Micro­soft ist nicht ver­pflich­tet, der US-Regie­rung ausser­halb der USA lie­gen­de Nut­zer­da­ten her­aus­zu­ge­ben

Der US Court of Appeals hat heu­te, am 14. Juli 2016, im Beru­fungs­ver­fah­ren zugun­sten von Micro­soft und gegen die US-Regie­rung ent­schie­den (Urteil als PDF). Streit­punkt war im Wesent­li­chen die Fra­ge, ob Micro­soft ver­pflich­tet ist, auf einen sog. War­rant der US-Regie­rung hin Daten (hier Emails eines Kun­den) her­aus­zu­ge­ben, die mög­li­cher­wei­se Auf­schluss über straf­ba­re Hand­lun­gen (hier Dro­gen­han­del) geben könn­ten, die sich aber nicht in den USA befin­den, son­dern auf einem Micro­soft-Ser­ver in Irland. Die Vor­in­stanz hat­te Micro­soft ver­pflich­tet, auch sol­che Daten her­aus­zu­ge­ge­ben.

Micro­soft brach­te im Ver­fah­ren unwi­der­spro­chen vor, dass die Emails jeweils auf Ser­vern in der Regi­on des Kun­den gespei­chert wer­den und dass Zwi­schen­ko­pien auf Ser­vern in den USA anschlie­ssend gelöscht wer­den, so dass auf die betref­fen­den Daten anschlie­ssend aus­schliess­lich vor Ort zuge­grif­fen wer­den kann.

Das Urteil des Court of Appeals kann an den Supre­me Court wei­ter­ge­zo­gen wer­den.

Der Court of Appeals beur­teil­te den Fall wie folgt:

Die War­rant-Bestim­mun­gen des SCA sind nicht extra­ter­ri­to­ri­al anwend­bar

Der Court of Appeals hielt zunächst fest, dass der Stored Com­mu­ni­ca­ti­ons Act (SCA) – unbe­strit­te­ner­ma­ssen die Rechts­grund­la­ge des Edi­ti­ons­be­fehls der US-Regie­rung – kei­ne extra­ter­ri­to­ria­le Anwen­dung vor­sieht:

As obser­ved abo­ve, the SCA per­mits the government to requi­re ser­vice pro­vi­ders to pro­du­ce the con­t­ents of cer­tain prio­ri­ty stored com­mu­ni­ca­ti­ons “only pur­suant to a
war­rant issued using the pro­ce­du­res descri­bed in the Federal Rules of Cri­mi­nal
Pro­ce­du­re (or, in the case of a Sta­te court, issued using Sta­te war­rant pro­ce­du­res) by a
court of com­pe­tent juris­dic­tion.” 18 U.S.C. § 2703(a), (b)(1)(a). The pro­vi­si­ons in § 2703 that per­mit a ser­vice provider’s dis­clo­sure in respon­se to a duly obtai­ned war­rant do
not men­ti­on any extra­ter­ri­to­ri­al app­li­ca­ti­on, and the government points to no pro­vi­si­on that even impli­ci­tly alludes to any such app­li­ca­ti­on. No rele­vant defi­ni­ti­on pro­vi­ded by eit­her Tit­le I or Tit­le II of ECPA, see 18 U.S.C. §§ 2510, 2711, sug­gests that Con­gress
envi­sio­ned any extra­ter­ri­to­ri­al use for the sta­tu­te.

When Con­gress intends a law to app­ly extra­ter­ri­to­ri­al­ly, it gives an “affir­ma­ti­ve indi­ca­ti­on” of that intent. […]

The government asserts that “[n]othing in the SCA’s text, struc­tu­re, pur­po­se, or legis­la­ti­ve histo­ry indi­ca­tes that com­pel­led pro­duc­tion of records is limi­ted to tho­se
stored dome­sti­cal­ly.” Gov’t Br. at 26 (for­mat­ting alte­red and empha­sis added). It empha­si­zes the requi­re­ment pla­ced on a ser­vice pro­vi­der to dis­c­lo­se custo­mers’ data,
and the absence of any ter­ri­to­ri­al refe­rence restric­ting that obli­ga­ti­on. We find this argu­ment unper­sua­si­ve: It stands the presump­ti­on against extra­ter­ri­to­ria­li­ty on its

Das Gericht nennt in der Fol­ge wei­te­re Punk­te, die gegen eine extra­ter­ri­to­ria­le Anwen­dung des SCA spre­chen.

Wich­tig war sodann die Unter­schei­dung zwi­schen einem War­rant – um den es hier ging – und einer Sub­poe­na. Durch eine Sub­poe­na kann eine Per­son ver­pflich­tet wer­den, auch ausser­halb der USA lie­gen­de Doku­men­te zu edie­ren:

We reject the approach, urged by the government and endor­sed by the District Court, that would tre­at the SCA war­rant as equi­va­lent to a sub­poe­na. The District Court cha­rac­te­ri­zed an SCA war­rant as a “hybrid” bet­ween a tra­di­tio­nal war­rant and a sub­poe­na becau­se — gene­ral­ly unli­ke a war­rant — it is exe­cuted by a ser­vice pro­vi­der rather than a government law enfor­ce­ment agent, and becau­se it does not requi­re the pre­sence of an agent during its exe­cu­ti­on. Id. at 471; 18 U.S.C. § 2703(a)-(c), (g). As flag­ged ear­lier, the subpoena-warrant distinc­tion is signi­fi­cant here becau­se, unli­ke war­rants, sub­po­e­nas may requi­re the pro­duc­tion of com­mu­ni­ca­ti­ons stored over­se­as.

Das Gericht kommt damit zum Ergeb­nis, dass die War­rant-Bestim­mun­gen des SCA kei­ne extra­ter­ri­to­ria­le Anwen­dung erlau­ben. Frag­lich war des­halb, ob es im kon­kre­ten Fall über­haupt um eine sol­che Anwen­dung ging.

Micro­soft zur Her­aus­ga­be von Nut­zer­da­ten in Irland zu zwin­gen, wäre eine ver­bo­te­ne extra­ter­ri­to­ria­le Anwen­dung

Ob eine ggf. ver­pön­te extra­ter­ri­to­ria­le Anwen­dung eines Rechts­in­sti­tuts vor­lä­ge, hängt davon ab, ob die ter­ri­to­ria­len Bezü­ge des kon­kre­ten Falls inner­halb des Fokus’ des betref­fen­den Geset­zes lie­gen:

If the dome­stic con­ta­cts pre­sen­ted 
by the case fall wit­hin the “focus” of the sta­tu­to­ry pro­vi­si­on or are “the objects of the 
statute’s soli­ci­tu­de,” then the app­li­ca­ti­on of the pro­vi­si­on is not unlaw­ful­ly 
extra­ter­ri­to­ri­al. Mor­ri­son, 561 U.S. at 267. If the dome­stic con­ta­cts are merely 
secon­da­ry, howe­ver, to the sta­tu­to­ry “focus,” then the provision’s app­li­ca­ti­on to the 
case is extra­ter­ri­to­ri­al and pre­clu­ded. 

Die Fra­ge lau­te­te also, wel­ches der Fokus der War­rant-Bestim­mun­gen des SCA ist (anders for­mu­liert: wel­ches Kern­an­lie­gen der SCA hat). Das Gericht beant­wor­tet das wie folgt:

The over­all effect is the embo­di­ment of an expec­ta­ti­on of pri­va­cy in tho­se 
com­mu­ni­ca­ti­ons, not­with­stan­ding the role of ser­vice pro­vi­ders in their trans­mis­si­on 
and sto­rage, and the impo­si­ti­on of pro­ce­du­ral restric­tions on the government’s (and 
other third par­ty) access to prio­ri­ty stored com­mu­ni­ca­ti­ons.
 The cir­cum­stan­ces in 
which the com­mu­ni­ca­ti­ons have been stored ser­ve as a pro­xy for the inten­si­ty of the 
user’s pri­va­cy inte­rests, dic­ta­ting the strin­gen­cy of the pro­ce­du­ral pro­tec­tion they 
recei­ve — in par­ti­cu­lar whe­ther the Act’s war­rant pro­vi­si­ons, sub­poe­na pro­vi­si­ons, or its 
§ 2703(d) court order pro­vi­si­ons govern a dis­clo­sure desi­red by the government. 
Accord­in­gly, we think it fair to con­clu­de based on the plain mea­ning of the text that the 
pri­va­cy of the stored com­mu­ni­ca­ti­ons is the “object[] of the statute’s soli­ci­tu­de,” and the 
focus of its pro­vi­si­ons

Da die Pri­vat­sphä­re der Nut­zer das Kern­an­lie­gen des SCA ist, läge eine extra­ter­ri­to­ria­le Anwen­dung der War­rant-Bestim­mun­gen des SCA vor, wenn Micro­soft ver­pflich­tet wäre, Nut­zer­da­ten aus Irland zu pro­du­zie­ren:

The infor­ma­ti­on sought in this case is the con­tent of the elec­tro­nic 
com­mu­ni­ca­ti­ons of a Micro­soft custo­mer. The con­tent to be sei­zed is stored in Dub­lin. 
The record is silent regar­ding the citi­zenship and loca­ti­on of the custo­mer. 
Alt­hough the Act’s focus on the customer’s pri­va­cy might sug­gest that the customer’s 
actu­al loca­ti­on or citi­zenship would be important to the extra­ter­ri­to­ria­li­ty ana­ly­sis, it is 
our view that the inva­si­on of the customer’s pri­va­cy takes place under the SCA whe­re 
the customer’s pro­tec­ted con­tent is acces­sed — here, whe­re it is sei­zed by Micro­soft, 
acting as an agent of the government.

Becau­se the con­tent sub­ject to the War­rant is 
loca­ted in, and would be sei­zed from, the Dub­lin dat­a­cen­ter, the con­duct that falls 
wit­hin the focus of the SCA would occur out­side the United Sta­tes, regard­less of the 
customer’s loca­ti­on and regard­less of Microsoft’s home in the United Sta­tes.

An die­sem Ergeb­nis konn­ten auch die prak­ti­schen Erwä­gun­gen nichts ändern, dass ein US-Nut­zer pro­blem­los die Spei­che­rung sei­ner Daten in Irland erwir­ken kann und dass der Weg über die Rechts­hil­fe­ab­kom­men (MLAT) beschwer­lich ist.


Das Gericht fasst das Ergeb­nis sei­ner Erwä­gun­gen selbst fol­gen­der­ma­ssen zusam­men:

We con­clu­de that Con­gress did not intend the SCA’s war­rant pro­vi­si­ons to app­ly 
extra­ter­ri­to­ri­al­ly. The focus of tho­se pro­vi­si­ons is pro­tec­tion of a user’s pri­va­cy 
inte­rests. Accord­in­gly, the SCA does not aut­ho­ri­ze a U.S. court to issue and enfor­ce an 
SCA war­rant against a United States-based ser­vice pro­vi­der for the con­t­ents of a 
customer’s elec­tro­nic com­mu­ni­ca­ti­ons stored on ser­vers loca­ted out­side the United 
Sta­tes. The SCA war­rant in this case may not law­ful­ly be used to com­pel Micro­soft to 
pro­du­ce to the government the con­t­ents of a customer’s e-mail account stored 
exclu­si­ve­ly in Ire­land. Becau­se Micro­soft has other­wi­se com­plied with the War­rant, it 
has no remai­ning law­ful obli­ga­ti­on to pro­du­ce mate­ri­als to the government.