Datenherausgabepflicht für Cloud-Anbieter nach US-Recht vs. EU-Datenschutzrecht
Am 25.4.2014 hat der United States District Court Southern District of New York seine Entscheidung gegenüber der Microsoft Corporation verkündet und Microsoft zur Herausgabe bestimmter Daten der Nutzer ihrer Email-Dienste verpflichtet. Das Urteil hat auch in der deutschen Presse für viel Aufsehen gesorgt, da es nicht nur die von Microsoft in den USA gespeicherten Daten betrifft – hierüber wird sich kaum noch jemand wundern –, sondern gerade auch solche Daten, die auf Cloud-Servern innerhalb der EU gespeichert sind. Damit wirft die Entscheidung erneut die Grundsatzfrage nach der Vereinbarkeit des Cloud Computings mit dem europäischen Datenschutzrecht auf.
Hintergrund der Gerichtsentscheidung
Das Gericht hatte Microsoft, wohlgemerkt die amerikanische Microsoft Corporation, auf Antrag einer US-Behörde im Wege eines sog. „Warrants“ – grob vergleichbar mit einem Durchsuchungsbeschluss bzw. einer Vorladung – zur Herausgabe von Daten aus E-Mails ihrer Cloud-Kunden sowie damit im Zusammenhang stehender Account Informationen (Name, Adresse, Telefonnummer, IP Adresse, etc.) verpflichtet.
Die Besonderheit des Falles lag darin, dass diese Daten nicht ausschließlich auf US-Gebiet, sondern z.T. auch in Irland gespeichert waren. Microsoft war gegen diese Anordnung vorgegangen mit dem Argument, dass die US-Gerichte kein Recht hätten, extraterritorial wirkende Anordnungen zu erlassen. Das Gericht hat Microsofts Antrag mit der vorliegenden Entscheidung jedoch zurückgewiesen.
- Maßgebliche Rechtsgrundlage Das Gericht hat seine Entscheidung auf den sog. Stored Communications Act (18 U.S.C. §§ 2701-2712) gestützt. Dieses Gesetz ermächtigt das zuständige Gericht bzw. die zuständige Behörde dazu, gegenüber einem Internet Service Provider (ISP), wie eben Microsoft, bestimmte Anordnungen und sonstige Maßnahmen zu erlassen einschließlich der Anordnung zur Herausgabe von Kundennamen, Anschriften, Verbindungsdaten und Zahlungsinformationen.
- Argumentation des Gerichts Microsoft hatte argumentiert, dass der Stored Communications Act den US-Behörden bzw. Gerichten kein Recht einräume, extraterritorial wirkende Maßnahmen zu ergreifen. Das Gericht hat insoweit zugestanden, dass dieses Argument nicht bereits durch den Wortlaut des Gesetzes widerlegt sei. Allerdings folge aus dem Aufbau des Gesetzes, dessen Historie und nicht zuletzt aus praktischen Erwägungen heraus, dass eine extraterritoriale Anwendung durchaus mit dem Gesetz vereinbar sei.
Bemerkenswert ist insbesondere das Praktikabilitätsargument:
Hierzu hat das New Yorker Gericht ausgeführt, dass man bei der von Microsoft vertretenen und vom Gericht im Ergebnis abgelehnten engeren Auslegung des Gesetzes den Weg über ein internationales Rechtshilfeabkommen (Mutual Legal Assistance Treaty, MLAT) gehen müsste. Da dieser Prozess nach Ansicht des Gerichts jedoch langsam und kompliziert sei, müssten die US-Behörden die Möglichkeit haben, selbst tätig zu werden, und zwar auch mit extraterritorialer Wirkung. Dies sei auch schon deshalb erforderlich, da nicht mit jedem Land ein entsprechendes MLAT bestehe.
Dieses Argument muss überraschen. Denn wenn man die Notwendigkeit eines MLAT grundsätzlich anerkennt, wie der Abschluss solcher Verträge zwischen den US und diversen Staaten zeigt, dann kann das Fehlen solcher Verträge mit weiteren Staaten nicht dazu führen, dass dessen Wirkungen und Voraussetzungen auf anderem Wege umgangen werden.
Unmittelbare Konsequenz
Die praktische Implikation des Urteils liegt vor allem darin, dass die Nutzer von Cloud-Diensten US-amerikanischer Anbieter nicht davor geschützt sind, dass ihre personenbezogenen Daten auf Anordnung der US-Behörden an diese herauszugeben sind.
Nun mag dies auf den ersten Blick nicht überraschen: Denn im Zweifel war dem durchschnittlichen Nutzer der E-Mail-Dienste eines US-Unternehmens ohnehin latent bewusst, dass die US-Behörden Zugriff auf diese Daten nehmen könnten. Bemerkenswerterweise hat sich Microsoft auch nicht gegen die Herausgabe der in den USA gespeicherten Daten gewandt. Gegenstand der Auseinandersetzung war vielmehr allein die Frage, ob auch solche Daten herauszugeben sind, die in der EU gespeichert sind.
Kernfrage unter deutschem Datenschutzrecht
Die juristische Kernfrage ist, ob die aus den USA heraus operierenden Cloud-Anbieter nach dem europäischen Datenschutzrecht überhaupt berechtigt sind, einer entsprechenden Anordnung der US-Behörden nachzukommen:
- Territorialprinzip Grundsätzlich gilt insoweit in der EU das Territorialitätsprinzip, nach dem es auf den Ort der Datenverarbeitung ankommt (vgl. Artikel 4 der EU-Datenschutzrichtlinie). Im deutschen Recht ist dieser Grundsatz in § 1 Abs. 5 BDSG verankert. Danach findet das BDSG auf einen Anbieter mit Sitz außerhalb der EU bzw. des EWR Anwendung, wenn dieser personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt. Dies bedeutet also, dass ein Internetanbieter mit Sitz in den USA die deutschen Datenschutzgesetze zu beachten hat, wenn er die personenbezogenen Daten seiner Kunden auf in Deutschland belegenen Servern hostet.
- Pflicht zur Datenherausgabe an US-Behörden Nun ist es allerdings nicht so, dass eine Herausgabe personenbezogener Daten an die US-Behörden per se und unter allen Umständen ausgeschlossen wäre. Vielmehr richtet sich die Zulässigkeit einer solchen Übermittlung im deutschen Recht nach § 4b Abs. 2 BDSG.
- Kein angemessenes Datenschutzniveau Zwar ist es über § 4b Abs. 2 BDSG in Verbindung mit den §§ 28 ff. BDSG grundsätzlich denkbar, einen Datenexport an die US-Behörden zu legitimieren. Jedoch sieht § 4b Abs. 2 S. 2 BDSG vor, dass ein solcher Datenexport zu unterbleiben hat, wenn bei dem Empfänger (im BDSG als „Stelle“ bezeichnet) kein angemessenes Datenschutzniveau gewährleistet ist. Nach herrschender Meinung ist diese Formulierung allerdings missglückt, da bei richtlinienkonformer Auslegung nicht auf das Datenschutzniveau bei dem konkreten „Empfänger“, also der jeweiligen US-Behörde, sondern in dem „Empfängerland“ insgesamt abzustellen sei (vgl. v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4b Rz. 23). Die USA sind nach Einschätzung der EU-Kommission nicht als sicheres Drittland mit angemessenem Datenschutzniveau anzusehen (näher dazu v. d. Bussche, in: Plath, BDSG, § 4b Rz. 30).
- Keine Rechtfertigung durch Erlaubnisnorm? Eine Herausgabe der Daten an die US-Behörden u.U. würde also einen Bruch des deutschen Datenschutzrechts darstellen, soweit nicht ausnahmsweise eine Erlaubnisnorm greift. Diese könnte sich aus § 4c BDSG ergeben, wonach die Übermittlung u.a. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht möglich ist. Spätestens an diesem Punkt zeigt sich jedoch, dass die Entscheidung die betroffenen Unternehmen in ein erhebliches Dilemma bringt, da kaum noch verlässlich prognostiziert werden kann, wie sich die europäischen Behörden und Gericht zu dieser Frage positionieren würden.Auch die Regelungen über das Safe Harbor-Abkommen mit den USA helfen insoweit nicht weiter, da dieses auf die US-amerikanischen Gerichte, wenn überhaupt, wegen der Offenlegungspflichten in den USA nur sehr begrenzt anwendbar ist und freilich auch nicht zu erwarten sein dürfte, dass sich die US-Gerichte und Behörden diesen Prinzipien unterwerfen würden (vgl. näher dazu v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4b Rz. 32).
Dilemma für US-Cloud-Anbieter
Der dargestellte Konflikt ist für die betroffenen Internetunternehmen nahezu unauflöslich:
- Wettlauf der Sanktionen: Am Ende wird er in der Praxis darauf hinauslaufen, dass sich die Unternehmen daran orientieren werden, nach welcher Rechtsordnung ihnen im Falle eines Verstoßes gravierendere Konsequenzen drohen.
- Staatliche Souveränität: Der Konflikt zeigt auch, dass die Entscheidung des New Yorker Gerichts aus europäischer Sicht falsch ist. Richtig und wünschenswert wäre es, wenn solche Fälle über Rechtshilfeabkommen (MLATs) gelöst werden.
Der „lange Arm des US-Rechts“ und die EU-Datenschutzreform
Es bleibt zu hoffen, dass die Entscheidung in der nächsten Instanz entsprechend revidiert wird. Bevor die Kritik am „langen Arm des US-Rechts“ allerdings zu heftig ausfällt, sollte jedoch bedacht werden, dass die Auflösung oder jedenfalls Einschränkung des strengen Territorialitätsprinzips einen wesentlichen Grundpfeiler der geplanten Datenschutz-Grundverordnung darstellt, d.h. auch insoweit ist eine gewisse extraterritoriale Wirkung des europäischen Rechts vorgesehen (siehe Art. 3 Abs. 2 EU-DS-GVO-Entwurf).