Die US-Cloud kennt kein Amtsgeheimnis

state_email_gathering

Beamte zweier niederländischer Aufsichtsbehörden fanden ihre Namen in Unterlagen wieder, die Microsoft an einen Ausschuss des US-Repräsentantenhauses übergeben hatte – samt E-Mails, Sitzungsprotokollen und Termineinladungen. Ausgerechnet jene Beamte, die den Digital Services Act durchsetzen sollen: das EU-Gesetz, das die Macht großer US-Plattformen begrenzt.

Der Vorfall

Der Justizausschuss des US-Repräsentantenhauses untersucht seit Längerem, ob die EU mit dem Digital Services Act (DSA) amerikanische Unternehmen gängelt und Meinungsäußerungen zensiert. Im Rahmen dieser Untersuchung forderte er von US-Konzernen deren Korrespondenz mit europäischen Regulierungsbehörden an – und Microsoft lieferte: E-Mails, Sitzungsprotokolle und Einladungen aus dem Austausch mit der niederländischen Wettbewerbsbehörde ACM und der Datenschutzbehörde AP.

Die Namen der beteiligten Beamten waren in den Dokumenten nicht geschwärzt. Die Betroffenen wurden weder gefragt noch informiert – sie erfuhren aus den Medien, dass ihre dienstliche Kommunikation inzwischen in Washington liegt. Microsoft war dabei offenbar kein Einzelfall: Auch andere US-Anbieter sollen dem Ausschuss entsprechende Unterlagen übergeben haben.

Reichweite des US-Zugriffs

Möglich macht das die Rechtslage, unter der jeder amerikanische Konzern steht. Der Cloud Act von 2018 verpflichtet US-Anbieter, amerikanischen Behörden Zugriff auf gespeicherte Daten zu geben – unabhängig davon, ob die Server in Virginia oder in Amsterdam stehen. Im aktuellen Fall brauchte es nicht einmal ihn: Die Vorladungsbefugnis des Kongresses genügte, um die Herausgabe zu erzwingen. Welche Rechtsgrundlage am Ende griff, ist für die Betroffenen zweitrangig. Ihre Daten lagen bei einem US-Anbieter, also waren sie erreichbar.

Wie schon beim Fall des sanktionierten ICC-Richters Nicolas Guillou handelt Microsoft dabei nicht aus politischem Eifer, sondern aus Risikovermeidung. Wer Anfragen von US-Behörden nicht bedient, riskiert selbst rechtliche Konsequenzen. Europäisches Amtsgeheimnis, Datenschutz-Grundverordnung, dienstliche Vertraulichkeit – all das endet dort, wo amerikanisches Recht auf amerikanische Infrastruktur trifft. Compliance ersetzt Entscheidung.

Praktische Auswirkungen

In den betroffenen Behörden herrscht Verunsicherung. Mitarbeiter mit Familie oder Freunden in den USA fragen sich, ob sie bei der nächsten Einreise abgewiesen werden, weil ihr Name in einer Kongressakte über die DSA-Durchsetzung auftaucht. Über die Einzelfälle hinaus wiegt der strukturelle Schaden schwerer: Aufseher, die damit rechnen müssen, dass ihre interne Kommunikation beim politischen Gegner ihrer eigenen Arbeit landet, arbeiten anders – vorsichtiger, zögerlicher, defensiver. Genau diese abschreckende Wirkung dürfte beabsichtigt sein.

Bemerkenswert ist, wen es diesmal traf: keine Aktivisten, keine sanktionierten Einzelpersonen, sondern Staatsbedienstete zweier EU-Behörden bei der Erfüllung ihres gesetzlichen Auftrags. Wenn schon deren Kommunikation nicht geschützt ist, gilt das erst recht für die von Unternehmen und Privatpersonen.

Empörung ohne Konsequenz?

Die Staatssekretäre Eric van der Burg und Willemijn Aerdts nannten die Weitergabe „äußerst unerwünscht“, die Regierung trug den Fall der US-Botschaft vor. Microsoft bestreitet, dass der Cloud Act die Grundlage war, und verweist auf die Einhaltung aller geltenden Gesetze – was das Problem unfreiwillig präzise beschreibt: Die Weitergabe war vermutlich legal. Genau das ist der Punkt. In den Niederlanden läuft seit Monaten eine Debatte über den Ausstieg aus US-Clouds und den Aufbau eigener Infrastruktur; dieser Fall dürfte ihr neuen Schub geben.

Digitale Souveränität ist Handlungsfähigkeit

Der Fall zeigt dasselbe strukturelle Problem wie die digitale Auslöschung des Richters Guillou: Digitale Infrastruktur ist zentralisiert, und wer sie kontrolliert, kontrolliert den Zugriff auf alles, was durch sie hindurchläuft. Wer seine Kommunikation durch fremde Rechenzentren leitet, hat die Kontrolle darüber bereits abgegeben – er merkt es nur erst, wenn jemand davon Gebrauch macht.

Für Nutzer von GrapheneOS ist die Lehre vertraut: Datensparsamkeit und lokale Kontrolle sind kein Komfortverzicht, sondern die einzige verlässliche Grenze gegen fremden Zugriff. Verschlüsselung, die der Anbieter nicht aufheben kann, und Daten, die das eigene Gerät gar nicht erst verlassen, schützen auch dann noch, wenn Gesetze und politische Interessen sich ändern. Denn Daten, die nicht in fremden Clouds liegen, kann auch kein Kongressausschuss anfordern.

Quellen