Microsoft vecht bevel tot afgifte Europese e-mails aan

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft gaat dus in hoger beroep.

Wie rechtsmacht heeft in de cloud, blijft een lastige vraag. Het lijkt logisch uit te gaan van waar de servers staan, maar dan wordt het met de flexibiliteit van de cloud wel erg makkelijk om van jurisdictie naar jurisdictie te hoppen.

Kijken waar het bedrijf gevestigd is, is dan misschien beter. Maar hoe ga je dan om met buitenlandse dochters? Het doet gek aan dat je die niets zou mogen vragen terwijl ze toch net zo goed deel van het binnenlandse bedrijf zijn.

Binnen het Amerikaanse strafrecht komt deze vraag neer op de vraag hoe je een cloudmailopeising moet kwalificeren: een doorzoeking of een opvraging? Dit zijn grofweg de twee manieren om als Justitie iets te pakken te krijgenL langsgaan of het laten brengen.

Als je het ziet als een doorzoeking, dan is het bevel onterecht: Amerikaanse Justitie of politie mag geen buitenlandse panden doorzoeken, ook niet als ze eigendom zijn van een Amerikaan. Maar als je het ziet als een opeising dan mag het wel: een Amerikaan kan worden gedwongen naar zijn buitenlandse huis te gaan en daar iets op te halen als dat nodig is voor een strafrechtelijk onderzoek.

De rechtbank bevestigt nu dat ze lezing twee hanteert. Microsoft mag de mail dus gaan halen – of kan het haar dochter laten brengen, dat is om het even.

Het is goed dat Microsoft in beroep gaat, want dit maakt het wel érg makkelijk om wereldwijd dingen op te eisen die digitaal opgeslagen staan. Hoewel ik niet meteen een juridisch argument weet tegen het feit dat data geen pand is en dus wel een ding moet zijn, oftewel iets dat opeisbaar is in plaats van doorzoekbaar.

Arnoud

20 reacties

    1. Of een manier om de zelfde gegevens op “legitieme” manier te verkrijgen, om ze te kunnen gebruiken in een rechtszaak. Het is nogal vervelend voor de NSA om bepaalde gegevens wel te hebben, maar er niets mee te kunnen doen omdat ze illegaal zijn verkregen of omdat ze daarmee zouden onthullen dat ze bij die gegevens kunnen.

      Dit is een nogal vervelende gang van zaken. De NSA verzamelt allerlei bulk-gegevens van normale mensen zoals jij en ik. Vervolgens gaan ze met Google-achtige zoek-algoritmes zoeken naar bepaalde patronen die ze associëren met terrorisme en dergelijke. Doordat er zoveel onschuldige mensen zijn, zullen de meeste matches ook onschuldige mensen zijn. Toch zal de NSA deze mensen als verdachten behandelen, en op zoek gaan naar bevestigend bewijsmateriaal, waarbij ontlastend bewijsmateriaal genegeerd wordt. Zodra ze klaar zijn, zal het bevestigend bewijsmateriaal via deze weg opgevraagd worden, waarna het (meestal onschuldige) slachtoffer een groot probleem heeft.

      1. De NSA verzamelt allerlei bulk-gegevens van normale mensen zoals jij en ik.
        . Die bulkgegevens zijn over het algemeen gegevens die onderdeel zijn van de bedrijfsveoring van die bedrijven (bv belgegevens, inlogggevens, accountgegevens of creditcardbetalingen) maar geen gegevens van klanten (emails, bestanden). Die kunnen ze alleen met individuele gerechterlijke bevelen opvragen en niet in bulk. Deze zaak gaat juist niet over die bedrijfsgegevens maar over die gegevens van een klant.

        1. hAl, iemand die jouw Internetverkeer afluistert (en we weren dat de NSA en haar vrienden dat doen) kan meelezen met jouw email. De onderschepping kan plaats vinden wanneer de email bij jouw provider wordt afgeleverd of wanneer jij het ophaalt.

  1. Het doet gek aan dat je die niets zou mogen vragen terwijl ze toch net zo goed deel van het binnenlandse bedrijf zijn.

    Kan het niet zo zijn dat het Amerikaanse moederbedrijf kan worden gedwongen om de gegevens op te vragen bij het Ierse dochterbedrijf, en het Ierse dochterbedrijf vervolgens verboden kan worden (volgens Ierse / Europese privacy-wetgeving) om de gegevens te leveren? Ze moeten zich immers allebei aan de lokaal geldende wetten houden.

    De normale gang van zaken is natuurlijk dat een dochterbedrijf doet wat het moederbedrijf beveelt, maar ik denk dat er wel uitzonderingssituaties zijn. Een verbod door lokale wetgeving zal wel zo’n uitzondering zijn. Maar hoe zit het met immorele bevelen die niet duidelijk tegen lokale wetgeving ingaan? Een beroep doen op lokale “opvul”-wetgeving zoals onze “onrechtmatige daad”?

    1. Kan het niet zo zijn dat het Amerikaanse moederbedrijf kan worden gedwongen om de gegevens op te vragen bij het Ierse dochterbedrijf, en het Ierse dochterbedrijf vervolgens verboden kan worden (volgens Ierse / Europese privacy-wetgeving) om de gegevens te leveren? Ze moeten zich immers allebei aan de lokaal geldende wetten houden.

      Dat is precies het probleem. Het zou best kunnen dat Microsoft US wel bij die gegevens kan maar dat mogen ze niet vanwege Ierse wetgeving. Microsoft zit in dit geval dus ‘between a rock and a hard place’ want wat ze ook doen, ze zullen ofwel Amerikaanse wetgeving negeren, ofwel Ierse wetgeving overtreden. De enige oplossing (niet voor deze zaak natuurlijk) zou zijn om geen dochterbedrijven te hebben maar partnerbedrijven; ieder ‘kantoor’ in een ander land is dan zelfstandig en onderworpen aan de lokale wetgeving, en het moederbedrijf kan dan niet gedwongen worden om gegevens af te staan. Fiscaalgezien is dat helaas niet interessant voor multinationals vanwege de daardoor wegvallende belastingvoordelen/-paradijzen.

      Lastig voor Microsoft, maar wel interessant om te volgen.

      1. De enige oplossing (niet voor deze zaak natuurlijk) zou zijn om geen dochterbedrijven te hebben maar partnerbedrijven
        Dochterbedrijven kunnen de verzoeken uit de VS ook gewoon weigeren als dat niet conformeert met de lokale (bv EU) wetgeving van waar de dchter gevestigd is.

        Hier is de zwakte van de EU wetgeving. Er is geen concrete EU wet of regelgeving die een dergelijk opvraging uit de VS verbied. Er is wel privacy wetgeving maar die kent juist allerlei uitzonderingen voor opvragingen door overheden en biedt EU dochters onvoldoende duidelijke houvast voor het weigeren van US data opvragingen.

        Het is doodsimpel voor de EU om in regelgeving vast te leggen dat buitenlandse overheden geen gegevens van EU burger mogen opvragen en dat het voldoen aan dergelijke opvragen door bedrijven bestraft kan worden met gigantisch boetes (bv 10% van de wereldwijde omzet) of een verbod om nog zaken te doen in de EU. Daarvoor moet danwaarschijnlijk ook vastgelegd worden dat een buitenlands bedrijf geen eigenaar wordt van electronische communicaties van EU burgers die ze opslaan (waar ze die ook opslaan)

        1. In Frankrijk is die wetgeving er in het kader van Amerikaanse Discovery verzoeken. Er staat gevangenis straft op het meewerken aan een discovery verzoek, zonder dat de juiste weg via de Franse rechtbank is bewandeld. En een advocaat in Frankrijk kan al een gevangenis straf krijgen voor het simpelweg doen van een verzoek tot overhandigen van data zonder via de Franse rechtbank te gaan!

          <a href=”http://www.jonesday.com/files/Publication/a52851fa-6c10-4467-afcb-0894b8ae6e73/Presentation/PublicationAttachment/206bf819-b8c9-41c8-bbe3-0dd390b8ed0e/The%20Practical%20Litigator%20-“%20The%20Perils%20Of%20Taking%20Discovery%20To%20France%20(LM%20-%20OA)%20-%20septem.pdf”>Een leuk stuk hierover

  2. De rechtbank bevestigt nu dat ze lezing twee hanteert

    In de VS heb je de warrant en de subpoena. Een court ordered subpoena is het gerechterlijk bevel waarbij de rechtbank iemand kan bevelen om te getuigen of specifieke bewijs in zijn bezit mee te nemen naar een rechtszaak.

    De VS gebruikt heir echter geen subpoena maar een warrant. En dat is dus wel degelijk een soort doorzoekings of beslagleggingsbevel dat je normaal nooit buiten de landsgrenzen zou kunnen gebruiken.

    Amerikaanse justitie probeert eigenlijk een warrant te gebruiken als subpoena. Maar met een subpoena kun je van een bedrijf alleen diens bedrijfsgegevens opvragen en dus geen inhoudelijke gegevens van een klant van het bedrijf opvragen. Een bekende vorm van subpoena is de National Security Letter (NSL) uit de patriot act. Daarmee kun je wel iemands accountgegevens of ip adressen opvragen van de provider of creditcard betalingsgegevens van creditcardmaatschappijn maar niet iemands emails of bestanden.

    Het is dus heel raar dat de rechtbank nu voor een warrent de lezing hanteert dat het eingelijk een subpoena zou zijn.

    Zie ook: https://cdt.org/insight/neither-warrants-nor-subpoenas-should-reach-data-stored-outside-the-us/

  3. Maar als je het ziet als een opeising dan mag het wel: een Amerikaan kan worden gedwongen naar zijn buitenlandse huis te gaan en daar iets op te halen als dat nodig is voor een strafrechtelijk onderzoek.

    Er zijn landen waar het niet toegestaan is bepaalde voorwerpen uit te voeren, bijvoorbeeld wanneer het gaat om kunst of voorwerpen van archeologische waarde. Dan kun je ook klem komen te zitten tussen Amerikaanse en niet-Amerikaanse wetgeving.

  4. Maar vallen de handelingen van buitenlandse werknemers van een bedrijf wel onder de jurisdictie van een Amerikaanse rechter? Kan het Amerikaanse rechtssysteem een werknemer in Ierland dwingen, iets te doen?

    Als de Amerikaanse werknemers van Microsoft geen toegang hebben tot de Ierse servers, en de Ierse werknemers weigeren, het wachtwoord over te dragen, wat kan die rechter dan nog doen?

  5. Een ander aspect is natuurlijk: kan de moeder de dochter wel dwingen?

    Ik denk het niet, toch in ieder geval heel moeilijk. Een moederbedrijf heeft de aandelen, maar kan niet direct in detail afdwingen wat de dochter van dag tot dag moet doen.

    Stel, Microsoft moet het leveren van de US rechtbank. Wat gaat er dan gebeuren?

    Microsoft vraagt aan de bedrijfsleider van MS Ierland om de gegevens. Die zegt na een paar weken bedenktijd vriendelijk: Nee, want dan breek ik de Ierse wet.

    Na een paar emails heen en weer en overleggen tussen advocaten wordt de bedrijfsleider ontslagen, die ongetwijfeld een contract onder Iers recht heeft; Dan is Leiden, of Dublin, in last: ik wordt ontslagen omdat ik weiger de wet te breken. Goede beurt Microsoft, de kranten zullen smullen.

    Na een tijdje zit er een bedrijfsleider die wat meegaander is. Die vraagt aan zijn mensen om de betreffende data te verzamelen en op te sturen. Die mensen weigeren, met hetzelfde argument. Daar zal ook wel een oplossing voor komen, maar dat kost ook weer tijd.

    En als dan eindelijk de data toegankelijk gemaakt kan worden voor de US, staat daar de politie aan de Ierse deur die de tip heeft gekregen dat er een misdaad staat te gebeuren en dat ze die zullen tegenhouden, daar zijn ze immers voor.

    Kortom: de uitvoering van een dergelijke verzoek vereist de medewerking van een aantal mensen die elk op hun beurt op goede gronden die medewerking kunnen weigeren.

    En als MS niet wil meewerken (en daar lijkt het op) dan zal het geheel nog langer duren. De US rechtbank kan toch moeilijk van MS eisen dat ze een boardmeeting bijeenroepen om de Ierse bedrijfsleider te ontslaan omdat hij de wet niet wil breken?

    1. Na een paar emails heen en weer en overleggen tussen advocaten wordt de bedrijfsleider ontslagen, die ongetwijfeld een contract onder Iers recht heeft; Dan is Leiden, of Dublin, in last: ik wordt ontslagen omdat ik weiger de wet te breken.

      In Nederland zal een ontslag dan zelfs niet geldig/ongegegrond zijn en door een rechter teruggedraaid worden. Je kunt dus helemaal niet iemand ontslaan die een opdracht weigert die onwettig is.

    2. De simpelste oplossing zou dan zijn om iets te vragen wat niet tegen de wet is: bv een admin/audit account die door een MS werknemer in de VS gebruikt kan worden om de data in Ierland op te halen. Zolang ze in Ierland dat laatste maar officieel niet weten hebben ze geen reden om deze opdracht te weigeren.

      En naderhand kan de dochter het netjes melden bij de Ierse overheid die vervolgens een gerechtelijk onderzoek kan instellen en om uitlevering van de Amerikaanse werknemer kan vragen.

      1. Slechte oplossing. Vooral omdat het nogal achterbaks is (dat moeten we overlaten aan de geheime diensten, die hebben daar patent op, en zijn er erg goed in), en Amerika levert geen eigen burgers uit aan andere landen. Dus die medewerker zul je nooit kunnen berechten. Het zou mij niets verbazen als Microsoft – ongeacht of ze het hoger beroep winnen of verliezen – gedwongen wordt om mee te werken. Door middel van een gag order is dat prima te regelen; mocht het ooit uitkomen (in Ierland) dat Microsoft die emails wel overhandigd heeft, dan draait Microsoft er voor op. De Amerikaanse overheid blijft buitenspel. Helaas.

        1. Als ze het hoger beroep winnen gaan ze zeker niet meewerken en kunnen ze ook niet met een gagorder gedwongen worden.

          Een lagere rechter of een opsporingsinstantie kan niet eventjes een uitspraak van een hogere rechtbank webpoetsen met een bevel met en gag order. Dat is gewoon onzin.

  6. > cloudmailopeising

    Hoej! Gefeliciteerd, U wint de weekprijs voor de meest creatieve samenstelling van de week! Over uitrijking en inhoud van de prijs zal met U te zijner tijd nog nader contact worden opgenomen.

    Vertrouwend U hiermee afdoende te hebben bericht, verblijven wij, met de meeste Hoogachting,

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.