US-Anbieter müssen Infos über Kunden herausgeben – auch wenn die Daten im Ausland sind

Ein Bezirksrichter in den USA hat am Freitag geurteilt, dass amerikanische Internetdienstleister die Daten ihrer in- und ausländischen Kunden auch dann offenlegen müssen, wenn sich die zur Speicherung verwendeten Server im Ausland befinden. Dementsprechend laufen Bemühungen, Kundendaten durch die Verlagerung von Speicherzentren vor den Zugriffen amerikanischer Ermittlungsbehörden zu schützen, ins Leere. Das hatte im zugrunde liegenden Fall Microsoft versucht: Auf Anweisung zur Herausgabe von E-Mails, Online-Zeiten und Kreditkartendaten einer Person hatte sich das Unternehmen widersetzt und argumentiert, die Server stünden in Irland und die USA hätten deshalb keine Grundlage für die geforderten Offenlegung.

Die Begründung für das Urteil, mit dem die Grundrechte von Nicht-US-Personen so einfach beschnitten werden, ist banal. Man könne nicht extra international Absprachen zwischen Polizeibehörden treffen, denn sonst wäre „die Belastung der Regierung beachtlich und Rechtsdurchsetzung würde ernsthaft behindert“.

Das Urteil wirft auch ein neues Licht auf die Durchsetzung von europäischen Datenschutzbestimmungen bei amerikanischen Unternehmen. Denn wenn amerikanische Strafverfolger auf Anordnung Zugriff auf die Daten europäischer Bürger bekommen, ohne dafür mit europäischen Instanzen zu interagieren, kann von „europäischem Datenschutzniveau“ kaum mehr die Rede sein. Entscheidungen wie Safe Harbor werden damit ganz offenkundig zu einer Karikatur ihrer selbst. Darüber hinaus enthält der Entwurf der neuen EU-Datenschutz-Grundverordnung die Regelung, dass Firmen die Daten europäischer Bürger nicht ohne besonderen, juristisch begründeten Anlass mit Behörden von Drittstaaten austauschen dürfen.

Peter Schaar, der ehemalige Bundesdatenschutzbeuftragte, hofft, dass sich so die Durchsetzung einer solchen Praxis vermeiden lässt:

Vor diesem Hintergrund ist zu hoffen, dass die Europäische Union ihre Arbeiten an einem harmonisierten Datenschutzrecht bald zu einem Abschluss bringt und damit die Voraussetzungen schafft, die eine derartige Umgehung der internationalen Rechtshilfe auch praktisch verhindert

Microsoft hat angekündigt, das Urteil nicht hinzunehmen und sich in nächster Instanz an ein Bundesgericht zu wenden. In einer Stellungnahme vergleichen sie den Fall damit, dass die US-Regierung schließlich auch nicht einfach Hausdurchsuchungen in anderen Ländern durchführen könne:

While the law is complicated, the issue is straightforward. It’s generally accepted that a U.S. search warrant in the physical world can only be used to obtain materials that are within the territory of the United States. A U.S. prosecutor cannot obtain a U.S. warrant to search someone’s home located in another country, just as another country’s prosecutor cannot obtain a court order in her home country to conduct a search in the United States […] We think the same rules should apply in the online world, but the government disagrees.

Der zuständige Richter James Francis sieht das in der Urteilsbegründung jedoch anders. Für ihn besteht kein Grund zur Annahme, dass amerikanisches Recht nicht auch auf amerikanischem Boden gelten könne.

Doch nicht nur Microsoft dürfte sich über diese Auffassung ärgern. Amerikanische Unternehmen, die durch den NSA-Skandal sowieso schon mit steigendem Misstrauen zu kämpfen haben, können nun auch keinen Umweg über spezielle Angebote für in Europa gespeicherte Daten mehr machen. So wie IBM, die vor Kurzem ein Datencenter in Deutschland eröffneten und mit ihrer Sicherheit warben:

Mit unserem neuen europäischen SmartCloud Rechenzentrum stellen wir unseren Kunden eine sichere Cloud-Umgebung mit deutschem und EU-Datenschutz für ihre Social Business-Transformation zur Verfügung und bauen so unsere Spitzenposition in diesem Markt weiter aus.