US-Supreme Court entscheidet über Zugriff von US-Behörden auf Daten ausländischer Server

Michael Neuber

Seit nunmehr vier Jahren wehrt sich Microsoft gegen Anordnungen der US-Regierung Daten, die auf einem irischen Server des Unternehmens gespeichert sind, im Rahmen der Strafverfolgung herauszugeben. Unter Berufung auf den Stored Communications Act (SCA) sollten elektronisch gespeicherte Daten nach Ansicht der US-Regierung nicht denselben Schutz wie physikalisch vorliegende Dokumente genießen. Im Juni 2016 hatte der 2ndU.S. Circuit Court of Appeals US-amerikanischen Behörden dieses Recht jedoch abgesprochen (Urteil).

Mit Blick auf den SCA stellte das Gericht fest, dass die Gesetzgebung des Kongresses ausschließlich innerhalb der territorialen Jurisdiktion der USA anwendbar sei, soweit eine anderslautende Intention nicht erkennbar sei. Aus diesem Grunde sei auch eine entsprechend Durchsuchungsreichweite rechtswidrig.

Dazu das Gericht: “Because the content subject to the Warrant is located in, and would be seized from, the Dublin datacenter, the conduct that falls within the focus of the SCA would occur outside the United States, regardless of the customer’s location and regardless of Microsoft’s home in the United States.”

In diesem Punkt widersprach das Gericht auch der Ansicht der US-Regierung, welche aus dem Gesetz eine „extraterritorial awareness and intention“ herauslas. Nachdem gegen diese Entscheidung ein erneuter Antrag auf Überprüfung erfolgreich war, hat nun das Oberste US-Gericht (Supreme Court) den Fall im Oktober 2017 zur Entscheidung zugelassen (17-2 UNITED STATES V. MICROSOFT CORPORATION).

Am 27.Februar 2018 soll der Fall verhandelt werden.

Die vom Supreme Court konkret zu entscheidende Frage lautet:

„Whether a United States provider of email services must comply with a probable-cause-based warrant issued under 18 U.S.C. 2703 by making disclosure in the United States of electronic communications within that provider’s control, even if the provider has decided to store that material abroad.“

[Ob ein US-amerikanischer Anbieter von E-Mail-Diensten einen wahrscheinlichen, ursachenbasierten Durchsuchungsbefehl einhalten muss, der unter § 18 U.S.C 2703 ausgestellt wurde, durch Offenlegung der elektronischen Kommunikation in den Vereinigten Staaten von Amerika im Rahmen der Kontrolle dieses Anbieters, auch wenn der Anbieter beschlossen hat, dieses Material im Ausland zu lagern.]

Die Bedeutung einer positiven Antwort des Obersten US-Gerichts – welches zuletzt um den von Donald Trump nominierten, konservativen Richter Neil Gorsuch ergänzt wurde –  könnte einschneidender nicht sein.

Zum einen geht es um die mögliche Verletzung von Souveränitätsrechten der jeweiligen Hostländer. Nicht umsonst hatte Irland in seiner eigenen Stellungnahme (sog. Amicus Brief)– auf dessen Territorium sich der fragliche Server befindet – auf dieses Problem hin- und auf die Möglichkeiten der Amtshilfe verwiesen, die es in diesem Fall sogar anbietet. Das US-Justizministerium hatte argumentiert, dass das Unterlassen gerichtlicher Klärung/ eines Einschreitens in den USA ein stillschweigendes Akzeptieren möglicher Souveränitätskonflikte sei.  Dieser Ansicht erteilt die irische Regierung in dem Schreiben eine klare Absage.

Zum anderen würde eine stattgebende Entscheidung US-Unternehmen in Konflikt mit der ab 25.Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) bringen. Bereits im schriftlichen Anhörungsverfahren (Certiorari-stage brief) wies Microsoft das Gericht darauf hin, dass eine direkte Herausgabeverpflichtung mit europäischem Datenschutzrecht, insbesondere mit Art. 48 DSGVO kollidieren würde. Der BVDW hatte bereits 2016 ebenfalls kommentiert, dass die die Etablierung einer Herausgabepflicht von Daten, die auf europäischen Servern gehostet werden, einem verordneten Rechtsbruch gleichkäme.

Auch die EU-Kommission hat sich in ihrer Stellungnahme aus Dezember 2017 dazu entsprechend geäußert. Es handele sich hier um personenbezogene Daten, die in einem europäischen Datenzentrum einer Microsoft-Niederlassung gehostet würden. Sowohl das Speichern als auch der Transfer in die USA  unterlägen deshalb europäischen Datenschutzanforderungen. Nach Art. 48 DSGVO sei klar, dass eine ausländische Gerichtsentscheidung keine für sich hinreichende Rechtfertigung für die Übermittlung personenbezogener Daten sei. Vielmehr müssen hier außerdem geeignete rechtliche Übereinkommen zur Amtshilfe vorliegen (mutual legal assistance treaties, MLATS). Zuletzt seien daneben allein Rechtsgründe aus Art. 49 DSGVO für einen zulässigen Transfer denkbar.

Der Fall ist nach wie vor von entscheidender Bedeutung für Geschäftsmodelle der digitalen Wirtschaft, insbesondere für die Cloud-Industrie. Würden US-Behörden im Rahmen von Durchsuchungen auch auf Serverinhalte außerhalb der USA zugreifen können, gefährdete dies unmittelbar die weltweiten Einsatzmöglichkeiten und das Vertrauen in Cloud-basierte Dienste. Dies betrifft vor allem die den Anforderungen des EU-US-Privacy Shields unterliegenden Datentransfers. Brad Smith, Legal Counsel Microsoft hatte auf diese Problematik bereits 2014 hingewiesen:

“… as I encountered in virtually every meeting during a recent trip to Europe, as well as discussions with others from around the world, people have real questions and concerns about how their data are protected. These concerns have real implications for cloud adoption. After all, people won’t use technology they don’t trust. We need to strike a better balance between privacy and national security to restore trust and uphold our fundamental liberties.”

Kommentar schreiben