordert haben, haben die Unternehmen die unverschlüsselten Chats und andere Informationen wie gesetzlich vorgeschrieben herausgegeben.
Abschließende Gedanken
Ob es um Abtreibungsverfolgung oder das Ziel von Whistleblowern geht, die USA haben gezeigt, dass sie der Privatsphäre gegenüber äußerst feindlich eingestellt sein können. Die Snowden-Enthüllungen über Massenüberwachungsprogramme und die anschließende Zerstörung von Lavabit sind wegweisende Beispiele.
Obwohl viele Datenanfragen dazu dienen, schwere Verbrechen zu untersuchen, ist die Realität, dass es so etwas wie Datenschutz im Einzelfall nicht gibt. Die gleichen schwachen Datenschutzgesetze und schwache Verschlüsselungen, die zur Verfolgung von Frauen in Abtreibungsfällen oder von Terroristen verwendet werden, können von autoritären Regierungen genutzt werden, um Journalisten und politische Dissidenten zu verfolgen.
Daher müssen wir für starken Datenschutz für alle kämpfen. In diesem Kampf spielt die Rechtsprechung eine wichtige Rolle. Als Schweizer Unternehmen ist Proton stolz darauf, unserer Gemeinschaft einige der stärksten Datenschutzbestimmungen der Welt zu bieten.