Microsoft-Zentrale in Redmond, Washington © Stephen Brashear/Getty Images

Ein paar E-Mails werden zum Fanal für die Zukunft von Cloudspeicherdiensten und anderen datenverarbeitenden Unternehmen. Die E-Mails sind gespeichert auf einem Server von Microsoft im irischen Dublin. Geschrieben und empfangen hat sie ein Verdächtiger in einem Fall von Drogenkriminalität. Die Frage, wer unter welchen Umständen darauf zugreifen darf, ist von Bedeutung für ein ganzes Geschäftsmodell und möglicherweise weit darüber hinaus.

Ein US-Berufungsgericht in New York wird das Fanal setzen, irgendwann in den nächsten Tagen oder Wochen, höchstwahrscheinlich im Februar. Seine Entscheidung, ob Microsoft die E-Mails an US-Strafverfolger übergeben muss, auch ohne das Einverständnis der irischen Regierung oder eines irischen Gerichts, wird weltweit wirtschaftliche und politische Folgen haben.

Die US-Regierung pocht auf extraterritoriale Rechte

Begonnen hat alles im Dezember 2013. Die US-Regierung hat Microsoft damals einen Durchsuchungsbefehl für das E-Mail-Konto vorgelegt, unterschrieben von einem New Yorker Bezirksrichter. Doch Microsoft weigert sich bis heute, die E-Mails herauszugeben, weil das Unternehmen der Ansicht ist, ein solcher Durchsuchungsbefehl aus den USA sei in Irland nicht gültig. Jedenfalls nicht, solange weder die irische Regierung noch ein irisches Gericht zugestimmt haben.

Die US-Regierung sieht das anders. Insbesondere im Justizministerium ist man zutiefst davon überzeugt, das Recht zu haben, einseitig und ohne weitere Rücksprache mit irgendwem die Herausgabe von Daten verlangen zu können, die ein US-Unternehmen gespeichert hat. Unabhängig von dem Land, in dem sie gespeichert sind und unabhängig von der dortigen Gesetzeslage.

Zwei Mal hat Microsoft in diesem Fall bereits vor Gericht verloren. Das nun anstehende dritte Urteil könnte das vorerst letzte in dieser Angelegenheit sein.

Streit um ein Gesetz von 1986

Alles hängt davon ab, wie das Berufungsgericht ein Gesetz aus dem Jahr 1986 interpretiert. Es heißt Electronic Communications Privacy Act (ECPA). Die Fragen, die das Berufungsgericht klären muss, lauten erstens: Hat der US-Kongress damals vorgesehen, dass jene Durchsuchungsbefehle, wie sie in diesem Gesetz beschrieben werden, auch jenseits der Landesgrenzen gelten?

Und zweitens: Sind Durchsuchungsanordnungen auf der Grundlage des ECPA ein Hybrid aus dem, was im Englischen als warrant und subpoena bekannt ist? So sieht das jedenfalls die US-Regierung, die sich in diesem Fall das beste aus beiden Welten zu eigen machen möchte: den bei einem warrant heimlichen Zugriff auf Daten, ohne dass der Betroffene sich wehren kann, und gleichzeitig die grenzüberschreitende Reichweite einer subpoena, mit der ein Unternehmen aufgefordert wird, etwas aus seinem Besitz oder seiner Kontrolle herauszugeben, egal wo es sich befindet – wobei die Betroffenen sich juristisch dagegen wehren können.

Microsoft schickt seinen Botschafter

Auftritt Brad Smith, Präsident und Chefjurist von Microsoft. Seit 1993 arbeitet er für Microsoft, gilt als einer der einflussreichsten Anwälte in den USA und wurde von der New York Times mal "Elder statesman von Microsoft und De-facto-Botschafter der gesamten Technikindustrie" genannt. Smith ist derzeit in Europa unterwegs, auch um der Öffentlichkeit die Tragweite des warrant case, wie Microsoft den Fall nennt, klarzumachen. Im Gespräch mit ZEIT ONLINE sagt er: "Wie schon im Urteil des Europäischen Gerichtshofs zum Safe-Harbor-Abkommen geht es auch in diesem Fall um das fundamentale Recht der Europäer auf Privatsphäre. Die Frage ist, ob die US-Regierung mit ihren unilateral eingesetzten Durchsuchungsbefehlen ein Unternehmen zwingen kann, Daten aus Europa in die USA zu bringen und ihr auszuhändigen. Wir glauben, so etwas muss auf der Grundlage internationaler Gesetze und Abkommen geschehen."

In solchen Momenten klingt Smith mehr wie ein Bürgerrechtler als wie der Vertreter eines gewinnorientierten, börsennotierten und global agierenden Konzerns. Niemand ist gezwungen, ihm die Rolle des Privatsphären-Aktivisten abzunehmen. Aber dass er in einer hochpolitischen Mission unterwegs ist, lässt sich nicht bestreiten.

Unternehmen müssten wählen, wessen Gesetze sie brechen

Brad Smith, Chefjurist von Microsoft © Stephen Brashear/Getty Images

Denn das Urteil des Berufungsgerichts zulasten von Microsoft hätte nicht nur Folgen für alle US-Unternehmen und für deren europäischen Kunden. Zunächst einmal wäre die US-Regierung dann offiziell befugt, sich über Gesetze in allen anderen Ländern der Welt hinwegzusetzen. Die betroffenen US-Unternehmen – darunter auch Facebook und Google – müssten sich aussuchen, ob sie US-Recht oder das Recht in einem anderen Land brechen, wenn sie einen entsprechenden Durchsuchungsbefehl vorgesetzt bekommen. In der EU, sagt Smith, wäre das spätestens ab 2018 der Fall, wenn die Datenschutzgrundverordnung in Kraft tritt: "Deren Artikel 43a besagt sehr deutlich, dass Regierungen von Drittstaaten nur dann eine Herausgabe von Daten verlangen können, wenn das auf Basis eines internationalen Rechtshilfeabkommens geschieht."

Es ist absehbar, dass sich viele Länder im Gegenzug ähnliche Rechte einräumen werden. Großbritannien plant so etwas schon im Entwurf zum Investigatory Powers Bill. Die Folgen: Extraterritoriale Gesetze würden zur Normalität, Unternehmen müssten mit unvereinbaren Vorgaben rechnen, Daten der Kunden wären Freiwild – und das bisherige Geschäftsmodell der Cloudspeicherdienste wäre in Gefahr. Smith sagt: "Es besteht das Risiko eines Wettrüstens, wenn Regierungen in aller Welt Gesetze zu Sicherheit und Privatsphäre einführen, die miteinander kollidieren."

Nachdem 2013 herauskam, dass sich die NSA und der britische Geheimdienst GCHQ sogar heimlich in die Verbindungen zwischen den verschiedenen Rechenzentren von Google und von Yahoo gehackt haben, um an Nutzerdaten zu gelangen, konnten die betroffenen Unternehmen wenigstens technische Gegenmaßnahmen ergreifen – vor allem durch den  verstärkten Einsatz von Verschlüsselung. Nun droht ihnen sozusagen ein juristischer Hack, früher oder später von mehreren Seiten.

Kurzfristig dürfte das Urteil die laufenden Verhandlungen über ein neues Safe-Harbor-Abkommen beeinflussen. Die sollten ursprünglich bis Ende Januar abgeschlossen sein, doch danach sieht es derzeit nicht aus. Ein neues Abkommen kann nicht zustande kommen, so lange US-Gesetze "den Wesensgehalt der EU-Grundrechtecharta" verletzen, wie es im EuGH-Urteil heißt. Genau das würde mit der Auslegung des ECPA im Sinne der US-Regierung geschehen: Die generelle Zugriffsmöglichkeit für US-Behörden auf EU-Nutzerdaten ohne die Möglichkeit für Betroffene, sich juristisch dagegen zu wehren, wäre mit der Charta nicht vereinbar. Kommt das Urteil des New Yorker Berufungsgerichts rechtzeitig, kann es die Safe-Harbor-Verhandlungen erheblich erschweren oder gar zum Scheitern bringen.

Rechtshilfegesuche dauern zu lange

Zum großen Untergangsszenario muss es nicht kommen. Es gibt schließlich andere Wege für Regierungen, an Daten zu gelangen, die im Ausland gespeichert sind, nämlich die von Smith genannten Rechtshilfeabkommen, auf Englisch Mutual legal assistance treaty (MLAT). Die haben jedoch einen Nachteil: Es dauert sehr lange, oft mehrere Monate, bis ein Land an die gewünschten Informationen gelangt.

Das allerdings ist nicht das Problem von Microsoft, findet Brad Smith: "Das internationale Recht muss modernisiert und ans 21. Jahrhundert angepasst werden", sagt er. "Einige der MLAT-Prozesse wurden im 17. und 18. Jahrhundert entwickelt. Es gibt keinen Grund, warum Regierungen von derart antiquierten Gesetzen abhängig sein sollten – ebenso wenig, wie es einen Grund gibt, warum Nutzer von veralteten Gesetzen aus den achtziger Jahren abhängig sein sollten."

Hoffen auf den Supreme Court

Sowohl die US-Regierung als auch Microsoft wollen im Fall einer Niederlage vor Gericht den Supreme Court anrufen. Der nimmt allerdings nur wenige Fälle im Jahr an, und zwar bevorzugt, wenn die Regierung der Antragsteller ist. Microsoft könnte also scheitern, der spezifische Fall wäre damit endgültig geklärt und das Unternehmen müsste die E-Mails auf dem irischen Server herausgeben.

Um doch noch eine Entscheidung des höchsten US-Gerichts zu bekommen, müsste Microsoft einen anderen, aber vergleichbaren Fall vor ein Bezirksgericht bringen. Sollte das anders urteilen als die erste Instanz im Irland-Fall, könnte der Supreme Court gewillt sein, die widersprüchliche Rechtsprechung zu beenden.

Wann auch immer sich der Supreme Court mit dem Thema beschäftigt – Microsoft erhofft sich dann Unterstützung aus Europa. Schon im laufenden Verfahren hat neben US-Unternehmen wie Amazon, eBay, Cisco und Hewlett-Packard auch die irische Regierung eine Stellungnahme (amicus brief) verfasst. So etwas wünscht sich Brad Smith auch von Verbraucherschützern, Journalistenvereinigungen, Unternehmen und Regierungen aus Europa – und von Google, das sich bisher nicht geäußert hat.

Microsoft sucht einen technischen Ausweg

Sollte Microsoft verlieren, ist es zumindest nicht ganz unvorbereitet. Bereits im vergangenen November hatte Microsoft-CEO Satya Nadella in Berlin ein Modell vorgestellt, das dem Worst-Case-Szenario Rechnung trägt: Ab der zweiten Hälfte des laufenden Jahres werden Microsoft-Kunden ihre Daten auf Wunsch in einem von zwei speziellen Rechenzentren in Deutschland speichern können. In denen steht zwar Microsoft-Hardware, doch das Unternehmen wird keinerlei Zugriff auf die Daten haben. Stattdessen wird die Telekom-Tochter T-Systems als sogenannter Datentreuhänder das Rechenzentrum betreiben.

Reaktion auch auf die Snowden-Enthüllungen

Die Ankündigung wurde damals von vielen als Reaktion auf das Safe-Harbor-Urteil des EuGH angesehen. Was Unsinn war, weil so ein Vorhaben nicht innerhalb weniger Tage oder Wochen aus dem Boden gestampft werden kann. "Wir haben knapp ein Jahr daran gearbeitet", sagt Smith, "weil wir in Europa und speziell in Deutschland eine entsprechende Nachfrage ausgemacht hatten." Er will nicht bestreiten, dass die Snowden-Enthüllungen ab Juni 2013 ihren Teil zu dieser Nachfrage beigetragen haben.

Für Microsoft geht es nicht zuletzt darum, Vertrauen aufzubauen, das es für seinen zentralen Geschäftszweig Cloud zwingend braucht. Da kann es nicht schaden, sich mit Klagen sowie rechtlichen und technischen Tricks von der US-Regierung abzusetzen. Zumal die Kritiker dem Unternehmen im Zuge der Snowden-Enthüllungen allzu viel Nähe zu Politik und Geheimdiensten vorgeworfen haben.

Das Treuhändermodell könnte Schule machen, wenn sich abzeichnet, dass Kundendaten damit wirksam vor dem unilateralen Zugriff der US-Regierung geschützt werden können. Zumindest andere große Anbieter könnten es übernehmen. Start-ups und kleinere Unternehmen dagegen werden es schwer haben, die passenden Partner und Rechenzentren zu finden.

Kampf der US-Wirtschaft gegen die eigene Regierung

Was von außen wirkt, als habe die US-Regierung noch nicht verstanden, dass sie ein zentrales Geschäftsmodell ihrer Technikbranche gefährdet, ist laut Brad Smith Ausdruck zweier grundsätzlicher Probleme: "Ich fürchte, Regierungen tendieren dazu, immer ein Problem nach dem anderen lösen zu wollen." Sprich: Solange das Geschäftsmodell nicht akut gefährdet ist, hat das Thema keine hohe Priorität. Außerdem seien Regierungen nun mal "territorial ausgerichtete Institutionen, während Unternehmen und Zivilgesellschaft mit moderner Technik heute international oder gar global denken und handeln."

Schärfere Kritik erlaubt sich Brad Smith nicht, dafür ist er eben zu sehr Botschafter und gern gesehener Gast im Weißen Haus. Andere aus der Branche sagen es deutlicher: Für US-Unternehmen gelten nach Snowden nicht nur die NSA und der britische Geheimdienst GCHQ als Avdanced Persistence Threats (APTs, fortgeschrittene, andauernde Bedrohung), sondern sogar das eigene Justizministerium.

Datenschutz - Fünf Tipps gegen die Überwachung Seitdem ZEIT-Autor Christian Fuchs weiß, welche Daten die deutschen Sicherheitsbehörden über ihn gesammelt haben, hat er seine Alltagsgewohnheiten drastisch verändert.