Microsoft hoeft e-maildata niet af te staan

Een nieuwe fase in een slepend conflict tussen Microsoft en de Amerikaanse overheid. Het Court of Appeals for the Second Circuit in New York heeft zojuist bekend gemaakt dat Microsoft geen data aan de Amerikaanse overheid af hoeft te staan als deze buiten de Verenigde Staten zijn opgeslagen.

Op grond van de Stored Communications Act (§ 2703 om precies te zijn), en dus niet de Patriot / USA Freedom Act, eiste de VS afgifte van e-maildata van een klant van Microsoft. Complicatie hierbij was dat de data opgeslagen was op servers van Microsoft in Ierland.

Een complicatie omdat, zo stelde Microsoft in een eerdere rechtszaak over dit onderwerp, de VS niet het recht heeft om data op te vragen die zich buiten haar landsgrenzen bevinden. Hier hebben zij nu gelijk in gekregen:

When, in 1986, Congress passed the Stored Communications Act as part of the broader Electronic Communications Privacy Act, its aim was to protect user privacy in the context of new technology that required a user’s interaction with a service provider.  Neither explicitly nor implicitly does the statute envision the application of its warrant provisions overseas.  Three decades ago, international boundaries were not so routinely crossed as they are today, when service providers rely on worldwide networks of hardware to satisfy users’ 21st–century demands for access and speed and their related, evolving expectations of privacy.

Landen hebben rechtsmacht binnen hun eigen landsgrenzen. Voor opsporing / opvragen van data buiten de eigen landsgrenzen zijn overheden gebonden aan internationale verdragen of andere afspraken met de betreffende landen waar de data opgeslagen is. Naast het vraagstuk van rechtsmacht is de vordering van de VS, in dit geval, in strijd met het recht op privacy van de betreffende klant.

Op grond daarvan concluderen de rechters:

We conclude that Congress did not intend the SCA’s warrant provisions to apply extraterritorially.  The focus of those provisions is protection of a user’s privacy interests.  Accordingly, the SCA does not authorize a U.S. court to issue and enforce an SCA warrant against a United States‐based service provider for the contents of a customer’s electronic communications stored on servers located outside the United States.  The SCA warrant in this case may not lawfully be used to compel Microsoft to produce to the government the contents of a customer’s e‐mail account stored exclusively in Ireland.

Voor de liefhebbers is de gehele uitspraak hier terug te vinden.

 

ICTRecht Academy

Onze privacytrainingen geven u een goede juridische voorbereiding om bijvoorbeeld taken als privacy officer uit te kunnen voeren en uw organisatie voor te bereiden op (naderende) privacywetgeving.

 

Terug naar overzicht