Nach der gestern ergangenen Entscheidung des 2ndU.S. Circuit Court of Appeals haben US-amerikanische Behörden nicht das Recht, auf außerhalb der USA gehostete E-Mail-Accounts im Rahmen der Strafverfolgung zuzugreifen. In dem Fall ging es um die Durchsuchung von E-Mails eines Verdächtigen in einem Drogenprozess, welche auf einem Server des Unternehmens Microsoft in Irland gespeichert waren.

Das Gericht der Vorinstanz hatte Microsoft im Jahre 2014 ursprünglich zur Herausgabe verurteilt. Das Vorgericht hatte argumentiert, dass es der Electronic Communications Privacy Act (ECPA) 1986 nicht verbiete, auch elektronische Dokumente heraus zu verlangen, egal in welchem Land sie sich befänden. Unter Berufung auf den Stored Communications Act (SCA) sollten elektronisch gespeicherte Daten auch nach Ansicht der US-Regierung nicht denselben Schutz wie physikalisch vorliegende Dokumente genießen.

Diese Argumente hat das New Yorker Berufungsgericht nun zurückgewiesen und Microsoft Recht gegeben. Es wurde zunächst klarstellend festgestellt, dass es zwischen den Parteien stets unstreitig war, dass sich die betroffenen Dateien tatsächlich allein auf einem in Irland befindlichen Server gehosted wurden. Mit Blick auf den SCA stellte das Gericht weiter fest, dass die Gesetzgebung des Kongresses ausschließlich innerhalb der territorialen Jurisdiktion der USA anwendbar sei, soweit eine anderslautende Intention nicht erkennbar sei. In diesem Punkt widersprach das Gericht der Ansicht der US-Regierung, welche aus dem Gesetz eine „extraterritorial awareness and intention“ herauslas.

Aus diesem Grunde sei auch eine entsprechend Durchsuchungsreichweite rechtswidrig. Dazu das Gericht: “Because the content subject to the Warrant is located in, and would be seized from, the Dublin datacenter, the conduct that falls within the focus of the SCA would occur outside the United States, regardless of the customer’s location and regardless of Microsoft’s home in the United States.”

Der Fall ist von entscheidender Bedeutung insbesondere für die US-Cloud-Industrie. Würden US-Behörden im Rahmen von Durchsuchungen auch auf Serverinhalte außerhalb der USA zugreifen können, gefährdete dies unmittelbar die weltweiten Einsatzmöglichkeiten cloud-basierter Dienste. In seinem Blog wies Brad Smith, Legal Counsel Microsoft auf diesem Umstand bereits 2014 besonders hin:

“… as I encountered in virtually every meeting during a recent trip to Europe, as well as discussions with others from around the world, people have real questions and concerns about how their data are protected. These concerns have real implications for cloud adoption. After all, people won’t use technology they don’t trust. We need to strike a better balance between privacy and national security to restore trust and uphold our fundamental liberties.”

Die im Berufungsverfahren seitens Microsoft hervorgebrachten Hauptargumente können Sie hier lesen. Die Unternehmen Apple und Cisco hatten die Position Microsofts ebenfalls mit einer eigenen Stellungnahme (sog. Amicus Briefs) unterstützt.

Alle Infos zum EU-US Privacy Shield hier.