Das ober­ste US-Beru­fungs­ge­richt hat bestä­tigt, dass Micro­soft die in Irland gespei­cher­ten E-Mails eines euro­päi­schen Nut­zers nicht an die Regie­rungs­be­hör­den her­aus­ge­ben muss. Gleich­zei­tig for­der­ten die Rich­ter eine Geset­zes­än­de­rung, um dies künf­tig zu ermög­li­chen.

Micro­soft hat im seit drei Jah­ren wäh­ren­den Rechts­streit mit der ame­ri­ka­ni­schen Regie­rung um die Her­aus­ga­be von E-Mails eines euro­päi­schen Nut­zers einen wich­ti­gen Sieg errun­gen. Als vier­te und letz­te Instanz hat das ober­ste Beru­fungs­ge­richt in New York jetzt ent­schie­den, das aktu­ell gül­ti­ge Urteil nicht zu revi­die­ren. Dem­zu­fol­ge kann die Regie­rung Micro­soft nicht dazu zwin­gen, die in sei­nem Rechen­zen­trum in der iri­schen Haupt­stadt Dub­lin gespei­cher­ten E-Mails eines euro­päi­schen Nut­zers her­aus­zu­ge­ben. Anders als von zwei vor­he­ri­gen Instan­zen argu­men­tiert, sei der mög­li­che Zugriff von Micro­soft auf die Daten in sei­nen aus­län­di­schen Rechen­zen­tren nicht mit deren Spei­che­rung auf US-Hoheits­ge­biet gleich­zu­set­zen, wie es der Patri­ot Act und ähn­li­che ein­schlä­gi­ge Vor­schrif­ten zur Wah­rung der natio­na­len Sicher­heit for­dern. Aller­dings war die Ent­schei­dung des Beru­fungs­ge­rich­tes nicht ein­stim­mig und könn­te wei­te­re Kon­se­quen­zen für ame­ri­ka­ni­sche Cloud-Anbie­ter nach sich zie­hen. Um künf­tig Risi­ken für die natio­na­le Sicher­heit durch die von ihnen fest­ge­stell­te Rechts­la­ge zu ver­mei­den, reg­ten die Rich­ter selbst eine Ver­schär­fung der Geset­ze an, mit der auch der Zugriff auf aus­län­di­sche Rechen­zen­tren ame­ri­ka­ni­scher Anbie­ter aus­drück­lich mög­lich gemacht wer­den könn­te. Die Chan­cen, dass die Trump-Admi­ni­stra­ti­on dies umsetzt, sind hoch.

Auch Micro­softs Rechts­ver­ant­wort­li­cher Brad Smith for­der­te des­halb nach dem Urteil kla­re Rege­lun­gen, auf die sich die Nut­zer ver­las­sen kön­nen und mit denen sicher­ge­stellt wird, dass die Geset­ze ande­rer Län­der geach­tet wer­den. In Deutsch­land und Euro­pa ver­sucht Micro­soft dem Zugriffs­wil­len ame­ri­ka­ni­scher Behör­den mit der Micro­soft Cloud Deutsch­land vor­zu­bau­en. Bei die­sem Modell wer­den die Daten zwar in deut­schen Micro­soft-Rechen­zen­tren gespei­chert, aber von T-Systems als Daten­treu­händ­ler ver­wal­tet. Damit wird der Zugriff für die US-Behör­den zusätz­lich erschwert. Auch wenn das neue Urteil die­se zusätz­li­che Absi­che­rung, die teil­wei­se auch mit erheb­li­chen Zusatz­ko­sten für die Kun­den ver­bun­den ist, unnö­tig erschei­nen lässt, so dürf­te das Modell durch die Vor­schlä­ge der Rich­ter in Bezug auf wei­ter­rei­chen­de Zugriffs­rech­te doch zusätz­li­chen Rücken­wind bekom­men.

Im vor­lie­gen­den Fall hat­ten die US-Behör­den Micro­soft bereits 2013 dazu auf­ge­for­dert, sämt­li­che Nut­zer­da­ten und E-Mails des Man­nes her­aus­zu­ge­ben, da sie wegen Dro­gen­schmug­gels gegen ihn ermit­tel­ten. Das Unter­neh­men hat­te sich mit dem Ver­weis auf die euro­päi­schen Daten­schutz­ge­set­ze und das übli­che Ver­fah­ren für inter­na­tio­na­le Rechts­hil­fe­er­su­chen dage­gen gewehrt und den Behör­den ledig­lich die in den USA gespei­cher­ten Daten zum Nut­zer­ac­count über­mit­telt. Dar­auf­hin hat­te die Regie­rung von Barack Oba­ma ein Gerichts­ver­fah­ren gegen Micro­soft ein­ge­lei­tet, um die Her­aus­ga­be zu erzwin­gen. Nach­dem die ersten zwei Instan­zen der Ansicht gewe­sen waren, dass Micro­soft als ame­ri­ka­ni­sches Unter­neh­men nach dem Patri­ot Act unab­hän­gig inter­na­tio­na­ler Geset­ze und Vor­schrif­ten dazu ver­pflich­tet sei, hat­te die drit­te Instanz die­se Mei­nung im Som­mer des ver­gan­ge­nen Jah­res über­ra­schend revi­diert.