Sommaren 2020 beslutade EU att riva upp vad som kallades "EU–US Privacy Shield", då amerikanska bolag och myndigheter inte ansågs lämpliga att upplåta EU-medborgares data och uppgifter till. Domen innebar att överföring av EU-medborgares data endast tillåts ske under standardiserade kontrakt, vilka kräver att mottagarlandets integritetslagar motsvarar EU:s egen lagstiftning. Eftersom att USA:s lagar inte anses hålla samma standard avslutades därmed också dataöverföring till amerikanska parter.
Till följd av det ska nu den europeiska dataskyddsstyrelsen (EDPS) även granska europeiska kommissionen samt europeiska parlamentets användning av molntjänster från amerikanska Amazon och Microsoft, för att säkerställa att tjänsterna inte läcker data på ett vis som strider mot nuvarande dataskyddslagstiftning.
Following the outcome of the reporting exercise by the EU institutions and bodies, we identified certain types of contracts that require particular attention and this is why we have decided to launch these two investigations. I am aware that the “Cloud II contracts” were signed in early 2020 before the “Schrems II” judgement and that both Amazon and Microsoft have announced new measures with the aim to align themselves with the judgement. Nevertheless, these announced measures may not be sufficient to ensure full compliance with EU data protection law and hence the need to investigate this properly. – Wojciech Wiewiórowski, EDPS
Granskningen har två huvudsakliga punkter. Det enda är att undersöka EU-institutioners användning av molntjänster från Amazon Web Services (AWS) och Microsoft. Det andra gäller europeiska kommissionens användning av Microsoft Office 365 och om det görs i enlighet med de rekommendationer som EDPS utfärdat för användning av Microsofts produkter.
EDPS noterar även att EU i större utsträckning använder sig av molnbaserade mjukvaror, plattformar och infrastrukturer. Många av dem utvecklas av teknikjättar baserade i USA, vilket skulle kunna leda till att data delas med USA på ett vis som skulle möjliggöra otillåten övervakning av amerikanska myndigheter.
