Diese Richtlinie soll eine größere Transparenz im Hinblick auf die Leitlinien schaffen, die von LastPass verwendet werden, um festzulegen, wie und wann wir Anfragen von Strafverfolgungsbehörden, Behörden der nationalen Sicherheit und anderen Aufsichtsbehörden („staatliche Stellen“) bearbeiten, die sich auf Informationen zu unseren Nutzern, Kunden und/oder Endbenutzern („Nutzerinformationen“) beziehen.
Anfragen nach Nutzerinformationen im Rahmen zivil- oder handelsrechtlicher Streitfälle sind nicht Inhalt dieser Richtlinie. LastPass wird jedoch auch in diesen Fällen dieselben Vorkehrungen treffen wie im Falle von Anfragen staatlicher Stellen.
Schutz von Nutzerinformationen
Nach dem Eingang einer Anfrage einer staatlichen Stelle nach Nutzerinformationen ergreift LastPass vor einer Antwort die folgenden Maßnahmen:
- Betroffene Person: LastPass ist der Ansicht, dass staatliche Stellen zuerst versuchen sollten, die Informationen direkt vom Nutzer oder Kunden einzuholen, der das Subjekt der Untersuchung ist, bevor sie diese Informationen von LastPass anfordern.
- Befugnis: LastPass wird nur dann Nutzerinformationen zur Verfügung stellen, wenn die staatliche Stelle nach geltendem Recht befugt ist, diese Informationen anzufordern. LastPass wird ohne eine gültige richterliche Anordnung, strafbewehrte Vorladung, Gerichtsverfügung oder einen entsprechenden gerichtlichen Prozess oder einen Notfall die Nutzerinformationen der staatlichen Stelle nicht zur Verfügung stellen.
- Umfang:Sofern möglich, wird LastPass sich darum bemühen, sicherzustellen, dass Anfragen nach Nutzerinformationen im Umfang angemessen sind und sich auf ein spezifisches Konto beziehen. LastPass kann zusätzliche Hintergründe verlangen, wenn die Art der Untersuchung unklar ist, oder die Anfrage aus anderen Gründen zurückweisen. Falls LastPass Nutzerinformationen zur Verfügung stellt, werden nach Möglichkeit nur die Mindestmengen an Informationen bereitgestellt, die erforderlich sind, um der Forderung nachzukommen.
- Hinweis:Außer unter Umständen, unter denen LastPass von der staatlichen Stelle die Anweisung bekommen hat, keine Mitteilung zu machen, dies LastPass untersagt ist oder es eindeutige Anzeichen für ein rechtswidrigen oder böswilliges Verhalten oder das Risiko eines Schadens gibt, wird LastPass den Kunden über eine Anfrage informieren, bevor es Nutzerinformationen offenlegt, sodass der Kunde zur Verfügung stehende Rechtsmittel ergreifen kann.
Internationale Anfragen
Alle Anfragen eine staatlichen Stelle müssen gemäß den geltenden Gesetzen erfolgen und über offizielle Kanäle (z. B. eine ausgefertigte Anordnung, E-Mail-Adresse einer staatlichen Stelle usw.) gestellt werden. Darüber hinaus sind Anfragen auf einer angemessenen Rechtsgrundlage zu stellen, und es kann ein Ersuchen auf der Grundlage eines gegenseitigen Amtshilfeabkommens,
ein Ersuchen eines Landes, das die Verpflichtungen gemäß dem U.S. CLOUD Act erfüllt, ein Rechtshilfeersuchen oder eine andere Form der Registrierung eines Urteils eines anderen Staates im Wohnsitzstaat der betroffenen Person erforderlich sein, um die Rechtsgrundlage der Anfrage festzulegen.
Wir werden alle internationale Anfragen staatlicher Stellen auf Länder- und Einzelfallbasis prüfen, um unsere lokalen gesetzlichen Verpflichtungen im Vergleich zu unseren Zusagen zur Förderung der Sicherheit und Privatsphäre der Anwender in Erwägung ziehen und abwägen zu können. Wir werden uns möglicherweise dafür entscheiden, auf Anfragen aus verschiedenen Ländern unterschiedlich zu reagieren, wenn diese Verpflichtungen im Widerspruch zum lokalen Recht stehen.
Informationen, die wir zur Verfügung stellen können
LastPass verwendet ein Zero-Knowledge-Sicherheitsmodell. Deshalb hat LastPass keinen Zugriff auf sensible Inhalte der Vaults seiner Kunden in unverschlüsselter Form und kann einen solchen Zugriff auch nicht erhalten. Daher kann LastPass diese Informationen im Rahmen einer Anfrage einer staatlichen Stelle nicht zur Verfügung stellen.
Die überwiegende Mehrheit der Anfragen, die wir erhalten, betrifft grundlegende Informationen über Kundenkonten in Verbindung mit Untersuchungen der staatlichen Stelle in Bezug auf potenziellen Betrug oder andere Gesetzesverstöße.
Informationen, die von den staatlichen Stellen zur Verfügung gestellt werden müssen
Vertreter staatlicher Stellen werden darum gebeten, sicherzustellen, dass alle Anfragen nach Nutzerinformationen dem Umfang nach angemessen und so genau zugeschnitten sind, dass sie nur um die Informationen nachsuchen, die sie zum Abschluss ihrer Untersuchung benötigen. Damit LastPass zügig und wirksam arbeiten kann, sollte die betreffende Anfrage möglichst detailliert beschrieben werden. Die Angabe folgender Informationen ist hilfreich:
- E-Mail-Adresse des Nutzers:Die meisten Nutzerinformationen werden durch die Verwendung der E-Mail-Adresse des Inhabers des Hauptkontos ausgewiesen. Daher ist die mit dem Konto zusammenhängende E-Mail-Adresse die hilfreichste Information zur Ausweisung von Nutzerinformationen.
- Rechnungsanschrift und/oder Kreditkartendaten im Fall kostenpflichtiger Konten:Unter bestimmten Umständen sind wir in der Lage, ein Konto auf der Grundlage der letzten vier Stellen der Kredit- oder Debitkarte, die zum Kauf des Dienstes verwendet wurde, und des Datums der Transaktion auszuweisen. Bitte beachten Sie, dass LastPass außer den letzten vier Stellen keine weiteren Informationen zu der Kredit- oder Debitkarte besitzt. Im Fall kostenloser LastPass-Konten stehen keine zugehörigen Zahlungsinformationen zur Verfügung.
Jede Anfrage muss zudem die Kontaktdaten des befugten Vertreters der staatlichen Stelle beinhalten, einschließlich:
- Name der Behörde
- Name des Behördenvertreters und Ausweis-/Identifikationsnummer
- E-Mail-Adresse des Dienstherrn des Behördenvertreters
- Telefonnummer incl. Durchwahl des Behördenvertreters
- E-Mail-Adresse des Behördenvertreters
- Frist für Antwort
Wo eine Anfrage eingereicht werden kann
LastPass nimmt Anfragen staatlicher Stellen unter folgender E-Mail-Adresse entgegen: legal@lastpass.com.
Auch wenn wir uns bereit erklären, Anfragen auf diese Weise zu akzeptieren, verzichten weder LastPass noch unsere Kunden auf jegliche rechtlichen Ansprüche, die sich aus dieser Gefälligkeit ergeben. Darüber hinaus müssen E-Mail-Anfragen von einer offiziellen E-Mail-Adresse der staatlichen Stelle gestellt werden.
