Drücke "Enter", um den Text zu überspringen.

Der heimliche Zugriff auf Kundendaten – Microsoft möchte immer Kunden informieren

Es ist aus Urteilen(z.B. SchremsII), Gesetzestexten (z.B. PRISM) und Expertenkommissionen bekannt, dass es in den USA sogenannte “Secret Order” gibt. Diese erlauben es den US Geheimdiensten, wie der NSA oder CIA, wenn zum Beispiel ein Verdacht des Terrorismus besteht, auf Kundendaten von US Cloud-Providern zuzugreifen. Dieser Zugriff soll geheim bleiben und dem Kunden gegenüber nicht geäußert werden. Dieser geheime Zugriff sind vielen ein Dorn im Auge und problematisch, da zum Beispiel auch nicht klar ist, ob nicht auch Wirtschaftsspionage so betrieben wird.  

Microsoft & die Secret Order

Die Microsoft Rechtsabteilung (CELA) versucht schon lange gegen die Secret Order vorzugehen, der Druck der Kunden war schon immer groß gegen diese geheimen Zugriffe auf die Daten der Kunden. Diese Vorgehen ist in mehrere Punkte aufgegliedert: 

  1. Verfahren in den Rechtszügen / Anfechten von Secret Orders
  2. möglichst offene Transparent auch durch allgemeine Informationen
  3. technische Verfahren, dass Kunden Daten selbstständig verschlüsseln können
  4. Lobbyismus in der Politik
  5. Weggefährten und Unterstützer suchen
  • Ein öffentlicher Report von Microsoft: Transparenz report und Law Enforcements Reports: Reports hub | Microsoft Corporate Social Responsibility
  • Das Bundesgericht in Maryland hat im Januar 2020  entschieden, dass Microsoft die Kunden informieren darf, wenn ein Zugriff durch eine Secret Order erfolgt ist.
  • Das Bundesgericht in New York stimme einer Information des Kunden bereits auch schon im September 2020 zu. 
  • Das Bundesgericht in New York verhandelt nun auch mit Unterstützen von Google bis Apple über eine weitere Secret Order, die bereits 2 Jahre alt ist. 
  • “Wir glauben fest daran, dass die Regierung befugt sein sollte, Verbrechen aufzuklären und die Öffentlichkeit zu schützen, und wir verstehen, dass die Strafverfolgungsbehörden manchmal Geheimhaltung während einer Untersuchung benötigen. Aber Geheimhaltungsverfügungen sind in Fällen, in denen die Daten zu großen und hochentwickelten Organisationen gehören, in denen jemand benachrichtigt werden kann, ohne dass ein erhebliches Risiko für die Ermittlungen der Regierung entsteht, nicht notwendig.”

Beitrag vom 05. Januar 2021

Continued progress and support in fighting secrecy orders – Microsoft On the Issues

Übersetzung des Blogpost

Heute möchte ich über den weiteren Fortschritt unserer Arbeit berichten, unsere Unternehmenskunden zu benachrichtigen, wenn die US-Regierung Zugriff auf ihre Daten wünscht. Wir erhalten nicht viele US-Anfragen nach Daten von Unternehmenskunden, aber wenn wir sie erhalten, kommen sie manchmal mit Geheimhaltungsanweisungen. Wie wir bereits früher mitgeteilt haben, sind wir der festen Überzeugung, dass unsere Kunden Eigentümer ihrer Daten sind und ein Recht darauf haben, diese zu kontrollieren. Wir sind auch der Meinung, dass unsere Kunden, sofern keine außergewöhnlichen Umstände vorliegen, ein Recht darauf haben, zu erfahren, wenn die Strafverfolgungsbehörden ihre E-Mails oder Dokumente anfordern, und dass wir das Recht haben, sie darüber zu informieren. Aus diesen Gründen fechten wir Geheimhaltungsverfügungen an, wenn wir glauben, dass sie von den Gerichten auf den Prüfstand gestellt werden müssen.

Im vergangenen Jahr haben wir zwei Fälle eingereicht, die dazu führten, dass diese Anordnungen zurückgezogen wurden, und beide wurden kürzlich entsiegelt. Wir teilen auch mit, dass in den letzten Wochen ein dritter Fall, den wir eingereicht haben, breite Unterstützung von Technologieunternehmen, großen Medienunternehmen, der Wirtschaft und prominenten ehemaligen Bundesstaatsanwälten erhielt.

Im ersten Fall haben wir vor einem Bundesgericht in Maryland eine Geheimhaltungsverfügung angefochten, die es uns untersagte, unseren Unternehmenskunden über eine Anfrage nach seinen Daten zu informieren. Wir haben die Anfechtung im Dezember 2019 eingereicht, und im Januar 2020 hat die Regierung zugestimmt, dass wir unseren Kunden benachrichtigen dürfen. Dieser Fall wurde letzte Woche entsiegelt, wie in dieser Verfügung dokumentiert.

Im zweiten Fall haben wir im September 2020 eine ähnliche Geheimhaltungsverfügung vor einem Bundesgericht in New York angefochten, die sich auf eine Anfrage nach Daten eines anderen Unternehmenskunden bezog. Im Oktober stimmte die Regierung als Reaktion auf diese Anfechtung zu, den Kunden zu informieren. Die Gerichtsakten in diesem Fall wurden in den letzten Wochen entsiegelt, einschließlich des gemeinsamen Schreibens, das das Gericht darüber informiert, dass die Regierung zugestimmt hat, den Kunden zu informieren.

Im dritten Fall fechten wir weiterhin eine Geheimhaltungsanordnung in einem Fall an, den wir zuvor von einem anderen Bundesgericht in New York veröffentlicht haben. Wir haben diesen Fall seit mehr als zwei Jahren bekämpft und er liegt nun beim U.S. Court of Appeals for the Second Circuit. Ende letzten Monats erhielt unser Fall Unterstützung von fünf Amicus-Schriftsätzen, die von den Konkurrenten Amazon, Apple und Google, 36 prominenten ehemaligen Bundesstaatsanwälten, Nachrichtenorganisationen wie Associated Press, Gannett, der New York Times, Politico, der Seattle Times und der Washington Post sowie Industriegruppen wie der National Association of Manufacturers und der U.S. Chamber of Commerce unterzeichnet wurden. Diese weit verbreitete Unterstützung zeigt die negativen Auswirkungen, die Geheimhaltungsanordnungen auf Gemeinschaften haben, die für die Demokratie, die Wirtschaft und die Gesellschaft im Allgemeinen wichtig sind.”

Unterstützer sind:

  • A brief from Amazon, Apple and Google
  • A brief from the Business Software Alliance
  • A brief from the U.S. Chamber of Commerce, Center for Democracy and Technology, Internet Association and National Association of Manufacturers
  • A brief from the Reporters Committee for Freedom of the Press and 23 media organizations
  • A brief from 36 prominent former federal prosecutors

“Wir sind jeder dieser Organisationen dankbar, dass sie uns in diesem Fall zur Seite stehen.

Wir glauben fest daran, dass die Regierung befugt sein sollte, Verbrechen aufzuklären und die Öffentlichkeit zu schützen, und wir verstehen, dass die Strafverfolgungsbehörden manchmal Geheimhaltung während einer Untersuchung benötigen. Aber Geheimhaltungsverfügungen sind in Fällen, in denen die Daten zu großen und hochentwickelten Organisationen gehören, in denen jemand benachrichtigt werden kann, ohne dass ein erhebliches Risiko für die Ermittlungen der Regierung entsteht, nicht notwendig.

Wir haben eine lange Erfolgsbilanz, nicht nur bei der Anfechtung einzelner Geheimhaltungsanordnungen, sondern auch bei der Einleitung von Gerichtsverfahren, die zu vorteilhaften Regierungsrichtlinien geführt haben, die die Häufigkeit und Dauer von Geheimhaltungsanordnungen einschränken. Wir glauben auch, dass der Kongress weiterhin eine Rolle zu spielen hat, indem er den Electronic Communications Privacy Act in das moderne Zeitalter des Cloud Computing bringt. Der Kongress hat den ECPA im Jahr 1986 erlassen, als Unternehmen Aufzeichnungen in Aktenschränken oder Computerdateien auf ihren Festplatten und Servern speicherten. Wenn die Regierung damals gegen ein Unternehmen ermittelte und Zugang zu den Aufzeichnungen benötigte, musste sie sich für diese Aufzeichnungen direkt an das Unternehmen wenden – und die Unternehmen hatten die Möglichkeit, ihre Rechte zu schützen.

Heute speichern Unternehmen ihre Aufzeichnungen zunehmend in der Cloud und nutzen die immense Rechenleistung, die die Cloud bietet. Einige Strafverfolgungsbehörden haben versucht, diese Verlagerung von Unternehmensdaten in die Cloud auszunutzen, indem sie den Cloud-Anbieter in einem geheimen Gerichtsverfahren auffordern, die Daten des Unternehmens herauszugeben – und dann eine Geheimhaltungsanordnung erwirken, um den Anbieter zum Schweigen zu bringen. Dadurch wird die Benachrichtigung umgangen, die Unternehmen in der Vergangenheit erhalten haben, wenn Strafverfolgungsbehörden ihr Eigentum beschlagnahmen. Der Kongress könnte helfen, indem er die Regeln unter ECPA aktualisiert, um sie an die Benachrichtigungsanforderungen für Durchsuchungsbefehle anzugleichen, die für physische Durchsuchungen gelten. Unternehmen sollten heute mehr denn je nicht im Nachteil sein, nur weil sie ihre Daten in der Cloud speichern.

Zusätzlich zu den Anfechtungen von Geheimhaltungsanordnungen, über die wir heute berichten, haben wir im vergangenen November ein neues Versprechen abgegeben, die zugrunde liegenden Anfragen nach Cloud-Daten von Unternehmen oder des öffentlichen Sektors anzufechten.”

 

Die Kommentarfunktion ist deaktiviert, aber Trackbacks und Dingbacks sind offen.