Hintergrund
Der bekannte Microsoft-Fall liegt zurzeit beim US Supreme Court (vgl. die Übersicht auf der Website von Microsoft). Hintergrund ist ein Herausgabebefehl (“Warrant”) eines US-Gerichts, mit dem Microsoft angewiesen wurde, E‑Mails herauszugeben, die sich bei einer Microsoft-Tochter in einem Datencenter in Irland befinden. Microsoft wehrte sich gegen den Warrant, mit dem Hauptargument, es fehle eine gesetzliche Grundlage für einen extraterritorial wirkenden Warrant. Die erste Instanz schützte den Warrant, die zweite Instanz, der US Court of Appeals for the Second Circuit, gab Microsoft recht. Dagegen gelangte die US-Regierung an den Supreme Court (s. unten zur Chronologie).
Im Verfahren des Supreme Court gingen zahlreiche Amicus-Curiae-Briefs ein, d.h. Eingaben von Dritten, die nicht Verfahrenspartei sind, am Verfahrensausgang aber ein Interesse haben. Einer der Briefs stammt von der EU-Kommission.
Amicus-Curiae-Brief der EU-Kommission
Interessant mit Blick auf die DSGVO ist der Amicus-Curiae-Brief der Europäischen Kommission, in dem sich die Kommission auf die DSGVO stützt. Die Kommission nimmt keine Stellung zur Auslegung des US-Rechts, ersucht den Supreme Court aber, in seiner Entscheidung europäisches Recht nicht ausser Acht zu lassen. In der Sache hält die Kommission zur DSGVO u.a. folgende Punkte fest:
- Die Einhaltung ausländischen Rechts kann einem “legitimate interest” i.S.v. Art. 6(2)(f) DSGVO entsprechen, sofern das Interesse, Durchsetzungsmassnahmen zu vermeiden, überwiegend ist. Das ist relevant auch für schweizerische Unternehmen, deren Verarbeitungen der DSGVO unterfallen, die dabei aber auch Anforderungen des schweizerischen Rechts einzuhalten haben:
[…] In the present case, in the absence of a European Union or Member State law requiring Microsoft’s “processing,” either as a legal obligation or as a task carried out in the public interest of the European Union or a Member State, id. art. 6(1)(c), (e), the transfer could potentially qualify as “necessary for the purposes of the legitimate interests pursued by the controller” — namely, the interest in not being subject to legal action in a non-EU state.
- Nach Art. 48 DSGVO können Urteile und Entscheiden aus einem Drittland auf Übermittlung oder Offenlegung von Personendaten nicht anerkannt oder vollstreckt werden, wenn die Übermittlung oder Offenlegung auf eine internationale Übereinkunft gestützt sind, z.B. ein Rechtshilfeabkommen. Dies gilt jedoch “without prejudice to other grounds for transfer pursuant to this Chapter” (Art. 48; die deutsche Fassung der Bestimmung ist hier weniger klar). Die Offenlegung durch den Adressaten eines Urteils oder Entscheids bleibt daher zulässig, wenn ein Ausnahmetatbestand von Art. 49 DSGVO erfüllt ist. Im Ergebnis ist Art. 48 daher keine Verbotsnorm (kein “blocking statute”), sondern im Gegenteil ein besonderer Erlaubnistatbestand für die Übermittlung von Personendaten in Drittländer, der neben die übrigen Erlaubnistatbestände von Art. 45 ff. tritt.
- Art. 49(1) DSGVO erlaubt die Übermittlung in Ausnahmefällen, wenn sie zur “Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist”. Das Interesse kann auch hier darin bestehen, Sanktionen nach ausländischem Recht zu vermeiden, sofern das Interesse überwiegend ist und Schutzmassnahmen getroffen werden. Mögliche Schutzmassnahmen sind Anordnungen des ersuchenden Gerichts oder Datenschutzbestimmungen des Empfängerstaats:
Relevant circumstances might include procedural guarantees under which the foreign court order was adopted, as well as applicable data protection rules in place in the third country.
Chronologie
- 4. Dezember 2013: Preet Bharara erlässt für das US District Court for the Southern District of New York einen SCA (Stored Communications Act, SCA)-Search Warrant gegen Microsoft. Der Warrant richtet sich auf E‑Mails eines MSN-Accounts, die in einem Datencenter einer 100%-Tochter von Microsoft in Irland gespeichert sind.
“This warrant applies to information associated with •••@msn.com, which is stored at premises owned, maintained, controlled, or operated by Microsoft Corporation, a company headquartered at One Microsoft Way, Redmond, WA 98052.”
- 25. April 2014: Der Magistrate Judge am District Court weist Microsofts Beschwerde gegen den Warrant ab.
- 6. Juni 2014: Microsoft wehrt sich vor dem District Court gegen den Entscheid des Magistrate Judge: Es fehle an einer Rechtsgrundlage für einen Warrant ausserhalb des Territoriums der USA; ohnehin sei der Warrant zu unbestimmt; und es sei der Rechtshilfeweg (MLAT; Mutual Legal Assistance Treaty) zu beschreiten.
- Juni 2014: Mehrere Unternehmen (u.a. Verizon, AT&T, Apple und Cisco) schlossen sich in Amicus Curiae-Eingaben der Auffassung von Microsoft an.
- 8. Dezember 2014: Microsoft gelangt an den US Court of Appeals for the Second Circuit, mit einer lesenswerten Einleitung des Schriftsatzes:
Imagine this scenario. Officers of the local Stadtpolizei investigating a suspected leak to the press descend on Deutsche Bank headquarters in Frankfurt, Germany. They serve a warrant to seize a bundle of private letters that a New York Times reporter is storing in a safe deposit box at a Deutsche Bank USA branch in Manhattan. The bank complies by ordering the New York branch manager to open the reporter’s box with a master key, rummage through it, and fax the private letters to the Stadtpolizei.
The U.S. Secretary of State fumes: “We are outraged by the decision to bypass existing formal procedures that the European Union and the United States have agreed on for bilateral cooperation, and to embark instead on extraterritorial law enforcement activity on American soil in violation of international law and our own privacy laws.” Germany’s Foreign Minister responds: “We did not conduct an extraterritorial search — in fact we didn’t search anything at all. No German officer ever set foot in the United States. The Stadtpolizei merely ordered a German company to produce its own business records, which were in its own possession, custody, and control. The American reporter’s privacy interests were fully protected, because the Stadtpolizei secured a warrant from a neutral magistrate.”
No way would that response satisfy the U.S. Government. The letters the reporter placed in a safe deposit box in Manhattan are her private correspondence, not the bank’s business records. The seizure of that private correspondence pursuant to a warrant is a law enforcement seizure by a foreign government, executed in the United States, even if it is effected by a private party whom the government has conscripted to act on its behalf.
This case presents a digital version of the same scenario, but the shoe is on the other foot.
- Dezember 2014: Wiederum unterstützen mehrere Unternehmen in Amicus Curiae-Eingaben, auch Jan Philipp Albrecht.
- 9. März 2015: Preet Bharara reicht für die US-Regierung eine Beschwerdeantwort ein, auf die Microsoft am 8. April 2015 repliziert.
- 14. Juli 2016: Der Court of Appeals entscheidet zugunsten von Microsoft (Blogbeitrag; Urteil. Ein Warrant nach den SCA sei näher bei einem traditionellen Warrant, der auf das Gebiet der USA beschränkt ist, als bei einer Supoena, die auch international wirken kann; und die Wirkung des Warrant wäre extraterritorial.
- 23. Juni 2017: Die US-Regierung ersucht den US Supreme Court, den Fall zu überprüfen (“writ of certiorari”).
- 28. August 2017: Microsoft wendet sich gegen eine Überprüfung durch den Supreme Court.
- 13. September 2017: Die US-Regierung repliziert gegen Microsofts Eingabe.
- 11. Januar 2018: Microsoft dupliziert.
- Dez. 2017/Jan. 2018: Dutzende Amicus-Curiae-Briefs werden eingereicht.