Gestern veröffentlichte Microsoft seinen ersten „Law Enforcement Report (2012)“ und gibt in diesem Auskunft darüber, wie oft Strafverfolgungsbehörden die Herausgabe von Nutzerdaten beantragt haben und wie die Reaktion auf diese Anfragen ausgefallen ist.
Mit dem Bericht adressiert Microsoft das öffentliche Interesse an der Transparenz im Zusammenhang mit der Kooperation von Technologie-Unternehmen und internationalen Strafverfolgungsbehörden. In der Begründung verweist Microsoft auf Googles und Twitters wertvolle Beiträge in Form des eigenen Zurverfügungstellens der Daten. Ein Beispiel, dem der Software-Riese nun in regelmäßigen Zeitabständen, d.h. alle 6 Monate, folgen wird.
Demzufolge erhielt Microsoft im Jahr 2012 insgesamt 75.378 Anfragen, die ihrerseits 137.424 Microsoft-Accounts betrafen. Diese Werte erscheinen auf den ersten Blick mit Sicherheit sehr hoch, tatsächlich relevant ist aber, wie viele dieser Anfragen – aus der Sicht der jeweiligen Behörde – Erfolg hatte. Auch hierzu äußert sich Microsoft: Lediglich 2,2% (1.558 Anfragen) mündeten in der Herausgabe von Customer-Content Daten. Dies ist ein schätzungsweise geringer Anteil, der gewiss dem bedachten Umgang mit sensiblen Daten (vgl. Zitat unten) geschuldet ist. Dahingegen wurden in 79,8% der Anfragen sogenannte Non-Content Daten zur Verfügung gestellt.
Wir benötigen eine gültige Vorladung oder rechtlich gleichgestellte Maßnahme, bevor wir die Bereitstellung von „Non-Content“-Daten an Strafverfolgungsbehörden prüfen
Wir benötigen eine gerichtliche Anordnung, bevor wir die Bereitstellung von „Customer Content“-Daten an Strafverfolgungsbehörden prüfen.
Wir schauen uns jeden Fall genau an, um sicherzustellen, dass jede Anfrage im Hinblick auf Nutzerdaten mit den Gesetzen und vorgesehenen Verfahren im Einklang steht.
Quelle: Microsoft (blogs.technet.com)
Als „Customer-Content“ Daten bezeichnet Microsoft unter anderem den Betreff und Inhalt einer Email, die über Outlook.com übermittelt wurde. Zudem fallen Bilder, die auf SkyDrive gespeichert werden unter den Begriff des Customer Contents.
„Non-Content“ Daten betreffen hingegen die Informationen in Verbindung mit dem einzelnen Nutzerkonto, namentlich die Email-Adresse, der Name, das Herkunftsland, das Geschlecht, die IP Adresse und ähnliches.
Die oben erwähnten 1.558 erfolgreichen (Customer-Content-)Anfragen hatten in mehr als 99% der Fälle ihren Ursprung in den USA bzw. den dort agierenden Behörden. Genau genommen hat Microsoft in gerade einmal 14 Fällen Customer-Content Daten an Behörden außerhalb der USA herausgegeben. Zu diesen Ländern zählen Brasilien, Irland, Kanada und Neuseeland. Den verbleibenden 18% (12.718) der Anfragen entsprach Microsoft jedoch nicht. Hierfür werden zweierlei Gründe angegeben: Entweder lagen die betreffenden Daten nicht vor oder die Anfrage genügte nicht den rechtlichen Anforderungen. Wie es sich mit der Herausgabe von Non-Content Daten verhält, lässt sich im Detail unter diesem Link (PDF-Dokument) einsehen.
Nun erscheint fraglich, ob Microsoft mit diesem Schritt ein Mehr an Vertrauen oder exakt das Gegenteil erzeugt. Denn bestehendes Misstrauen könnte bei entsprechenden Negativschlagzeilen, die die Werte aus dem Kontext reißen, lediglich gefestigt werden. Dabei ist offensichtlich, dass Microsoft mithilfe des Law Enforcement Reports den verantwortungsbewussten Umgang mit den Daten der Nutzer signalisieren möchte.