Urteil: Microsoft muss Kundendaten nicht herausgeben

Urteil

Microsoft hat in dem Rechtsstreit um die Herausgabe von Nutzerdaten in den USA einen Sieg errungen. Am Dienstag urteilte ein Berufungsgericht in New York, dass US-Behörden keinen Zugriff auf Daten haben, die von US-Unternehmen auf ausländischen Servern gespeichert werden. Das Berufungsgericht United States Court of Appeals for the Second Circuit hat mit seiner wegweisenden Entscheidung vom 24. Januar 2017 in einer split decision (4:4) die Berufung des US Department of Justice abgewiesen und damit seine Entscheidung vom 14. Juli 2016 bestätigt.

Die Entscheidung 14‐2985 – Microsoft v. United States

Demnach gibt der Stored Communications Act US-Gerichten nicht das Recht gegen US-amerikanische Provider Verfügungen auf Herausgabe von Nutzerdaten zu erlassen, die ausschließlich auf ausländischen Servern gespeichert werden.

In dem Verfahren hatte das Gericht entschieden, dass

„§ 2703 of the Stored Communications Act does not authorize courts to issue and enforce against U.S.‐based service providers warrants for the seizure of customer e‐mail content that is stored exclusively on foreign servers.“

Hintergrund des Verfahrens

Das Verfahren zieht sich schon über mehrere Jahre. Anlass war ein Herausgabebeschluss gegen Microsoft, mit dem ein US-Richter in einem Ermittlungsverfahren wegen Drogenstraftaten den E-Mail Verkehr zu einem bestimmte @msn.com verlangte.

Das Gericht stützte seine Entscheidung damals auf den Stored Communications Act (SCA), ein Gesetz von 1986, das unter anderem regelt, wann und wie Tech-Unternehmen elektronische Daten an Stafverfolgungsbehörden herauszugeben haben. Entscheidend sei nicht der Ort der Speicherung, sondern allein dass ein US-amerikanischer Provider Zugriff auf die ausländischen Daten haben.

Microsoft gab daraufhin einige Informationen über den Nutzer des Accounts heraus, verweigerte im übrigen aber der Herausgabeverfügung nachzukommen, da die Daten sich nicht auf US-Servern, sondern im Ausland (hier: Irland) befänden.

Das führte dann zu einem jahrelangen Rechtsstreit, der zu der Entscheidung im Juli 2016 führte bei dem das Gericht ausführte: Entscheidend ist, wo die Daten gespeichert werden!

Eine extraterritoriale Anwendung des Stored Communication Act, so die Begründung des Gerichts, war vom SCA nicht vorgesehen. Vielmehr richte sich die Zuständigkeit für derartige Durchsuchungsbeschlüsse nach dem nationalem Recht.

Auswirkung und Ausblick

Das Urteil kann enorme Auswirkungen haben, bedenkt man, dass wir im Zeitalter der Cloud leben. Cloudbasierte Dienste wie AWS oder MS Azure haben immer mehr Zulauf, ganze Dienste wie Netflix speichern ihre Daten und Anwendungen dort komplett.

Auch im B2B Bereich werden Cloudlösungen immer beliebter, für SAP soll der Umsatz mit Cloudlösungen bald 1/3 des Umsatzes ausmachen.

Wenn nun ausländische Behörden aufgrund der lokalen Gesetze Zugriff auf Daten haben, die in einem völlig anderen Rechtskreis mit ganz anderer Jurisdiktion liegen, kommt es zwangsläufig – wie hier – zu Fragen der internationalen Zuständigkeit. Dieser Zugriff auf Servern in ausländischen Rechtskreisen, ist jedenfalls nicht, so das Gericht, mit dem SCA zu begründen

Daher ist die Entscheidung zu begrüßen, was dann auch der Chief Legal Officer von Microsoft, Brad Smith, in einer Stellungnahme tat und eine klare gesetzliche Regelung forderte:

„We need Congress to modernize the law both to keep people safe and ensure that governments everywhere respect each other’s borders. This decision puts the focus where it belongs, on Congress passing a law for the future rather than litigation about an outdated statute from the past.“

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.