Amerikansk domstol kräver ut molndata från europeiska servrar

Efter vår genomgång tidigare i veckan om vad som hänt med dataskyddsförordningen under sommaren fortsätter vi nu på temat summer recap och lyfter fram en annan intressant process som pågått under sommaren.

Den 31 juli kom en dom från en amerikansk distriktsdomstol som innebär att en amerikansk molntjänstleverantör tvingas lämna ut uppgifter som finns lagrade i ett så kallat datamoln (cloud) till amerikanska myndigheter – detta trots att uppgifterna inte lagras på servrar i USA utan på Irland.

”Det är en fråga om kontroll, inte en fråga om var informationen lagras”, förklarade domaren Loretta Preska.

Senast i onsdags kunde vi läsa om att Irlands dataskyddsminister har uttryckt sin ”allvarliga oro” över domen som riskerar att ”skapa en betydande rättsosäkerhet för konsumenter och företag på Irland och inom EU med avseende på skyddet för deras data”.

Hur började det hela?

I december 2013 godkände domaren James Francis en begäran från en åklagare i ett brottmål om att få tillgång till innehållet i ett mail som fanns lagrat på Microsofts server på Irland. Microsoft gick med på att lämna ut uppgifter såsom användarens namn och land. Däremot vägrade Microsoft att lämna ut själva innehållet i mailet och begärde därför att domaren skulle undanröja beslutet i den delen.

I april beslöt domaren att avslå Microsofts begäran. James Francis förklarade avslagsbeslutet med att begäran om utlämnandet ska ses som en blandform mellan ett så kallat ”subpoena” som riktar sig till en specifik innehavare av ett dokument (liknande ett editionsföreläggande i svensk rätt), och en ”search warrant” som riktar sig till ett specifikt utrymme (liknande husrannsakan i svensk rätt). Begäran innebar nämligen inte att utredarna rent fysiskt skulle beredas tillträde till serverhallen (utan endast till själva datan) och därför skulle utlämnandet ske enligt reglerna för editionsförelägganden. Eftersom beslutet riktade sig mot innehavaren av mailet och inte mot platsen där mailet finns, och innehavaren är en amerikansk koncern, ansågs USA ha befogenhet att begära ut mailet. Hade man istället sett begäran om utlämnande som en vanlig husrannsakan, vilket Microsoft hävdar att man bör se det som, hade den inte kunnat verkställas eftersom amerikanska myndigheter inte kan kräva tillträde till en plats utanför USA.

Microsoft överklagade domarens beslut men den 31 juli kom alltså distriktsdomstolens dom som fastställde James Francis beslut dvs. Microsoft åläggs att lämna ut mailet.

I avvaktan på de rättsliga turerna hade beslutet om Microsofts eventuella skyldighet att lämna ut mailet vilandeförklarats tillsvidare. Den 29 augusti upphävde emellertid distriktsdomstolen vilandeförklaringen vilket innebär att Microsoft måste lämna ut mailet direkt i enlighet med domen den 31 juli – dvs. kan inte invänta överklagandetiden av domen. Microsoft har sagt att man trots detta vägrar att lämna ut uppgifterna tills frågan är slutligt utredd.

Parterna har till idag, den 5 september, på sig att meddela distriktsdomstolen hur man vill gå vidare med ärendet. Microsoft har dock redan sagt att man kommer driva fråganvidare.

Microsoft får stöd från flera håll

Förutom att Irlands dataskyddsminister uttrycker sin oro över de konsekvenser som domen riskerar att få för dataskydd inom EU nämner han också att han kommer att ta frågan vidare inom EU:s organ och försöka få till en dialog med amerikanska myndigheter.

Enligt Forbes uppges den tyska regeringen ha sagt till Microsoft att man kommer att sluta att lagra data med hjälp av amerikanska företag om inte domen upphävs (!)

Microsofts har fått stöd från sina konkurrenter. Apples och Ciscos juridiska ombud har gett in ett utlåtande till domstolen som argumenterar till stöd för Microsofts inställning. Liknande utlåtanden har även getts in av branschorganisationen EFF och av Verizon.

Reflektioner

Det är tydligt att domen är en het fråga för hela branschen. För det första riskerar domen, om den inte ändras i högre instans, att försätta amerikanska företag i en situation där de måste följa både amerikansk och europeisk lag samtidigt. Om lagarna ställer motstridiga krav så riskerar företagen att bryta mot någon lag hur de än gör.  För det andra finns vissa kommersiella nackdelar. I ljuset av debatten efter Edward Snowdens avslöjanden vill de amerikanska företagen kunna försäkra europeiska kunder om att deras uppgifter inte kommer att kunna läsas av amerikanska myndigheter. Om domen står sig kan de inte lova detta ens om all data förblir lagrad på europeisk mark. Detta kan leda till en konkurrensfördel för europeiska leverantörer, som inte lyder under de amerikanska lagarna.

De amerikanska myndigheterna är å sin sida rädda för att en annan utgång skulle leda till att amerikaner kan undanhålla myndigheterna bevisning, genom att lagra komprometterande uppgifter i ett moln med servrar utomlands. Visserligen kan amerikanska myndigheter, såsom Microsoft har påpekat, i så fall få ut uppgifterna genom en förfrågan till de utländska myndigheterna, men detta innebär trots allt ett krångligare förfarande.

Domen har kommit att belysa den pågående diskussionen mellan EU och USA angående uppgifter om europeiska användare. Den juridiska knäckfrågan i den amerikanska domstolen belyser även en annan högaktuell fråga – nämligen hur regelverk som är anpassade för information som är lagrad i en lokal IT-miljö ska tillämpas på information i ett datamoln.

To be continued…