Überblick Datenanfrage
Diese Übersetzung dient ausschließlich Informationszwecken. Bei allfälligen Widersprüchen zwischen dieser und der englischen Version hat die englische Version Gültigkeit.
Slack setzt sich für Vertrauen und Transparenz ein.
Die folgenden Dokumente und häufig gestellten Fragen enthalten unsere Grundsätze und Richtlinien zu Anforderungen von Kundendaten durch Regierungs- und Strafverfolgungsbehörden sowie zu zivilrechtlichen Datenanfragen durch Drittparteien. Du findest hier auch unsere jährlichen Berichte zur Anzahl der Anfragen, die wir erhalten, sowie unsere Reaktionen darauf.
Richtlinie über die Anforderung von Daten
Im Rahmen unserer Verpflichtung zu Vertrauen und Transparenz beschreibt unsere Richtlinie zu Datenanforderungen die Grundsätze und Verfahren von Slack in Bezug auf Anfragen nach Kundendaten. Diese Richtlinie bildet die Grundlage für unsere Praktiken im Umgang mit Anfragen nach Daten von Dritten, Anfragen durch Justizbehörden, Benachrichtigungen von Kunden und internationale Anfragen nach Daten.
Transparenzbericht
Salesforce veröffentlicht jährlich Informationen über die Anfragen von Strafverfolgungsbehörden und Behörden, die Salesforce-Unternehmen, einschließlich Slack, im vorangegangenen Kalenderjahr erhalten haben. Diese Transparenzberichte legen die Grundsätze von Salesforce zur Wahrung von Kundengeheimnissen, die Anzahl der jährlich eingehenden Anfragen und die Daten zu den Antworten dar. Die Transparenzberichte der letzten Jahre sind in Slacks Archiv für Rechtsangelegenheiten zu finden.
Häufig gestellte Fragen
Wie geht Slack mit Anfragen von Regierungs- und Strafverfolgungsbehörden um?
Slack ist eine Workplace-Online-Produktivitätsplattform gemäß den Definitionen und Erläuterungen in unserer Datenschutzrichtlinie und unseren Nutzungsbedingungen. Wenn wir eine Anfrage im Rahmen eines triftigen Rechtsverfahrens von einer Regierungs- oder Strafverfolgungsbehörde erhalten, sind wir möglicherweise gesetzlich zur Herausgabe von Benutzerdaten verpflichtet. Unsere Richtlinie zu Datenanfragen beschreibt die Voraussetzungen, die für solche Anfragen erfüllt werden müssen, während unser Transparenzbericht Art und Anzahl der Anfragen von Regierungs- und Strafverfolgungsbehörden aufschlüsselt, die jedes Jahre bei uns eingehen.
An wen sollte ich mich bei Anfragen im Rahmen eines Rechtsverfahrens wenden?
Alle Anfragen von Strafverfolgungs- und Regierungsbehörden (darunter auch internationale Regierungs- und Strafverfolgungsbehörden) sollten an unseren E-Mail-Alias für Rechtsverfahren gesendet werden: legalprocess@slack.com
Welche Informationen benötigt Slack zur Bearbeitung einer Anfrage?
Zusätzlich zu den unbedingt erforderlichen und einschlägigen rechtlichen Vorschriften sollten alle Anfragen im Rahmen eines Rechtsverfahrens die folgenden Angaben beinhalten: (a) die anfragende Regierungs- oder Strafverfolgungsbehörde, (b) das zugehörige straf- oder zivilrechtliche Verfahren, sowie (c) Angaben zur Identifikation des Slack Workspace, darunter die maßgeblichen Kunden- und Benutzernamen, der Datumsbereich, die Workspace-URL von Slack (slackname.slack.com) und die Art der angeforderten Daten. Die Anfrage muss darüber hinaus über ein offizielles E-Mail-Konto erfolgen und die vollständigen Kontaktinformationen des Auskunft ersuchenden Beamten enthalten.
Was passiert, wenn Slack eine Anfrage von einer Strafverfolgungsbehörde erhält?
Wir überprüfen alle Anfragen sorgfältig auf ihre rechtliche Hinlänglichkeit und achten dabei insbesondere auf die Privatsphäre unserer Kunden. Slack weist unter Umständen Anfragen zurück, die unklar, zu allgemein oder unangemessen sind.
Wie häufig stellen Sie Regierungs- oder Strafverfolgungsbehörden Daten zur Verfügung?
In unserem Transparenzbericht wird die Anzahl der Anfragen ausgewiesen, die wir jedes Jahr erhalten. Der aktuelle Bericht deckt den Zeitraum vom 1. Januar bis zum 31. Dezember 2019 ab und nennt die Anzahl von Verfügungen, Anordnungen und anderen Datenanfragen, die in diesem Jahr eingegangen sind. Darüber hinaus wird auch auf die Kategorien der bereitgestellten Informationen eingegangen, z. B. inhaltliche und nicht-inhaltliche Daten.
Unterstützt Slack Strafverfolgungs- und Regierungsbehörden bei der Kommunikationsüberwachung?
Slack unternimmt weder eine Echtzeitüberwachung von Kunden noch gewähren wir Behörden zu Überwachungszwecken freiwillig Zugriff auf Daten über Benutzer. In unserem Transparenzbericht finden Sie weitere Informationen zu diesem Thema.
Erhält Slack im Rahmen von FISA § 702 gerichtliche Anordnungen für eine „Upstream“- oder Massenüberwachung?
Nein. Wie alle anderen Kommunikationsplattformen in den Vereinigten Staaten ist auch Slack ein elektronischer Kommunikationsdienst („ECS“) bzw. Remote-Computingservice („RCS“) (gemäß der Definitionen in den Abschnitten 2510 bzw. 2711 von Title 18 U.S.C.), wenn es Dienstleistungen für Kunden erbringt. Es ist daher möglich, dass die Regierung der Vereinigten Staaten eine spezifische Überwachungsanordnung im Rahmen von FISA § 702 gegen Slack erlässt.
Die Anordnung einer pauschalen „Upstream“-Überwachung im Rahmen von § 702 ist im Fall von Slack jedoch nicht denkbar. Bei der Umsetzung von FISA § 702 setzt die US-Regierung Anordnungen von Upstream-Überwachungen nämlich nur für den Datenverkehr von Internet-Backbone-Anbietern ein, die Daten von Dritten verarbeiten und übermitteln. Weitere Informationen hierzu finden Sie im Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act des Privacy and Civil Liberties Oversight Board (2. Juli 2014) Seite 35–40, abrufbar unter https://fas.org/irp/offdocs/pclob-702.pdf. Slack ist kein Anbieter derartiger Backbone-Services, da wir nur den Datenverkehr unserer eigenen Kunden verarbeiten. Folglich kommt Slack für die Art von Anordnungen, um die es im zweiten Schrems-Urteil geht und die dort als problematisch erachtet werden, nicht in Frage.
Unterstützt Slack US-Behörden bei der massenhaften Erfassung von Daten im Rahmen von Executive Order 12333?
Slack bietet US-Behörden keinerlei Unterstützung bei der Durchführung von Überwachungsmaßnahmen im Rahmen von Executive Order 12333. Darüber hinaus befugt Executive Order 12333 die US-Regierung auch nicht, Unternehmen zu zwingen, bei derartigen Aktivitäten Hilfestellung zu leisten, und Slack hat nicht vor, dies freiwillig zu tun. Hieraus folgt, dass Slack nicht angewiesen werden kann, eine derartige Massenüberwachung im Rahmen von Executive Order 12333 durch entsprechende Maßnahmen zu unterstützen.
Welche Maßnahmen unternimmt Slack zum Schutz von übermittelten und gespeicherten Daten?
Slack trifft eine Vielzahl von technischen und organisatorischen Vorkehrungen, um das Abfangen, Abhören bzw. den anderweitigen unbefugten Zugriff auf Daten während der Übermittlung zu verhindern. So verschlüsselt Slack z. B. sämtliche Datenübertragungen, um ein Abfangen der Daten durch Dritte, z. B. durch Regierungsbehörden, die sich möglicherweise während der Übertragung physischen Zugang zu den Übertragungsmechanismen verschaffen könnten, zu verhindern. Slack nutzt ausschließlich geschützte Datenübertragungen mit dem Verschlüsselungsprotokoll TLS 1.2 über HTTPS. Diese Funktion ist bei Übertragungen zwischen zwei Endpunkten (Slack und unsere Kunden) standardmäßig aktiviert, um eine Manipulation bzw. ein Abhören des Datenverkehrs einzuschränken.
Unser Enterprise Key Management Workspace bietet durch ein unveränderbares Audit-Protokoll eine zusätzliche Sicherheitsvorkehrung, durch die der Kunde jedes Mal informiert wird, wenn auf seine Daten zugegriffen wird. Das Aufbewahren oder Produzieren von EKM-Inhalten würde zu einem für den Kunden einsehbaren Eintrag im Zugriffsprotokoll führen. Der Kunde hat darüber hinaus die Möglichkeit, Verschlüsselungscodes zu widerrufen, um den Zugriff auf unverschlüsselte Inhalte zu verhindern.
Hat die Verabschiedung des US-amerikanischen CLOUD Act Einfluss auf die Art und Weise, wie Slack auf Anfragen von US-Regierungsbehörden im Rahmen von Rechtsverfahren reagiert?
Nein. Der 2018 verabschiedete CLOUD Act klärt die geografische Reichweite von Anfragen durch US-amerikanische Strafverfolgungsbehörden und schafft einen gesetzlichen Rahmen, auf dessen Grundlage Unternehmen wie Slack Anordnungen anfechten können, die unter bestimmten Umständen mit ausländischem Recht im Konflikt stehen. Durch den CLOUD Act wurden keine der bereits vorhandenen juristischen oder datenschutzrechtlichen Vorkehrungen zum Schutz von Benutzerdaten beeinträchtigt, und Slack prüft sämtliche im Rahmen von Rechtsverfahren eingereichten Anfragen, darunter auch die, die gemäß CLOUD Act erfolgen, weiterhin genauso rigoros wie zuvor.
Welche Art von Daten werden als Antwort auf Anfragen offengelegt, die im Rahmen von Rechtsverfahren durch Strafverfolgungs- oder Regierungsbehörden eingereicht werden?
„Inhaltsdaten“ beinhalten von Benutzern generierte Daten, z. B. öffentliche und private Nachrichten, Beiträge, Dateien und Direktnachrichten. Ohne einen Durchsuchungsbefehl gibt Slack diese Daten nicht an Strafverfolgungsbehörden heraus.
„Nicht-inhaltliche Daten“ sind grundlegende Account-Informationen (wie Name und E-Mail-Adresse, Profil- und Registrierungsinformationen, Login-Verlauf und Rechnungsinformationen) sowie andere Daten ohne inhaltlichen Bezug (z. B. Datum, Uhrzeit und Absender/Empfänger von Nachrichten oder Dateien). Abhängig von der Art der angeforderten Daten besteht Slack vor der Herausgabe unter Umständen auf einer Vorladung oder einer gerichtlichen Anordnung.
Was ist der Unterschied zwischen einem Durchsuchungsbefehl, einer gerichtlichen Anordnung und einer strafrechtlichen Vorladung?
Ein „Durchsuchungsbefehl“ ist eine Anordnung, die von einem Richter oder Magistrat nach Feststellung eines hinreichenden Verdachts erlassen wird. Um den Inhalt von Kommunikation zu erhalten, ist ein Durchsuchungsbefehl erforderlich.
Eine gerichtliche Anordnung attestiert einer Behörde hinreichende Gründe, davon ausgehen zu können, dass die angeforderten Informationen im Rahmen einer laufenden strafrechtlichen Untersuchung maßgeblich und wesentlich sind. Eine Behörde kann die Herausgabe von grundlegenden, nicht-inhaltlichen Daten sowie von Metadaten zu einem Workspace per gerichtlicher Anordnung erwirken, jedoch nicht die Herausgabe von inhaltlichen Daten.
Eine strafrechtliche Vorladung („Law Enforcement Subpoena“) ist eine von einer Regierungsbehörde ausgestellte Zwangsvorladung zur Vorlage bestimmter Informationen, z. B. Kundenname und -anschrift, Dauer der Dienstleistung oder Zahlungsmittel und -herkunft in einem Strafverfahren.
Können Regierungs- und/oder Strafverfolgungsbehörden von Slack die Herausgabe von gelöschten Daten verlangen?
In der Regel nicht. Sofern die gelöschten Daten nicht von einem Kunden gemäß seinen Aufbewahrungseinstellungen aufbewahrt werden, werden diese unmittelbar bei Löschungen von den Systemen von Slack entfernt. Nach der Löschung verbleiben Daten unter Umständen für einen bestimmten Zeitraum (bis zu 14 Tage lang, in der Regel aber kürzer) in unserem Sicherheitsbackup. Nach Ablauf des Backup-Zeitraums löscht Slack sämtliche Informationen endgültig von seinen Produktionssystemen. Nach der endgültigen Löschung kann Slack die Daten zu keinerlei Zwecken wiederherstellen, auch nicht bei Anfragen durch Regierungs- und Strafverfolgungsbehörden.
Wie reagiert Slack auf Notfallanfragen?
Bei einem Notfall mit Gefahr für Leib und Leben und dem begründeten Verdacht, dass Slack im Besitz von Daten ist, die erforderlich sind, um Schaden abzuwenden, sollten sich befugte Mitarbeiter der Strafverfolgungsbehörden unter legalprocess@slack.com an uns wenden. Wir prüfen diese Anfrage dann.
Benachrichtigt Slack den Kunden, bevor Daten an eine Regierungs- oder Strafverfolgungsbehörde herausgegeben werden?
Sofern Slack dies nicht untersagt ist oder ein klarer Hinweis auf illegales Verhalten oder Schadensrisiko vorliegt, informiert Slack den Kunden in der Regel per E-Mail an den primären Inhaber, bevor Kundendaten offengelegt werden, damit der Kunde umgehend Rechtsmittel einlegen kann.
Wie sieht das Verfahren bei Anfragen durch Dritte oder bei zivilrechtlichen Anfragen aus?
Dritte, die an Daten interessiert sind, sollten sich direkt an den Slack Workspace-Inhaber wenden. Soweit möglich sollten Benutzer ihre Datenanfragen ohne unser Eingreifen unter sich regeln. Workspace-Inhaber sollten in der Lage sein, Daten eigenständig zu exportieren, wenn dies bei Anfragen im Rahmen von rechtlichen Verfahren erforderlich ist. Wenn du Unterstützung bei Datenexporten benötigst, kann sich der primärer Inhaber an uns wenden. Wir prüfen dann, ob diese für einen Export aufgrund rechtlicher Notwendigkeit ausreichen.
Bitte beachte, dass es Anbietern wie Slack laut Stored Communications Act, 18 U.S.C., § 2701 ff. strengstens untersagt ist, die Inhalte von Kommunikation an Dritte weiterzugeben. Eine zivilrechtliche Vorladung oder ein gerichtlicher Beschluss ist laut Stored Communications Act nicht ausreichend für die Herausgabe inhaltlicher Daten aus einem Slack Workspace.