US CLOUD Act: Datenzugriff über die Grenze - Microsoft schlägt Prinzipien vor

von Dr. Axel Spies, veröffentlicht am 13.09.2018

In einem Blogbeitrag hat der Präsident von Microsoft Corp., Brad Smith, sechs Grundsätze zur Debatte gestellt, die seiner Meinung nach den Prozess weltweit regeln sollten, mit dem Strafverfolgungsbehörden Zugang zu den Daten der Nutzer erhalten können.

Hintergrund des Beitrags ist der US CLOUD Act, nach dem in bestimmten Fällen US-Behörden Zugang zu in der Cloud weltweit abgespeicherten Daten haben. Die entsprechende Durchsuchungsanordnung (Search Warrant), kann der Cloud-Anbieter (nicht der Cloud-Nutzer) vor dem US-Richter in bestimmen Fällen anfechten (mehr zum US CLOUD Act: Spies ZD-Aktuell 2018, 04291 und im Blog hier). In Europa ist das Thema wegen der von der KOM im April vorgeschlagenen e-Evidence-VO ebenfalls sehr aktuell. Das Ziel ist im beiden Fällen der Datenzugang über die Grenze hinweg.

Brad Smith schlägt folgende Prinzipien als Wunschliste vor (Zitat):

1. Universelles Recht auf Benachrichtigung – Abgesehen von engen Ausnahmen haben die Nutzer das Recht zu erfahren, wann die Regierungsstelle auf ihre Daten zugreift. Cloud-Anbieter müssen das Recht haben, ihnen dies mitzuteilen.

2. Vorherige unabhängige gerichtliche Genehmigung und vorgeschriebene Mindeststandards – Der Zugang der Strafverfolgungsbehörden muss vor der Vollstreckung für Inhalte und andere sensible Nutzerdaten von einer unabhängigen Justizbehörde überprüft und genehmigt werden, und zwar nur nach aussagekräftigen rechtlichen und sachlichen Mindeststandards.

3. Spezifische und vollständige rechtliche Verfahren und klare Gründe für die Anfechtung – Die Cloud-Anbieter müssen detaillierte rechtliches Gehör von der Strafverfolgung erhalten, um eine gründliche Überprüfung der Nachfrage nach Benutzerdaten zu ermöglichen, und es müssen klare Mechanismen existieren, um ungesetzliche und unangemessene Forderungen nach Benutzerdaten anzufechten.

4. Mechanismen zur Beilegung von Konflikten mit Drittstaatengesetzen - Internationale Abkommen müssen Rechtskollisionen mit Drittstaaten vermeiden und Mechanismen zur Beilegung von Konflikten vorsehen, falls solche auftreten sollten.

5. Modernisierung der Regeln für die Durchsuchung von Unternehmensdaten - Unternehmen müssen das Recht haben, ihre Daten zu kontrollieren, und sie sollten Strafverfolgungsanfragen direkt erhalten.

6. Transparenz - Die Öffentlichkeit hat das Recht zu erfahren, wie und wann Regierungsstellen Zugang zu digitalen Beweismitteln suchen und welche Schutzmechanismen für ihre Daten gelten.“

Was halten Sie von diesen Prinzipien? Hier in den US werden diese Prinzipien in der Fachöffentlichkeit kritisiert - u.a. weil sich Microsoft damit Ermittlungen unterlaufe, die in dieser Phase geheim bleiben müssten. Insbesondere werde das 5. Prinzip der Rolle des Cloud-Anbieters als „Hüter“ (Custodian) der Cloud-Daten nicht gerecht. Datenschutzrechte der Betroffenen, wie in der DS-GVO vorgesehen, seien nicht Teil der Prinzipien. Andere Kommentatoren halten die Prinzipen durchaus für eine sinnvolle Diskussionsgrundlage, zweifeln aber, ob sie alle realistisch umsetzbar sind. Was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen