Cloud Computing hin und her: Dürfen Behörden Daten weltweit direkt einfordern?
Gespeichert von Dr. Axel Spies am
Die US-Sicherheitsbehörden sind nicht besonders zimperlich, wenn es um die Ansammlung und Auswertung elektronischer Daten geht (vgl hier im Blog zum EU/US SWIFT-Abkommen und zur Weitergabe von Passagierdaten). Ein aktueller „Zeit“-Artikel wirft die Frage auf: Dürfen US-Behörden ohne die Zustimmung eines europäischen Gerichts oder einer Datenschutzbehörde in Ermittlungsverfahren auf Daten zugreifen, die auf europäischen Servern lagern? Sollte die EU „Safe Harbor 2.0“-Verhandlungen mit einer Lösung dieses Datenzugriffs aus den USA verknüpfen?
Das ist höchst aktuell, wie der Zeit-Artikel aufzeigt: Vor dem New Yorker Berufungsgericht wehrt sich ein US-Unternehmen in der Berufung gegen die Herausgabe von Daten, die auf einem europäischen Server liegen. Was war passiert? Ein New Yorker Bundesbezirksgericht verpflichtete das US-Unternehmen 2014 zur Herausgabe verschiedener personenbezogener Daten, die in einem Strafverfahren (Drogenhandel) angeblich benötigt werden (s. dazu die Urteilsbesprechung von Schröder/Spies, ZD 2014, S. 348ff.). Das Unternehmen lieferte aber nur die Daten, die auf US-Servern lagen und weigerte sich – ohne die Entscheidung eines europäischen Gerichts oder der irischen Datenschutzbehörde – die Daten auf seinen irischen Servern preiszugeben. Der Fall wirft weitreichende, sehr grundsätzliche Fragen zu den Befugnissen der (US-) Sicherheitsbehörden auf: Dürfen sie auch außerhalb ihrer Jurisdiktion („extraterritorial“) Daten von US-Unternehmen anfordern, ohne dass ein nationales Gericht des Serverstandorts zustimmen muss? „Nein“, findet nicht nur das betroffene Unternehmen, einige EU-Vertreter und weitere namhafte Unternehmen. „Ja“ meinen die US-Behörden. Kein Krimineller soll sich in anderen Ländern mit seinen Daten verstecken können, wenn „judisdiction“ über den Anbieter (Provider) besteht, der Zugriff auf die Daten hat. Nach den Anschlägen von Paris und San Bernadino hat dieses Argument verstärktes Gewicht.
Die Frage reiht sich in die US-amerikanische-europäische (und inner-europäische) lebhaften Diskussionen ein, die entlang der Linien „Sicherheit/ Strafverfolgung“ gegen „(europäischen) Datenschutz“ verläuft und stetig ein Handeln auf politischer Ebene fordert, wie dies zuletzt bei „Safe Harbor“ hochgekocht ist (siehe im Blog hier). Eine „große“ Lösung, die dieses Thema mit „Safe Harbor 2.0“ verknüpft, erscheint unwahrscheinlich. Dafür liegen die Fragen und Fristen zu weit auseinander.
Was meinen Sie: Wird die Folge des Konflikts sein, dass zukünftig viele Länder weltweit direkt auf Daten zugreifen, auch wenn sie in anderen Ländern liegen?