Im Juli 2020 erließ der Europäische Gerichtshof das Urteil "C-311/18" (Schrems II Urteil) und kippte damit das US-Privacy Shield. Dies regelte bis dato den Datenaustausch von Europa in Drittländer, wie die USA.
Nach diesem Urteil herrschte eine weitreichende Unsicherheit in Bezug auf die Nutzung amerikanischer Cloud-Dienste. Im Juni 2021 schließlich veröffentlichte der Europäische Datenschutzausschuss (EDSA) seine finalen Empfehlungen zum Transfer personenbezogener Daten nach dem Schrems II Urteil.
Damit wurden klare und verlässliche Richtlinien geschaffen, an welchen sich Unternehmen orientieren müssen. Zusammengefasst bedeutet dies, dass
- die Nutzung amerikanischer Cloud-Dienste ohne weitere Maßnahmen nicht DSGVO-konform ist (auch wenn die Server in Europa stehen).
- Standardvertragsklauseln nicht mehr ausreichend sind, um DSGVO-Konformität zu erreichen.
- die von Cloud-Anbietern angebotenen Sicherheitslösungen (wie bspw. Microsoft E5 Lizenz) nicht ausreichend sind, um DSGVO-Konformität zu erreichen.
Ist eine DSGVO-konforme Cloud Nutzung weiterhin möglich?
Die gute Nachricht voran: Eine DSGVO-konforme Cloud Nutzung ist auch nach Schrems II möglich - und gar nicht so kompliziert wie es der erste Eindruck vermuten lässt. Mit den richtigen technischen Maßnahmen arbeiten Anwender wie gewohnt, während personenbezogene Daten im Hintergrund ver- und entschlüsselt werden.
Sogar Unternehmen in hochregulierten Branchen wie bspw. Banken können so bedenkenlos in die Cloud migrieren und die Vorteile moderner Multi-Cloud Umgebungen nutzen.
Dank der nun endlich sehr deutlich formulierten Handlungsempfehlungen des EDSA zum Schrems II Urteil ist klar, welche Anforderungen eine Lösung erfüllen muss, um DSGVO-Konformität herzustellen.
Worauf Unternehmen achten müssen, um jede Cloud-Anwendung DSGVO-konform nutzen zu können, erfahren Sie im aktuellen eperi Whitepaper zum Thema "DSGVO-konform in die Cloud nach Schrems II".
Laden Sie das Whitepaper jetzt kostenfrei herunter und erfahren Sie noch heute, wie Sie auch in Zukunft Cloud-Anwendungen DSGVO-konform nutzen können.
Disclaimer:
Soweit dieses Dokument juristische Erläuterunen und Ratgeber enthält, so stellen diese unverbindliche Informationen ohne jede Gewähr für Vollständigkeit und Richtigkeit dar. Es handelt sich insoweit nicht um Rechtsberatung und die Eperi GmbH erhebt auch keinesfalls den Anspruch eine solche darzustellen oder gar zu ersetzen.
