Datenzugriff im transatlantischen Rechtsraum: Neuigkeiten zum Microsoft-Verfahren – Neuer Fall in Sachen Google

von Dr. Martin Metz und Jan Spittka

Konflikte zwischen IT-Konzernen und Regierungen bezüglich des Zugriffs auf Kundendaten sorgen verstärkt für Schlagzeilen. Beispielhaft zeigt dies das Microsoft-Verfahren, in dem die US- Regierung für strafrechtliche Ermittlungszwecke die Durchsuchung eines Email-Accounts anordnete. Microsoft wiedersetzte sich dieser Aufforderung mit dem Argument, dass die Daten sich auf einem Server befinden, der außerhalb der USA belegen ist. Im Januar 2017 ist zu diesem Verfahren eine weitere Entscheidung des Berufungsgerichts des Second Circuit ergangen, mit der die Anordnung der Herausgabe der Daten für rechtswidrig erklärt wird. Demgegenüber hat der US District Court E.D. of Pennsylvania in einem Verfahren gegen Google die Herausgabe von im Ausland gespeicherter Daten für rechtmäßig erklärt.

English Summary:

Recent conflicts between IT companies and government authorities relating to the access to customer data are in the new more and more often. For instance, in the Microsoft case, the U.S. government ordered to search an email account for law enforcement purposes. In this matter, the United States Court of Appeals for the Second Circuit ruled in January 2017 that the warrant to disclosure data is unlawful. On the contrary, U.S. district court E.D. of Pennsylvania ruled in a case concerning Google that the disclosure of data stored abroad is lawful.

Hintergrund des Rechtsstreits: Das weltweite Server-Netz von Microsoft

Der Hintergrund des Rechtsstreits ist, dass Microsoft die Daten der Nutzer seine Email-Konten nicht zentral auf Servern in den USA speichert. Denn die Daten der User befinden sich auf Servern, die in ca. 100 Datencentern stehen, die über die ganze Welt verteilt sind. Diese Datencentren werden von Microsoft, aber auch von Microsofts Tochterunternehmen verwaltet. In Irland wird beispielsweise ein solches Datencenter von einem 100% Tochterunternehmen von Microsoft betrieben. Die Datencenter sind zudem in regionale Cluster eingeteilt und die Daten der User werden in dem Cluster gespeichert, in dem die User leben.

US District Court for the S.D. New York: US-Recht erfasst Zugriffe in den USA

Der Rechtsstreit um die Rechtmäßigkeit der Durchsuchungsanordnung zieht sich schon seit Dezember 2013 hin. Damals erließ Magistrate Judge Francis IV vom US District Court S.D. New York einen Durchsuchungsbefehl für ein Email-Konto, dessen Daten vornehmlich in Irland gespeichert waren. Das Ziel der Durchsuchung lag darin, Beweise zum illegalem internationalen Drogenhandel aufzufinden. Nach eine Beschwerde von Microsoft bestätigte Magistrate Judge Francis IV im April 2014 die Rechtmäßigkeit der des Durchsuchungsbefehls. Er ging in seiner Entscheidung davon aus, dass das US-Recht in Form des Stored Communications Act (SCA) die in Irland belegenen Daten erfasst. Nach seiner Auffassung wird das US-Recht dabei nicht auf Auslandsachverhalte angewendet, weil der Zugriff auf die Daten letztlich allein in den USA stattfindet. Entscheidend sei, ob Microsoft als Antragsgegner die Daten in den USA besitzt und kontrollieren kann.

US Court of Appeals for the Second Circuit: US-Recht erfasst nur in den USA belegene Daten

Nachdem Microsoft daraufhin in Revision ging, entschied der United States Court of Appeals for the Second Circuit im Juli 2016, dass der Durchsuchungsbefehl die in Irland belegenen Daten nicht erfasst. Die berufungsgerichtliche Bewertung unterscheidet sich von der erstinstanzlichen Entscheidung, weil das Berufungsgericht davon ausgeht, andernfalls eine unzulässige Rechtsanwendung auf Auslandssachverhalte gegeben wäre. Denn das Berufungsgericht stellt bei Beantwortung der Frage, ob das US-Recht auf einen Auslandssachverhalt angewendet wird, auf den Ort ab, an dem die Daten, die herausgegeben werden sollen, auf einem Server liegen. Das Gericht begründete seine Entscheidung damit, dass der SCA das Interesse verfolgt, die Interessen der User an der Einhaltung datenschutzrechtlicher Bestimmungen zu schützen.

Die US-Regierung stellte daraufhin einen Antrag auf neuerliche Anhörung (Rehearing) bzw. eine Entscheidung durch das Plenum des Gerichts (Rehearing en banc). Denn wie das Distriktgericht geht auch die US-Regierung davon aus, dass US-Recht alle Sachverhalte erfasst, in denen der Zugriff auf die Daten in den USA stattfindet. Diesen Antrag lehnte das Berufungsgericht nun im Januar 2017 in einer 4:4-Entscheidung ab. Das Gericht war nicht von dem Einwand der US-Regierung überzeugt, dass der Inhaber des Email-Kontos keinen Einfluss auf den und kein Interesse an dem Standort der Daten habe.

Bewertung: Datenschutz vs. Strafrechtsinteressen

Auf der einen Seite haben die Microsoft-Entscheidungen die Möglichkeiten der Strafverfolgungsbehörden im Second Circuit damit stark eingeschränkt. Unternehmen können sich im Rahmen der Strafverfolgung der Pflicht zur Datenweitergabe dadurch entziehen, dass sie ihre Daten ausschließlich im Ausland lagern. Interessanterweise steht die Rechtslage damit im Kontrast zum Zivilrecht, in dem nach Rule 45 FRCP anerkannt ist, dass eine Partei, unabhängig vom Belegenheitsort, Daten herausgeben muss, die sie besitzt oder kontrolliert.

Auf der anderen Seite stärken die Microsoft-Entscheidungen datenschutzrechtliche Interessen. Denn die Interessen von Nutzern, deren Daten nicht in den USA gespeichert sind, sind heute in Strafverfahren besser geschützt. Beispielsweise kann ein europäischer Nutzer, der weiß das seine Daten allein in Europa gespeichert werden, davon ausgehen, dass US-Behörden nicht ohne Mittel der internationalen Rechtshilfe auf seine Daten zugreifen kann. Allerdings bleibt der Zugriff der US-Behörden auf seine Daten möglich, wenn ein Unternehmen die Daten später in die USA verlegt. Welche praktischen Folgen das Verfahren zukünftig auf Datenströme und den Standort von Servern hat, kann heute noch nicht abgeschätzt werden.

Blick vorwärts: Überprüfung durch den Supreme Court und Circuit Split

Aufgrund der grundsätzlichen Bedeutung der Frage für die Kompetenzen der US-amerikanischen Ermittlungsbehörden, ist es wahrscheinlich, dass die US-Regierung den Supreme Court anruft, um eine weitere Überprüfung der Frage zu ermöglichen. Ob es in diesem Fall zu einer Entscheidung des Supreme Court kommt, ist aber ungewiss. Denn der Supreme Court entscheidet, anders als der BGH, nach freiem Ermessen über die Annahme eines Falles. Regelmäßig tut er dies nur, wenn bereits eine Meinungsverschiedenheit zwischen verschiedenen District Courts vorliegt (sog. Circuit Split). Der Grund dafür ist, dass die Entscheidung des Gerichts in Sachen Microsoft nur für den Second Circuit gilt, so dass andere Berufungsgerichte weiterhin eine andere Rechtsauffassung vertreten können. Dies ist bisher aber nicht der Fall. Allerdings hat U.S. Magistrate Judge Rueter vom US District Court E.D. of Pennsylvania am 3. Februar 2017 angeordnet, dass Google zur Herausgabe von im Ausland gespeicherter Daten verpflichtet ist (In re: Search Warrant No. 16-960-M-01 to Google und In re: Search Warrant No. 16-1061-M to Google). Dabei ging das Gericht ausführlich auf die Rechtsprechung des Second Circuit ein, bestimmte wie das erstinstanzliche Gericht im Microsoft-Verfahren den Ort des Eingriffs aber danach, wo der Zugriff auf die und die Auswertung der herauszugebenen Daten erfolgt. Dies geschehe aber innerhalb der USA, nämlich in Pennsylvania, wo das FBI die Daten analysiere. Da das Gericht dem Third Circuit angehört, könnte es zu einem Circuit Split kommen, falls das Berufungsgericht die Anordnung bestehen lässt.

Fazit

Die Microsoft-Entscheidung des Berufungsgerichts des Second Circuit war nicht die letzte Entwicklung im Spannungsfeld zwischen dem staatlichen Interesse an effektiver Strafverfolgung und dem Datenschutzrecht. Es bleibt abzuwarten, ob die nächsten Impulse von anderen Berufungsgerichten, dem Supreme Court oder dem Gesetzgeber angestoßen werden. Ab dem 25. Mai 2018 müssen Unternehmen, die der EU-Datenschutz-Grundverordung (DS-GVO) unterfallen, zudem bei der Offenlegung personenbezogener Daten aufgrund eines Urteils eines Gerichts eines Drittlands und jeglicher Entscheidung einer Verwaltungsbehörde eines Drittlands die sog. “Anti-FISA”- oder auch “Snowden”-Klausel genannte Regelung des Artikel 48 DS-GVO beachten. Hiernach ist die Offenlegung nur dann zulässig, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt werden kann. Ein Verstoß gegen diese Regelung kann gemäß Artikel 83 Abs. 5 Buchst. c) DS-GVO mit einem Bußgeld von bis zu € 20 Millionen oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden. Dies kann transatlantisch tätige Unternehmen in eine gefährliche Zwickmühle bringen, wenn die US-Rechtsprechung keine angemessene Lösung findet.