US-Internet-Unternehmen müssen im Ausland gespeicherte Daten herausgeben
Nach dem Urteil eines New Yorker Bundesgerichts (Az. 13 Mag. 2814) vom 25.04.2014 müssen amerikanische Internet-Unternehmen (z.B. Microsoft, Google, facebook etc.) den US-Sicherheitsbehörden auch dann Zugang zu E-Mails und anderen elektronisch gespeicherten Informationen (Stichwort: Cloud-Dienste) gewähren, wenn diese nicht auf Servern in den Vereinigten Staaten, sondern im Ausland gespeichert sind. Die Nutzer solcher US-Internet-Dienste müssen folglich davon ausgehen, dass ihre Daten dem Zugriff durch US-Behörden nach amerikanischem Recht ausgesetzt sind. Damit gelangen die US-Behörden an im Ausland gespeicherte Daten, für die sie ansonsten den Weg der internationalen Rechtshilfe begehen müssten. Dies widerspricht internationalem Recht.
Mit seiner Entscheidung durchkreuzt das Gericht die von einigen US-Unternehmen unternommenen Anstrengungen, ausländischen Kunden sichere und vertrauenswürdige Internet-Dienste anzubieten, die durch das jeweilige nationale bzw. europäische Recht geschützt sind. So hatte die Firma IBM vor kurzem angekündigt, in Deutschland ein neues Rechenzentrum zu errichten, in dem die Daten „unter Einhaltung sämtlicher Datenschutzvorgaben aus Deutschland und der EU ins Netzwerk aufgenommen werden.“
Derartige Zusagen sind nicht einzuhalten, wenn sich – wie zu erwarten – die von dem New Yorker Gericht bezogene Position in den USA durchsetzt. Zudem kommt die neue Entscheidung nicht wirklich überraschend. So hatten US-Firmen bereits vor Jahren mitgeteilt, entsprechenden Anordnungen zur Datenherausgabe nach dem Foreign Intelligence Surveillance Act nachzukommen. Auch im Hinblick auf den Zugriff auf Daten aus dem internationalen Zahlungsverkehr, die durch die belgische Firma SWIFT verarbeitet werden, hatte die US-Regierung auf der Herausgabe der Daten unabhängig vom Ort der Verarbeitung bestanden und sich damit letztlich durchgesetzt.
Vor diesem Hintergrund ist zu hoffen, dass die Europäische Union im Rahmen eines harmonisierten Datenschutzrechts bald die Voraussetzungen dafür schafft, dass eine derartige Umgehung der internationalen Rechtshilfe - auch praktisch - verhindert wird, indem die Datenschutzbehörden mit entsprechenden Durchsetzungsbefugnissen ausgestattet werden.