Microsoft-Urteil: Ein Meilenstein für Datenschutz in der Cloud

Kommentieren Drucken

Im Streit mit dem US-Justizministerium hat Microsoft einen wichtigen Etappensieg eingefahren. Der US-Konzern muss E-Mails, die auf Servern im Ausland gespeichert sind, nicht US-Ermittlern übergeben. Für Datenschützer und Nutzer von US-Cloud-Lösungen ist das Urteil ein großer Erfolg.

Das Berufungsgericht Second U.S. Circuit Court of Appeals in Manhattan entschied am 14. Juli 2016 in zweiter Instanz, dass Microsoft US-Ermittlungsbehörden keinen Zugriff auf solche Daten gewähren muss, die auf Servern außerhalb der USA gespeichert sind (Microsoft vs. United States, 2nd U.S. Circuit Court of Appeals, No. 14-2985). Nach Ansicht der Richter war der richterliche Durchsuchungsbeschluss nicht durch den Stored Communications Act gedeckt und reicht daher nicht aus, um die Herausgabe von E-Mails zu verlangen, die auf einem irischen Server einer irischen Tochtergesellschaft gespeichert worden sind.

Microsoft wehrt sich gegen den Durchsuchungsbeschluss
Was war passiert? Das US-Justizministerium hatte im Jahr 2013 einen richterlichen Beschluss gegen Microsoft erwirkt, um an die Daten eines E-Mail-Accounts einer Person zu gelangen, gegen die im Zusammenhang mit Drogendelikten ermittelt wurde. Microsoft weigerte sich jedoch die Daten herauszugeben. Der US-Konzern begründete sein Verhalten damit, dass die betreffenden Daten auf Servern einer Tochtergesellschaft in Irland gespeichert seien und US-Behörden dort keine Befugnisse hätten. Außerdem berief sich Microsoft auf europäisches Datenschutzrecht. Danach kann ein Beschluss oder Urteil eines Gerichts oder einer Behörde eines Drittlandes, der die Übermittlung oder Offenlegung personenbezogener Daten verlangt, nur dann anerkannt oder umgesetzt werden, wenn er auf einer internationalen Vereinbarung wie einem Abkommen für Amtshilfe basiere. Microsoft hatte zudem argumentiert, die Position der US-Behörden stünden mit der Souveränität Irlands in Konflikt.

Keine exterritoriale Anwendung von US-Recht
Das zweite Bundesberufungsgericht in Manhattan kassierte nun ein erstinstanzliches Urteil und schloss sich der Rechtsauffassung von Microsoft an. Die Richter entschieden, dass die Umsetzung des Durchsuchungsbeschlusses einer exterritorialen Anwendung von US-Gesetzen gleichkommt. Der Kongress hat die Anwendung des fraglichen Stored Communication Acts außerhalb der USA jedoch gerade nicht vorgesehen.
Wenn das Urteil Bestand hat, dürfte es Entscheidungen von Unternehmen und Behörden erleichtern, zukünftig verstärkt auf US-Cloud-Lösungen zu setzen. Die Daten wären außerhalb der Vereinigten Staaten vor dem Zugriff von US-Ermittlungsbehörden zunächst sicher. Bei Herausgabeverlangen käme es auf das Recht am den Standort des Servers an, nicht auf das Heimatrecht der ermittelnden Behörde.

Wegweisendes Urteil für die Datensicherheit in der Cloud
Zwischen US-Behörden und den Technologiefirmen besteht schon seit geraumer Zeit Streit darüber, ob eine Pflicht zur Herausgabe von Daten besteht, die von selbstständigen Tochtergesellschaften außerhalb der USA gespeichert worden sind. Ausgangspunkt liegt in den geschäftlichen Interessen der US-Konzerne. Diese beklagen, dass die Skepsis der Kunden im Ausland aufgrund der Zusammenarbeit mit US-Ermittlungsbehörden und US-Geheimdiensten gewachsen sei und hieraus zunehmend handfeste Wettbewerbsnachteile für US-Unternehmen entstünden. Insbesondere die Snowden-Enthüllungen hätten dazu geführt, dass das Vertrauen in die Cloud-Sicherheit beträchtlich gesunken sei. Die Cloud-Dienstleister fürchten daher, dass allzu weitreichende Eingriffsbefugnisse von US-Ermittlungsbehörden Gewinnaussichten im europäischen Markt zunehmend schmälern könnten. Infolgedessen setzen sich US-Konzerne gegen Maßnahmen ihrer nationalen Ermittlungsbehörden verstärkt medienwirksam zur Wehr. So weigerte sich beispielsweise die Firma Apple mit der Strafverfolgungsbehörde FBI zusammen zu arbeiten und die Sicherheitsvorkehrungen eines von einem Terroristen genutzten iPhones außer Kraft zu setzen.

Crashkurs IT-Recht für Nichtjuristen

24.04.17 in Bonn € 1.090,– netto

IT-Recht
Die Veranstaltung bildet eine kompakte Grundorientierung über das unübersichtliche Rechtsgebiet des IT-Rechts. Teilnehmern, die sich wiederkehrend mit rechtlichen Fragestellungen in der Informationstechnologie beschäftigen, wird vermittelt, wo Herausforderungen und Haftungsrisiken liegen, welche Probleme auch als Laie handhabbar sind und in welchen Fällen externes Know-How unerlässlich ist. Diese Veranstaltung wendet sich an IT-Leiter, Compliance-Beauftragte und Geschäftsführer, die sich kompakte und praktische Grundkenntnisse zu den rechtlichen Eckpunkten des IT-Projektes verschaffen wollen. Die Inhalte sind insbesondere an Nichtjuristen gerichtet, die sich nicht alltäglich mit rechtlichen Fragestellungen befassen und eine Grundorientierung suchen.

Spürbare Auswirkungen für die Zukunft des Cloud Computings
Vor diesem Hintergrund wurde die Entscheidung des Gerichts von der gesamten IT-Branche mit Spannung erwartet. Schließlich ist die derzeitige Rechtslage sowohl aus Sicht europäischer Unternehmen als auch aus Sicht europäischer Behörden bedenklich. Sie stehen oftmals vor einer Grundsatzfrage. Sind die Daten in der Cloud tatsächlich sicher? Gerade bei US-Anbietern ist diese Sorge besonders stark ausgeprägt, da unklar ist, was US-Cloud-Anbieter US-Ermittlungsbehörden oder Geheimdiensten unter welchen Umständen preisgeben müssen. Diese Ungewissheit nährt die Skepsis gegenüber sämtlichen Cloud-Lösungen.

Das Urteil dürfte diese Sorgen lindern und die Datensicherheit in der Cloud erhöhen. Den US-Richtern ist daher zuzustimmen, wenn sie das das Urteil als Meilenstein für den Datenschutz einordnen. Cloud-Anbieter können nun sicher sein, dass US-Behörden jedenfalls nicht auf Grundlage eines einfachen Durchsuchungsbeschlusses auf Daten zugreifen dürfen, die im Ausland gespeichert sind. Das Urteil ist jedoch noch nicht rechtskräftig. Das US-Justizministerium kann den Supreme Court anrufen. Es bleibt abzuwarten, ob dieser Weg eingeschlagen wird.

zugeordnete Kategorien: IT-Recht, IT-Sicherheit
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.