In dem Rechtsstreit zwischen Microsoft und der US-Regierung siegt der Software-Riese erneut. Der US Court of Appeals for the 2nd Circuit in New York hält auch nach einem Überprüfungsverfahren an seinem Urteil vom 14. Juli 2016 fest.
Microsoft ist damit weiterhin nicht verpflichtet, Nutzerdaten, die sich auf Servern des Unternehmens außerhalb der Vereinigten Staaten befinden, an die US-Regierung herauszugeben. Was nach einem Sieg für den Datenschutz klingt, könnte sich jedoch bald in das Gegenteil verkehren.
Foto: Maksim Kabakou - shutterstock.com
Gegenstand des Urteils
Im Rahmen von Ermittlungen gegen Drogenschmuggler erhielt die Microsoft Corporation in Redmond eine gerichtliche Anordnung, wonach der Inhalt eines E-Mail-Postfachs an die Behörden der Vereinigten Staaten herauszugeben sei. Microsoft stellte aber nur die Informationen zur Verfügung, die auf den US-Servern des Unternehmens gespeichert waren. Die Inhaltsdaten des Email-Postfachs waren auf Servern in Irland gespeichert, die vom Tochterunternehmen Microsoft Ireland betrieben werden. Diese Informationen gab Microsoft nicht heraus, weil das US-Gesetz, das Grundlage für die gerichtliche Anordnung war, nach Auffassung von Microsoft in Irland keine Wirkung entfalte.
Diese Auffassung wurde in dem jahrelangen Rechtsstreit nunmehr erneut bestätigt. Die Gerichte stützten ihre Entscheidung aber bislang ausschließlich auf formale Gründe: Das Gesetz, das Grundlage für die Anordnung gegen Microsoft ist, wurde erlassen, als die grenzüberschreitende Datenverarbeitung eher die Ausnahme als die Regel war. Aus dem Gesetz kann daher weder ausdrücklich noch implizit gefolgert werden, dass es auch außerhalb des Gebietes der USA - also extraterritorial - zur Anwendung kommen soll. Eine Auseinandersetzung mit den Rechten von Microsoft und den Betroffenen sowie den Eingriffsbefugnissen der Strafverfolgungsbehörden fehlt. Nach diesem Urteil ist davon auszugehen, dass die US-Regierung das Urteil nun durch den Obersten Gerichtshof der USA überprüfen lässt.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Neue Gesetzgebungsverfahren in den USA
Der Sieg von Microsoft vor den US-Gerichten könnte jedoch nur von kurzer Dauer sein. Wie aus der Urteilsbegründung hervorgeht, beruht der Sieg von Microsoft vor allem darauf, dass das zugrundeliegende Gesetz nicht ausdrücklich vorschreibt, dass es auch im Ausland angewendet werden soll. Das bedeutet aber zugleich, dass durch eine Gesetzesänderung die extraterritoriale Wirkung eines Gesetzes herbeigeführt werden kann. Aktuelle Gesetzesvorhaben in den USA gehen in diese Richtung.
Grundsätzlich können Behörden im Hoheitsgebiet anderer Staaten keine Maßnahmen gegen Bürger des jeweiligen Staates ergreifen. Das FBI darf also in Deutschland keine Computer beschlagnahmen und durchsuchen. Ist eine derartige Maßnahme im Rahmen der Strafverfolgung dennoch notwendig, müssen sich die Behörden mit einem Rechtshilfegesuchen an die Behörden des jeweiligen Staates wenden. Diese überprüfen selbiges und setzen es dann gegebenenfalls durch. Dieses System steht aber in der Kritik, da Rechtshilfegesuche zu langsam bearbeitet werden und die Durchsetzung damit ineffizient sei.
Die USA und Großbritannien verhandeln deshalb zurzeit ein Abkommen, das den Ermittlungsbehörden des jeweils anderen Staates direkten Zugriff auf Informationen der Bürger erlauben würde. Würde das Abkommen so zustande kommen, bedeutet dies für die betroffenen Personen einen massiven Eingriff in ihre Grundrechte. Denn wie könnte ein englischer Bürger gegen eine Anordnung des FBI vorgehen? Ein Gericht in dem Vereinigten Königreich wäre für eine derartige Klage wohl nicht zuständig.
Als Konsequenz der Auseinandersetzung zwischen dem FBI und Apple über die Entschlüsselung eines iPhones haben die Senatoren Richard Burr und Dianne Feinstein im letzten Jahr ein Gesetzesentwurf eingebracht, der die Technologieunternehmen dazu zwingen soll, Hintertüren in ihre Verschlüsselungsprogramme einzubauen. Äußerungen des designierten US-Justizministers Jeff Sessions deuten darauf hin, dass die US-Regierung an derartigen Gesetzesvorhaben festhalten will. Damit dürfte die Diskussion um derartige Hintertüren erneut entbrennen. (fm)