Das seit Jahren laufende Verfahren der US-Justizbehörden gegen die Firma Microsoft um die Herausgabe von Nutzerdaten, die auf Server außerhalb der USA gespeichert sind, wurde letzte Woche vom Supreme Courd, dem höchsten Gericht der USA, eingestellt. Begründung der Richter: Aus ihrer Sicht besteht überhaupt kein Konflikt mehr, denn mit dem CLOUD Act wurde Ende März ein Gesetz verabschiedet, das sich nach Ansicht des Gerichts auf den Streitfall anwenden lässt.
Im Verfahren hatte sich Microsoft bis zuletzt gegen die Herausgabe von Nutzerdaten an die US-Justizbehörden gewehrt, die auf einem Microsoft-Server in Irland gespeichert sind.
CLOUD Act: (Grundsätzlicher) Zufriff auf Daten außerhalb der USA
Der CLOUD Act verpflichtet amerikanische Online-Firmen (Internet Service Provider, Cloud Computing Anbieter, Suchmaschinen, etc.), US-Ermittlungsbehörden grundsätzlich Zugang zu Daten eigener Bürger gewähren müssen, auch wenn die Daten außerhalb der USA gespeichert sind. Die betroffenen Anbieter können allerdings gegen diese Datenanforderungen Einspruch erheben, wenn es um Bürger anderer Länder geht oder wenn dadurch Gesetze anderer Staaten verletzt würden.
Die betroffenen Benutzer Betroffene können sich gerichtlich nicht gegen den Eintriff wehren und müssen auch nicht mehr verständigt werden.
Darüber hinaus gibt die neue Regelung der US-Regierung die Möglichkeit, mit anderen Regierungen bilaterale Abkommen für einen gegenseitigen Datenzugriff zu vereinbaren. Gesetze und Vorschriften für Datenschutz und gegen staatliche Überwachung wie zum Beispiel die EU-Datenschutz-Grundverordnung (EU-DSGVO) werden damit umgangen bzw. verlieren ihre Wirkung.
Amerikanische Online-Unternehmen begrüßen Entscheidung (jetzt doch)
In einer ersten Stellungsnahme reagierten US-Firmen wie Apple oder Microsoft positiv auf die Entscheidung. So erklärte Microsofts Chefjustiziar Brad Smith letzte Woche laut Spiegel Online, dass er “die Entscheidung des Supreme Court begrüße, dass es sich dem Fall angesichts des “Cloud Act” nicht weiter widmet. Microsofts Ziele in dem Rechtsstreit seien schon immer ein neues Gesetz sowie internationale Vereinbarungen mit strengem Datenschutz gewesen, die regeln, wie Strafverfolger digitale Beweise über Grenzen hinweg sammeln”.
Im Laufe des Verfahrens hatte dies noch ganz anders geklungen. Noch 2015 wurde der damalige mit dem Fall betraute Microsoft-Justiziar Joshua Rosenkranz in der Verhandlung mit den Worten zitiert: “We would go crazy if China did this to us”, auf gut deutsch “Wir würden verrückt werden, wenn die Chinesen dies mit uns machen würden.”
CLOUD Act: Es bleibt spannend
Stand heute regelt nun also der CLOUD Act den Zugriff amerikanischer Justizbehörden auf Nutzerdaten außerhalb der USA. Nachfolgend in der Zusammenfassung nochmals die wichtigsten Punkte aus dem neuen Gesetz:
- Amerikanische Behörden können auf Nutzerdaten außerhalb der USA zugreifen: Die als vertrauensbildende Maßnahme für deutsche Cloud Computing-Kunden gedachten Ankündigungen amerikanischer Cloud Service Provider wie Oracle, Amazon AWS, Salesforce oder Google, nun auch in Deutschland ein Rechenzentrum zu betreiben, laufen damit ins Leere, denn sie schützen nicht vor dem Zugriff.
- Nur der amerikanische Service Provider kann gegen den Zugriff Einspruch einlegen. Dies ist allerdings wohl an zahlreiche Bedingungen geknüpft so dass beispielsweise Heise online erklärt: “Selbst wenn der Betreiber zulässig Einspruch erhebt, müssen die dann zuständigen US-Gerichte so viele Faktoren berücksichtigen, dass eine Aufhebung oder Einschränkung des Herausgabebefehls die große Ausnahme bleiben dürfte.”
- Der vom Datenzugriff betroffene Nutzer kann gegen den Zugriff keinen Einspruch einlegen, er muss nicht einmal darüber informiert werden. Diese Regelung steht laut Rechtsexperten im krassen Gegensatz zu in Europa geltenden Regelungen wie z.B. der EU-DSGVO, die dem Nutzer ein umfassendes Informationsrecht und dem Betreiber eine Informationspflicht einräumen
Von deutscher oder europäischer Seite gibt es derzeit noch keine Stellungsnahme. Es besteht vielmehr der Eindruck, dass man auf dieser Seite des “großen Teichs” bereits von der Verabschiedung des CLOUD Acts mehr als überrascht wurde.