Digitale Privatsphäre Microsoft verklagt US-Regierung - zu viel Geheimniskrämerei

Amerikanische Ermittler greifen häufig auf Cloud-Daten zu, ohne dass Kunden der Tech-Konzerne davon erfahren dürfen. Microsoft greift diese Praxis nun frontal an.

Von Johannes Kuhn und Hakan Tanriverdi

Der nächste Zusammenprall zwischen einem US-Technologiekonzern und der amerikanischen Regierung steht bevor. Microsoft hat in Seattle Klage gegen das US-Justizministerium eingereicht.

Mit der Klage soll eine Grundsatzfrage geklärt werden: Wann dürfen amerikanische Strafermittler auf digitale Daten von Microsoft-Kunden zugreifen und die Firma gleichzeitig dazu zwingen, darüber Stillschweigen zu bewahren? Der Konzern argumentiert in einem Blogbeitrag, dass "Geheimhaltung die Ausnahme sein sollte, nicht die Regel": Um was genau es geht und warum die Antwort so wichtig ist: Der Überblick.

Was will Microsoft klären lassen?

Dem Konzern geht es um Kundendaten, die in Cloud-Diensten gespeichert sind - zum Beispiel E-Mails, Dokumente unter Office 365 oder Daten von Firmen, die ihre Daten auf Microsoft-Servern speichern. Microsoft erhielt in den vergangenen 18 Monaten nach eigener Auskunft 5635 digitale Durchsuchungsanordnungen von Strafverfolgern wie dem FBI.

Etwa die Hälfte davon enthielt allerdings eine Geheimhaltungsklausel - Microsoft durfte seinen Kunden also nicht verraten, dass es eine entsprechende Anfrage erhalten hatte. In insgesamt 1752 Fällen gilt diese Geheimhaltung sogar zeitlich unbegrenzt: Microsoft kann also selbst nach Ende von Ermittlungen niemanden über die Durchsuchung informieren. Der US-Konzern bezweifelt, dass diese Geheimhaltung immer notwendig ist - und will mit der Klage nun eine Änderung der Praxis bewirken.

Was hat es mit der Geheimhaltung auf sich?

Amerikanische Gerichte können eine "Gag Order", eine Geheimhaltungspflicht, für die Anbieter digitaler Dienste erlassen. Voraussetzung: Die Ermittlungen würden beeinträchtigt, wenn ein Nutzer von der Durchsuchung erfahren würde und dieser zum Beispiel auf andere Kommunikationskanäle ausweichen oder Beweise vernichten würde. Microsoft argumentiert in der Klageschrift (hier das Dokument in der PDF-Version), dass diese Geheimhaltung zwar manchmal nötig sei, die Gerichte den Ermittlern damit jedoch allzu häufig einen Blankoscheck ausstellen. Die Regierung habe "den Übergang zum Cloud Computing als Möglichkeit missbraucht, die Fähigkeit zu geheimen Ermittlungen auszuweiten."

FBI Maulkorb aufgehoben: Nach elf Jahren darf Unternehmer über FBI auspacken
"Gag order"

Maulkorb aufgehoben: Nach elf Jahren darf Unternehmer über FBI auspacken

Nicholas Merrill, Chef einer Internet-Firma, musste 2004 weitreichende Daten eines Kunden an das FBI übermitteln. Erst jetzt darf er darüber reden.   Von Hakan Tanriverdi

In der physischen Welt sind Abhörmaßnahmen und Durchsuchungsbefehle in Ermittlungen an strenge Bedingungen geknöpft. Vor allem: Bürger und Firmen müssen über eine Durchsuchung ihres Eigentums informiert werden, so steht es in der Verfassung. Der US-Konzern geht deshalb in die Vollen will das entsprechende Gesetz für verfassungswidrig erklären lassen.

Was steht in dem Gesetz?

Der "Electronic Communications Privacy Act" (ECPA) stammt aus dem Jahr 1986 - also aus einer Zeit, in der das Web noch nicht existierte. Es wird im digitalen Zeitalter so interpretiert: Ein Anbieter wie Microsoft verwaltet die Daten eines Nutzers wie der Betreiber einer Lagerhalle, der Akten aufbewahrt. Der Durchsuchungsbefehl betrifft also nur ihn, nicht den Besitzer der Daten. Das Gegenargument: Im digitalen Zeitalter sind Cloud-Dienste eher wie der persönliche Aktenschrank eines Menschen. In der Praxis interpretiert die Regierung das Gesetz als Mischung aus Abhör- und Durchsuchungserlaubnis. Das ist allerdings umstritten, weshalb schon seit Jahren über eine Reform diskutiert wird.

Warum hat Microsoft gerade jetzt geklagt?

Dafür dürfte es drei Gründe geben. Erstens, in den USA wird kontrovers über ECPA diskutiert. Das Weiße Haus hat sich in einem Bericht (PDF) dafür ausgesprochen, eine aktuellere Regelung zu finden. Ein Berufungsgericht hat 2010 entschieden, dass E-Mails einen vergleichbaren Schutz der Privatsphäre genießen wie reguläre Briefe, also nicht ohne einen richterlichen Beschluss gelesen werden dürfen. Die ECPA-Regelung bietet aber ein Schlupfloch. Über die Reform wird aktuell im Kongress verhandelt. Microsoft baut mit dieser Klage also weiteren Druck auf.

Zweitens: Nach den Snowden-Enthüllungen haben sich Technologie-Firmen öffentlichkeitswirksam über die Regierung und den Geheimdienst NSA beschwert. Die Enthüllungen von Snowden haben dazu geführt, dass Firmen sich mittlerweile wehren, wenn dies juristisch möglich ist.

Wie harsch diese Kritik werden kann, zeigte sich am Fall von Apple. Das FBI versuchte über Monate hinweg, den Konzern zur Mithilfe zu zwingen, um die Sicherheitsvorkehrungen eines iPhones auszuhebeln. Doch Apple weigerte sich über Wochen hinweg, sezierte die Argumente der Regierung Stück für Stück - das FBI gab schließlich nach und fand einen anderen Weg (die Informationen auf dem Smartphone führten übrigens nicht zu weiteren Erkenntnissen).

Microsoft führt in diesem Sinne den Kampf auf die nächsthöhere Ebene. Es tritt der Regierung nicht nur in Einzelfällen entgegen, zum Beispiel, wenn die Geheimhaltung der Anfragen in den Augen der Firma unberechtigt ist: die Anfragen an sich sind das Problem.

Drittens: Microsoft befindet sich parallel dazu in einem weiteren Rechtsstreit mit der US-Regierung. Dieser Streit hebt den Kampf von Microsoft auf eine globale Ebene.

Worum geht es in diesem zweiten Rechtsstreit?

Die US-Regierung hat Microsoft 2013 einen Durchsuchungsbefehl vorgelegt und die Daten eines Nutzers verlangt, die in Irland gespeichert werden. Microsoft weigert sich, diese Informationen herauszugeben, da die Daten nicht im Rechtsgebiet der USA liegen. Die Regierung argumentiert - wiederum mit ECPA - dass es irrelevant sei, wo die Daten gespeichert werden, da das Unternehmen amerikanischen Gesetzen folge.

Bereits zwei Mal haben Richter der Sichtweise der Regierung Recht gegeben. Für die kommenden Tage oder Wochen wird ein Urteil eines Berufungsgerichtes in New York erwartet. Sollte die US-Regierung erneut Recht bekommen, hieße das im Klartext: Microsoft kann seinen nicht-amerikanischen Kunden kein Versprechen mehr darüber abgeben, dass die Daten sicher sind vor staatlichem Zugriff. Der Konzern hat angekündigt, für diesen Fall vor der oberste Verfassungsgericht des Landes zu ziehen.

Auch die aktuelle Klage gegen die Geheimhaltung, die zunächst vor einem Gericht in Washington verhandelt wird, könnte irgendwann vor dem Supreme Court landen - es sei denn, das Gesetz wird vorher geändert oder das Justizministerium rückt von der bisherigen Praxis ab.