Microsoft-Klage zu Durchsuchungsbeschlüssen von E-Mail-Konten: Einschätzungen aus der Politik

Guido Brinkel 80x80Im Juli hat ein US-Berufungsgericht im sogenannten „Warrant Case“ zugunsten von Microsoft entschieden. In dem Fall geht es um die förmliche Anfechtungsklage von Microsoft gegen einen Durchsuchungsbeschluss (search warrant), der von einem amerikanischen Gericht erlassen wurde. Microsoft wurde darin aufgefordert, den E-Mail-Verkehr eines Kunden, der in einem irischen Rechenzentrum von Microsoft gespeichert ist, herauszugeben. Nicht nur Technologie- und Medienunternehmen, Verbände und Informatikwissenschaftler stellten sich in dem Verfahren sich auf die Seite Microsofts, sondern auch die irische Regierung.

Microsoft Politik hat profilierte Köpfe aus den Bundestagsfraktionen von CDU/CSU, SPD und Bündnis 90/Die Grünen um ihre Einschätzung zur Bedeutung des Falles und der weiteren politischen Implikationen gebeten:


Christian Flisek, MdB (SPD)
Christian FlisekDas Warrant-Case-Urteil des United States Court of Appeals for the Second Circuit berührt zwei Ebenen und ist in seinen spezifischen Auswirkungen auf beiden Ebenen zu begrüßen.

Erstens und vor allem ist das Urteil ein US-amerikanisches Anerkenntnis, dass die USA die Souveränität anderer Staaten und ihrer Rechtssysteme achten – jedenfalls wenn es um den Schutz persönlicher Daten geht, die auf Servern im Ausland gespeichert sind. Dies ist keine Selbstverständlichkeit, wie man schnell feststellt, wenn man etwa einen Blick auf das Vorgehen von US-Behörden im Zusammenhang mit US-Sanktionsrecht wirft. Die Achtung fremder Rechtssysteme ist aber richtig und wichtig, denn die USA würden es auch nicht akzeptieren, wenn ausländische Staaten Hoheitsbefugnisse über Server ausüben wollen würden, die auf US-amerikanischem Boden stehen. Dies sollten auch jene mitbedenken, die jetzt laut Gesetzesänderungen zugunsten der US-Sicherheitsbehörden fordern. Solche Forderungen könnten zu einem Bumerang zulasten von US-Bürgern werden, sobald z.B. chinesische IT-Unternehmen globaler agieren.

Zweitens ist das Urteil natürlich auch ein Sieg des Daten- und Privatsphärenschutzes – auch wenn es darum rein rechtlich in dem Urteil gar nicht ging. Weil aber mit der Achtung fremder Rechtssysteme auch eine Achtung der dortigen Wertevorstellungen einhergeht, bedeutet das Warrant-Case-Urteil ganz konkret: US-Behörden haben europäisches Datenschutzrecht einzuhalten, wenn sie auf Daten von Servern zugreifen wollen, die in einem EU-Mitgliedstaat verortet sind. Auch das ist richtig und wichtig.

Das Urteil sollte die EU und ihre Mitgliedstaaten ermutigen, auch gegenüber befreundeten Staaten wie den USA, mit denen man gemeinsame Werte teilt, ihre Auslegung und Ausgestaltung gemeinsamer Werte selbstbewusst zu kommunizieren und zu verteidigen. Alles andere ginge zulasten ihrer Bürger und wäre daher nicht akzeptabel.


Dr. Andreas Nick, MdB (CDU/CSU)
Andreas NickDas Internet steht wie kein anderes Medium für weltweite Vernetzung. Es ist ein Raum der Meinungsvielfalt und Teilhabe, aber auch Motor für Innovation und Wirtschaftswachstum. Verlässliche Regeln und Rahmenbedingungen für ein weiterhin offenes und freies globales Netz können daher auch nicht alleine auf nationaler Ebene gewährleistet werden, denn das Netz ist per definitionem grenzüberschreitend.

Zumindest zwischen den EU-Mitgliedsstaaten und den USA wäre ein gemeinsamer Bezugsrahmen für Datensicherheit dringend erforderlich. Wir brauchen daher auf beiden Seiten des Atlantiks immer wieder eine Verständigung über die richtige Balance von Freiheit und Sicherheit in unseren offenen und pluralistischen Gesellschaften.

Die Entscheidung eines US-Berufungsgerichtes im sogenannten „Warrant Case“ zugunsten von Microsoft ist ein wichtiger Meilenstein auf diesem Weg. Nicht nur die Institutionen der Europäischen Union und ihrer Mitgliedsstaaten, auch Drittstaaten haben das Verfahren der USA gegen Microsoft mit großer Aufmerksamkeit verfolgt.

Die US-Behörden hatten Anspruch auf Zugriff auch auf solche Inhalte erhoben, die in Datencentern von US-Anbietern im europäischen Ausland gespeichert sind, um ihre strafrechtlichen Ermittlungen oder Ermittlungen zur nationalen Sicherheit zu unterstützen. Der „Warrant Case“ hat nun ein deutliches Zeichen für eine Beschränkung des exterritorialen Zugriffs von Regierungen und Sicherheitsbehörden gesetzt.

Dies zeigt einmal mehr: die Debatte um Informationssicherheit und Datenschutz ist nicht nur eine zwischenstaatliche Frage. Sie ist auch Teil einer inner-gesellschaftlichen Debatte innerhalb der USA. Die in den USA beheimateten, aber global tätigen Unternehmen der digitalen Wirtschaft haben nämlich ein zentrales Interesse, die Zugriffsrechte der US-Behörden auf die Daten ihrer Kunden verlässlich zu regeln und einzugrenzen, wenn sie ihre Dienstleistungen auch künftig im weltweiten Wettbewerb erfolgreich anbieten wollen.

Damit kann die global agierende Silicon-Valley-Industrie selbst zu einem wichtigen Verbündeten werden, um einen verlässlichen international anerkannten Rechtsrahmen einzufordern. Ihr Einfluss auf politische Entscheidungsprozesse in Washington in dieser Frage ist möglicherweise größer als die Einwirkungsmöglichkeiten ausländischer Regierungen. Allerdings wird die Silicon Valley-Industrie beim Erreichen globaler Standards für Datenschutz und Datensicherheit nicht nur gegenüber nationalen Regierungen und Sicherheitsbehörden ihren Einfluss geltend machen müssen, sondern entsprechende Standards im Verhältnis zu ihren Kunden auch selbst entwickeln und gewährleisten.


Konstantin von Notz, MdB (Bündnis 90/Die Grünen)

Konstantin von Notz MdB, Buendnis 90/Die Gruenen im BundestagVor wenigen Wochen hat ein US-Gericht festgestellt, dass Microsoft im Ausland liegende Daten nicht an US-Ermittlungsbehörden übergeben muss. Das Urteil war zweifellos ein wichtiger Teilerfolg. Allerdings sind andere US-Gerichte nicht an diese Entscheidung gebunden. Gleichwohl zeigt es erneut, dass es sich lohnt, für Privatsphäre und Datenschutz vor Gericht zu streiten.

Doch in Jubel auszubrechen wäre auch aus anderen Gründen verfrüht. Längst arbeitet man in den USA an neuen Initiativen, die den Zugriff wieder erlauben. Konkret hob das Gericht ein Urteil aus 2014 auf, das von Microsoft verlangt hatte, E-Mails eines mutmaßlichen Drogenschmugglers an US-Ermittlungsbehörden auszuhändigen. Das Unternehmen weigerte sich jedoch, die in Irland gespeicherten Mails herauszugeben, da der von einem New Yorker Bezirksrichter unterschriebene Durchsuchungsbefehl im Ausland nicht gültig sei. Das Gericht bestätigte nun, dass der sogenannte Stored Communications Act (SCA) nicht außerhalb der USA gelte. Das Gericht verwies darauf, dass die Intention des Gesetzgebers, dass die Regelung auch im Ausland gelten solle, nicht deutlich wurde. Ferner verwies die Richterin auf die Möglichkeit, über Rechtshilfeverträge an entsprechende Daten zu gelangen.

Somit wurde einerseits sichergestellt, dass die US-Sicherheitsbehörden nicht automatisch auf im Ausland liegende Daten zugreifen können. Durch das Urteil ist der Gesetzgeber gezwungen, zukünftig ausdrücklich festzulegen, wenn eine Regelung auch Anwendung im Ausland finden soll.

Zu befürchten steht nun, dass durch entsprechende Gesetzesreformen genau dies forciert wird. Entsprechende gesetzgeberische Initiativen sind längst in Erarbeitung. Eine solche Lösung wäre aus Datenschutzsicht natürlich ein Rückschritt, da Nicht-US-Bürgerinnen und -Bürger davon ausgehen müssten, dass US-Behörden wie das FBI oder die NSA auf der Grundlage weitaus niedrigerer Schutzstandards Zugriff auf Inhalte erhalten würden, selbst wenn diese außerhalb der USA in vermeintlich sicheren Datenhäfen gespeichert sind.

Insgesamt, so scheint es derzeit, rollt die Debatte, wie mit (aus Verfolgersicht) in Drittstaaten gespeicherten Daten umzugehen ist und unter welchen Voraussetzungen ausländische Sicherheitsbehörden darauf (direkt) zugreifen können (sollen), nach dem Wechsel von Safe Harbor zu Privacy Shield weiter voll auf uns zu. Die USA müssen gewärtigen, dass die mögliche Schaffung neuer Rechtsgrundlagen für gerichtliche Datenzugriffe eine weitere Gefährdung des mühsam erzielten und verfassungsrechtlich offenkundig fragwürdigen Kompromisses mit Namen Privacy Shield gleich zu Beginn auf eine harte Probe stellen würde. Klar ist allerdings auch, dass die Umsetzung von immer mehr – ohnehin schwerfälligen – Rechtshilfeersuchen oftmals sehr lang, in der Regel mehrere Monate, dauert – wertvolle Zeit, die in Ermittlungsverfahren verstreicht. Dies, so hört man zumindest, war zuletzt bei Ermittlungen nach der schlimmen Tat von Würzburg erneut der Fall.

Auch diese Frage, wie es einerseits gelingt, für diese dringenden Fälle polizeilicher Prävention Privatsphäre zu schützen und zugleich Rechtsstaatlichkeit zu wahren, andererseits die internationale Kooperation auf Grundlage klarer rechtlicher Vorgaben zu effektivieren und Strafverfolgung zu ermöglichen, werden wir in den nächsten Monaten sehr intensiv führen. Bezüglich der Frage, ob bilaterale Abkommen und eine Ausweitung der direkten Kooperation von Sicherheitsbehörden mit den großen Plattformen, wie sie derzeit die EU-Kommission plant, tatsächlich die richtigen Antworten auf die skizzierten Herausforderungen sind, haben wir Zweifel. Sinnvoller und rechtsstaatlich geboten erscheint uns eine Effektivierung der Zusammenarbeit der bewährten transparenten rechtsstaatlichen Verfahrenswege.


Veröffentlicht von Dr. Guido Brinkel, Leiter Regulierungspolitik, Microsoft Deutschland

Kommentar verfassen