Datenschutz in der Cloud - Microsoft vs. United States of America

07.12.2015

Nachdem der Europäische Gerichtshof im Oktober das Safe Harbor-Abkommen zwischen der Europäischen Union und den USA für unwirksam erklärt hat (Beitrag vom 06. Oktober 2015), steht nun auch auf der anderen Seite des Atlantiks die Verkündung eines Urteils mit grundsätzlicher Bedeutung bevor.

Der als „Microsoft Ireland case“ bekanntgewordene Rechtsstreit vor dem United States Court of Appeals for the Second Circuit dreht sich um die Aushändigung von E-Mails eines Microsoft-Kunden, die auf Servern von Microsoft in Irland gespeichert sind. Die US-Regierung verlangte diese im Dezember 2013 mittels eines Durchsuchungsbeschlusses im Zusammenhang mit Ermittlungen wegen Drogenhandels heraus. Das in dem Rechtsstreit für die US-Regierung auftretende Department of Justice stellte es in ihren Plädoyers als Selbstverständlichkeit dar, dass Microsoft als amerikanisches Unternehmen, das dem amerikanischen Recht unterliege, solchen Anordnungen nachzukommen und E-Mails von jedermann, gleich welcher Nationalität und mit welchem Wohnsitz, an die US-Behörden herauszugeben habe. Und zwar unabhängig davon, wo die Daten gespeichert sind. Begründet wird diese Auffassung damit, dass von einem E-Mail-Diensteanbieter gespeicherte E-Mails seiner Kunden in Wahrheit Geschäftsunterlagen des Diensteanbieters seien. Microsoft verweigerte die Herausgabe und wehrte sich gerichtlich gegen den Durchsuchungsbeschluss u.a. mit dem Argument, dass gespeicherte E-Mails den jeweiligen Kunden gehörten und damit gerade keine im Besitz von Microsoft stehenden, eigenen Geschäftsunterlagen seien – bislang ohne Erfolg.

Nach der mündlichen Verhandlung vor fast drei Monaten wird nun mit Spannung das Berufungsurteil erwartet. Das Gericht wird darüber entscheiden müssen, ob die Anordnung eine unerlaubte Ausübung extraterritorialer Gewalt darstellt, weil die US-Regierung Microsoft direkt in Anspruch nimmt anstatt über Rechtshilfeabkommen die irischen Behörden einzuschalten. Dies wird auch die Auslegung eines Gesetzes aus dem Jahr 1986 (dem Stored Communications Act) erfordern, als die Idee, Daten in einer Cloud zu speichern, noch unvorstellbar war.

Führende Technologie- und Medienunternehmen wie Amazon, Apple, CNN und The Guardian unterstützen Microsofts Position. Auf dem Spiel stehen die Wettbewerbsfähigkeit amerikanischer Cloud-Anbieter auf dem europäischen Markt und das Vertrauen der Kunden in den Schutz ihrer Daten.

Zeitlich passend präsentierte Microsoft die Cloud mit deutscher Datentreuhand: Ab nächstem Jahr will Microsoft seinen Kunden anbieten, Cloud-Dienste aus deutschen Rechenzentren zu beziehen und den Zugang zu ihren Daten durch einen deutschen Datentreuhänder kontrollieren zu lassen. Ohne dessen Zustimmung und Aufsicht soll Microsoft selbst keinen Zugriff auf Kundendaten haben, eine Herausgabe auch an Behörden nur dann stattfinden, wenn dies nach deutschem Recht zulässig ist. Nicht nur das Urteil im Microsoft-Fall, sondern auch die Zukunft von Safe Harbor werden darüber entscheiden, ob amerikanische Anbieter in Zukunft nur mit kreativen Lösungen den europäischen Datenschutzanforderungen gerecht werden können.

 

Haben Sie Fragen? Kontaktieren Sie gerne: Eva Irene Wille
Practice Group:      IT, Outsourcing & Datenschutz