Datenschutz in der Cloud: US-Gerichtshof urteilt über Zugriff auf europäische Daten
Nach einem jahrelangen Rechtsstreit muss in den USA nun der Supreme Court entscheiden, ob Microsoft US-Ermittlern Daten aus einem Rechenzentrum in Irland übergeben muss. Das Urteil könnte weitreichende Folgen für die Cloud-Branche haben.
(Bild: Microsoft/Daniel Huizinga, Washington, DC - Supreme Court, CC BY 2.0)
Wenn US-Behörden per Durchsuchungsbefehl bei US-Unternehmen die Herausgabe von Kundendaten verlangen, haben sie dann auch Anspruch auf Daten, die im Ausland – etwa in Europa – gespeichert sind? Diese Frage beschäftigt nun den Supreme Court.
Der oberste Gerichtshof der USA muss dann entscheiden, ob Microsoft US-Ermittlern Daten herausgeben muss, die auf Servern in Irland lagern. Es geht um das Postfach eines Outlook-Nutzers, der ein Drogenhändler sein soll. Der Konzern hatte die Herausgabe verweigert – auch um keinen Präzedenzfall zu schaffen. Microsoft meint, das einschlägige Gesetz aus dem Jahr 1986 lasse die Frage offen, weil der Gesetzgeber damals noch gar keine Cloud kennen konnte. Und grundsätzlich gelte US-Recht auch nur innerhalb der Grenzen der USA.
Weitreichende Folgen für Cloud-Geschäft befürchtet
Die US-Regierung widerspricht und warnt, dass eine Entscheidung des Gerichts zugunsten von Microsoft, die Sicherung von Beweisen behindern werde – beispielsweise auch bei Kinderpornografie. Zwei Gerichte waren vorher zu keiner Entscheidung gekommen. Bei den Richterstimmen hatte es einen Patt gegeben. Deshalb liegt der Fall nun beim Supreme Court. Zudem haben mehr als 30 nicht beteiligte Parteien Eingaben zu dem Fall gemacht – andere IT-Konzerne, Interessengruppen und sogar die EU. Erwartet wird, dass die Entscheidung weitreichende Auswirkungen auf das Cloud-Geschäft von US-Unternehmen haben wird. Die Branche fürchtet Milliardenverluste, sollten US-Behörden auch auf Daten im Ausland zugreifen können..
Die Europäische Union hat ein signifikantes Interesse an dem Fall, nicht nur weil es in dem Fall um EU-Bürger geht, sondern auch weil hier verschiedene Rechtsnormen kollidieren. In Irland verarbeitete Daten unterlägen dem EU-Datenschutzrecht. Die neue Datenschutz-Grundverordnung der EU, die am 25. Mai offiziell in Kraft tritt, regle Datentransfers in Nicht-EU-Staaten, heißt es in der Eingabe. Entsprechende Anordnungen von Gerichten aus dem EU-Ausland würden demnach nur anerkannt, wenn es ein Abkommen zwischen den Ländern und der EU gebe.
Pläne für neues Gesetz
Ein Urteil des Supreme Courts wird bis Juni erwartet. Am Ende könnte die Entscheidung aber auch von der Politik überholt werden: Eine Gruppe von Senatoren hat bereits den Entwurf für den sogenannten "Cloud Act" ("Clarifying Lawful Overseas Use of Data") in den US-Kongress eingebracht, nach dem auch Durchsuchungsbefehle für im Ausland gelagerte Daten ausgestellt werden könnten. Auch wenn damit die Forderung der US-Regierung prinzipiell erfüllt werden würde, unterstützt unter anderem Microsoft die Pläne. Unternehmen sollen mit dem Gesetz bestimmte Recht erhalten, um eventuell betroffene ausländische Kunden zu schützen.
tipps+tricks zum Thema:
(mho)
