Hosting-Risiko USA
Noch komplizierter wird es, wenn Anbieter wie Google die Mails irgendwo auf der Welt lagern. Auf welcher Rechtslage kann dann ermittelt werden? Und vor dem Hintergrund der von amerikanischen Gerichten angewandten E-Discovery-Regeln sollte sich jeder Entscheider ernsthaft fragen, ob er es sich mit Blick auf die deutschen Datenschutzgesetze leisten kann, personenbezoge Daten, zu denen auch E-Mails gehören, bei einem US-Unternehmen zu speichern.
Die Annahme, dass man dieses Problem umschiffen könnte, indem man einen amerikanischen Anbieter wählt, der nach Safe Harbor zertifiziert ist und damit die höheren EU-Datenschutzstandards einhält, ist ein gefährlicher Trugschluss. So wurde im Zuge der australischen Galexia-Studien festgestellt, dass sich nur 3,4 Prozent der Safe Harbor beigetretenen Unternehmen auch an die dortigen Grundsätze halten. Und von 2170 Unternehmen, die behaupteten, die Datenschutzgrundsätze zu praktizieren, waren 388 gar nicht registriert, und bei 181 waren die Zertifikate abgelaufen. Zudem genügten 940 Unternehmen nicht den Grundsätzen des Abkommens.
Mogelpackung Safe Harbor
Angesichts dieser desaströsen Ergebnisse verschärfte am 29. April 2010 der Düsseldorfer Kreis - ein Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden - seine Richtlinien in Sachen Safe Harbor. Seitdem muss ein Unternehmen aktiv überprüfen, ob sein amerikanischer Partner oder Anbieter diesen Bestimmungen wirklich genügt.