Microsoft hat sich mal wieder zum leidigen Thema 'US-Behörden fordern Zugriff auf Nutzerdaten und verbieten uns darüber zu informieren' geäußert. Es geht um einen Fall, der seit 2018 schwebt und in dem Microsoft Daten eines Kunden herausgeben musste, ohne diesen über die Datenweitergabe informieren zu können.
Anzeige
Es ist ein ständiger Kampf, den US-Unternehmen mit der amerikanischen Administration führen. Dort gibt es Anordnungen von Bundesrichtern, die den Zugriff der US-Behörden auf Daten gewähren sollen, auch wenn diese auf ausländischen Systemen lagern. Gleichzeitig erhält das Unternehmen eine Schweigeanordnung (Gag-Order), die es verbietet, Betroffene und die Öffentlichkeit über diese Anordnung zu informieren.
(Quelle: Pexels Josh Sorenson)
Das ist einer der Punkte in der Diskussion beim Thema Cloud-Dienste, wo Microsoft einer der Betreiber ist. Wenn deutsche Firmen Daten in der Cloud hosten, haben US-Behörden ggf. Zugriff und Microsoft darf die betroffenen Kunden noch nicht einmal darüber informieren.
Der Fall aus 2018
Microsoft gibt an, dass es der Firma 2018 durch eine Anordnung eines Bundesrichters verboten wurde, einem seiner größeren Firmenkunden mitzuteilen, dass die US-Regierung den Zugriff auf dessen Daten eingefordert hat (Warrant bezüglich der Daten) ausgestellt hat. Microsoft ist gegen diese Geheimhaltungsordnung zwar juristisch vorgegangen. Dem Softwarehersteller und Cloud Service Provider ist es nicht gelungen, die "Geheimhaltungsanordnung" des Bundesrichters aufzuheben. Daher wurde der bisher nicht identifizierte Unternehmenskunde auch nicht über den Zugriff auf seine Daten durch die US-Administration informiert. Das teilt Dev Stahlkopf, Chef-Justiziarin bei Microsoft, in einem Blogbeitrag mit.
Anzeige
Details zum Fall sind wohl rar, denn auch Microsoft wurde über die Hintergründe der richterlichen Entscheidung ziemlich im Dunkeln gelassen. Die Anordnung eines Richters in Brooklyn, New York, besagt, dass die angeforderten Informationen "mit zwei E-Mail-Konten verbunden" seien und E-Mails, Textnachrichten und Voicemails umfassen. Die US-Regierung behauptete, dass die Nutzer der beiden Konten zusammen mit anderen eine Reihe von Delikten begangen haben. Dazu gehören wohl auch Geldwäsche und Betrügereien bei elektronischen Überweisungen. Die Nutzer sollen in einem multinationalen Unternehmen, das zufällig Kunde von Microsoft ist, beschäftigt sein. Diese Unternehmen habe sich einem anderen Unternehmen "verschworen" hat, um gegen die Sanktionen der USA zu verstoßen.
Alles recht nebulös und zeigt, auf welch dünnem Eis die Kunden wandeln, wenn sie sich in die US-Cloud – egal von welchem Anbieter – begeben. Die US-Administration belegt Länder einseitig mit Sanktionen und lässt die US-Cloud-Anbieter die Daten von Kunden aus anderen Ländern bereitstellen, um diesen – nach US-Recht verbotene Aktivitäten nachzuweisen. Microsoft empfindet, dass das Gericht in diesem Fall die Befugnisse und die Geheimhaltungsanforderung eindeutig zu weit gefasst hat.
"Wir haben diesen Beschluss im Untergericht angefochten, und wir werden bei Bedarf eine Berufung vor dem Berufungsgericht einlegen und uns weiterhin für den Grundsatz einsetzen, dass unsere Kunden das Recht haben zu wissen, wann die Regierung ihre Daten erhält", schrieb die Rechtsberaterin Microsofts im Blog.
Der Fall ist die jüngste Volte in einem jahrelangen Kampf zwischen Microsoft und der US-Regierung um so genannte "Sneak and Peek"-Anfragen. Bei diesen Anfragen muss Microsoft die Daten eines Kunden herausgeben, aber das Subjekt einer Bundesanfrage weiß nicht, dass seine Daten angefordert oder weitergegeben wurden. Im Jahr 2016 verklagte Microsoft die US-Regierung wegen dieser Praxis, da diese zu weit verbreitet sei. Ein Jahr später gestand das US-Justizministerium zu, dass es die Verwendung von Geheimhaltungsanordnungen zu reduzieren.
Für Nutzer und Unternehmen außerhalb der USA heißt dies: Finger weg von der US-Cloud – achtet darauf, wo eure Daten liegen. Bloomberg hat hier ebenfalls einen Beitrag zu diesem Thema publiziert.
Anzeige
Kann man auch als Staatlich verordnete Spionage bezeichneten
Ich würde es eher als "ist staatlich verordnete Spionage" einsortieren :-)
"Für Nutzer und Unternehmen außerhalb der USA heißt dies: Finger weg von der US-Cloud – achtet darauf, wo eure Daten liegen. Bloomberg hat hier ebenfalls einen Beitrag zu diesem Thema publiziert."
NEIN – Sondern, Finger weg von US-Unternehmen…oder (eigentlich) besser: Finger weg von Unternehmen, die Geschäftsbeziehungen mit den USA haben.
"Finger weg von Unternehmen, die Geschäftsbeziehungen mit den USA haben"
Also Finger weg von AMD und Intel, Finger weg von Apple, Linux (in der Linux Foundation sitzen zahlreiche US-Unternehmen), Microsoft – bleibt nicht mehr viel Auswahl.
Eigentlich heißt dass, Finger weg von Computern in jeglicher Form
"…Für Nutzer und Unternehmen außerhalb der USA heißt dies: Finger weg von der US-Cloud – achtet darauf, wo eure Daten liegen. Bloomberg hat hier ebenfalls einen Beitrag zu diesem Thema publiziert…."
Das genügt nicht. Eine US-Firma mit Ablegern in Europa ist gemäss Artikel auch betroffen, muss also auch Daten liefern, obwohl sie in Europa liegt und die Server auch hier sind.
Generell Finger weg von US-Firmen, welche Cloud-Dienste anbieten.