Am 14. Juli 2016 hat die Microsoft Corporation ihr Berufungsverfahren gegen die US-Regierung (Microsoft vs United States, 2nd U.S. Circuit Court of Appeals, No. 14-2985) gewonnen, bei dem es um die Herausgabe von Nutzerdaten ging, die auf Servern in Irland gespeichert waren. Das Urteil des New Yorker Berufungsgerichts kann als weiterer Meilenstein für den Datenschutz betrachtet werden.

Der Anlass des Verfahrens war, dass die US-Regierung im Zusammenhang mit Ermittlungen wegen Drogenschmuggels von dem Softwareunternehmen verlangte, Daten eines Nutzers des von Microsoft betriebenen E-Mail-Dienstes Outlook.com an das FBI herauszugeben. Allerdings waren die Daten nicht in den USA gespeichert, sondern auf Microsoft-Servern in Irland. Die US-Regierung stütze ihr Herausgabeverlangen auf § 2703 des Bundesgesetztes über gespeicherte Informationen (Stored Communications ACT – SCA), ein Gesetz aus dem Jahr 1986, das Regelungen zur Herausgabe gespeicherter Kommunikationsdaten an Regierungsbehörden enthält.

Das New Yorker Bezirksgericht erließ daraufhin im Jahr 2013 eine Anordnung an Microsoft, mit der es das Unternehmen zur Herausgabe der begehrten Informationen an das FBI verpflichtete. Microsoft widersprach und betonte, die US-Regierung habe kein Recht, die Herausgabe von Daten zu verlangen, die außerhalb der USA gespeichert seien und legte gegen die Entscheidung Berufung ein.

Unterstützung von Wirtschaft, Interessenverbänden und Wissenschaft

Viele Unternehmen haben Microsoft zwischenzeitlich ihrer Solidarität versichert: 28 Unternehmen der Technologie- und Medienbranche, darunter Apple und Cisco, Wirtschaftsverbände, Bürgerrechtsorganisationen und führende IT-Wissenschaftler machten Eingaben an das Gericht zugunsten von Microsoft. Zu den Unterstützern von Microsoft gehörte auch die irische Regierung, die ihre Souveränität gefährdet sah. In ihrer Stellungnahme betonte sie, dass die US-Regierung durch ein internationales Rechtshilfeersuchen an die Daten kommen könne. Die US-Regierung beharrte hiervon unbeeindruckt auf der Durchsetzung des Beschlusses und der Herausgabe der Daten durch Microsoft direkt an das FBI.

Mit Spannung erwarteter Ausgang des Verfahrens

Der Fall hat – zumindest unter Datenschützern – internationale Aufmerksamkeit erregt. Zwischenzeitlich erschien es auch wahrscheinlich, dass das Verfahren zugunsten der US-Regierung ausgehe, als der US Supreme Court im April 2016 seine Zustimmung zur Änderung der Regel Nr. 41 der US-Bundesstrafprozessordnung (Federal Rules of Criminal Procedure) erteilte. Durch die Änderung dieser Norm ist es Bezirks-Ermittlungsrichtern seither gestattet, ungeachtet der Bezirksgrenzen Durchsuchungs- und Beschlagnahmebefehle auszustellen, mit denen im Wege des Fernzugriffs Speichermedien durchsucht und Kopien von gespeicherten Daten angefertigt werden dürfen.

Entscheidung zugunsten des Datenschutzes

In der Entscheidung vom 14. Juli 2016 hat das Berufungsgericht jedoch geurteilt, dass Regel Nr. 41 auf den vorliegenden Fall nicht anwendbar ist. Das Berufungsgericht führt aus, dass der Datenschutzaspekt des Stored Communications Act unverkennbar sei und die Vorschriften gerade den Schutz der Privatsphäre der Nutzer bezweckten. Das Gericht kam zu dem Schluss, dass durch die Regelung keine internationalen Durchsuchungs- und Beschlagnahmeregelungen geschaffen werden sollten. Daher dürfe ein US-Gericht nicht den Zugriff auf Daten, die auf Servern außerhalb des Gebiets der USA gespeichert sind, anordnen. Damit steht also fest, dass Microsoft die in Irland gespeicherten Daten eines E-Mail-Nutzers nicht an das FBI herausgeben muss.

Bedeutung des Falls aus Datenschutzsicht

Die Entscheidung ist ein datenschutzrechtlicher Meilenstein, und das in zweifacher Hinsicht:

Zum einen wäre jede anderslautende Entscheidung ein erheblicher Schlag für Cloud-Anbieter gewesen, denn eine Möglichkeit für US-Gerichte, durch Durchsuchungs- und Beschlagnahmeanordnungen weltweit auf Daten zuzugreifen, würde das Geschäftsmodell SaaS (Software as a Service) in Frage stellen, da die Cloud-Anbieter dann nicht mehr in der Lage wären, für den angemessenen Schutz der Daten ihrer Kunden zu sorgen.

Zum anderen hat der Prozess gezeigt, dass IT-Unternehmen weltweit – sei es nun aus geschäftlichen Interessen oder auch aus moralischen Beweggründen heraus – mittlerweile verstehen, dass dem Datenschutz eine wichtige Rolle zukommt, wenn es darum geht, das Interesse und Vertrauen der Kunden zu gewinnen und aufrecht zu erhalten. In der von starker Konkurrenz geprägten IT-Branche stellt dies einen nicht zu unterschätzenden Wettbewerbsvorteil dar.

Neben der Schrems-Entscheidung, mit der der EuGH das Safe-Harbor-Abkommen für ungültig erklärt hat, Apples Weigerung, auf Anordnung des FBI bei der Umgehung seiner iPhone Sicherheits-Features Hilfe zu leisten sowie der Verabschiedung der EU-Datenschutz-Grundverordnung zählt dieses Urteil unseres Erachtens zu den wichtigsten Ereignissen im Datenschutz innerhalb der letzten zwölf Monate.

Ein Schlusswort von Microsofts Chefjurist Brad Smith

Zu dem juristischen Sieg über die US-Regierung schrieb Brand Smith, Chief Legal Officer bei Microsoft, im Blog des Unternehmens:

„ (…) seit Klageerhebung haben wir betont, dass wir der Auffassung sind, dass Technologie voranschreiten muss, zeitlose Werte aber überdauern müssen. Datenschutz und die korrekte Gesetzesanwendung zählen zu diesen zeitlosen Werten.“