USA: Datenzugriff in Irland - Microsoft v. US vor dem US Supreme Court - aus und vorbei (CLOUD Act)
von , veröffentlicht am 03.04.2018Das vor dem US Supreme Court anhängige Verfahren zum Datenzugriff in Irland hat in der Presse und Literatur viel Wellen geschlagen (s. Jansen, Editorial in ZD 2018, 149 und zum Hintergrund von mir ZD 2014, 346; ZD 2015, 04588; ZD 2016, 480; ZD Aktuell 2017, 05829).
Dem höchstgerichtliche Verfahren, in das sich sogar die EU-Kommission und der BDI zugunsten von Microsoft eingeschaltet haben (s. Jansen ebd.), scheint jetzt juristisch die Luft auszugehen: der US Kongress hat im Rahmen der tausendenden von Seiten des voluminösen Omnibus Budget Act den CLOUD Act verabschiedet. Präsident Trump hat das Gesetz unterzeichnet. Die EU (Kommission und Parlament) ist über das Osterei überrascht, wenn nicht überrumpelt.
Eine nähere erste Analyse von mir zum CLOUD Act gibt es in ZD Aktuell 2018, 04291. Auf den Punkt gebracht geht es beim CLOUD Act darum, dass US-Dienstanbieter (z.B. Cloud-Provider) nach dem US Stored Communications Act auch im Ausland belegene personenbezogene Daten den Ermittlungsbehörden auf Anfrage (Search Warrant) vorlegen müssen. Ob dies verfassungsgemäß ist, wollte der US Supreme Court entscheiden. Die mdl. Verhandlung hatte am 27.2.2018 stattgefunden. Der Gesetzgeber könnte einem Urteil mit dem CLOUD Act zuvorgekommen sein.
Der CLOUD Act sieht die Einschaltung eines US-Richters zur Überprüfung vor (Comity Analysis) vor, was von den Anbietern begrüßt wird. Allerdings können bei der Abwägung nur die Interessen einer „qualifizierten ausländischen Regierung“ berücksichtigt werden. Das sind Regierungen, die mit dem USA am den sogenannten zwischenstaatlichen Verträgen (MLATs) vorbei eine Executive Agreement zur Zusammenarbeit angeschlossen haben und vom US Attorney General entsprechend zertifiziert sind. Für Deutschland scheint dies gegenwärtig nicht der Fall zu sein. Der Fairness halber sollte man nicht ausblenden, dass auch die EU-Kommission auf Daten im Ausland zu bestimmten Zwecken zugreifen möchte (im Blog hier).
Die US Regierung hat erwartungsgemäß am Freitag einen Schriftsatz beim US Supreme Court eingereicht und eine Verfahrensbeendigung beantragt. Es wird erwartet, das die eher konservativen Justices mit ihrem übervollen Terminkalender diesem Ersuchen stattgeben. Im Schriftsatz heißt es:
„Because Microsoft has thus far refused to comply with the original warrant, the government has determined that the most efficient means of acquiring the information sought is through a new warrant under the CLOUD Act [...] The government is now unquestionably entitled to require Microsoft to disclose foreign-stored data under the Stored Communications Act (absent a comity showing that Microsoft has never sought to make)."
Damit könnte die Debatte zwischen der EU und den USA erst richtig losgehen. Wenn die US-Ermittlungsbehörden über den Diensteanbieter auf Daten im Ausland zugreifen dürfen, was bedeutet das für die Regeln des Privacy Shield? Ist der CLOUD Act mit Art. 48 GDPR vereinbar? Wie wird der EuGH entscheiden? Was meinen Sie dazu?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
3 Kommentare
Kommentare als Feed abonnierenMittlerweile hat Microsoft mit einem eigenen Schriftsatz geantwortet: https://www.supremecourt.gov/DocketPDF/17/17-2/42149/20180403145952967_180401%20for%20E-Filing.pdf
Microsoft argumentiert, dass sich die Sache erledigt habe, weil die Regierung ihren ursprünglichen Durchsuchungsbeschluss zurückgezogen habe. Zitat:
"Microsoft agrees the current case is moot and there is no reason for this Court to resolve a legal issue that is now of only historical interest. The Government’s unilateral decision to return the old warrant means that warrant is a dead letter. So there is no longer any live dispute between the parties with respect to Microsoft’s challenge to that warrant issued under a now-superseded version of the Stored Communications Act."
Noch als Nachtrag:
The USA haben mit 57 Ländern MLATs abgeschlossen, die für den Bereich des CLOUD Acts obsolet werden könnten, wenn deren Regierungen sich auf Executive Agreements mit den USA einlassen. Mit GB ist ein solches Executive Agreement angeblich schon ausgehandelt. Die anderen „5 Eyes“ (Australien, Kanada, Neuseeland) könnten bald folgen. Wann andere EU-Staaten zum Zuge kommen, weiß keiner. Es ist auch offen, ob sich die USA auf reziproke Kontrollen und rechtliche Voraussetzungen einlassen, wie die der CLOUD Act für die Bestimmung einer “qualifizierten ausländischen Regierung“ vorsieht (vgl. ZD Aktuell 2017, 05829).
Trotz der Kritik von EU-Kommissarin Jourová am CLOUD Act wird in Washington erwartet, dass die EU-Kommission im nächsten Monat einen ähnlichen Vorschlag zur Regelung des Datenzugriffs über die Grenze weg veröffentlicht. Das DOJ in Washington begrüßt jedenfalls die neuen rechtlichen Möglichkeiten, um bei US-Verfahren weltweit auf Daten zugreifen zu können.
Wie erwartet hat der Supreme Court den Anträgen statgegeben. Das Verfahren ist damit beendet: https://www.supremecourt.gov/opinions/17pdf/17-2_1824.pdf
Im einzelnen:
"No live dispute remains between the parties over the issue with respect to which certiorari was granted. See Department of Treasury, Bureau of Alcohol, Tobacco and Firearms v. Galioto, 477 U. S. 556, 559 (1986). Further, the parties agree that the new warrant has replaced the original warrant. This case, therefore, has become moot. Following the Court’s established practice in such cases, the judgment on review is accordingly vacated, and the case is remanded to the United States Court of Appeals for the Second Circuit with instructions first to vacate the District Court’s contempt finding and its denial of Microsoft’s motion to quash, then to direct the District Court to dismiss the case as moot."