Wie Google mit behördlichen Ersuchen zu Nutzerdaten umgeht

Google erhält von Behörden auf der ganzen Welt Auskunftsersuchen im Hinblick auf Nutzerdaten. Jedes einzelne Ersuchen wird von uns sorgfältig geprüft, um sicherzustellen, dass es den geltenden Gesetzen entspricht. Wird mit einem Ersuchen die Herausgabe zu viele Informationen gefordert, versuchen wir, den Umfang einzugrenzen. In einigen Fällen weigern wir uns auch, überhaupt Informationen herauszugeben. Die Anzahl und die Arten der Ersuchen, die bei uns eingehen, legen wir in unserem Transparenzbericht offen.

Wie wir auf ein Ersuchen reagieren, hängt von Ihrem Google-Dienstanbieter ab. Für die meisten unserer Dienste ist das entweder Google LLC, ein US-Unternehmen, das US-amerikanischem Recht unterliegt, oder Google Ireland Limited, ein irisches Unternehmen, das irischem Recht unterliegt. Wenn Sie wissen möchten, wer Ihr Dienstanbieter ist, finden Sie weitere Informationen in unseren Nutzungsbedingungen. Falls Ihr Google-Konto von einer Organisation verwaltet wird, fragen Sie Ihren Kontoadministrator.

Wenn wir ein behördliches Ersuchen erhalten, senden wir eine E-Mail an das entsprechende Nutzerkonto, bevor wir Informationen offenlegen. Falls das Konto von einer Organisation verwaltet wird, erhält der Kontoadministrator diese Benachrichtigung.

Wir versenden keine Benachrichtigung, wenn dies gemäß den Bedingungen des Ersuchens gesetzlich verboten wäre. Wenn das gesetzliche Verbot nicht mehr besteht, wird die Benachrichtigung aber versendet – etwa wenn der Zeitraum einer gesetzlich oder per Gerichtsbeschluss vorgeschriebenen Informationssperre abgelaufen ist.

Wir senden möglicherweise keine Benachrichtigung an das entsprechende Konto, wenn dieses deaktiviert oder gehackt wurde. Darüber hinaus versenden wir in Notfällen unter Umständen keine Benachrichtigung, etwa wenn die Sicherheit eines Kindes gefährdet ist oder Lebensgefahr besteht. In diesen Fällen wird die Benachrichtigung erst gesendet, wenn wir erfahren haben, dass der Notfall nicht mehr besteht.

Ersuchen von US-Behörden in Zivil-, Verwaltungs- und Strafsachen

Der vierte Zusatzartikel zur US-Verfassung und der Electronic Communications Privacy Act (ECPA, deutsch: "Datenschutzgesetz für die elektronische Kommunikation") schränken die Möglichkeiten der Behörden ein, Anbieter zur Offenlegung von Nutzerdaten zu zwingen. Die Behörden in den USA müssen mindestens Folgendes beachten:

  • Immer: Eine Vorladung ausstellen, um die Offenlegung allgemeiner Nutzerregistrierungsdaten und bestimmter IP-Adressen zu erzwingen
  • Bei Strafsachen
    • Eine gerichtliche Verfügung erwirken, um die Offenlegung von Daten zu erzwingen, die nicht den Inhalt betreffen, etwa die Informationen in den Feldern "An", "Von", "Cc", "Bcc" und "Zeitstempel" in E-Mails
    • Einen Durchsuchungsbefehl erwirken, um die Offenlegung des Inhalts von Mitteilungen zu erzwingen, etwa von E-Mail-Nachrichten, Dokumenten und Fotos

Ersuchen von US-Behörden in Fällen, die die nationale Sicherheit betreffen

Bei Untersuchungen, die die nationale Sicherheit betreffen, können US-Behörden auf einen National Security Letter (NSL, deutsch: "Brief zur nationalen Sicherheit") oder eine der Befugnisse des Foreign Intelligence Surveillance Act (FISA, deutsch: "Gesetz zur Überwachung in der Auslandsaufklärung") zurückgreifen, um Google zur Herausgabe von Nutzerdaten zu zwingen.

  • Für einen NSL ist keine richterliche Genehmigung erforderlich und er kann nur dazu genutzt werden, die Herausgabe von Informationen zu Nutzern in einem begrenzten Umfang zu erwirken.
  • FISA-Anordnungen und ‑Befugnisse können dazu genutzt werden, eine elektronische Überwachung und die Offenlegung gespeicherter Daten zu erwirken, einschließlich der Inhalte solcher Dienste wie Gmail, Google Drive und Google Fotos.

Ersuchen von Behörden außerhalb der USA

Google LLC erhält manchmal Auskunftsersuchen von Behörden außerhalb der USA. Wenn wir solche Ersuchen erhalten, geben wir möglicherweise Nutzerdaten weiter, sofern dies im Einklang mit allen folgenden Punkten geschieht:

  • US-Recht: Das bedeutet, dass Zugriff und Offenlegung gemäß geltendem US-Recht, etwa dem Electronic Communications Privacy Act (ECPA), zulässig sind
  • Gesetzgebung des Landes, aus dem das Ersuchen stammt: Das bedeutet, dass wir von der Behörde verlangen, das gleiche rechtsstaatliche Verfahren einzuhalten, das erforderlich wäre, wenn das Ersuchen bei einem lokalen Anbieter eines ähnliches Dienstes eingehen würde
  • Internationale Normen: Das bedeutet, dass wir nur Daten als Reaktion auf solche Ersuchen herausgeben, die den Prinzipien der Meinungsfreiheit und des Datenschutzes der Global Network Initiative und den zugehörigen Richtlinien zur Umsetzung genügen
  • Google-Richtlinien: Diese beinhalten alle relevanten Nutzungsbedingungen und Datenschutzerklärungen sowie Richtlinien in Bezug auf den Schutz der Meinungsfreiheit

Google Ireland stellt den Großteil der Google-Dienste im Europäischen Wirtschaftsraum und in der Schweiz zur Verfügung und erhält aus diesem Grund ebenfalls Ersuchen um Nutzerdaten.

Ersuchen von irischen Behörden

Google Ireland berücksichtigt bei der Bearbeitung von Auskunftsersuchen durch irische Behörden irisches Recht. Gemäß irischem Recht müssen irische Strafverfolgungsbehörden eine richterliche Genehmigung einholen, um die Herausgabe von Nutzerdaten bei Google Ireland zu erwirken.

Ersuchen von Behörden außerhalb von Irland

Google Ireland bietet seine Dienste Nutzern im Europäischen Wirtschaftsraum und in der Schweiz an. Wir erhalten daher manchmal Auskunftsersuchen von Behörden, die sich außerhalb von Irland befinden. In solchen Fällen geben wir möglicherweise Nutzerdaten weiter, sofern dies im Einklang mit allen folgenden Punkten geschieht:

  • Irisches Recht: Das bedeutet, dass Zugriff und Offenlegung gemäß geltendem irischem Recht, etwa dem Irish Criminal Justice Act, zulässig sind
  • In Irland gültiges EU-Recht: Alle EU-Gesetze, die in Irland Gültigkeit besitzen, einschließlich der EU-Datenschutz-Grundverordnung (DSGVO)
  • Gesetzgebung des Landes, aus dem das Ersuchen stammt: Das bedeutet, dass wir von der Behörde verlangen, das gleiche rechtsstaatliche Verfahren einzuhalten, das erforderlich wäre, wenn das Ersuchen bei einem lokalen Anbieter eines ähnliches Dienstes eingehen würde
  • Internationale Normen: Das bedeutet, dass wir nur Daten als Reaktion auf solche Ersuchen herausgeben, die den Prinzipien der Meinungsfreiheit und des Datenschutzes der Global Network Initiative und den zugehörigen Richtlinien zur Umsetzung genügen
  • Google-Richtlinien: Diese beinhalten alle relevanten Nutzungsbedingungen und Datenschutzerklärungen sowie Richtlinien in Bezug auf den Schutz der Meinungsfreiheit

Wenn wir berechtigten Grund zur Annahme haben, dass wir schwere körperliche Verletzungen oder den Tod einer Person verhindern können, geben wir möglicherweise Informationen an eine Behörde weiter. Bei derlei Notfällen kann es sich zum Beispiel um Bombendrohungen, Schulschießereien, Entführungen, Suizidprävention und Fälle vermisster Personen handeln. Auch solche Fälle bearbeiten wir unter Berücksichtigung anwendbarer Gesetze und unserer Richtlinien.