Vor wenigen Wochen verlangte ein US-Gericht in zweiter Instanz im Rahmen einer Ermittlung gegen Drogenhändler Zugriff auf Daten von Microsoft. Das Besondere daran: Die Informationen liegen in Irland bei der europäischen Tochter des Software-Konzerns. [...]
„All your data belong to us.“ Mit diesem Satz verlangte ein US-Gericht Anfang August in zweiter Instanz von Microsoft Zugriff auf Daten für eine Ermittlung gegen Drogenhändler und bringt damit die IT-Industrie des Landes in eine katastrophale Lage. Die fraglichen Informationen liegen nämlich in Irland bei der europäischen Tochter des Software-Konzerns und dieser Unterschied könnte gewaltige Folgen haben. Anders als bei den bisherigen massenhaften Abhöraktionen verlangen die USA mit diesem Urteil offiziellen Zugriff auf Daten, die außerhalb ihrer Hoheitsgebiete angefallen und gespeichert sind. Und sie tun dies nicht über Rechtshilfeersuchen, sondern direkt.
Das Gerichtsurteil ist noch nicht rechtskräftig und es kann gut sein, dass es keinen Bestand hat. Trotzdem wird es auf die IT-Wirtschaft wie ein Erdbeben wirken. Am heftigsten dürften die Niederlassungen der US-Konzerne in Europa betroffen sein, denn hier herrscht das höchste Datenschutzbewusstsein. Die Entscheidung bedroht das für die Branche so wichtige Geschäftsmodell Cloud, was sich nicht zuletzt daran ablesen lässt, dass beispielsweise Microsofts neuer Chef aus der Cloud-Sparte des Unternehmens kommt.
STANDORT
Generell gilt nun, dass ein Unternehmen der Gerichtsbarkeit am Standort seines Sitzes unterliegt. Dazu gehört auch der Standort des Rechenzentrums. Das heißt, ein österreichisches Unternehmen mit einer Niederlassung oder einem Rechenzentrum in den USA unterliegt selbstverständlich dem US-Recht. Das jeweilige Recht am Standort der Niederlassung gilt genauso für Unternehmen, die in Frankreich, Deutschland oder England Niederlassungen haben.
DATA-CONTROLLER
Die Richterin, die das Urteil verhängt hat, argumentiert, dass es darum gehe, wer die Information kontrolliert, und nicht darum, wo die Daten liegen. Ganz unrecht hat sie damit nicht, denn auch das europäische Datenschutzrecht unterscheidet nur zwischen dem Data-Owner und dem Data-Controller. Europa hat ja bekanntermaßen sehr klare Vorschriften, was ein Data-Controller, also ein Unternehmen, das personenbezogene Daten verarbeitet, einzuhalten hat:
- Die für die Verarbeitung Verantwortlichen müssen die Privatsphäre und das Recht auf Datenschutz aller Personen schützen, deren Daten ihnen anvertraut werden.
- Sie dürfen nur dann personenbezogene Daten erfassen und verarbeiten, wenn dies gesetzlich erlaubt ist.
- Sie müssen bestimmte Verpflichtungen bei der Verarbeitung personenbezogener Daten einhalten.
- Sie müssen Beschwerden nachgehen, die Verstöße gegen die Datenschutzrichtlinien betreffen.
- Und sie müssen mit den nationalen Datenschutzbehörden zusammenarbeiten.
Um es US-Unternehmen auch zu ermöglichen, trotz dieser strikten Bestimmungen mit europäischen Kunden Geschäfte zu machen und damit auch Data-Controller für personenbezogene Daten europäischer Data-Owner zu werden, wurde vor 14 Jahren Safe Harbor erfunden: eine selbstauferlegte Verpflichtung von US-Unternehmen, sich an die Datenschutzbestimmungen im Land des Data-Owners zu halten. Bei näherem Hinschauen wird aber klar, dass Safe Harbor nur teilweise sinnvoll ist, denn die Einträge im US-Handelsregister waren Selbstauskünfte der Unternehmen ohne Überprüfung. In Europa verlangt man da mehr Sicherheit und Nachweise.
Der zweite Zugang zu europäischen Kunden für US-Unternehmen war dann noch die Gründung eines Tochterunternehmens in Europa. Damit zeigen US-Unternehmen, dass sie sich bereitwillig dem europäischen und dem Landesrecht unterwerfen. Eigentlich ein sehr lobenswerter Schritt von US-Unternehmen, um bei europäischen Kunden Vertrauen in die eigenen Cloud-Services aufzubauen.
Das eingangs erwähnte US-Urteil ist nun deshalb so interessant, weil es amerikanisches Recht auf ein Unternehmen anwendet, das in Europa seinen Sitz hat (die Niederlassung eines amerikanischen Mutterunternehmens, in diesem Fall die Irland-Tochter von Microsoft). Das wäre vergleichbar damit, dass ein österreichisches Gericht ein Unternehmen in New York, dessen Konzernmutter in Österreich firmiert, zu einer Handlung zwingt, die nach österreichischem Recht erlaubt ist, aber vielleicht nicht nach amerikanischem. Die Richterin argumentiert ja, dass die Konzernmutter der Data-Controller ist und nicht das Tochterunternehmen mit Sitz in der EU.
Be the first to comment