Oberstes US-Berufungsgericht: Microsoft darf ausländische Daten schützen
Das oberste US-Berufungsgericht hat bestätigt, dass Microsoft die in Irland gespeicherten E-Mails eines europäischen Nutzers nicht an die Regierungsbehörden herausgeben muss. Gleichzeitig forderten die Richter eine Gesetzesänderung, um dies künftig zu ermöglichen.
Microsoft hat im seit drei Jahren währenden Rechtsstreit mit der amerikanischen Regierung um die Herausgabe von E-Mails eines europäischen Nutzers einen wichtigen Sieg errungen. Als vierte und letzte Instanz hat das oberste Berufungsgericht in New York jetzt entschieden, das aktuell gültige Urteil nicht zu revidieren. Demzufolge kann die Regierung Microsoft nicht dazu zwingen, die in seinem Rechenzentrum in der irischen Hauptstadt Dublin gespeicherten E-Mails eines europäischen Nutzers herauszugeben. Anders als von zwei vorherigen Instanzen argumentiert, sei der mögliche Zugriff von Microsoft auf die Daten in seinen ausländischen Rechenzentren nicht mit deren Speicherung auf US-Hoheitsgebiet gleichzusetzen, wie es der Patriot Act und ähnliche einschlägige Vorschriften zur Wahrung der nationalen Sicherheit fordern. Allerdings war die Entscheidung des Berufungsgerichtes nicht einstimmig und könnte weitere Konsequenzen für amerikanische Cloud-Anbieter nach sich ziehen. Um künftig Risiken für die nationale Sicherheit durch die von ihnen festgestellte Rechtslage zu vermeiden, regten die Richter selbst eine Verschärfung der Gesetze an, mit der auch der Zugriff auf ausländische Rechenzentren amerikanischer Anbieter ausdrücklich möglich gemacht werden könnte. Die Chancen, dass die Trump-Administration dies umsetzt, sind hoch.
Auch Microsofts Rechtsverantwortlicher Brad Smith forderte deshalb nach dem Urteil klare Regelungen, auf die sich die Nutzer verlassen können und mit denen sichergestellt wird, dass die Gesetze anderer Länder geachtet werden. In Deutschland und Europa versucht Microsoft dem Zugriffswillen amerikanischer Behörden mit der Microsoft Cloud Deutschland vorzubauen. Bei diesem Modell werden die Daten zwar in deutschen Microsoft-Rechenzentren gespeichert, aber von T-Systems als Datentreuhändler verwaltet. Damit wird der Zugriff für die US-Behörden zusätzlich erschwert. Auch wenn das neue Urteil diese zusätzliche Absicherung, die teilweise auch mit erheblichen Zusatzkosten für die Kunden verbunden ist, unnötig erscheinen lässt, so dürfte das Modell durch die Vorschläge der Richter in Bezug auf weiterreichende Zugriffsrechte doch zusätzlichen Rückenwind bekommen.
Im vorliegenden Fall hatten die US-Behörden Microsoft bereits 2013 dazu aufgefordert, sämtliche Nutzerdaten und E-Mails des Mannes herauszugeben, da sie wegen Drogenschmuggels gegen ihn ermittelten. Das Unternehmen hatte sich mit dem Verweis auf die europäischen Datenschutzgesetze und das übliche Verfahren für internationale Rechtshilfeersuchen dagegen gewehrt und den Behörden lediglich die in den USA gespeicherten Daten zum Nutzeraccount übermittelt. Daraufhin hatte die Regierung von Barack Obama ein Gerichtsverfahren gegen Microsoft eingeleitet, um die Herausgabe zu erzwingen. Nachdem die ersten zwei Instanzen der Ansicht gewesen waren, dass Microsoft als amerikanisches Unternehmen nach dem Patriot Act unabhängig internationaler Gesetze und Vorschriften dazu verpflichtet sei, hatte die dritte Instanz diese Meinung im Sommer des vergangenen Jahres überraschend revidiert.