Microsoft vs. US-Regierung

Persönliche Daten: Keine Verpflichtung zur Herausgabe

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Microsoft ist nicht verpflichtet, Nutzerdaten, die sich auf Servern des Unternehmens außerhalb der Vereinigten Staaten befinden, an die US-Regierung herauszugeben.

Microsoft ist nicht verpflichtet, Nutzerdaten, die sich auf Servern des Unternehmens außerhalb der Vereinigten Staaten befinden, an die US-Regierung herauszugeben. Das hat der US Court of Appeals for the 2nd Circuit in New York im nunmehr beendeten Berufungsverfahren (Aktenzeichen 14-2985) entschieden. Damit ist die gerichtliche Anordnung, die Microsoft zur Herausgabe der Daten verpflichtete, unwirksam.

Herausgabe von Daten aus irischem Rechenzentrum

Am 4. Dezember 2013 hatte der United States District Court for the Southern District of New York eine Verfügung ("Search and Seizure Warrant") gegen die Microsoft Corporation in Redmond erlassen. Die Anordnung verpflichtete Microsoft, den Inhalt eines Email-Postfachs, welches Microsoft für einen Kunden betrieb, an die Behörden der Vereinigten Staaten herauszugeben. Die Sicherheitsbehörden hatten Grund zu der Annahme, dass das Email-Postfach zum Drogenschmuggel eingesetzt wurde.

Microsoft kam der Anordnung nur in Teilen nach und übergab lediglich Informationen über das Postfach, jedoch keine Inhaltsdaten an die Behörden. Denn die Postfach-Informationen waren auf US-Servern vorhanden; die Inhaltsdaten des Email-Postfachs waren aber auf Servern in Irland gespeichert, die von dem Tochterunternehmen Microsoft Ireland betrieben werden. Microsoft wandte sich deshalb gegen die Anordnung, weil Microsoft dadurch gezwungen würde, Daten von Servern, die sich außerhalb der Vereinigten Staaten befinden, zu importieren, um diese an die Behörden zu übergeben. Die Behörden und das Gericht drohten Sanktionen an. Hiergegen wandte sich Microsoft.

Keine extraterritoriale Wirkung

Microsoft machte vor Gericht geltend, dass die Anordnung der US-Behörden nur für das Territorium der Vereinigten Staaten gelten und keine extraterritoriale Wirkung in anderen Ländern entfalten könne. Denn in den Hoheitsgebieten anderen Staaten würden weder die Gesetze der Vereinigten Staaten gelten, noch haben die Behörden die Möglichkeit, diese Gesetze dort durchzusetzen. Anordnungen von Gerichten seien daher stets auf das Territorium der Vereinigten Staaten beschränkt.

Die Behörden traten dieser Argumentation entgegen. Es komme nicht darauf an, wo die Informationen räumlich gespeichert sind. Ausschlaggebend sei allein, ob der Adressat einer solchen Anordnung Besitz oder Kontrolle ("custody, possession or control") über diese Informationen habe. Dabei wurden diese Anforderungen in der Vergangenheit stets sehr weit interpretiert. Oft wurde die faktische Möglichkeit zum Zugriff oder aber ein gesellschaftsrechtliches Weisungsrecht als ausreichend erachtet.

Das Gericht schloss sich nun der Argumentation von Microsoft an. Das Gesetz, auf den die Behörden ihre Herausgabeverlangen stützten (18 U.S.C. §§ 2701 "Stored Communications Act" aus dem Jahr 1986 als Teil des "Electronic Communications Privacy Act") zielte u.a. auf den Schutz der Privatsphäre zwischen Nutzer und IT-Service Provider. Als diese Gesetze erlassen wurden, war das Internet noch nicht globalisiert und die Datenverarbeitung über Grenzen hinweg eher die Ausnahme als die Regel. Aus dem Gesetz kann daher - weder ausdrücklich noch implizit - gefolgert werden, dass es auch außerhalb des Gebietes der USA, also extraterritorial, zur Anwendung kommen soll. Im Ergebnis stellte das Gericht damit fest, dass das erstinstanzliche Gericht (United States District Court for the Southern District of New York) nicht autorisiert war, die Herausgabeanordnung auch außerhalb der Vereinigten Staaten durchzusetzen. Die Informationen, die Microsoft in den Vereinigten Staaten gespeichert hat, hatte Microsoft bereits herausgegeben und war damit der Anordnung nachgekommen.

Auswirkungen auf die deutsche Cloud

Das Urteil des Berufungsgerichts wurde mit Spannung erwartet, handelt es sich dabei doch um eine wichtige Entscheidung in der aktuellen Diskussion über den Schutz und die Sicherheit von Informationen bei US-Service Providern. Die Entscheidung dürfte auch für die "deutsche Cloud" und die Datentreuhand-Konstruktion gewichtige Argumente liefern. Denn die Datentreuhand beruht darauf, dass es für die Datenherausgabe primär auf der Einhaltung deutscher Gesetze ankommt. (fm)