Microsoft Daten Irland

Microsoft muss Daten in Irland nicht an US-Regierung herausgeben


Ihr Kontakt

Der United States Court of Appeal (2nd Circuit) hat am 14. Juli 2016 ein Urteil des District Courts aufgehoben. Der District Court hatte Microsoft verpflichtet, einem Warrant der US Regierung Folge zu leisten und Kundendaten auf einem Server in Irland herauszugeben (das gesamte Urteil finden Sie hier). Der Court of Appeal hat dem Stored Communication Act, auf welchen sich der Warrant abstützte, die extraterritoriale Wirkung abgesprochen. Das Urteil des Courts of Appeal in Sachen Microsoft ist insofern von Bedeutung, als sich die EU bei der Ausarbeitung der Datenschutzgrundverordnung mit solchen Konstellationen befasst hatte. Nach Art. Art. 43a DSGVO dürfen Unternehmen Daten, welche der EU-Datenschutzgrundverordnung unterliegen, nicht mehr direkt an Behörden aus Drittstaaten übermitteln (siehe BR-News vom 14. Januar 2016

). Eine Übermittlung darf nur gestützt auf internationale Abkommen erfolgen (z.B. Rechtshilfeabkommen). Das Urteil des Courts of Appeal unterstützt diese Sichtweise.

Keine extraterritoriale Wirkung des Stored Communication Act

Streitig war im vorliegenden Fall, ob Microsoft verpflichtet ist, auf einen sog. Warrant der US-Regierung hin Kundendaten (vorliegend E-Mails) zu edieren. Die Regierung wollte die Daten, weil sie sich daraus Rückschlüsse auf eine mögliche verbrecherische Handlung (vorliegend Drogenhandel) versprach. Die E-Mails befanden sich nicht in den USA, sondern auf einem Server von Microsoft in Irland.

Aus technischer Sicht war für das Urteil wichtig, dass auf die E-Mails ausschliesslich vor Ort zugegriffen werden kann. Allfällige Zwischenkopien in den USA werden jeweils gelöscht. Es war unbestritten, dass sich die Daten nicht in den USA befinden.

Der Court of Appeal hatte primär zu prüfen, ob der Stored Communication Act und damit entsprechende Warrants extraterritoriale Anwendung finden. Zur Beantwortung der Frage setzte sich das Gericht ausführlich mit dem Stored Communication Act auseinander (den Gesetzeswortlaut finden Sie hier). Beim Stored Communication Act geht es um den Schutz der Privatsphäre, d.h. um den Schutz der Nutzerdaten bei Service Providern vor unberechtigtem Zugriff. Der Zweck des Gesetzes ist vergleichbar mit dem Fernmeldegeheimnis im schweizerischen Fernmeldegesetz.

Gemäss Court of Appeal hat der Stored Communication Act keine extraterritoriale Wirkung. Als der Kongress das Gesetz in Kraft setzte – 1986 –, wurde das Internet noch gar nicht zivil verwendet und schon gar nicht in den heutigen globalen Dimensionen. Daher habe sich der Geheimnisschutz gemäss Kongress ausschliesslich auf die Daten von einheimischen Nutzern bezogen, welche in den USA gelegen sind. Eine extraterritoriale Wirkung sei nicht angedacht gewesen. Eine solche ergäbe sich auch nicht aus dem Wortlaut des Gesetzes. Das Gericht könne nicht über diesen gesetzgeberischen Willen hinwegsehen. Nach ständiger Rechtsprechung bestünde die Vermutung, dass der Kongress nur mit Wirkung für die USA legiferiere. Der Kongress muss sich ausdrücklich oder konkludent dazu äussern, wenn ein Gesetz extraterritoriale Wirkung erzielen soll. Dies sei vorliegend nicht der Fall.

Warrant ist nicht gleich Subpoena

Der Court of Appeal setzte sich im Urteil auch mit einer spannenden prozessrechtlichen Frage auseinander: Was ist der Unterschied zwischen einem Warrant gemäss Stored Communication Act und einer Subpoena?

Die Frage ist vorliegend besonders relevant. Sowohl die Regierung als auch der District Court gingen davon aus, dass der Warrant gleich wie eine Subpoena zu behandeln ist. Eine Subpoena hat regelmässig extraterritoriale Wirkung und mit ihr können auch im Ausland gelegene Unterlagen und Informationen herausverlangt werden.

Der Court of Appeal hielt zunächst fest, dass im Stored Communication Act sowohl Warrants als auch Subpoenas erwähnt werden. Dies spreche gegen eine Gleichbehandlung. Das Gericht hielt zudem fest, dass eine Subpoena extraterritoriale Wirkung haben könne:

„In this, the government rests on our 1983 decision in Marc Rich. There, we permitted a grand jury subpoena issued in a tax evasion investigation to reach the overseas business records of a defendant Swiss commodities trading corporation. The Marc Rich Court clarified that a defendant subject to the personal jurisdiction of a subpoena‐issuing grand jury could not “resist the production of [subpoenaed] documents on the ground that the documents are located abroad.” 707 F.2d at 667. The federal court had subject‐matter jurisdiction over the foreign defendant’s actions pursuant to the “territorial principle,” which allows governments to punish an individual for acts outside their boundaries when those acts are “intended to produce and do produce detrimental effects within it.” Id. at 666. In investigating such a case, the Court concluded, the grand jury necessarily had authority to obtain evidence related to the foreign conduct, even when that evidence was located abroad. Id. at 667. For that reason, as long as the Swiss corporation was subject to the grand jury’s personal jurisdiction—which the Court concluded was the case—the corporation was bound by its subpoena.“

In anderen Konstellationen sei Subpoenas jedoch eine extraterritoriale Wirkung versagt worden:

Contrary to the government’s assertion, neither Marc Rich nor the statute gives any firm basis for importing law developed in the subpoena context into the SCA’s warrant provisions. Microsoft convincingly observes that our Court has never upheld the use of a subpoena to compel a recipient to produce an item under its control and located overseas when the recipient is merely a caretaker for another individual or entity and that individual, not the subpoena recipient, has a protectable privacy interest in the item.25 Appellant’s Br. at 42–43. The government does not identify, and our review of this Court’s precedent does not reveal, any such cases.“

Für die Frage der extraterritorialen Wirkung einer Subpoena ist damit entscheidend, ob der Empfänger der Subpoena selber Geheimnisherr bezüglich der zu edierenden Unterlagen ist oder ob er diese im Auftrag des eigentlichen Geheimnisherrn speichert und bearbeitet („caretaker“).

Liegt eine unzulässige extraterritoriale Wirkung vor?

In einem weiteren Schritt prüfte das Gericht, ob überhaupt eine unzulässige extraterritoriale Anwendung des Stored Communication Act vorliegt. Der Court of Appeal beurteilte zunächst den „domestic“ Kontakt des Sachverhaltes:

„If the domestic contacts presented by the case fall within the “focus” of the statutory provision or are “the objects of the statute’s solicitude,” then the application of the provision is not unlawfully extraterritorial. Morrison, 561 U.S. at 267. If the domestic contacts are merely secondary, however, to the statutory “focus,” then the provision’s application to the case is extraterritorial and precluded.“

Der Court of Appeal analysierte hierbei den Hauptzweck des Gesetzes und kam zum Ergebnis, dass es sich dabei um den Schutz der gespeicherten Kommunikation handle. Die Funktion, welche die Service Provider bei der Speicherung der Kommunikation hätten, sei weniger wesentlich. Kein Hauptfokus des Gesetzes sei die Unterstützung der Strafverfolgung.

Da die Unterlagen, deren Schutz der Hauptzweck des Stored Communication Act ist, im Ausland gelegen sind, spielt sich der Hauptkontakt im Sinne des Gesetzes nicht in den USA ab. Der Sitz des Service Providers in den USA sei vorliegend nicht relevant. Zudem sei Microsoft vorliegend nicht der Geheimnisherr, d.h. habe kein schützenswertes Geheimnisinteresse. Das schützenswerte Interesse liegt beim Kunden von Microsoft:

First, his narrative affords inadequate weight to the facts that the data is stored in Dublin, that Microsoft will necessarily interact with the Dublin datacenter in order to retrieve the information for the government’s benefit, and that the data lies within the jurisdiction of a foreign sovereign. Second, the magistrate judge’s observations overlook the SCA’s formal recognition of the special role of the service provider vis‐à‐vis the content that its customers entrust to it. In that respect, Microsoft is unlike the defendant in Marc Rich and other subpoena recipients who are asked to turn over records in which only they have a protectable privacy interest.

Im Ergebnis hat der Court of Appeal eine unzulässige extraterritoriale Anwendung des Stored Communication Act bejaht.

Was sind die Auswirkungen dieses Urteils in den USA?

Für US-Unternehmen, die weltweit Cloud-Dienstleistungen anbieten, ist das Urteil erfreulich und wichtig. Könnte die US-Regierung auf jegliche Kundendaten von US-Unternehmen weltweit zugreifen, würde das Vertrauen in die Datensicherheit der Cloud-Dienstleistungen von US-Unternehmen stark beeinträchtigt. Aus diesem Grund haben zahlreiche andere US-Cloud-Anbieter, darunter Apple, Amazon, AT&T, etc., die Position von Microsoft mit sog. amicus brief unterstützt (Bloomberg Online vom 9. September 2015). Die US-Technologieunternehmen haben befürchtet, dass bei einem gutheissenden Urteil ihre Wettbewerbsfähigkeit erheblich beeinträchtigt worden wäre (Reuters Online vom 14. Juli 2016).

In seiner Concurring Opinion vertritt Judge Lynch im Urteil vom 14. Juli 2016 im Ergebnis die Auffassung, dass der Stored Communication Act nicht adäquat auf die neuen technologischen Möglichkeiten angepasst sei. Seiner Meinung nach sollte der Kongress eine Anpassung des Gesetzes prüfen und dabei die sich entgegenstehenden Interessen abwägen:

„My point is simply that the main reason that both the majority and I decide this case against the government is that there is no evidence that Congress has ever weighed the costs and benefits of authorizing court orders of the sort at issue in this case. The SCA became law at a time when there was no reason to do so. But there is reason now, and it is up to Congress to decide whether the benefits of permitting subpoena-like orders of the kind issued here outweigh the costs of doing so.“

Microsoft hat kurz nach der Urteilsverkündung mitgeteilt, dass es auch im Interesse der Technologiebranche sei, die Gesetzgebung im Hinblick auf die neuen technologischen Möglichkeiten und die involvierten Interessen zu überprüfen (blogs.microsoft.com vom 14. Juli 2016). Der Streitfall könnte demnach gesetzgeberische Aktivitäten in Gang setzen.

Was sind die Auswirkungen für den Rest der Welt?

Das Urteil zum Stored Communication Act und die darin enthaltenen rechtlichen Ausführungen zeigen, dass eine vollkommene Sicherheit vor dem Zugriff durch US-Behörden nicht besteht. Entscheidend für das Urteil war, dass auf die Daten ausschliesslich vor Ort in Irland zugegriffen werden konnte. Bei anderer technischer Ausgestaltung der Cloud-Infrastruktur hätte das Ergebnis der richterlichen Prüfung allenfalls anders ausgesehen. Zukünftige gesetzgeberische Anpassungen sind ebenfalls nicht ausgeschlossen. Für Nicht-US-Kunden sind damit Cloud-Dienstleistungen von Unternehmen ohne Bezug zu den USA immer noch sicherer – zumindest was den möglichen Zugriff durch US-Behörden angeht.

Das Urteil ist für Nutzer von US-Cloud-Dienstleistungen dennoch erfreulich. Sofern die Daten von ausländischen Kunden auf Servern ausserhalb der USA gespeichert werden, erhalten die Dateninhaber bzw. Geheimnisherren einen verbesserten Schutz. US-Behörden müssen die Daten auf dem Rechtshilfeweg einholen. Gegen Entscheide in Rechtshilfeverfahren stehen den Nutzern Rechtsmittel zu. Wenn die Server in einem EU-Staat stehen, profitieren die Nutzer zukünftig von der EU-Datenschutzgrundverordnung. Das Urteil ist demnach für Nutzer im Ausland sehr wichtig. Dies zumal US-Unternehmen quantitativ und qualitativ hochstehende Cloud-Dienstleistungen erbringen.

Erfreulich ist des Weiteren, dass die Richter des Courts of Appeal bei deren Beurteilung nicht nur die Interessen der USA berücksichtigten. Die sog. International Comity, d.h. die Rücksicht auf tangierte ausländische Gesetze und Souveranitätsinteressen wurde mehrmals angesprochen (Reuters Online vom 14. Juli 2016). Die Regierung hatte relativ einseitig argumentiert, dass ein Rechtshilfeverfahren zu mühsam und langsam sei (Bloomberg Online vom 9. September 2015). Judge Lynch hat dieses Argument stark kritisiert und festgehalten, dass es nicht im Interesse der USA wäre, wenn andere Länder gleich argumentieren würden. Die Argumentation der Regierung sei schädlich für Geheimnis- und Datenschutzinteressen weltweit.

Lynch said the government’s argument would leave foreign countries free to demand electronic communications stored in the U.S. as long as the disclosure takes place outside the country.

Solche Überlegungen hört man von US-Gerichten und Behörden ausserordentlich selten.

Weitere Informationen:

Ansprechperson: Michael Reinle


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.