Die Entscheidung ist noch nicht rechtskräftig, könnte aber – hätte sie Bestand – nachhaltige Auswirkungen auf die Anbieter von Cloud-Services und europäisch-amerikanische Kooperationen haben. Ein US-Gericht in New York hat Microsoft dazu verpflichtet, personenbezogene Daten aus der Cloud gegenüber US-Behörden offenzulegen. Dabei, so das Gericht, sei es unerheblich, ob diese Daten in den USA selbst oder auf Servern in der EU gespeichert seien (District Court Southern District of New York, decision of 25 April 2014 by James C. Francis, Magistrate Judge).
Das Urteil wirft ein neues Schlaglicht auf den andauernden Konflikt um die unterschiedlichen Datenschutz- und Privatsphäre-Standards dies- und jenseits des Atlantik. In einer vernetzten Welt, in der Datenströme keine Grenzen mehr kennen und Daten von international operierenden US-Konzernen mehr oder mindern willkürlich auf Servern in den USA oder sonstwo auf der Welt abgelegt werden, geraten nationale Gesetze schnell an ihre Grenzen.
Der US District Court des Southern District of New York kommt in dieser Situation zu dem Schluss, dass, wo bilaterale Regelungen mit Drittstaaten fehlen, das US-Recht weit auszulegen sei. Und weil in den USA für Internet-Unternehmen eine Pflicht besteht, auf entsprechende Anfrage Daten gegenüber den Behörden offenzulegen, gelte diese Pflicht dann eben auch für solche Daten, die anderswo, z.B. in der EU gespeichert seien.
Diese Einschätzung muss Datenschützern den Schweiß auf die Stirn treiben. Denn nicht umsonst werden die USA aus europäischer Perspektive in Sachen Datenschutz nicht als Drittstaat mit vergleichbarem Datenschutzniveau angesehen.
Für die Anbieter, insbesondere aber auch für Privatpersonen und Unternehmen, die deren Services in der Cloud nutzen, bringt die Entscheidung ein großes Dilemma mit sich.
Die Anbieter werden sich künftig zu entscheiden haben, gegen welches Rechtsregime sie verstoßen wollen. Weigern sie sich trotz entsprechender Anfrage der US-Behörden Daten herauszugeben, drohen Sanktionen in den USA. Kommen sie einer solchen Anfrage nach, begehen sie einen ebenfalls sanktionsfähigen Verstoß gegen europäisches Datenschutzrecht.
Unternehmen und Privatpersonen in Europa sollten sich vor dem Hintergrund der bestehenden Rechtsunsicherheit verstärkt darum bemühen, Services europäischer Unternehmen in Anspruch zu nehmen, die eine Speicherung in Europa sicherstellen und vor dem Zugriff der US-Behörden weitgehend geschützt sind.
Zusätzlich problematisch wird – obschon von dem Urteil nicht unmittelbar erfasst – auch der Datenaustausch mit US-amerikanischen Konzern- oder Partnerunternehmen. Zum Schutz vor Betriebsgeheimnissen sollte der Datenaustausch über den Atlantik auf ein Minimum beschränkt werden.
Unlösbar bleibt der Konflikt insoweit, als hinsichtlich der Internetnutzung via Google, Facebook und Co praktisch keine Möglichkeit besteht, den US-Konzernen auszuweichen.
Nichtsdestotrotz: Für die europäischen Cloud-Anbieter bietet die Entscheidung aus New York künftig ein zusätzliches Argument im Vertrieb. Datenschutzstandards in Europa sollten hier mehr denn je zu einem Vorteil der Leistungserbringung erklärt werden.
