Nach der Entscheidung des „2nd U.S. Circuit Court of Appeals, 14‐2985 Microsoft Corp. v. United States" (online abrufbar unter www.ca2.uscourts.gov/decisions.html) in Manhattan vom 24.01.2017, einem Berufungsgericht in New York, muss das Technologieunternehmen Microsoft US-Behörden keinen Zugang zu E-Mail- und Nutzerdaten im Ausland gewähren. Damit wird von den Bundesrichtern eine Entscheidung vom 14. Juli 2016 bestätigt, die bereits als wichtiger Meilenstein in der Verteidigung der Datenschutzrechte europäischer Cloud-Kunden und amerikanischer Anbieter von Cloud-Diensten gesehen wurde. Ursprünglich verlangte eine US-Behörde unter Berufung auf Section 2703(a) des amerikanischen Electronic Communications Privacy Act (ECPA) per Durchsuchungsanordnung Zugriff auf E-Mails eines mutmaßlichen Drogenhändlers, der einen E-Mail Account bei Microsoft unterhielt. Die Verweigerung der Freigabe der Daten begründete Microsoft bereits 2013 mit dem Hinweis, dass die Daten nicht im Inland, sondern auf einem Server in Irland gespeichert sind. Die klagende US-Regierung hatte dagegen argumentiert, dass Microsoft weiter Zugriff auf die Inhalte habe und sie demzufolge als in den USA verblieben zu betrachten wären. Das Gericht entschied zu Gunsten von Microsoft.

Auch die kürzlich diskutierte „Executive Order: Enhancing Public Safety in the Interior of the United States Sec. 14. Privacy Act", wonach personenbezogene Daten von nicht US-Bürgern dem Schutz des U.S. Privacy Act von 1974 nicht unterfallen sollen, löst keine datenschutzrechtliche Neubewertung der Cloud Angebote aus. Wie die Europäische Kommission in einer E-Mail bekräftigte, habe dieses Gesetz keine Relevanz für die Gewährleistung des Datenschutzes von EU-Bürgern, sondern das Anfang 2016 in Kraft getretene EU-US-Privacy Shield.

Fazit: Europäischen Cloud-Computing Kunden ist weiterhin zu empfehlen etablierte Anbieter auszuwählen, die den Schutz der personenbezogenen Daten vertraglich anerkennen und verteidigen. Das Risiko eines unzulässigen geheimdienstlichen Zugriffs, auf ihre personenbezogenen Daten, kann damit erheblich reduziert werden. Haftungsrechtlich sind stets die aktuellen Rahmenbedingungen des grenzüberschreitenden Datenverkehrs (EU-Standardvertragsklauseln, Privacy-Shield) zu beachten.