Mitte Juli 2020 haben wir bereits auf dem Blog der Website-Check GmbH, dem Legal Tech Unternehmen der DURY GRUPPE, über das Ende des EU-US Privacy Shield-Abkommens zwischen der EU und den USA berichtet. Bei dem EU-US Privacy Shield Abkommen handelte es sich seit dem Jahr 2016 um die formelle Rechtsgrundlage für die Übertragung (Verarbeitung) von personenbezogenen Daten in die USA. Zuvor hatten die EU und die USA breits das sog. Safe-Harbor Abkommen abgeschlossen, das aber im Oktober 2015 - ebenfalls vom EuGH - gekippt wurde. Bereits 2016 unkten viele Experten - u.a. auch von DURY LEGAL - dass das Nachfolgeabkommen "EU-US Privacy-Shield" genauso auf Sand gebaut sei, wie Safe-Harbor.
Der Europäische Gerichtshof (EuGH) urteilte dementsprechend am 16.07.2020 in der Rechtssache „Schrems II“ (C 311/18) - wie von den meisten Fachkreisen seit langer Zeit erwartet - dass das EU-US Privacy-Shield Abkommen nicht das Papier wert ist, auf dem es gedruckt war.
Seit dem 16. Juli 2020 haben also alle Unternehmen, die auf Cloud- und SaaS-Dienste von Unternehmen aus den USA oder deren Tochtergesellschaften gesetzt haben, ein ernsthaftes Problem; jedenfalls wenn von den Verarbeitungsvorgängen personenbezogene Daten betroffen sind. Dies betrifft insb. auch den Einsatz von Amazon-Webservices (AWS), Google-Cloud-Platform (GCP) und Microsoft-Azure, aber auch die Nutzung von Content-Delivery-Networks, wie z.B. Cloudfront, oder die Einbindung von Facebook-Services.
Lesen Sie nachfolgend, wie sich der aktuelle Stand der Sach- und Rechtslage bzgl. der Entwicklungen nach dem EuGH-Urteil in der Rechtssache "Schrems II" (C-311/18) momentan darstellt und welches Vorgehen die Datenschutz Experten von DURY LEGAL empfehlen: