USA: Datenzugriff in Irland - Microsoft v. US vor dem US Supreme Court - aus und vorbei (CLOUD Act)
Gespeichert von Dr. Axel Spies am
Das vor dem US Supreme Court anhängige Verfahren zum Datenzugriff in Irland hat in der Presse und Literatur viel Wellen geschlagen (s. Jansen, Editorial in ZD 2018, 149 und zum Hintergrund von mir ZD 2014, 346; ZD 2015, 04588; ZD 2016, 480; ZD Aktuell 2017, 05829).
Dem höchstgerichtliche Verfahren, in das sich sogar die EU-Kommission und der BDI zugunsten von Microsoft eingeschaltet haben (s. Jansen ebd.), scheint jetzt juristisch die Luft auszugehen: der US Kongress hat im Rahmen der tausendenden von Seiten des voluminösen Omnibus Budget Act den CLOUD Act verabschiedet. Präsident Trump hat das Gesetz unterzeichnet. Die EU (Kommission und Parlament) ist über das Osterei überrascht, wenn nicht überrumpelt.
Eine nähere erste Analyse von mir zum CLOUD Act gibt es in ZD Aktuell 2018, 04291. Auf den Punkt gebracht geht es beim CLOUD Act darum, dass US-Dienstanbieter (z.B. Cloud-Provider) nach dem US Stored Communications Act auch im Ausland belegene personenbezogene Daten den Ermittlungsbehörden auf Anfrage (Search Warrant) vorlegen müssen. Ob dies verfassungsgemäß ist, wollte der US Supreme Court entscheiden. Die mdl. Verhandlung hatte am 27.2.2018 stattgefunden. Der Gesetzgeber könnte einem Urteil mit dem CLOUD Act zuvorgekommen sein.
Der CLOUD Act sieht die Einschaltung eines US-Richters zur Überprüfung vor (Comity Analysis) vor, was von den Anbietern begrüßt wird. Allerdings können bei der Abwägung nur die Interessen einer „qualifizierten ausländischen Regierung“ berücksichtigt werden. Das sind Regierungen, die mit dem USA am den sogenannten zwischenstaatlichen Verträgen (MLATs) vorbei eine Executive Agreement zur Zusammenarbeit angeschlossen haben und vom US Attorney General entsprechend zertifiziert sind. Für Deutschland scheint dies gegenwärtig nicht der Fall zu sein. Der Fairness halber sollte man nicht ausblenden, dass auch die EU-Kommission auf Daten im Ausland zu bestimmten Zwecken zugreifen möchte (im Blog hier).
Die US Regierung hat erwartungsgemäß am Freitag einen Schriftsatz beim US Supreme Court eingereicht und eine Verfahrensbeendigung beantragt. Es wird erwartet, das die eher konservativen Justices mit ihrem übervollen Terminkalender diesem Ersuchen stattgeben. Im Schriftsatz heißt es:
„Because Microsoft has thus far refused to comply with the original warrant, the government has determined that the most efficient means of acquiring the information sought is through a new warrant under the CLOUD Act [...] The government is now unquestionably entitled to require Microsoft to disclose foreign-stored data under the Stored Communications Act (absent a comity showing that Microsoft has never sought to make)."
Damit könnte die Debatte zwischen der EU und den USA erst richtig losgehen. Wenn die US-Ermittlungsbehörden über den Diensteanbieter auf Daten im Ausland zugreifen dürfen, was bedeutet das für die Regeln des Privacy Shield? Ist der CLOUD Act mit Art. 48 GDPR vereinbar? Wie wird der EuGH entscheiden? Was meinen Sie dazu?