USA v. Micro­soft: Rep­ly Brief der USA

Im vor dem US Supre­me Court hän­gi­gen Fall United Sta­tes v. Micro­soft Cor­po­ra­ti­on, bei dem es um die Her­aus­ga­be von Daten geht, die eine Micro­­soft-Toch­ter in Irland spei­chert, haben die USA als Ant­wort auf die Ein­ga­be von Micro­soft ihren Rep­ly Brief ein­ge­reicht. Die USA argu­men­tie­ren u.a. wie folgt:

• Wenn kei­ne Her­aus­ga­be­pflicht bestün­de, könn­ten Daten durch die Spei­che­rung im Aus­land will­kür­lich der Straf­ver­fol­gung ent­zo­gen wer­den (“Under its posi­ti­on, Micro­soft could move all U.S. citi­zens’ data bey­ond the SCA’s reach if it cho­se to migra­te that data to for­eign servers”);
• käme es auf den Spei­cher­ort der Daten an, wären Daten dem Zugriff immer dann ent­zo­gen, wenn einem ein­zel­nen Nut­zer­kon­to zuge­hö­ri­ge Daten­pa­ke­te an unter­schied­li­chen Orten gespei­chert wer­den, was beim Cloud-Com­­pu­ting der Fall sein könnte;
• ein Zugriff auf im Aus­land bele­ge­ne Daten sei nach dem Recht ande­rer Staa­ten bereits mög­lich, z.B. nach eng­li­schem oder iri­schem Recht;
• die DSGVO ver­bie­te eine Daten­be­kannt­ga­be in die USA in den rele­van­ten Kon­stel­la­tio­nen nicht grundsätzlich:
  

  “Arti­cle 48 of the GDPR requi­res use of the trea­ty pro­cess for data trans­fers to non-EU nati­ons, “wit­hout pre­ju­di­ce to other grounds for trans­fer pur­suant to this Chap­ter.” […] That same chap­ter aut­ho­ri­zes trans­fers pur­suant to an “ade­qua­cy deci­si­on,” or a fin­ding that the non-EU nati­on suf­fi­ci­ent­ly pro­tects per­so­nal data. […] The United Sta­tes cur­r­ent­ly ope­ra­tes under an ade­qua­cy deci­si­on with respect to cer­tain trans­fers of cer­tain pro­vi­ders, inclu­ding Micro­soft, and may do so under the GDPR. […]. Or the United Sta­tes could enter a dif­fe­rent agree­ment with the EU to cover future trans­fers. […] Even absent such blan­ket solu­ti­ons, Arti­cle 49(1)(d) aut­ho­ri­zes trans­fers “necessa­ry for important rea­sons of public inte­rest,” GDPR art. 49(1)(d), inclu­ding the need to com­bat serious cross-bor­­der cri­mes “such as illi­cit drug traf­ficking,” Euro­pean Comm’n Ami­cus Br. 15 — the crime at issue here, see J.A. 25. Alter­na­tively, Arti­cle 49(1) endor­ses a case-spe­ci­­fic balan­cing test that accounts for the provider’s legal obli­ga­ti­ons in the non-EU country.”

Inter­es­sant sind zur­zeit vor allem die Hin­wei­se auf die DSGVO. Die Argu­men­ta­ti­on der USA ist zumin­dest hier nicht überzeugend:

• In die­sem Zusam­men­hang auf den Pri­va­cy Shield anzu­spie­len (beim Namen genannt wird der Pri­va­cy Shield aller­dings nicht – kaum ein Zufall), ist bemer­kens­wert. Der Pri­va­cy Shield schützt in erster Linie das Daten­sub­jekt, des­sen Daten einem US-Unter­­neh­­men anver­traut wer­den, und in zwei­ter Linie die über­mit­teln­de Stel­le, aber ganz sicher nicht die ame­ri­ka­ni­schen Behör­den. Ein Zugriff auf Daten unter Kon­trol­le eines zer­ti­fi­zier­ten Unter­neh­mens für Zwecke der Straf­ver­fol­gung durch US-Behör­­den wird im Pri­va­cy Shield zwar nicht aus­ge­schlos­sen (selbst­ver­ständ­lich nicht; jeder Rechts­staat erlaubt sol­che Zugrif­fe); den Pri­va­cy Shield aber als Grund­la­ge eines sol­chen Zugriffs dar­zu­stel­len, ist eine völ­li­ge Verdrehung.
• Der Hin­weis auf Art. 49(1) DSGVO läuft den soeben im Ent­wurf ver­öf­fent­lich­ten Leit­li­ni­en der Art.-29-Datenschutzgruppe zu Art. 49 DSGVO zuwi­der oder ist zumin­dest unvoll­stän­dig. Zwin­gen­de öffent­li­che Inter­es­sen im Sin­ne die­ser Bestim­mung lie­gen nicht schon dann vor, wenn der ersu­chen­de Staat eine Unter­su­chung im öffent­li­chen Inter­es­se führt; erfor­der­lich wäre im Gegen­teil, dass auch die Über­mitt­lung an die­sen Staat im öffent­li­chen Inter­es­se der EU oder eines Mit­glied­staats liegt.