Microsoft, das wie viele andere immer mehr auf Cloud-Angebote setzt, musste E-Mails herausgeben, die in einem irischen Rechenzentrum gespeichert waren. Von Dublin aus werden die Kunden der Office-365-Angebote in ganz Europa inklusive der Schweiz betreut.
Microsoft entsprach zwar der Anweisung des New Yorker Gerichts und lieferte zunächst die Daten, aber ohne die Inhalte. Der Konzern geht gegen das erste amerikanische Urteil in einem solchen Fall in Berufung.
Von der Rechtsauslegung des Gerichts sind nicht nur die Microsoft-Kunden, sondern auch die User vieler weiterer Anbieter mit Sitz in den USA betroffen. Denn die grossen US-Konzerne wie Facebook, Google und eben auch Microsoft arbeiten mit weltweit verstreuten Rechenzentren.
Facebook alleine hat in der Schweiz laut eigenen Angaben 3,3 Millionen aktive Benutzer, der europäische Datenverkehr wird über ein Rechenzentrum in Schweden betrieben. Google Plus, das konkurrierende Netzwerk des Suchmaschinenbetreibers, kommt auf einen Zehntel dieser Benutzerzahl. Google unterhält Rechenzentren unter anderem in Irland, Belgien und Finnland.
Microsoft-Kunden können im Gegensatz zu Google- oder Facebook-Usern über ein spezielles Internetportal wählen, wo ihre Daten gespeichert werden sollen. Laut einer Microsoft-Sprecherin stehen dabei die Rechenzentren in Dublin, Amsterdam, in Asien und in den USA zur Verfügung.
«Der Zugriff auf Rechencenter ausserhalb der USA ist den US-Behörden generell nicht möglich», beruhigte eine Microsoft-Sprecherin nach dem jüngsten Urteil, «ohne Genehmigung können US-Behörden nicht auf Daten von Schweizer Kunden, die in einem US-Rechencenter gespeichert sind, zugreifen.»
Gemäss dem Urteil aus New York müssen Cloud-Dienstanbieter wie Microsoft, Google und Facebook die Daten direkt an die sich dafür interessierenden Behörden herausrücken, weil sonst der Aufwand der US-Behörden für Amtshilfeverfahren deutlich steigen würde. Die Regel, wonach US-Gesetze nur in den USA wirksam sind, hebelte Bundesrichter James Francis mit dem Argument aus, wonach das entsprechende Gesetz, der «Stored Communication Act», auch auf Informationen und Daten angewandt werden kann, die ausserhalb den USA lagern – denn der Grundsatz, wonach US-Gesetze nicht im Ausland angewandt werden könnten, gelte ja prinzipiell weiter.
Auch Schweizer Cloud- und Internetanbieter sind dazu verpflichtet, im Rahmen des Dienstes Überwachung Post- und Fernmeldeverkehr (ÜPF) oder im Rahmen von Editionsverfügungen in schweizerischen Zivil- und Strafverfahren Daten an die schweizerischen Behörden herauszugeben.
Allerdings sind die Hürden für den Zugriff ausländischer Behörden und Dienste noch hoch. «An ausländische Behörden dürfen wir nur Daten übermitteln, wenn einem entsprechenden Rechtshilfegesuch auf Basis der in der Schweiz geltenden gesetzlichen bzw. staatsvertraglichen Vorgaben und Verfahren stattgegeben wurde», erklärt ein Swisscom-Sprecher.
«Natürlich haben die 3-Letter-Agencies aus den USA die Möglichkeit, fast den ganzen Internetverkehr abzuhören», gibt sich Jürg Seiler, Geschäftsführer bei der Firma Speicherbox mit Sitz in Zofingen, illusionslos. «Jedoch haben unsere Kunden den Vorteil, dass der ganze Datenverkehr in der Schweiz stattfindet und die Landesgrenzen nicht verlässt.»
Und selbst wenn die NSA einen Schweizer Computer hackt, verheddern sich die Daten-Spione in den komplexen Firmen-IT-Systemen. «Deshalb sind die Amerikaner in Zusammenhang mit den Steuerflüchtlingen so scharf auf die Kundennamen», so ein Experte, der Schweizer Firmen bei der Abwehr unerwünschter Eindringlinge berät. «Erst dann können sie die Informationen, die sie eh schon teilweise haben, sinnvoll zusammensetzen.»
Eine technische Möglichkeit der Abwehr ist die gezielte Totalverschlüsselung aller Daten, wie sie die Firma Speicherbox vornimmt. Allerdings sind auch in der Schweiz die gesetzlichen Regelungen im Fluss. «Die kommende Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) sieht jedoch eine Verschärfung der staatlichen Überwachung vor», sagt Susanne Tanner, Sprecherin des Internetdienstleisters und Rechenzentrumbetreibers Green.
Daten müssten länger auf Vorrat gespeichert werden und auch ein aktives Eindringen der Behörden auf Computer («Staatstrojaner») würde erlaubt. In der Internet-Branche gibt man sich genauso kämpferisch wie Microsoft gegenüber der US-Justiz: «Sollte die Revision des BÜPF im Parlament angenommen werden, werden wir uns aktiv für ein Referendum engagieren», so Tanner.