Diese Richtlinien bieten Anweisungen und größere Transparenz in Bezug auf den Umgang mit Auskunftsersuchen von Strafverfolgungsbehörden, nationalen Sicherheitsbehörden und anderen Regulierungsbehörden über unsere Benutzer, Kunden und/oder Endnutzer („Benutzerinformationen“).
LastPass wird für rechtliche Anforderungen von Privatpersonen ggf. ein ähnliches Verfahren befolgen.
Informationen, die wir bereitstellen können
LastPass setzt ein „Zero Knowledge“-Sicherheitsmodell ein, das darauf ausgelegt ist, Kundendaten privat und geschützt aufzubewahren – der Zugriff ist weder für LastPass noch für andere möglich. Der LastPass-Service umfasst einen „Tresor“, in dem sensible Kundendaten in verschlüsselter Form aufbewahrt werden. Eine Entschlüsselung dieser Daten ist nur auf Benutzer- und Geräteebene durch Eingabe des Master-Passworts des Benutzers möglich. LastPass nutzt integrierten Datenschutz und kennt das Master-Passwort des Kunden daher nicht, speichert es nicht und greift nicht darauf zu. Daher kann niemand bei LastPass die Tresordaten auf den Servern von LastPass entschlüsseln und sie dementsprechend auch nicht als Antwort auf eine rechtliche Anforderung bereitstellen.Wann immer möglich, vertritt LastPass die Auffassung, dass Antragsteller stets zuerst versuchen sollten, Informationen direkt bei dem Benutzer oder Kunden einzuholen, der Gegenstand der Untersuchung ist, bevor sie diese Informationen von LastPass anfordern.
Informationen, die Antragsteller angeben müssen
Um sicherzugehen, dass Benutzerinformationsanfragen ihrem Umfang nach angemessen und so eng eingegrenzt sind, dass nur die für den Abschluss der Untersuchung benötigten Informationen angefordert werden, muss die Anfrage einen gültigen Haftbefehl, eine Vorladung, ein gleichwertiges rechtliches Verfahren oder eine Notfalllage enthalten, wobei diese Unterlagen in ihrer Originalform als eine von der zuständigen Behörde ausgestellte unbearbeitete PDF eingereicht werden.
Die Anfrage sollte möglichst viele Details enthalten, damit wir sie effektiv und zeitnah beantworten können. Bitte beachten Sie: Die meisten Benutzerinformationen und Kontodaten können nur durch die E-Mail-Adresse eines Benutzers ermittelt werden. Daher ist die mit dem Konto verknüpfte E-Mail-Adresse die identifizierende Information, die für uns am hilfreichsten ist.
Jede Anfrage muss auch Kontaktdaten für den befugten Antragsteller enthalten, einschließlich:
- Name
- Ausweis-/Identifikationsnummer (falls zutreffend)
- Vom Arbeitgeber ausgestellte E-Mail-Adresse
- Telefonnummer (einschließlich etwaiger Durchwahlen)
- Postanschrift
- Angefordertes Antwortdatum
Verarbeitungsanfragen
Wenn LastPass eine Benutzerinformationsanfrage erhält, führt LastPass die folgenden Schritte aus, bevor eine Antwort erfolgt:
- Befugnis. LastPass prüft und verifiziert, ob der Antragsteller über ausreichende Befugnisse nach geltendem Recht verfügt, um die Benutzerinformationen anzufordern. LastPass stellt Antragstellern keine Benutzerinformationen nur dann zur Verfügung, wenn diese einen gültigen Haftbefehl, eine Vorladung, einen Gerichtsbeschluss, ein gleichwertiges rechtliches Verfahren oder eine Notfalllage vorweisen können.
- Umfang. Wann immer möglich, bemüht sich LastPass darum sicherzustellen, dass Benutzerinformationsanfragen ihrem Umfang nach angemessen und auf ein bestimmtes Konto beschränkt sind. LastPass darf zusätzlichen Kontext anfordern, wenn die Art der Untersuchung unklar ist, und der Anfrage widersprechen, wenn dies angemessen ist. Wenn LastPass Benutzerinformationen zur Verfügung stellt, bemüht sich LastPass darum, nur das Mindestmaß an Informationen bereitzustellen, das zur Erfüllung der Anfrage erforderlich ist.
- Benachrichtigungen. LastPass benachrichtigt den Kunden über eine Anfrage, bevor Benutzerinformationen offengelegt werden, damit sodass der Kunde ihm zur Verfügung stehende Rechtsmittel geltend machen kann. Eine Ausnahme von dieser Regelung gilt, wenn LastPass von entsprechenden Justizbehörden angewiesen wird, keine Benachrichtigung vorzunehmen, wenn LastPass einem Benachrichtigungsverbot unterliegt oder wenn klare Hinweise auf illegales oder schädliches Verhalten oder ein Schädigungsrisiko vorliegen.
Internationale Anfragen
Sämtliche Anfragen müssen gemäß geltendem Recht und durch offizielle Kanäle ausgestellt werden (z. B. ausgeführter Auftrag, offizielle E-Mail-Adresse usw.) Außerdem müssen alle Anfragen im Rahmen einer entsprechenden Rechtsgrundlage erfolgen. Zur Begründung der Rechtsgrundlage für eine internationale Anfrage kann eine Anfrage im Rahmen eines Rechtshilfeabkommens, eine Anfrage eines Landes, das die Verpflichtungen im Rahmen des US CLOUD Act erfüllt, ein Rechtshilfeersuchen oder eine andere Form der Domestikation erforderlich sein.
Wir werden alle internationalen Anfragen auf Länder- und Fallbasis überprüfen, um unsere rechtlichen Verpflichtungen vor Ort und unsere Verpflichtung zur Förderung der Sicherheit und des Schutzes der Daten unserer Benutzer zu berücksichtigen und abzuwägen. Wir können uns dazu entschließen, auf Anfragen aus verschiedenen Ländern abweichend zu antworten, wenn diese Verpflichtungen mit lokalem Recht in Konflikt stehen.
Einreichen einer Anfrage
LastPass nimmt Anfragen von Strafverfolgungsbehörden und Benutzerinformationsanforderungen per E-Mail an subpoenas@lastpass.com entgegen.
Obwohl wir uns damit einverstanden erklären, Anfragen auf diesem Weg entgegenzunehmen, verzichten weder LastPass noch unsere Kunden auf Rechte, die auf dieser Annehmlichkeit beruhen. Ferner müssen Anfragen per E-Mail von einer offiziellen E-Mail-Adresse einer Regierung gesendet werden, sofern zutreffend.
