Im vor dem US Supreme Court hängigen Fall United States v. Microsoft Corporation, bei dem es um die Herausgabe von Daten geht, die eine Microsoft-Tochter in Irland speichert, haben die USA als Antwort auf die Eingabe von Microsoft ihren Reply Brief eingereicht. Die USA argumentieren u.a. wie folgt:
- Wenn keine Herausgabepflicht bestünde, könnten Daten durch die Speicherung im Ausland willkürlich der Strafverfolgung entzogen werden (“Under its position, Microsoft could move all U.S. citizens’ data beyond the SCA’s reach if it chose to migrate that data to foreign servers”);
- käme es auf den Speicherort der Daten an, wären Daten dem Zugriff immer dann entzogen, wenn einem einzelnen Nutzerkonto zugehörige Datenpakete an unterschiedlichen Orten gespeichert werden, was beim Cloud-Computing der Fall sein könnte;
- ein Zugriff auf im Ausland belegene Daten sei nach dem Recht anderer Staaten bereits möglich, z.B. nach englischem oder irischem Recht;
- die DSGVO verbiete eine Datenbekanntgabe in die USA in den relevanten Konstellationen nicht grundsätzlich:
“Article 48 of the GDPR requires use of the treaty process for data transfers to non-EU nations, “without prejudice to other grounds for transfer pursuant to this Chapter.” […] That same chapter authorizes transfers pursuant to an “adequacy decision,” or a finding that the non-EU nation sufficiently protects personal data. […] The United States currently operates under an adequacy decision with respect to certain transfers of certain providers, including Microsoft, and may do so under the GDPR. […]. Or the United States could enter a different agreement with the EU to cover future transfers. […] Even absent such blanket solutions, Article 49(1)(d) authorizes transfers “necessary for important reasons of public interest,” GDPR art. 49(1)(d), including the need to combat serious cross-border crimes “such as illicit drug trafficking,” European Comm’n Amicus Br. 15 — the crime at issue here, see J.A. 25. Alternatively, Article 49(1) endorses a case-specific balancing test that accounts for the provider’s legal obligations in the non-EU country.”
Interessant sind zurzeit vor allem die Hinweise auf die DSGVO. Die Argumentation der USA ist zumindest hier nicht überzeugend:
- In diesem Zusammenhang auf den Privacy Shield anzuspielen (beim Namen genannt wird der Privacy Shield allerdings nicht – kaum ein Zufall), ist bemerkenswert. Der Privacy Shield schützt in erster Linie das Datensubjekt, dessen Daten einem US-Unternehmen anvertraut werden, und in zweiter Linie die übermittelnde Stelle, aber ganz sicher nicht die amerikanischen Behörden. Ein Zugriff auf Daten unter Kontrolle eines zertifizierten Unternehmens für Zwecke der Strafverfolgung durch US-Behörden wird im Privacy Shield zwar nicht ausgeschlossen (selbstverständlich nicht; jeder Rechtsstaat erlaubt solche Zugriffe); den Privacy Shield aber als Grundlage eines solchen Zugriffs darzustellen, ist eine völlige Verdrehung.
- Der Hinweis auf Art. 49(1) DSGVO läuft den soeben im Entwurf veröffentlichten Leitlinien der Art.-29-Datenschutzgruppe zu Art. 49 DSGVO zuwider oder ist zumindest unvollständig. Zwingende öffentliche Interessen im Sinne dieser Bestimmung liegen nicht schon dann vor, wenn der ersuchende Staat eine Untersuchung im öffentlichen Interesse führt; erforderlich wäre im Gegenteil, dass auch die Übermittlung an diesen Staat im öffentlichen Interesse der EU oder eines Mitgliedstaats liegt.