DEA nutzte Polizisten-Passwort für illegale ALPR-Überwachung

Eine kürzliche Enthüllung hat ein Schlaglicht auf die Schattenwelt des Datenaustauschs zwischen Behörden geworfen und aufgedeckt, wie ein Agent der US-amerikanischen Drogenvollzugsbehörde (DEA) angeblich etablierte Protokolle umging, um mithilfe des Zugangs einer örtlichen Polizeibehörde zu Flock Safety Kameras Einwanderungsüberwachung durchzuführen. Der Vorfall, der sich Ende Januar 2025 ereignete, betraf einen DEA-Agenten einer Task Force im Raum Chicago, der die Anmeldeinformationen des Palos Heights Detectives Todd Hutchinson nutzte, um unautorisierte Suchen nach einer „Einwanderungsverletzung“ durchzuführen, ohne dass der Detektiv von dieser spezifischen Nutzung wusste. Obwohl Detektiv Hutchinson, der auch ein DEA-Task-Force-Offizier war, Berichten zufolge seine Anmeldedaten für Drogenermittlungen als „übliche“ Praxis innerhalb der Gruppe teilte, hat die Palos Heights Polizeibehörde ihn seitdem diszipliniert, Passwörter geändert und Sicherheitsschulungen verstärkt.

Dieser Vorfall hebt kritische Schwachstellen im schnell wachsenden Netzwerk automatischer Kennzeichenlesegeräte (ALPRs) hervor, wie sie von Flock Safety bereitgestellt werden. Diese Kameras sind darauf ausgelegt, Kennzeichen kontinuierlich zu scannen und aufzuzeichnen, wobei nicht nur die Kennzeichennummer, sondern auch die Uhrzeit, der Ort und manchmal sogar Marke, Modell und Farbe des Fahrzeugs erfasst werden. Da Flock Safety Kameras in Tausenden von Gemeinden landesweit eingesetzt werden, schaffen sie eine riesige, durchsuchbare Datenbank von Fahrzeugbewegungen.

Flock Safety, das Unternehmen hinter diesen allgegenwärtigen Überwachungswerkzeugen, behauptet, dass seine Kunden – lokale Strafverfolgungsbehörden – 100%ige Eigentümerschaft an ihren Daten behalten und bestimmen, wer Zugriff hat. Das Unternehmen gibt auch an, Daten weder zu verkaufen noch zu teilen und behauptet explizit, nicht mit Bundesbehörden für Zwecke der Einwanderungsdurchsetzung zusammenzuarbeiten. Berichte deuten jedoch darauf hin, dass eine „informelle Datenaustauschumgebung“ Bundesbehörden oft den Zugriff auf diese Netzwerke über lokale Partnerschaften ermöglicht, wodurch die strengeren Transparenz- und rechtlichen Beschränkungen, die normalerweise für direkte Bundesverträge gelten würden, effektiv umgangen werden.

Der angebliche Missbrauch in Illinois ist besonders besorgniserregend, da die staatliche Gesetzgebung die Verwendung von Kennzeichenleserdaten für die Einwanderungsdurchsetzung ausdrücklich verbietet. Trotz solcher Verbote haben Audit-Protokolle zuvor Tausende potenzieller einwanderungsbezogener Suchen durch verschiedene Strafverfolgungsbehörden im ganzen Land aufgedeckt. Dies wirft erhebliche Fragen zur Rechenschaftspflicht und zum Potenzial der „Aufgabenverschiebung“ auf, bei der Technologien, die für die lokale Kriminalitätsbekämpfung gedacht sind, ohne ausreichende Aufsicht für umfassendere Bundesziele umfunktioniert werden.

Datenschutzbeauftragte äußern seit langem Besorgnis über den weit verbreiteten Einsatz von ALPRs und weisen darauf hin, dass ein äußerst geringer Prozentsatz der gescannten Fahrzeuge jemals mit kriminellen Aktivitäten in Verbindung gebracht wird – oft weniger als ein Prozent. Die wahllose Natur dieser Datenerfassung bedeutet, dass die Bewegungen unzähliger gesetzestreuer Bürger routinemäßig verfolgt und gespeichert werden, wodurch detaillierte Aufzeichnungen entstehen, die intime Aspekte ihres Lebens offenbaren können. Kritiker argumentieren, dass sich diese Daten, wenn sie gesammelt werden, in „Pseudo-GPS-Geräte“ verwandeln, die umfassende Überwachungsfähigkeiten bieten, die individuelle Datenschutzrechte verletzen könnten.

Als Reaktion auf die wachsende Kontrolle und Berichte über Missbrauch, einschließlich eines separaten Vorfalls, bei dem ein texanischer Beamter Flock-Kameras nutzte, um nach einer Frau zu suchen, die eine Abtreibung selbst vorgenommen hatte, hat Flock Safety einige Schritte unternommen. Das Unternehmen implementierte Anfang 2024 eine „Illinois Policy Attestation“, die Behörden außerhalb des Staates dazu verpflichtet, die Beschränkungen von Illinois für die Verwendung von ALPR-Daten für Einwanderung, Abtreibung oder geschlechtsangleichende Behandlungen anzuerkennen und einzuhalten. Darüber hinaus hat Flock nach jüngsten Berichten die Möglichkeit für Behörden außerhalb des Staates deaktiviert, Kameras in Kalifornien, Illinois und Virginia über sein nationales Suchwerkzeug zu durchsuchen. Das Unternehmen plant außerdem, bis Ende 2025 neue Funktionen wie ein „Proactive Search Term Tool“ und „Proactive Auditing Alerts“ einzuführen, um die Einhaltung zu verbessern.

Der Vorfall in Palos Heights unterstreicht jedoch, dass technische Schutzmaßnahmen und politische Zusicherungen allein möglicherweise nicht ausreichen, um eine Umgehung durch menschliche Handlungen, wie die unbefugte Weitergabe von Passwörtern, zu verhindern. Während der Datenaustausch zwischen Behörden für koordinierte Strafverfolgungsbemühungen von Vorteil sein kann, schafft das Fehlen eines klaren föderalen Gesetzgebungsrahmens für die ALPR-Nutzung und die inkonsistente Einhaltung bestehender Protokolle einen fruchtbaren Boden für Datenschutzverletzungen und die Erosion des öffentlichen Vertrauens. Da die Überwachungstechnologie weiter voranschreitet, wird die Notwendigkeit einer robusten Aufsicht, transparenter Datenaustauschvereinbarungen und strenger Rechenschaftspflichtmaßnahmen für alle Strafverfolgungsbehörden immer wichtiger, um die bürgerlichen Freiheiten zu schützen.