Microsoft: Keine «Auslieferung» von Cloud-Nutzerdaten im Ausland

Microsoft hat vor Gericht einen wichtigen Erfolg für amerikanische Cloud-Anbieter mit Nutzerdaten im Ausland errungen, wie unter anderem Heise Online berichtet:

«[…] Ein US-Berufungsgericht hat am Donnerstag eine Anordnung der Vorinstanz aufgehoben, mit der Microsoft zur Herausgabe von Nutzerdaten aus einem europäischen Rechenzentrum gezwungen werden sollte. Das angewandte Gesetz gebe Gerichten keine Handhabe, die Herausgabe von Daten anzuordnen, die auschließlich auf Servern in Drittländern gespeichert seien […].»

Im Verfahren ging es um Outlook.com-Nutzerdaten, die (ausschliesslich) in einem Rechenzentrum in Irland gespeichert waren:

«Ende 2013 erließ ein New Yorker Bundesbezirksgericht einen Durchsuchungsbeschluss, der Microsoft verpflichtete, E-Mails eines Kunden herauszugeben. Der Konzern überreichte einen Teil der Nachrichten und weigerte sich, die auf seinen Servern in Irland gespeicherten Daten auszuhändigen. Daraufhin verurteilte das Gericht Microsoft im Mai 2014 auch zur Herausgabe dieser außerhalb der USA gespeicherten Daten. In dem Verfahren geht es um Drogenhandel.»

Keine extra­territoriale Anwendung von Warrant-Bestimmungen

Anwaltskollege Daniel Vasella hat das Urteil zusammengefasst und zitiert das gerichtliche Ergebnis:

«We conclude that Congress did not intend the SCA’s warrant provisions to apply extraterritorially. The focus of those provisions is protection of a user’s privacy interests. Accordingly, the SCA does not authorize a U.S. court to issue and enforce an SCA warrant against a United States‐based service provider for the contents of a customer’s electronic communications stored on servers located outside the United States. The SCA warrant in this case may not lawfully be used to compel Microsoft to produce to the government the contents of a customer’s e‐mail account stored exclusively in Ireland. Because Microsoft has otherwise complied with the Warrant, it has no remaining lawful obligation to produce materials to the government.»

Allerdings übte einer der Richter auch deutliche Kritik an der Rechtslage, die zu seinem Urteil führte, und forderte den amerikanischen Kongress dazu auf, den einschlägigen Stored Communications Act (SCA) von 1986 anzupassen:

«Circuit Judge Gerard Lynch concurred in the judgment, and urged Congress to update the ‹badly outdated› 1986 law to strike a better balance between current law enforcement needs and users› privacy interests and expectations.

He said the law as it stands lets Microsoft thwart an otherwise justified demand to turn over emails by the «simple expedient» of choosing to store them outside the United States.

‹I concur in the result, but without any illusion that the result should even be regarded as a rational policy outcome, let alone celebrated as a milestone in protecting privacy,› he wrote.»

Microsoft wurde in diesem Verfahren von zahlreichen amerikanischen Cloud-Anbietern sowie durch die Bürgerrechtsorganisationen American Civil Liberties Union (ACLU) und Electronic Frontier Foundation (EFF) unterstützt.

Ausblick

Amerikanischen Behörden steht weiterhin die Möglichkeit offen, auf dem Rechtshilfeweg an solche Daten im Ausland zu gelangen. Die intensive Zusammenarbeit von amerikanischen und europäischen Geheimdiensten ist von diesem Urteil im Übrigen nicht betroffen.

Für viele europäische Cloud-Anbieter ist das Urteil eine unerfreuliche Nachricht. Da ihre Angebote gegenüber der amerikanischen Konkurrenz funktional und preislich meist unterlegen sind, setzen sie auf «Heimatschutz» um Kundinnen und Kunden von ihren Angeboten zu überzeugen.

Das Urteil 14‐2985 vom 14. Juli 2016 ist im Volltext online abrufbar. Das Urteil ist noch nicht rechtskräftig.

(Vielen Dank an Anwaltskollege Stephan Jau für seinen Hinweis auf das Urteil.)

Bild: Flickr/«DonkeyHotey», CC BY-SA 2.0 (generisch)-Lizenz.