En undersøgelse af retsstillingen omkring tredjelandsoverførsler ved anvendelse af amerikanske cloudtjenester set i lyet af Schrems II dommen.
Oversat titel
An investigation on the legal status of transfers to third countries when using American cloud services in the light of the Schrems II-ruling
Forfatter
Sørensen, Jakob Bjørn
Semester
4. semester
Uddannelse
Udgivelsesår
2022
Afleveret
2022-05-12
Antal sider
54
Resumé
Denne afhandling undersøger de grænseoverskridende overførsler, der opstår, når organisationer i EU/EØS bruger amerikanske cloudtjenester som Microsoft, Google og Amazon. Den spørger, hvordan ‘dataeksportører’, der er underlagt databeskyttelsesforordningen (GDPR), kan fortsætte med at anvende amerikanske cloudtjenester, selv om disse udbydere er omfattet af amerikanske overvågningslove, herunder FISA 702, EO 12.333 og CLOUD Act, i lyset af EU-Domstolens dom i Schrems II. Med en retsdogmatisk metode—en systematisk analyse af lovgivning, retspraksis og myndighedsvejledninger—beskriver afhandlingen den aktuelle retlige situation. Den forklarer Schrems II-dommen og dens betydning for tilfælde, hvor en amerikansk databehandler behandler personoplysninger på vegne af en dataansvarlig i EU/EØS. Det Europæiske Databeskyttelsesråds anbefalinger om supplerende foranstaltninger behandles som en central fortolkningskilde og anvendes på et fiktivt, men typisk scenarie for en EU/EØS-organisation, der bruger amerikanske cloudtjenester til forskellige formål. Afhandlingen drøfter også afgørelser fra flere europæiske tilsynsmyndigheder for at belyse, om og på hvilke betingelser den fortsatte brug af amerikanske cloududbydere er lovlig. Analysen konkluderer, at der findes visse lovlige brugsscenarier, men ofte kun når tjenesterne i det væsentlige begrænses til lagringsfunktioner. Samtidig peges der på vedvarende usikkerhed som følge af manglende ensartet anvendelse af GDPR på tværs af EU/EØS.
This thesis examines cross-border transfers that occur when organisations in the EU/EEA use U.S.-based cloud service providers such as Microsoft, Google and Amazon. It asks how ‘data exporters’ subject to the General Data Protection Regulation (GDPR) can continue to rely on U.S. cloud services even though those providers are subject to U.S. surveillance laws, including FISA 702, EO 12.333 and the CLOUD Act, in the wake of the Court of Justice of the European Union’s Schrems II judgment. Using a legal dogmatic method—systematic analysis of legislation, case law and regulatory guidance—the thesis describes the current legal position. It explains the Schrems II ruling and its implications for situations where a U.S. data processor handles personal data on behalf of an EU/EEA data controller. The European Data Protection Board’s recommendations on supplementary measures are treated as a key interpretative guide and are applied to a fictional but typical scenario of an EU/EEA organisation using American cloud services for various purposes. The thesis also discusses decisions by several EU supervisory authorities to clarify whether, and under what conditions, continued use of U.S. cloud providers is lawful. The analysis concludes that some lawful use cases exist, but often only where the services are essentially limited to storage functions. It also finds persistent uncertainty due to the lack of uniform GDPR application across the EU/EEA.
[Dette resumé er omskrevet med hjælp fra AI baseret på projektets originale resumé]
Emneord