Anfang des Jahres 2021 gab es ein spannendes Urteil in UK, welches an den Fall in den USA mit Microsoft Irland erinnert. Aber auch hier entschied der Oberste Gerichtshof in UK, dass UK Behörden kein Recht haben mit Strafandrohung Daten aus dem Ausland (USA) offen zu legen.
Quelle: KBR v. SFO: the United Kingdom’s Microsoft Ireland? (justsecurity.org)
Übersetzung des Blogbeitrages
Am 5. Februar 2021 verkündete der Oberste Gerichtshof des Vereinigten Königreichs (UK) sein Urteil in der Rechtssache R (auf Antrag von KBR, Inc.) gegen den Direktor des Serious Fraud Office, in dem er feststellte, dass das britische Serious Fraud Office (SFO) keine gesetzliche Befugnis hatte, ein US-Unternehmen unter Androhung strafrechtlicher Sanktionen zur Offenlegung von Daten aus dem Ausland zu zwingen. Dieses Urteil weist offensichtliche Ähnlichkeiten mit der so genannten Microsoft-Ireland-Entscheidung des US-Berufungsgerichts des zweiten Gerichtsbezirks (Second Circuit Court of Appeals) auf, in der festgestellt wurde, dass die Verwendung von Durchsuchungsbefehlen nach dem US-Gesetz über gespeicherte Kommunikation (Stored Communication Act, SCA), um an Daten im Ausland zu gelangen, eine unzulässige extraterritoriale Anwendung dieses Gesetzes darstellt. Microsoft Irland wurde von vielen als äußerst umstritten angesehen, da es den Zugriff der US-Strafverfolgungsbehörden auf Daten in Übersee behinderte, was zu einer Berufung beim Obersten Gerichtshof und schließlich zu Gesetzesänderungen führte. Dieses neue britische Urteil verspricht, auf der anderen Seite des Atlantiks ebenso bedeutende Auswirkungen auf die entsprechenden britischen Strafverfolgungsbefugnisse zu haben.
Die KBR-Untersuchung der SFO
Die SFO ist die britische Regierungsbehörde, die für die Untersuchung und Verfolgung von schwerem und komplexem Betrug zuständig ist. Im Februar 2017 leitete sie eine Untersuchung gegen das britische Unternehmen Kellogg Brown and Root Ltd (KBR U.K.) ein, eine Tochtergesellschaft des amerikanischen Unternehmens KBR, Inc. Die Ermittlungen der SFO gegen KBR U.K. ergaben sich aus “mutmaßlich korrupten” Beratungszahlungen in Höhe von insgesamt über 23 Millionen US-Dollar von KBR U.K. an einen ausländischen Geschäftspartner, die Unaoil-Gruppe.
Im Rahmen dieser Untersuchung richtete das SFO im April 2017 eine Mitteilung an KBR U.K., in der verschiedene Informationen gemäß Abschnitt 2(3) des britischen Criminal Justice Act 1987 (CJA 1987) angefordert wurden. Abschnitt 2(3) besagt im relevanten Teil:
Der Direktor der [SFO] kann durch eine schriftliche Mitteilung die Person, gegen die ermittelt wird, oder eine andere Person auffordern, … bestimmte Dokumente vorzulegen, die sich nach Ansicht des Direktors auf eine für die Untersuchung relevante Angelegenheit beziehen, oder Dokumente einer bestimmten Klassenbeschreibung, die sich offenbar darauf beziehen …
KBR U.K. stellte einige der angeforderten Informationen zur Verfügung, machte aber deutlich, dass andere Informationen, wenn überhaupt, nur bei der US-Muttergesellschaft KBR, Inc. vorhanden sind. KBR U.K. verfügt zwar über umfangreiche Geschäftsaktivitäten im Vereinigten Königreich, aber die US-Muttergesellschaft KBR, Inc. hatte keinen festen Geschäftssitz im Vereinigten Königreich und war dort nie geschäftlich tätig gewesen.
Die SFO forderte daraufhin leitende Angestellte von KBR, Inc. auf, an einem Treffen im Vereinigten Königreich teilzunehmen. Dieses Treffen fand im Juli 2017 statt, an dem sowohl der General Counsel als auch der Chief Compliance Officer von KBR, Inc. teilnahmen, die eigens aus den Vereinigten Staaten eingeflogen wurden. Als sich diese Beamten während dieses Treffens weigerten zu bestätigen, dass KBR, Inc. die ausstehenden Informationen zur Verfügung stellen würde, richtete die SFO unverzüglich eine neue Mitteilung nach Section 2(3), diesmal an KBR, Inc. selbst und nicht an KBR U.K.
Urteil des Divisional Court 2018
KBR, Inc. focht die Bekanntmachung vom Juli 2017 vor dem Divisional Court in England an. Sein Hauptargument war, dass die neue Mitteilung über den eigentlichen Anwendungsbereich von Abschnitt 2(3) hinausging, der nach Ansicht von KBR, Inc. nicht dazu verwendet werden kann, ein ausländisches Unternehmen im Ausland zur Offenlegung zu zwingen.
Im April 2018 wies der Divisional Court die Anfechtung von KBR, Inc. zurück und bestätigte die Mitteilung vom Juli 2017. Obwohl das britische Recht ebenso wie das US-amerikanische Recht eine “Vermutung gegen Extraterritorialität” anwendet, wies das Gericht die Relevanz dieser Vermutung hier weitgehend zurück. Es vertrat die Auffassung, dass Abschnitt 2(3) “ein Element der extraterritorialen Anwendung haben muss”, da es “kaum glaubhaft” wäre, dass ein britisches Unternehmen eine Mitteilung nach Abschnitt 2(3) mit der Begründung ablehnen könnte, dass die angeforderten Informationen im Ausland gespeichert seien. Das Gericht konzentrierte sich daher auf “das Ausmaß und nicht auf das Vorhandensein der extraterritorialen Reichweite [von Section 2(3)]”.
Der Divisional Court entschied, dass Abschnitt 2(3) verwendet werden kann, um Informationen von ausländischen Unternehmen zu erzwingen, solange diese Unternehmen eine “ausreichende Verbindung” mit dem Vereinigten Königreich haben. Die Tatsache, dass die SFO stattdessen die gegenseitige Rechtshilfe (MLA) hätte verwenden können – die mittlerweile traditionelle Methode, die es den Strafverfolgungsbehörden ermöglicht, Beweise aus dem Ausland durch Ersuchen an ihre ausländischen Kollegen zu erhalten – spielte keine Rolle. MLA sei ein “separater und eigenständiger” Weg neben Abschnitt 2(3), so das Gericht.
Der Divisional Court war “hinreichend überzeugt”, dass KBR, Inc. eine ausreichende Verbindung zum Vereinigten Königreich hatte. Es vertrat die Auffassung, dass die bloße Tatsache, dass KBR, Inc. eine britische Tochtergesellschaft hat, nicht ausreicht, um die Verbindung zum Vereinigten Königreich herzustellen. Eine hinreichende Verbindung ergebe sich jedoch aus den Beweisen der SFO für die korrupten Zahlungen, die darauf hindeuteten, dass die Beratungszahlungen von KBR U.K. an Unaoil mindestens seit 2005 tatsächlich von KBR, Inc. in den Vereinigten Staaten gezahlt und genehmigt wurden. Daher sei es “unmöglich, KBR, Inc. von KBR U.K. zu trennen”, um die Verbindungen der Muttergesellschaft zum Vereinigten Königreich zu bestimmen, so das Gericht.
Dieses Urteil hatte erhebliche Auswirkungen. Es hat die Ermittlungsbefugnisse der SFO erheblich gestärkt”, bemerkte ein Autor. Ein anderer Kommentator betonte, dass die Entscheidung allgemein “große Besorgnis” hervorrufe und warnte davor, dass sie von anderen britischen Strafverfolgungsbehörden, die ihre Befugnisse extraterritorial nutzen wollen, als Präzedenzfall herangezogen werden könnte. Ein dritter Kommentator schlug vor, dass das Urteil “möglicherweise das langsame Ende von [MLA] bei strafrechtlichen Ermittlungen signalisiert”, da die britischen Strafverfolgungsbehörden dazu übergehen, einseitig gesetzliche Befugnisse zur Beschaffung von Informationen im Ausland zu nutzen, anstatt das kooperative MLA-Verfahren anzuwenden.
KBR Inc. erhielt die Erlaubnis, in der Frage des extraterritorialen Geltungsbereichs von Abschnitt 2(3) direkt beim Obersten Gerichtshof des Vereinigten Königreichs Berufung einzulegen, wobei das Berufungsgericht “ausnahmsweise” durch ein spezielles “Leapfrog”-Verfahren umgangen wurde. Die Berufung wurde am 13. Oktober 2020 angehört, und das Urteil des Gerichts erging dreieinhalb Monate später, am 5. Februar 2021.
Urteil des Obersten Gerichtshofs
Der Oberste Gerichtshof hob die Entscheidung des Divisional Court auf und entschied, dass Abschnitt 2(3) des CJA 1987 dem OFS nicht die Befugnis verleiht, ein ausländisches Unternehmen unter Androhung einer strafrechtlichen Sanktion zur Vorlage von Dokumenten im Ausland zu zwingen.
Der “Ausgangspunkt”, so erklärte das Gericht, sei die im britischen Recht geltende Vermutung, “dass Rechtsvorschriften im Allgemeinen keine extraterritoriale Wirkung haben sollen”. Das Gericht erklärte, dass diese Vermutung in zwei Fällen überwunden werden kann. Erstens kann ein Gesetz “ausdrücklich” eine extraterritoriale Wirkung vorsehen. Zum anderen kann sich ein extraterritorialer Geltungsbereich “aus der Systematik, dem Kontext und dem Gegenstand des Gesetzes” ergeben.
Es war unbestritten, dass das CJA 1987 nicht ausdrücklich eine extraterritoriale Ausdehnung von Section 2(3) vorsah. Das Gericht prüfte daher, ob ein solcher extraterritorialer Geltungsbereich stillschweigend angenommen werden sollte, wobei es sich auf das Argument des OFS konzentrierte, dass “der Zweck der Gesetzgebung ohne ihre extraterritoriale Anwendung auf ausländische Unternehmen nicht wirksam erreicht werden könnte”. Das Gericht lehnte es ab, die Argumentation des Divisional Court zu übernehmen, wonach das CJA 1987 “ein Element der extraterritorialen Anwendung haben muss”, so dass sich britische Unternehmen seinem Geltungsbereich nicht entziehen können, indem sie Daten im Ausland speichern. Es ließ ausdrücklich offen, wie Abschnitt 2(3) unter den “sehr unterschiedlichen Umständen” eines britischen Unternehmens anzuwenden wäre, das versucht, die Durchsetzung zu umgehen, indem es Daten im Ausland speichert.
Um den Anwendungsbereich von Abschnitt 2(3) in diesem Fall zu bestimmen, analysierte das Gericht stattdessen detailliert, wie das Vereinigte Königreich grenzüberschreitende Auskunftsersuchen der Strafverfolgungsbehörden regelt, und verfolgte die Entwicklungen von der Entstehung des CJA 1987 – einer Überprüfung von Betrugsverfahren im Jahr 1986 – bis zum heutigen Tag. Dieser Bericht aus dem Jahr 1986 empfahl keineswegs die Schaffung einseitiger extraterritorialer Zwangsbefugnisse, wie sie das OFS nun forderte, sondern “betonte die Bedeutung gegenseitiger Vereinbarungen zur Beschaffung von Beweismitteln aus dem Ausland”, so das Gericht. Und seither haben aufeinanderfolgende Gesetzgebungen gezeigt, dass das britische Parlament durchgängig die Absicht hatte, dass “Beweise aus dem Ausland durch internationale Zusammenarbeit gesichert werden sollten”, d.h. MLA, “vorbehaltlich verschiedener Schutz- und Sicherungsmaßnahmen”. Das Gericht kam daher zu dem Schluss:
Meines Erachtens ist es unwahrscheinlich, dass das Parlament diesen [MLA-]Mechanismus so verfeinert hat, während es beabsichtigte, ein paralleles System zur Erlangung von Beweismitteln aus dem Ausland bestehen zu lassen, das auf einseitiges Ersuchen der SFO, ohne Rückgriff auf die Gerichte oder Behörden des Staates, in dem sich die Beweismittel befinden, und ohne den Schutz irgendeines der im Rahmen der Rechtshilferegelung eingerichteten Schutzmechanismen funktionieren könnte.
Die Analyse der britischen Rechtsprechung durch das Gericht untermauerte diese Schlussfolgerung zusätzlich. Es beschrieb sein eigenes Urteil aus dem Jahr 2012, Perry v. Serious Organised Crime Agency, als “auffallend ähnlich”. Perry hatte es abgelehnt, ähnlichen Befugnissen, die von einer verwandten britischen Strafverfolgungsbehörde beansprucht wurden, extraterritoriale Geltung zu verleihen, und war zu dem Schluss gekommen, dass “eine solche Befugnis in Bezug auf Personen außerhalb des Hoheitsgebiets einen besonders erschreckenden Verstoß gegen das Völkerrecht darstellen würde” – eine Formulierung, die KBR zustimmend zitierte. Die von der OFS angeführten Steuer- und Insolvenzfälle – in denen extraterritoriale Regelungen in andere Gesetze aufgenommen wurden – seien dagegen aufgrund “bedeutender Unterschiede im Wortlaut, Zweck und Kontext” der jeweiligen Gesetzgebung unterscheidbar, so das Gericht.
Schließlich lehnte es das Gericht ab, den vom Divisional Court aufgestellten Test der “ausreichenden Verbindung” anzuwenden, um den behaupteten extraterritorialen Anwendungsbereich von Abschnitt 2(3) zu regeln. Dieser Test wäre “von Natur aus unsicher”, zumal seine Anwendung der SFO selbst überlassen bliebe. In jedem Fall würde die Aufnahme dieses Tests “die angemessenen Grenzen der Auslegung überschreiten” und somit “das Gesetz unrechtmäßig umschreiben”, und zwar über das hinaus, was das Parlament beabsichtigt hatte.
Vergleich zwischen KBR und Microsoft Irland
Wie den Lesern von Just Security bekannt sein dürfte, ging es in der Rechtssache Microsoft Corp. gegen die Vereinigten Staaten aus dem Jahr 2016 (allgemein bekannt als Microsoft Ireland) um eine ähnliche Frage: ob die US-Strafverfolgungsbehörden das SCA nutzen können, um Daten zu erhalten, die Microsoft auf einem Datenserver in Irland gespeichert hat. Im Juli 2016 entschied das Zweite Bundesberufungsgericht, dass die Anwendung des SCA zur Erzwingung von im Ausland gespeicherten Daten eine “extraterritoriale Anwendung” wäre, die mit dem “Fokus auf die Privatsphäre” des SCA unvereinbar wäre. Obwohl der Oberste Gerichtshof der USA die Berufung zuließ und im Februar 2018 eine mündliche Verhandlung anberaumte, wurde der Fall durch die Verabschiedung des U.S. CLOUD Act im darauffolgenden Monat bekanntlich ad acta gelegt.
KBR und die Entscheidung des Zweiten Gerichtsbezirks in der Rechtssache Microsoft Irland weisen offensichtliche Ähnlichkeiten auf: Beide stützen sich auf die Vermutung gegen die Exterritorialität von Gesetzen, um die Anwendung gesetzlicher Strafverfolgungsbefugnisse im Ausland zu beschränken. Tatsächlich geht es jedoch um unterschiedliche, wenn auch sich überschneidende Fragen. Microsoft Irland befasste sich mit der Frage, ob zwingende gesetzliche Befugnisse der USA genutzt werden können, um ein amerikanisches Unternehmen – also Microsoft – zur Offenlegung von Daten zu zwingen, über die dieses Unternehmen im Ausland verfügt. KBR ging noch einen Schritt weiter und prüfte, ob sich entsprechende gesetzliche Befugnisse des Vereinigten Königreichs auch auf völlig ausländische Unternehmen erstrecken könnten, die über Daten im Ausland verfügen. Obwohl allgemein davon ausgegangen wird, dass das SCA nicht extraterritorial auf solche ausländischen Unternehmen anwendbar ist, vertrat Richter Raggi in seiner abweichenden Meinung zur Ablehnung einer erneuten Anhörung durch den Second Circuit im Januar 2017 die Ansicht, dass dies eine offene Frage sei.
Der Oberste Gerichtshof des Vereinigten Königreichs hat sich nicht zu der in Microsoft Irland behandelten Frage geäußert. Sein Urteil stützt jedoch die Idee, dass Abschnitt 2(3) und ähnliche Befugnisse genutzt werden könnten, um von britischen Unternehmen Daten aus dem Ausland zu erzwingen. Diese Annahme war in der Tat “common ground” zwischen den Parteien. Das Gericht selbst hielt es für “fraglich”, ob die Anwendung von Abschnitt 2(3) auf diese Weise dem CJA 1987 “irgendeine wesentliche extraterritoriale Wirkung” verleihen würde. Es merkte an, dass “die Vermutung gegen extraterritoriale Wirkung, wenn sie überhaupt gilt, mit viel geringerer Kraft für Rechtsvorschriften gilt, die britische Unternehmen im Ausland regeln”. Dies deckt sich mit einer ähnlichen Analyse im Bericht “2020 Search Warrants” (Absätze 16.28-16.60) der Law Commission of England and Wales.
Die Bedeutung von KBR
Die erste Reaktion auf KBR dürfte ein Seufzen der Erleichterung bei Unternehmensjuristen in aller Welt sein. Die Furcht vor einem plötzlichen “Klopfen an der Tür” durch die britischen Strafverfolgungsbehörden, die die Offenlegung von Daten gemäß Abschnitt 2(3) oder gleichwertiger Gesetze fordern, selbst wenn diese Unternehmen keine Niederlassungen im Vereinigten Königreich haben, kann sich zerstreuen – zumindest für den Moment. Aber das Problem ist noch lange nicht gelöst. Es gibt bereits Anzeichen dafür, dass das Vereinigte Königreich versuchen könnte, KBR durch neue Rechtsvorschriften teilweise “rückgängig” zu machen, wie es nach Perry geschah. Auch wenn jedes Gesetz für sich betrachtet werden muss, gibt KBR den britischen Strafverfolgungsbehörden doch klare Hinweise darauf, dass der extraterritoriale Geltungsbereich der gesetzlichen Strafverfolgungsbefugnisse feste Grenzen hat.
KBR sollte auch von denjenigen begrüßt werden, die wie Professor Jennifer Daskal – die neu ernannte stellvertretende Generalanwältin (Cyber und Technologie) im US-Ministerium für Heimatschutz – das Vereinigte Königreich dafür kritisiert haben (auf S. 477-478), dass es Gesetze wie den Investigatory Powers Act 2016 erlassen hat, die angeblich einseitig weitreichende extraterritoriale Befugnisse für die Datenerfassung vorsehen. Indem KBR “die Bedeutung gegenseitiger Vereinbarungen für die Beschaffung von Beweismaterial aus dem Ausland” betont, kann es letztlich als eine starke Rüge gegen ein solches einseitiges extraterritoriales Verhalten angesehen werden.
Vieles bleibt jedoch ungelöst. Wie bereits erwähnt, hat das Gericht die Anwendung der Befugnisse von Section 2(3) zur Erzwingung von Daten aus dem Ausland von rein britischen Unternehmen vorsichtig unterstützt, aber nicht ausdrücklich entschieden. Es hat auch ausdrücklich offen gelassen, ob Abschnitt 2(3) verwendet werden kann, um Informationen von ausländischen Unternehmen mit einem eingetragenen Sitz im Vereinigten Königreich zu erzwingen oder wenn diese Unternehmen anderweitig im Vereinigten Königreich geschäftlich tätig sind.
Schließlich ist unklar, wie der Oberste Gerichtshof des Vereinigten Königreichs die neue Generation von Mechanismen für den “direkten Zugang” zur gemeinsamen Nutzung von Strafverfolgungsdaten, wie z. B. das CLOUD Act-Exekutivabkommen zwischen den USA und dem Vereinigten Königreich, das in Kürze in Kraft treten soll, beurteilen würde. In diesen Abkommen wird die Gegenseitigkeit des MLA beibehalten, doch soll der Zugang zu Informationen aus dem Ausland erheblich beschleunigt werden, indem viele der Schutzmaßnahmen des MLA gestrichen werden, auf die der Oberste Gerichtshof des Vereinigten Königreichs zustimmend verwiesen hat. Letztendlich bleibt abzuwarten, inwieweit diese neuen Mechanismen mit dem britischen Recht vereinbar sind, insbesondere mit den durch den Human Rights Act 1998 geschützten Rechten.”