Reisen

Grenzkontrollen und Zoll: das Szenario, auf das sich niemand vorbereitet

Ihre Rechte, was der Zoll tatsächlich darf, und die praktische Vorbereitung, um Ihre Angriffsfläche zu minimieren, ohne gegen Gesetze zu verstoßen.

Veröffentlicht am 9. Oktober 2025 15 Min. Lesezeit Exponiert

Zuletzt überprüft: 15. Februar 2026

Ein Wirtschaftsanwalt kehrt nach einer Mediation in Mexiko-Stadt in die USA zurück. Der Beamte am Schalter verlangt, dass er seinen Laptop entsperrt. Er beruft sich auf das Berufsgeheimnis. Man antwortet ihm höflich, dass das Berufsgeheimnis die Grenzdurchsuchung nicht aussetzt. Er weigert sich trotzdem. Zwei Stunden später geht das Gerät in die „eingehende Prüfung”. Elf Tage später bekommt er es per Post zurück, mit einer Quittung auf Papier und der unangenehmen Gewissheit, dass die gesamte Festplatte geklont wurde. Er hatte juristisch recht. Geändert hat das nichts.

Angle de lecture

Particulier RSSI / DSI

Die übliche Falle

„Ich habe meine Rechte.” Das ist der Satz, der bei jedem Gespräch über das Überqueren von Grenzen fällt, und es ist genau der Satz, der Sie in Schwierigkeiten bringt. Ja, Sie haben Rechte. Aber an einer internationalen Grenze sind das nicht die Rechte, die Sie glauben, und sie unterscheiden sich radikal von einer Rechtsordnung zur nächsten. Der Grenzbereich ist ein eigener Rechtsraum, in dem die üblichen verfassungsrechtlichen Schutzmechanismen mit erheblichen Einschränkungen gelten — oder gar nicht. Der Reisende, der seine alltagsrechtlichen Reflexe auf einen Zollposten übertragen will, denkt anhand einer Karte, die nicht zum Gelände passt.

Der zweite Reflex, subtiler, ist genauso kostspielig: zu glauben, Verschlüsselung reiche aus. „Meine Festplatte ist verschlüsselt, also kann niemand etwas lesen.” Das stimmt gegen einen Taschendieb im Bahnhof. An einer Grenze ist es falsch, denn dort knackt der Gegner die Verschlüsselung nicht — er verlangt von Ihnen, manchmal unter rechtlichem Zwang, sie selbst zu öffnen. Das Bedrohungsmodell der Grenze ist nicht technisch. Es ist juristisch und physisch. Sie, Ihr Pass, Ihr Recht auf Einreise und ein Beamter, der dieses Recht kontrolliert. Das Kräfteverhältnis hat nichts mit der Stärke Ihres Verschlüsselungsalgorithmus zu tun.

Die Mehrheit der Berufstätigen, die jeden Monat eine Grenze überqueren, weiß nicht genau, was ein Beamter rechtlich von ihrem Computer oder ihrem Telefon verlangen darf. Diese Unkenntnis ist nicht nebensächlich. Sie führt entweder dazu, aus Panik etwas preiszugeben, wozu man nicht verpflichtet war, oder aus Prinzip zu verweigern und eine Routinekontrolle in eine elftägige Beschlagnahme zu verwandeln. Die einzige sinnvolle Vorbereitung besteht darin, den genauen Rahmen des Ziellandes zu kennen, bevor Sie in der Schlange stehen — nicht darin, vor einem Beamten, der sein Terrain bestens kennt, eine juristische Haltung zu improvisieren.

Was ein Beamter tatsächlich darf, Rechtsordnung für Rechtsordnung

Die Befugnis eines Zöllners über Ihre Geräte hängt vom Land ab. Es gibt keinen internationalen Standard, und die Regime zu verwechseln ist der Grundfehler. Hier das reale Terrain für die Ziele, die zählen.

USA — die Grenzdurchsuchung ohne Beschluss. Der US-Rahmen gehört zu den weitreichendsten. Die border search exception erlaubt den Beamten der CBP (Customs and Border Protection), ein elektronisches Gerät ohne Beschluss, ohne hinreichenden Verdacht, ohne vorherige richterliche Entscheidung zu durchsuchen. Das gilt an Land-, Luft- und Seegrenzen. Konkret: Ein Beamter kann verlangen, dass Sie Ihren Laptop, Ihr Telefon, Ihr Tablet öffnen. Die Direktive CBP 3340-049A unterscheidet die „basic search” (ein Beamter sieht sich das Gerät an) von der „advanced search” (Anschluss eines externen Geräts, um den Inhalt zu kopieren und zu analysieren), wobei Letztere einen hinreichenden Verdacht erfordert — eine niedrige Schwelle. Wenn Sie sich weigern, kann das Gerät zur eingehenden Prüfung einbehalten werden, bis zu mehreren Tagen außerhalb Ihres Blickfelds, und eine vollständige forensische Kopie der Festplatte kann im Hinterzimmer in fünfzehn bis fünfundvierzig Minuten erstellt werden, ohne dass Sie davon erfahren.

Die Frage des Passworts. Für einen US-Bürger kann die Verweigerung der Entsperrung die Einreise ins Land nicht verhindern — Sie sind zu Hause. Aber sie kann die Beschlagnahme des Geräts und ein verlängertes Verhör kosten. Für einen Nicht-Bürger ohne dauerhaftes Aufenthaltsrecht ist der Schutz so gut wie nicht vorhanden: Eine Verweigerung der Kooperation kann eine schlichte Einreiseverweigerung bedeuten, an Ort und Stelle, ohne Rechtsmittel. Die erzwungene Offenlegung des Codes bleibt in den USA eine ungeklärte juristische Debatte — manche Bundesgerichte schützen ein gemerktes Passwort als Schutz vor Selbstbelastung, andere nicht, und Biometrie (Fingerabdruck, Gesicht) ist weniger geschützt als ein Code. Für einen Ausländer ist diese Debatte weitgehend theoretisch.

Vereinigtes Königreich — die strafbewehrte Entschlüsselungspflicht. Das britische System gehört zu den zwingendsten der Welt und wird von deutschsprachigen Reisenden selten verstanden. Schedule 7 des Terrorism Act 2000 erlaubt es, jede Person ohne Anlass an der Grenze bis zu sechs Stunden festzuhalten und zu befragen sowie ihre Dokumente und Geräte zu untersuchen. Vor allem schafft Section 49 des Regulation of Investigatory Powers Act 2000 eine gesetzliche Pflicht zur Herausgabe der Entschlüsselungsschlüssel auf Anordnung. Die Weigerung, ein angefordertes Gerät zu entschlüsseln, ist eine Straftat, die mit zwei Jahren Haft (fünf Jahren im Terrorismuskontext) bedroht ist. Das ist keine theoretische Drohung: Journalisten und Aktivisten wurden unter diesem Regime verfolgt.

China und Russland — weiter Ermessensspielraum. Chinesische und russische Grenzbeamte verfügen über sehr weitreichende Befugnisse. Beschlagnahme möglich, dokumentierter erzwungener Zugriff, Kopie des Geräts ohne kontradiktorisches Verfahren. In China wurde an einigen Landübergängen die Installation von Kontroll-Apps festgestellt. In beiden Ländern gehen Sie davon aus, dass jedes Gerät, das die Grenze überquert, untersucht und kopiert werden kann — die Vorbereitung besteht nicht darin, die vorhandenen Daten zu schützen, sondern darin, gar keine mitzuführen.

Israel und Golfstaaten — Profiling und verlangte Entsperrung. Insbesondere am Flughafen Ben Gurion ist das Sicherheits-Profiling systematisch, und die Entsperrung des Telefons wird häufig verlangt, vor allem bei bestimmten Profilen (Journalisten, Verbindungen zu den Gebieten, bestimmte geopolitische Profile). Mehrere Golfstaaten praktizieren die nach Ermessen erfolgende Geräteinspektion bei der Einreise.

Europäische Union — strukturell geringeres Risiko. Die Zollbehörden der EU haben klassische Befugnisse zur körperlichen Untersuchung, aber die DSGVO gilt auch für öffentliche Stellen und schafft einen relativen Schutz. Für einen Geschäftsreisenden innerhalb der EU ist die systematische erzwungene Geräteinspektion außerhalb eines konkreten Ermittlungsverfahrens selten. Vorsicht jedoch: Die „sichere” Grenze beseitigt nicht den Gelegenheitsdiebstahl, der in Europa der dominierende Vektor bleibt.

Operative Anekdote

Ein Geschäftsführer eines mittelständischen Industrieunternehmens konsultiert mich drei Tage vor einer Reise in die USA für eine nicht angekündigte Übernahme. Sein gewöhnlicher Laptop: der Datenraum des Deals lokal synchronisiert, das Term Sheet im Ordner „Downloads”, sechs Monate M&A-Korrespondenz im Desktop-Mailclient. Sein Plan für den Fall einer Durchsuchung bei der Ankunft: keiner. Wir haben einen Nachmittag damit verbracht, ein jungfräuliches Reisegerät bereitzustellen, mit nur dem Terminkalender seiner Termine und einem Webzugang zu einem getrennten Cloud-Bereich. Bei der Ankunft dauerte die Sekundärkontrolle fünfunddreißig Minuten, der Laptop aufgeklappt auf dem Tisch. Es gab nichts zu sehen. Der Deal wurde sechs Wochen später bekannt gegeben; zwischenzeitlich kein Leck. Gesamtkosten der Vorsichtsmaßnahme: ein gebrauchter Laptop und ein halber Tag Vorbereitung.

Was tatsächlich beschlagnahmt werden kann, und wie

Wenn von Grenzdurchsuchung die Rede ist, ist das mentale Standardbild das eines Beamten, der zwei Minuten lang durch Ihre Fotos blättert. Die operative Realität ist umfassender, und es ist diese Realität, die man im Kopf behalten muss, um die Vorbereitung richtig zu kalibrieren.

Jeder Datenträger ist betroffen. Laptop, Telefon, Tablet, Smartwatch, USB-Stick, externe Festplatte, Speicherkarte. Ein Beamter kann das Gesamte verlangen, nicht nur das Telefon, das Sie spontan hinhalten. Die im Fotoapparat vergessene SD-Karte, der USB-Stick auf dem Taschenboden, die Sicherungsfestplatte, die Sie „für alle Fälle” mitnehmen: All das fällt in den Bereich. Die erste Disziplin besteht also darin, genau zu wissen, welche Datenträger Sie mitführen, und nur die mitzunehmen, die Sie brauchen.

Die forensische Kopie ist schnell und unsichtbar. Ein Bit-für-Bit-Klon einer Festplatte oder eines Telefons lässt sich in fünfzehn bis dreißig Minuten mit kompakter Ausrüstung erstellen, die in den Grenzbehörden der großen Länder mittlerweile Standard ist — die Familie der forensischen Werkzeuge vom Typ Cellebrite oder Äquivalente extrahiert Kontakte, Nachrichten, Standortverlauf, gelöschte aber wiederherstellbare Dateien und oft die Sitzungs-Tokens, die Ihre Online-Konten wieder öffnen. Sie sehen von diesem Vorgang nichts: Das Gerät geht „zur Prüfung” und kommt zurück. Davon auszugehen, dass ein Gerät, das in einem Risikokontext länger als zehn Minuten aus Ihrem Blickfeld verschwunden ist, geklont wurde, ist keine Paranoia, sondern die vernünftige Arbeitshypothese.

Der kopierte Inhalt kann zirkulieren. Je nach Land können die extrahierten Daten aufbewahrt, wochenlang offline analysiert und mit befreundeten Nachrichtendiensten geteilt werden. Eine Datei, die einmal die Grenze passiert, „kommt” nie zurück: Sie wird dupliziert. Deshalb zielt die Verteidigungsstrategie nie auf die Rückgewinnung des Geräts, sondern auf das, was es im Moment des Übertritts enthielt.

Der richtige Ansatz: man schützt nicht, was man nicht mitführt

Der pragmatische Umschwung lässt sich in einem Satz fassen. An einer Grenze kann man Sie nicht zwingen, das preiszugeben, was das Gerät nicht enthält. Die gesamte Strategie folgt daraus: Anstatt die Verteidigung eines mit sensiblen Daten vollgepackten Geräts zu härten — eine Verteidigung, die rechtlicher Zwang oder Einreiseverweigerung aushebelt — reduziert man das, was es zu sehen gibt, bis die Durchsuchung gegenstandslos wird. Das ist die einzige Logik, die einem Gegner standhält, der Ihr Einreiserecht kontrolliert.

Das saubere Gerät, die wichtigste Maßnahme. Für jedes Hochrisikoziel (China, Russland, Belarus, bestimmte Golfstaaten) und für jedes exponierte Profil in Richtung USA oder Vereinigtes Königreich ist das Reisegerät eine dedizierte Maschine, für die Reise bereitgestellt, ohne Unternehmensdaten über das für die Mission strikt Notwendige hinaus. Was nicht auf der Festplatte ist, kann weder kopiert noch beschlagnahmt noch verlangt werden. Das ist auch die einzige Maßnahme, die die Verweigerung überflüssig macht: Es gibt nichts zu verweigern. Diese Logik der materiellen Trennung wird in der Reisevorbereitung ausführlich behandelt, aber das Prinzip lautet hier: Die Grenze bereitet man im Vorfeld vor, durch Subtraktion.

Daten unterwegs, nicht lokal. Wenn die sensiblen Dateien in einem Cloud-Bereich liegen, mit dem Sie sich nach dem Übertritt verbinden, vom Hotel aus, über eine beherrschte Verbindung, dann überquert das Gerät die Grenze leer. Sie melden die Konten vor dem Flug ab, Sie melden sich am Zielort wieder an. Die Durchsuchung, selbst die eingehende, findet nur ein Betriebssystem und ein paar belanglose Arbeitsdokumente.

Vollverschlüsselung, ausgeschaltetes Gerät — nicht im Standby. Die Festplattenverschlüsselung bleibt nützlich gegen Diebstahl und Inspektion in Ihrer Abwesenheit, aber nur unter einer Bedingung: Die Maschine muss beim Übertritt ausgeschaltet sein, nicht im Standby. Eine verschlüsselte Festplatte auf einer ausgeschalteten Maschine ist im kalten Zustand praktisch unangreifbar. Eine Maschine im Standby behält den Schlüssel im Speicher und bleibt anfällig für einen Cold-Boot-Angriff, wenn der Gegner über Zeit und Material verfügt. Dieser Unterschied macht den ganzen Unterschied, und es ist genau der, den niemand anwendet.

Keine im Browser gespeicherten Passwörter. Ein geöffnetes Gerät, dessen Browser alle Sitzungen aktiv und alle Passwörter gespeichert hält, gewährt Zugang zu weit mehr als dem Gerät selbst: zu all Ihren Konten. Den integrierten Browser-Manager abzumelden und die Cloud-Sitzungen vor dem Übertritt zu schließen, verwandelt ein kompromittiertes Gerät in ein schlichtes leeres Terminal.

Das Reisetelefon, nicht nur der Laptop. Man denkt beim Computer an „sauberes Gerät” und vergisst das Telefon, das doch der reichhaltigste Datenträger ist: Messenger, Geolokalisierung, Fotos, Kontakte, Authentifizierungs-Tokens aller Konten. Für eine Tier-3-Reise schließt ein dediziertes Reisetelefon mit eigenem Konto und einem Minimum an Apps einen Vektor, den der saubere Laptop weit offenlässt. Der Reflex „ich nehme mein gewohntes Telefon, mein Laptop zählt” ist genau der blinde Fleck ansonsten ernsthafter Dispositive.

Die Verweigerung vorbereiten, nicht improvisieren. Entscheiden Sie im Voraus, wie weit Sie kooperieren, je nach Rechtsordnung und Ihrem Status. Ein Bürger, der nach Hause zurückkehrt, hat nicht denselben Spielraum wie ein Ausländer, der die Einreise beantragt — sich zu weigern zu entschlüsseln ist in den USA für einen Bürger ein fragiles Recht, im Vereinigten Königreich unter Section 49 aber eine Straftat. Belügen Sie niemals einen Beamten: Das ist eine eigenständige Straftat, oft schwerwiegender als das zugrunde liegende Vergehen. „Ich möchte lieber nicht antworten” ist juristisch sicherer als eine Lüge, auch wenn es die Kontrolle verlängert. Und dokumentieren Sie jede Beschlagnahme: Verlangen Sie eine schriftliche Quittung mit dem Namen des Beamten, seiner Dienstnummer und der Beschreibung des Materials — in den USA ist die CBP verpflichtet, das Formular CBP-6051D auszuhändigen.

Was das konkret bedeutet

Für Sie als Privatperson

Drei Dinge vor dem nächsten Grenzübertritt außerhalb Ihrer Komfortzone. Keines kostet mehr als ein paar Dutzend Euro, und für das dritte genügt ein altes Gerät.

1. Melden Sie die Cloud-Konten ab und schließen Sie die Browser-Sitzungen. Bevor Sie aufbrechen, melden Sie die sekundären Mail-Konten, den Foto-Speicher, die Cloud-Ordner ab, die Sie auf der Reise nicht nutzen werden. Leeren Sie die im Browser gespeicherten Passwörter und schließen Sie die offenen Sitzungen. Wenn das Gerät inspiziert oder verloren wird, gewährt es nur Zugang zum strikt Notwendigen, nicht zu Ihrem gesamten digitalen Leben.

2. Schalten Sie das Gerät vor dem Übertritt vollständig aus — nicht in den Standby. Im Moment, da Sie Ihren Pass vorzeigen, sind Laptop und Telefon ausgeschaltet. Eine verschlüsselte Festplatte auf einer ausgeschalteten Maschine schützt Ihre Daten wirklich; im Standby wird die Verschlüsselung weitgehend dekorativ. Diese eine, kostenlose Geste ist mehr wert als die meisten „Tricks”, die man Ihnen verkaufen wird.

3. Notieren Sie eine Kontaktnummer auf einem physischen Träger. Wenn das Telefon beschlagnahmt wird, brauchen Sie eine gemerkte oder auf einem in den Pass geschobenen Zettel notierte Nummer — eine vertraute Person, ein Anwalt, Ihr Anbieter zum Sperren der Leitung. Eine einzige ohne jedes Gerät zugängliche Nummer genügt, um nicht völlig abgeschnitten dazustehen.

Für Sie als CISO / IT-Leitung / Geschäftsführung

Die Grenze ist kein individuelles Problem des Reisenden. Sie ist eine Richtlinie, und sie wird nach Zielland gesteuert.

1. Reiserichtlinie nach Länder-Tier. Klassifizieren Sie die Ziele in drei Stufen und ordnen Sie jeder ein materielles Dispositiv zu. Tier 1 (EU, Kanada, Japan, Schweiz): gehärtete gewohnte Maschine genügt. Tier 2 (USA, Vereinigtes Königreich, Israel): Reduktion der Angriffsfläche, minimierte Daten, Verweigerungsplan je nach Status des Mitarbeiters. Tier 3 (China, Russland, Belarus, bestimmte Golfstaaten): dedizierter jungfräulicher Laptop, Reisetelefon, kein VPN-Zugang zum Unternehmensnetz vor Ort. Direkte Folge: Ein Mitarbeiter entscheidet nicht mehr allein über sein Expositionsniveau — das Ziel bestimmt das Material, und das Material wird von der IT bereitgestellt, nicht am Vortag improvisiert.

2. Verpflichtendes Sicherheits-Briefing vor der Abreise für Tier 3. Keine Reise in ein Tier-3-Land startet ohne ein formelles Briefing: was der Grenzbeamte vor Ort tun darf, was man mitführt und vor allem was man nicht mitführt, wen man im Fall einer Beschlagnahme kontaktiert, das Rückkehrprotokoll. Direkte Folge: Sie verwandeln ein stillschweigendes Wissen — das, das nur erfahrene Reisende besitzen — in ein nachvollziehbares und auditierbares Verfahren, integrierbar in das ISO-27001-Korpus.

3. Die Rückkehr gehört zum Grenz-Dispositiv. Ein Tier-3-Gerät, das sich bei der Rückkehr direkt wieder ans Netz hängt, hebt die gesamte vorgelagerte Vorsicht auf. Jede Tier-3-Reise eröffnet ein Rückkehr-Ticket — Isolation, forensischer Scan, Neuaufsetzen — schon vor der Abreise. Direkte Folge: Die potenzielle Incident Response wird vor der Abreise budgetiert und geplant, nicht in der Panik bei der Rückkehr eines elf Tage im Zoll verbliebenen Geräts entdeckt.

Fehler, die man ständig sieht

Maschine im Standby an der Grenze statt ausgeschaltet, was die Festplattenverschlüsselung genau in dem Moment, in dem sie zählen würde, weitgehend wirkungslos macht.
Sensible Daten lokal gespeichert auf dem Reisegerät, obwohl sie in einem Cloud-Bereich hätten bleiben können, der erst nach dem Übertritt zugänglich ist.
Einen Grenzbeamten belügen über den Inhalt des Geräts oder den Reisegrund — eine eigenständige Straftat, oft schwerer als das, was man verbergen wollte.
Die Rechtsregime verwechseln: glauben, die Verweigerung schütze überall (falsch für einen Ausländer im Vereinigten Königreich, wo es eine Straftat ist) oder dass US-Rechte für einen Nicht-Bürger gelten.
Keine aktuelle Sicherung vor der Abreise: Wenn das Gerät beschlagnahmt wird und Monate später — oder nie — zurückkommt, ist das der Totalverlust der gesamten laufenden Arbeit.
Bei der Rückkehr ein im Zoll eines Risikolandes aus dem Blick verschwundenes Gerät ohne Isolation wieder anschließen und eine etwaige Kompromittierung direkt ins Unternehmensnetz einschleusen.
Ein Berufsgeheimnis anrufen, das man für automatisch hält: Beim US-Zoll muss der Schutz von dem Geheimnis unterliegenden Daten nach einem spezifischen Verfahren aktiviert werden, vor dem Übertritt, nicht am Schalter angekündigt.

Umsetzbare Checkliste

N1 Gerät beim Grenzübertritt ausgeschaltet (nicht im Standby)
N1 Vollständige Sicherung vor der Abreise verifiziert (abgeschlossen, nicht nur gestartet)
N1 Cloud-Konten abgemeldet und Browser-Sitzungen vor dem Flug geschlossen
N1 Keine im Browser des Reisegeräts gespeicherten Passwörter
N1 Kontaktnummer (Angehöriger, Anwalt, Anbieter) auf physischem Träger notiert
N2 Rechte der Ziel-Rechtsordnung im Vorfeld verstanden, vor der Warteschlange
N2 Sensible Daten in der Cloud, nicht lokal, für Risikoziele
N2 Kooperations-/Verweigerungsplan je nach Status (Bürger vs. Ausländer) und Land entschieden
N2 Bei Beschlagnahme schriftliche Quittung verlangen (Name, Dienstnummer, Formular CBP-6051D in den USA)
N3 Dedizierter jungfräulicher Laptop und Reisetelefon für jedes Tier-3-Land (CN, RU, BY, Golf)
N3 Kein VPN-Zugang zum Unternehmensnetz auf dem Tier-3-Reisegerät bereitgestellt
N3 Formelles Sicherheits-Briefing vor der Abreise für Tier-3-Reisen
N3 Rückkehrverfahren vor der Abreise eröffnet (Isolation, forensischer Scan, Neuaufsetzen)
N3 Jedes nach eingehender Prüfung zurückgegebene Gerät als kompromittiert behandeln

Zum Weiterlesen

Der Leitfaden der EFF zur digitalen Privatsphäre an der US-Grenze bleibt die detaillierteste und am besten gepflegte Referenz, um zu verstehen, was die CBP darf und was nicht, ob Bürger oder nicht. Die Direktive CBP 3340-049A ist der Quelltext, der zwischen basic search und advanced search unterscheidet — ihn zu lesen erspart viele Mythen. Für das Vereinigte Königreich ist Section 49 des RIPA der Text, der eine Entschlüsselungsverweigerung in eine Straftat verwandelt: vor jeder beruflichen Reise auf die Insel zu kennen. Das BSI veröffentlicht zudem knappe und faktische Empfehlungen für Reisende mit mobilen Geräten, die zu oft ignoriert werden.

Dieser Artikel behandelt nur den Übertritt selbst. Der Aufbau eines sauberen Reisegeräts und die Kalibrierung nach Bedrohungsniveau gehören zur Reisevorbereitung; der chinesische Fall mit seinem spezifischen Abhör-Ökosystem wird in Reisen nach China behandelt; und die am stärksten vernachlässigte Phase — die Rückkehr eines außerhalb Ihrer Kontrolle verbliebenen Geräts — ist Gegenstand des Verfahrens der Missionsnachbereitung. Die Grenze ist nur ein Glied; es ist die gesamte Kette, die Sie schützt.

Quellen und weiterführende Literatur

EFF — Digital Privacy at the U.S. Border [official]
US CBP — CBP Directive 3340-049A (Border Search of Electronic Devices) [official]
UK Regulation of Investigatory Powers Act 2000, Section 49 [official]
BSI — Sicher unterwegs: Tipps für Reisende mit mobilen Geräten [official]