Hin­ter­grund

Der bekann­te Micro­soft-Fall liegt zur­zeit beim US Supre­me Court (vgl. die Über­sicht auf der Web­site von Micro­soft). Hin­ter­grund ist ein Her­aus­ga­be­be­fehl (“War­rant”) eines US-Gerichts, mit dem Micro­soft ange­wie­sen wur­de, E‑Mails her­aus­zu­ge­ben, die sich bei einer Micro­soft-Toch­ter in einem Daten­cen­ter in Irland befin­den. Micro­soft wehr­te sich gegen den War­rant, mit dem Haupt­ar­gu­ment, es feh­le eine gesetz­li­che Grund­la­ge für einen extra­ter­ri­to­ri­al wir­ken­den War­rant. Die erste Instanz schütz­te den War­rant, die zwei­te Instanz, der US Court of Appeals for the Second Cir­cuit, gab Micro­soft recht. Dage­gen gelang­te die US-Regie­rung an den Supre­me Court (s. unten zur Chronologie).

Im Ver­fah­ren des Supre­me Court gin­gen zahl­rei­che Amicus-Curiae-Briefs ein, d.h. Ein­ga­ben von Drit­ten, die nicht Ver­fah­ren­s­par­tei sind, am Ver­fah­rens­aus­gang aber ein Inter­es­se haben. Einer der Briefs stammt von der EU-Kommission.

Amicus-Curiae-Brief der EU-Kommission

Inter­es­sant mit Blick auf die DSGVO ist der Amicus-Curiae-Brief der Euro­päi­schen Kom­mis­si­on, in dem sich die Kom­mis­si­on auf die DSGVO stützt. Die Kom­mis­si­on nimmt kei­ne Stel­lung zur Aus­le­gung des US-Rechts, ersucht den Supre­me Court aber, in sei­ner Ent­schei­dung euro­päi­sches Recht nicht ausser Acht zu las­sen. In der Sache hält die Kom­mis­si­on zur DSGVO u.a. fol­gen­de Punk­te fest:

  • Die Ein­hal­tung aus­län­di­schen Rechts kann einem “legi­ti­ma­te inte­rest” i.S.v. Art. 6(2)(f) DSGVO ent­spre­chen, sofern das Inter­es­se, Durch­set­zungs­mass­nah­men zu ver­mei­den, über­wie­gend ist. Das ist rele­vant auch für schwei­ze­ri­sche Unter­neh­men, deren Ver­ar­bei­tun­gen der DSGVO unter­fal­len, die dabei aber auch Anfor­de­run­gen des schwei­ze­ri­schen Rechts ein­zu­hal­ten haben:
    […] In the pre­sent case, in the absence of a Euro­pean Uni­on or Mem­ber Sta­te law requi­ring Microsoft’s “pro­ce­s­sing,” eit­her as a legal obli­ga­ti­on or as a task car­ri­ed out in the public inte­rest of the Euro­pean Uni­on or a Mem­ber Sta­te, id. art. 6(1)(c), (e), the trans­fer could poten­ti­al­ly qua­li­fy as “neces­sa­ry for the pur­po­ses of the legi­ti­ma­te inte­rests pur­sued by the con­trol­ler” — name­ly, the inte­rest in not being sub­ject to legal action in a non-EU sta­te.
  • Nach Art. 48 DSGVO kön­nen Urtei­le und Ent­schei­den aus einem Dritt­land auf Über­mitt­lung oder Offen­le­gung von Per­so­nen­da­ten nicht aner­kannt oder voll­streckt wer­den, wenn die Über­mitt­lung oder Offen­le­gung auf eine inter­na­tio­na­le Über­ein­kunft gestützt sind, z.B. ein Rechts­hil­fe­ab­kom­men. Dies gilt jedoch “wit­hout pre­ju­di­ce to other grounds for trans­fer pur­su­ant to this Chap­ter” (Art. 48; die deut­sche Fas­sung der Bestim­mung ist hier weni­ger klar). Die Offen­le­gung durch den Adres­sa­ten eines Urteils oder Ent­scheids bleibt daher zuläs­sig, wenn ein Aus­nah­me­tat­be­stand von Art. 49 DSGVO erfüllt ist. Im Ergeb­nis ist Art. 48 daher kei­ne Ver­bots­norm (kein “blocking sta­tu­te”), son­dern im Gegen­teil ein beson­de­rer Erlaub­nis­tat­be­stand für die Über­mitt­lung von Per­so­nen­da­ten in Dritt­län­der, der neben die übri­gen Erlaub­nis­tat­be­stän­de von Art. 45 ff. tritt.
  • Art. 49(1) DSGVO erlaubt die Über­mitt­lung in Aus­nah­me­fäl­len, wenn sie zur “Wah­rung der zwin­gen­den berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen erfor­der­lich ist”. Das Inter­es­se kann auch hier dar­in bestehen, Sank­tio­nen nach aus­län­di­schem Recht zu ver­mei­den, sofern das Inter­es­se über­wie­gend ist und Schutz­mass­nah­men getrof­fen wer­den. Mög­li­che Schutz­mass­nah­men sind Anord­nun­gen des ersu­chen­den Gerichts oder Daten­schutz­be­stim­mun­gen des Empfängerstaats:

    Rele­vant cir­cum­stances might include pro­ce­du­ral gua­ran­tees under which the for­eign court order was adopted, as well as appli­ca­ble data pro­tec­tion rules in place in the third country.

Chro­no­lo­gie

  • 4. Dezem­ber 2013: Preet Bha­ra­ra erlässt für das US District Court for the Sou­thern District of New York einen SCA (Stored Com­mu­ni­ca­ti­ons Act, SCA)-Search War­rant gegen Micro­soft. Der War­rant rich­tet sich auf E‑Mails eines MSN-Accounts, die in einem Daten­cen­ter einer 100%-Tochter von Micro­soft in Irland gespei­chert sind.

    This war­rant applies to infor­ma­ti­on asso­cia­ted with •••@msn.com, which is stored at pre­mi­ses owned, main­tai­ned, con­trol­led, or ope­ra­ted by Micro­soft Cor­po­ra­ti­on, a com­pa­ny head­quar­te­red at One Micro­soft Way, Red­mond, WA 98052.”

  • 25. April 2014: Der Magi­stra­te Judge am District Court weist Micro­softs Beschwer­de gegen den War­rant ab.
  • 6. Juni 2014: Micro­soft wehrt sich vor dem District Court gegen den Ent­scheid des Magi­stra­te Judge: Es feh­le an einer Rechts­grund­la­ge für einen War­rant ausser­halb des Ter­ri­to­ri­ums der USA; ohne­hin sei der War­rant zu unbe­stimmt; und es sei der Rechts­hil­fe­weg (MLAT; Mutu­al Legal Assi­stance Trea­ty) zu beschreiten.
  • Juni 2014: Meh­re­re Unter­neh­men (u.a. Veri­zon, AT&T, Apple und Cis­co) schlos­sen sich in Amicus Curiae-Ein­ga­ben der Auf­fas­sung von Micro­soft an.
  • 8. Dezem­ber 2014: Micro­soft gelangt an den US Court of Appeals for the Second Cir­cuit, mit einer lesens­wer­ten Ein­lei­tung des Schriftsatzes:

    Ima­gi­ne this sce­na­rio. Offi­cers of the local Stadt­po­li­zei inve­sti­ga­ting a suspec­ted leak to the press des­cend on Deut­sche Bank head­quar­ters in Frank­furt, Ger­ma­ny. They ser­ve a war­rant to sei­ze a bund­le of pri­va­te let­ters that a New York Times repor­ter is sto­ring in a safe depo­sit box at a Deut­sche Bank USA branch in Man­hat­tan. The bank com­plies by orde­ring the New York branch mana­ger to open the reporter’s box with a master key, rum­mage through it, and fax the pri­va­te let­ters to the Stadtpolizei.

    The U.S. Secre­ta­ry of Sta­te fumes: “We are outra­ged by the decis­i­on to bypass exi­sting for­mal pro­ce­du­res that the Euro­pean Uni­on and the United Sta­tes have agreed on for bila­te­ral coope­ra­ti­on, and to embark instead on extra­ter­ri­to­ri­al law enforce­ment acti­vi­ty on Ame­ri­can soil in vio­la­ti­on of inter­na­tio­nal law and our own pri­va­cy laws.” Germany’s For­eign Mini­ster responds: “We did not con­duct an extra­ter­ri­to­ri­al search — in fact we didn’t search anything at all. No Ger­man offi­cer ever set foot in the United Sta­tes. The Stadt­po­li­zei mere­ly orde­red a Ger­man com­pa­ny to pro­du­ce its own busi­ness records, which were in its own pos­ses­si­on, cus­t­ody, and con­trol. The Ame­ri­can reporter’s pri­va­cy inte­rests were ful­ly pro­tec­ted, becau­se the Stadt­po­li­zei secu­red a war­rant from a neu­tral magistrate.”

    No way would that respon­se satis­fy the U.S. Govern­ment. The let­ters the repor­ter pla­ced in a safe depo­sit box in Man­hat­tan are her pri­va­te cor­re­spon­dence, not the bank’s busi­ness records. The sei­zu­re of that pri­va­te cor­re­spon­dence pur­su­ant to a war­rant is a law enforce­ment sei­zu­re by a for­eign govern­ment, exe­cu­ted in the United Sta­tes, even if it is effec­ted by a pri­va­te par­ty whom the govern­ment has con­script­ed to act on its behalf.

    This case pres­ents a digi­tal ver­si­on of the same sce­na­rio, but the shoe is on the other foot.

  • Dezem­ber 2014: Wie­der­um unter­stüt­zen meh­re­re Unter­neh­men in Amicus Curiae-Ein­ga­ben, auch Jan Phil­ipp Albrecht.
  • 9. März 2015: Preet Bha­ra­ra reicht für die US-Regie­rung eine Beschwer­de­ant­wort ein, auf die Micro­soft am 8. April 2015 repli­ziert.
  • 14. Juli 2016: Der Court of Appeals ent­schei­det zugun­sten von Micro­soft (Blog­bei­trag; Urteil. Ein War­rant nach den SCA sei näher bei einem tra­di­tio­nel­len War­rant, der auf das Gebiet der USA beschränkt ist, als bei einer Supoe­na, die auch inter­na­tio­nal wir­ken kann; und die Wir­kung des War­rant wäre extraterritorial.
  • 23. Juni 2017: Die US-Regie­rung ersucht den US Supre­me Court, den Fall zu über­prü­fen (“writ of certiorari”).
  • 28. August 2017: Micro­soft wen­det sich gegen eine Über­prü­fung durch den Supre­me Court.
  • 13. Sep­tem­ber 2017: Die US-Regie­rung repli­ziert gegen Micro­softs Eingabe.
  • 11. Janu­ar 2018: Micro­soft dupli­ziert.
  • Dez. 2017/Jan. 2018: Dut­zen­de Amicus-Curiae-Briefs wer­den eingereicht.

AI-generierte Takeaways können falsch sein.