Siden 2013 har Microsoft og den amerikanske regering ligget i juridisk skyttegravskrig. Stridspunktet er, om USA’s myndigheder med retskendelser kan få adgang til data gemt uden for landets grænser – nærmere bestemt på servere i Irland.
Nu har USA’s Højesteret sendt striden tilbage til start.
Årsagen er en ny lov – kaldet Cloud Act – der fastsætter nye regler for, hvordan myndigheder kan indhente data. Loven fik USA’s myndigheder til at droppe den retskendelse, som har bragt parterne hele vejen til Højesteret.
Og med den omstridte retskendelse af vejen erklærede domstolen sagen for meningsløs – en pointe, som Microsoft erklærede sig enig i.
Men myndighedernes beslutning betyder ikke, at de har opgivet tanken om at få fat i e-mails i Irland i forbindelse med en sag om transport af narkotika. Dem har de fået en ny retskendelse på under Cloud Act-reglerne.
Microsoft oplyser til Version2, at den nye warrant er under behandling.
Ventede på kongressen
Microsoft har længe arbejdet for klare regler på området. De hidtil gældende retskrav kommer fra 80’erne, hvor den globale data-infrastruktur blot var en vision.
It-kæmpen har argumenteret for, at lovgivere – og ikke domstolen – burde lægge linjen for fremtidens retspraksis. Da sagen nåede Højesteret i februar, valgte dommerne da også at give kongressen tid til at vedtage den ny lov.
Med Cloud Act slår de amerikanske lovgivere fast, at data skal udleveres, uanset om det opbevares i USA eller i udlandet – et forhold, den gamle lov ikke specificerede.
Dermed synes sagen nu klar ... hvis ikke, det var fordi Cloud Act understreger, at dataudleveringen skal respektere lokal lov – i denne sag altså irsk lov og snart også EU’s databeskyttelsesforordning.
I selskabets udtalelse til Højesteret står der blandt andet:
»As with every warrant it receives, Microsoft will carefully review the new warrant, including the nature and scope of the warrant, the current facts of the account location and use, and any potential grounds for objection.«
Rejser flere spørgsmål
Med højesteretssagen aflyst er der således stadig uopklarede spørgsmål.
Albert Gidari, der er Director of Privacy ved Stanford Law School, bemærker i en blog for International Association of Privacy Professionals, at Irland i en skrivelse til den nu afsluttede retssag har antydet, at retskendelsen vil krænke landets suverænitet, og at USA i stedet bør bede om data gennem en traktat mellem de to lande.
Det er derfor usikkert, om Microsoft vil udfordre kendelsen endnu en gang, skriver Gidari. Og om Irland vil tvinge selskabet til som minimum at informere landets datamyndigheder, hvis der udveksles data.
Ganske vist har den nye lov gjort det klart, at myndigheders rækkevide går ud over landets grænser, men loven »rejser flere spørgsmål i processen«.
Rejsen ikke slut
President for Microsoft Brad Smith forklarede tidligere på måneden i en blog, at selvom selskabet var tilfredse med, at lovgivere endelig har opdateret de forældede regler, så er Cloud Act blot et skridt på vejen.
»Vi har ikke sagsøgt vores egen regering fire gange og dedikeret energi til disse emner over fire somme tider lange år for at stoppe med at vise beslutsomhed nu,« skriver han.
»Lovhåndhævelse er nødt til at være effektiv og privatlivsrettigheder skal beskyttes. Denne rejse er endnu ikke fuldendt, og vi ser frem til at fortsætte med at arbejde sammen med mange andre for at få en succesfuld afslutning.«
Selvom it-selskaber som Apple, Google og Facebook har bakket op om Cloud Act, har loven mødt kritik fra diverse privacy- og borgerretsorganisationer.
Både The Center for Democracy and Technology og Electronic Frontier Foundation kritiserede lovens manglende beskyttelse af amerikanske borgeres data – f.eks. ved ikke præcist at specificere, hvornår myndigheder kan kræve data udleveret.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.