Im Schatten der Ereignisse des EuGH- Urteils zu Safe-Harbor (wir berichteten), droht noch von anderer Seite Ungemach. Ob Daten durch amerikanische Großkonzerne zukünftig datenschutzkonform auf europäischen Servern gespeichert werden können, bleibt ungewiss.

Drogenschmuggel unter Nutzung von Microsoftdiensten

Ausgangspunkt ist ein Rechtsstreit zwischen der Microsoft Corporation mit Sitz in Redmond, USA und einer nicht näher benannten US-Behörde.

Microsoft betreibt verschiedene webbasierte E-Mailservices. Die Konten der Nutzer werden auf Servern von Microsoft gespeichert. Eine US-Behörde möchte nun den Inhalt eines Kontos einsehen, da sie den Verdacht hat, dass der Nutzer in Drogenschmuggel verwickelt ist. Der Server, auf dem das entsprechende E-Mailkonto gespeichert ist, befindet sich in Dublin, Irland und wird von der Microsoft Corporation betrieben. Um an den Inhalt des Kontos zu gelangen, hat die US-Behörde bei dem Bezirksgericht Southern District of New York (SDNY) einen Durchsuchungs- und Beschlagnahmebeschluss („Warrant“) nach dem Stored Communication Act (SCA), der Teil des Electronic Communications Privacy Act (ECPA) ist, beantragt. Diesem Antrag hat das Gericht auch entsprochen und Microsoft dazu verpflichtet, die Daten von dem Server in Irland an die Behörde herauszugeben.

Gericht bestätigt Zugriff auf Server von Microsoft in Dublin

Das Gericht hat ausgeführt, dass der Beschluss nach dem SCA aus zwei Teilen bestehe. Zunächst müsse bei einem Gericht glaubhaft dargelegt werden, dass ein hinreichender Verdacht auf eine Straftat bestehe. In diesem Punkt ähnelt der Beschluss einem Antrag auf eine Durchsuchung. Im zweiten Teil stelle der Beschluss eine Zwangsmaßnahme dar, die die Pflicht des Adressaten -hier Microsoft – beinhalte, Informationen herauszugeben, die in seinem Besitz sind. Dies gelte unabhängig davon, wo sich die Daten befinden. Entsprechend bedürfe es hierzu keiner Regierungsbeamten, die den Besitz des Adressaten betreten, um an die Informationen zu gelangen.

Weiter führt das Gericht aus, dass es nicht Anliegen des Gesetzgebers gewesen sein könne, die Reichweite des SCA „Warrants“, wie von Microsoft vorgebracht, auf Server in den USA zu beschränken. Hierzu führt das Gericht u.a. aus, dass ein Amtshilfeverfahren – wie von Microsoft gefordert – ein langsamer und schwieriger Prozess sei und Kriminellen die Möglichkeit geben würde, sich auf Dauer einer Strafverfolgung zu entziehen.

Microsoft hat gegen diesen Beschluss Beschwerde bei der zuständigen Kammer des SDNY eingelegt. Begründet hat Microsoft dies damit, dass eine US-Behörde per Durchsuchungsbeschluss Informationen erlangen möchte. Ein US-Bundesgericht sei aber für Informationen, die sich außerhalb der USA befänden, nicht zuständig. Daher sei der Durchsuchungsbeschluss unzulässig und müsse aufgehoben werden.

Diesen Argumenten hat die zuständige Kammer aber widersprochen und zudem die sofortige Vollstreckbarkeit des SCA Warrants angeordnet.

Nachdem Microsoft dieses Urteil der zuständigen Kammer beim Court of Appeals for the Second Circuit angefochten hatte, hat das Gericht auf Bitten von Microsoft und der Regierung die sofortige Vollstreckbarkeit bis zur Klärung des Rechtsstreits ausgesetzt.

Schützenhilfe aus Irland für Microsoft

Im Dezember 2014 sprang die irische Regierung in einem sogenannten „Amicus brief“ Microsoft zur Seite und schloss sich dem Standpunkt an, dass nur im Rahmen eines Amtshilfeverfahrens auf die Informationen auf den Server in Dublin zugegriffen werden könne.

Der Court of Appeals for the Second Circuit hat im September beide Seiten zu dem Fall angehört. Die Parteien wiederholten hier im Wesentlichen ihre Argumente.

Wann das Gericht ein Urteil fällt ist unklar.

Strafverfahren nicht verwechseln mit NSA-Skandal

Dieser Fall ist zu unterscheiden von den sogenannten NSL (National Security Letter) im PATRIOT Act bzw. FISA-Order auf dessen Grundlage Behörden wie die NSA, die Herausgabe von Daten zur Terrorismusbekämpfung von den Unternehmen wie Microsoft, Google oder Apple erzwingen können, ohne dass die Betroffenen davon Kenntnis erlangen. Im vorliegenden Fall geht es hingegen um „profane“ Strafverfolgung.

Grundsatzfrage: Wie weit dürfen US-Behörden gehen?

Trotzdem geht es um die Kernfrage, wie weit die Kompetenzen von US-Behörden gehen.

So genügt nach dem PATRIOT Act eine Beteiligung von US-Unternehmen an europäischen Dienstleistern, um auch von diesen Informationen herauszuverlangen, wie unlängst auch die Vergabekammer des Bundes bestätigt hat. Diese Verpflichtung gelte in gleicher Weise für ausländische Tochtergesellschaften von US-amerikanischen Unternehmen […] und zwar auch dann, wenn die Datenweitergabe gegen die für die ausländische Tochtergesellschaften geltenden örtlichen Gesetze verstoße, so die Vergabekammer.

Die Rechtsliteratur geht indes noch weiter. Diese geht davon aus, dass „sogar die Anwesenheit von Mitarbeitern in den USA, z.B. bei einer Dienstreise, die Anwendbarkeit des US-Rechts eröffnen [kann]“(Voigt, MMR 2014,158,160).

Sollte daher das Gericht in diesem Fall den Zugriff durch US-Behörden erlauben, ist damit auch die Durchsetzung des PATRIOT Acts gegenüber europäischen Unternehmen mit US-Beteiligung bestätigt. Da der PATRIOT Act aber unter bestimmten Bedingungen vorsieht, dass die Betroffenen nicht informiert werden dürfen, wird damit der Rechtsschutz insbesondere für europäische Betroffene umgangen. Genau dies ist ein Kritikpunkt des EuGH in seiner Safe Harbor Entscheidung.

Für Microsoft und andere Unternehmen wird es dann schwierig bis unmöglich, Dienstleistungen anzubieten, die mit europäischem Recht vereinbar sind. Hier muss zunächst der amerikanische Gesetzgeber tätig werden. Einen ersten Schritt hat er getan. Ob dieser schon ausreicht, ist aber zweifelhaft.