Showdown in Washington: Europas Verbände appellieren an Supreme Court

Von Thomas Deutschmann am 23. Januar 2018

Mann steht vor dem Gebäude des Supreme Courts, im Hintergrund sind § Symbole sichtbar

Der Kampf um die europäische Datensouveränität geht in die nächste Runde. Der juristische Konflikt zwischen den USA und Microsoft um die Herausgabe von Daten auf europäischen Servern wird im Februar abschließend vor dem obersten US-Gericht ausgetragen. Jetzt haben sich 38 Europäische Verbände, darunter der deutsche Bitkom, sowie mehrere Mitglieder des EU-Parlaments in sogenannten Amicus Briefen an den Supreme Court gewendet.

Worum geht es?

Verhandelt wird der Fall „US v. Microsoft, Case 17-2“. Im Jahr 2016 wollten amerikanische Ermittler per Gerichtsbeschluss persönliche Daten einsehen, die auf Microsoft-Servern gespeichert waren. Das Unternehmen weigerte sich. Die Daten seien in Irland gespeichert und würden nicht der US-Rechtsprechung unterliegen. Ob das der Fall ist, wird jetzt verhandelt. Am 27. Februar findet eine mündliche Anhörung statt, ein Urteil wird im Frühsommer erwartet.

Die Anhörung am 27. Februar vor dem Supreme Court lieferte noch keine Tendenz rund um die Herausgabe von Daten.

Warum ist das wichtig?

Microsoft befindet sich in einer Zwickmühle. Sollte der Supreme Court entscheiden, dass US-Ermittler Zugriff auf Daten von US-Firmen im Ausland (in diesem Fall der EU) haben, kann das Unternehmen sich gar nicht gesetzeskonform verhalten. Entweder es verstößt gegen europäisches Datenschutzrecht oder widersetzt sich einem Gerichtsurteil in seinem Heimatland. Und was für Microsoft gilt, gilt auch für Amazon, Apple und alle anderen internationalen US-Unternehmen.

Das wäre zum einen ein Desaster für besagte Firmen, zum anderen aber auch eine Katastrophe für die europäische Datensouveränität. Schließlich wollen Vorschriften wie die Datenschutzgrundverordnung gerade verhindern, dass ausländische Dienste Zugriff auf personenbezogene Daten von EU-Bürgern erhalten.

Was machen die Verbände?

Die amerikanische Gesetzgebung erlaubt sogenannte Amicus Briefe, in denen Drittparteien zu einem Prozess Stellung nehmen können. 38 europäische Verbände haben sich jetzt zusammengeschlossen und von dieser Möglichkeit Gebrauch gemacht. Sie weisen vor allem darauf hin, dass ein Urteil im Sinne der Kläger zu großer Rechtsunsicherheit führen wird. Der Amicus-Schriftsatz kann bei Bitkom eingesehen werden. 

Was kann ich tun?

Sollte der Supreme Court dem Ansinnen des Justizministeriums nachgeben, wäre damit automatisch auch das Privacy Shield in Frage gestellt. Dieser soll den Schutz von in den USA gespeicherten personenbezogenen Daten garantieren. Die Wirksamkeit war zwar schon immer fraglich, doch ein Urteil würde die letzten Hoffnungen im Keim ersticken.

Am 17. April 2018 fiel die Entscheidung durch den Supreme Court: Das Verfahren gegen Microsoft wird eingestellt. Was sich zunächst positiv anhört, hat einen bedenklichen Hintergrund. Denn das oberste Gericht der USA beruft sich auf den am 23. März 2018 unterzeichneten CLOUD Act. Damit soll der Zugriff auf Daten in anderen Ländern per Gesetz erleichtert werden.

DSGVO-konform: 5 Tipps für die Auswahl Ihres Cloud-Anbieters

Für Unternehmen in Deutschland und Europa, die auf Nummer sicher gehen wollen, sind folgende Tipps für die Auswahl bei Cloud-Anbietern hilfreich:

Herkunft

Wählen Sie europäische oder lokale Anbieter. So ist gewährleistet, dass die eigene Gesetzgebung maßgeblich ist und fremde Staaten keinen Einfluss auf den Anbieter nehmen. Der Patriot Act beispielsweise ist und bleibt ein Risiko für Daten aus Europa.

Unternehmen, die das Zeichen „IT Security made in Germany“ nutzen, verpflichten sich beispielsweise zu zentralen Grundsätzen. 

Lokale Datenspeicherung

Daten sollten ausschließlich in lokalen Rechenzentren gespeichert werden.

Zertifizierung

Wählen Sie einen Anbieter, der die Wirksamkeit seiner Sicherheitsprozesse mit Zertifikaten belegt (ISO 27001 inkl. 27018, ISAE 3402).

Vertragliche Vereinbarungen

Wählen Sie nur Cloud-Anbieter, die transparent sind und ADV-Verträge bieten.

Sicherheit der Verarbeitung

Wählen Sie Anbieter, die für Ihre Daten eine durchgängige Verschlüsselung, Vertraulichkeit (z.B. Operator- und Administrator-Abschirmung), Nachvollziehbarkeit (Audit Trail), Integrität und Verfügbarkeit gewährleisten.

Compliance

Das könnte Sie auch interessieren:

Datenschutz-Sorglospaket für Schweizer Unternehmen

Datenschutz-Sorglospaket für Schweizer Unternehmen

Weiterlesen
Mein, dein, sein: So schützt Brainloop Daten DSGVO-konform

Mein, dein, sein: So schützt Brainloop Daten DSGVO-konform

Weiterlesen
Mit Brief und Siegel: Brainloop ist datenschutzkonform

Mit Brief und Siegel: Brainloop ist datenschutzkonform

Weiterlesen
Wie gewonnen, so zerronnen: Supreme Court stellt Microsoft-Verfahren ein

Wie gewonnen, so zerronnen: Supreme Court stellt Microsoft-Verfahren ein

Weiterlesen