AWS, oder Amazon Web Services, ist ein bekannter Anbieter von Cloud Computing. Da der Dienst in den Vereinigten Staaten angesiedelt ist, haben Unternehmen, die ihn in Europa nutzen, hÀufig Bedenken hinsichtlich des Datenschutzes. Wir haben eine Liste von Dingen zusammengestellt, an die Sie denken sollten, wenn es um AWS, DSGVO und Datensicherheit geht.
Beim Cloud Computing werden die Daten auf den Servern des jeweiligen Anbieters und nicht auf den eigenen Servern gespeichert. Diese Idee bietet Unternehmen den Vorteil, dass sie nicht ihre gesamte technologische Infrastruktur mit eigenen Mitarbeitern verwalten mĂŒssen. Stattdessen werden diese TĂ€tigkeiten vom Cloud-Computing-Anbieter ĂŒbernommen, der fĂŒr seine Dienste eine monatliche GebĂŒhr erhĂ€lt. Gleichzeitig bietet der Dienst eine deutlich verbesserte Sicherheit vor Hackerangriffen und Datenverlusten, was ihn noch attraktiver macht. Die Kehrseite der Medaille ist jedoch, dass Sie alle Ihre auf AWS-Servern gespeicherten Unternehmensdaten einem Dritten mit Sitz in den Vereinigten Staaten ĂŒberlassen.
Amazon Web Services und Datenschutz: Was sind die Herausforderungen?
Wenn es um die Verarbeitung personenbezogener Daten geht, mĂŒssen Unternehmen, die in der EU tĂ€tig sind, die Vorschriften der Datenschutz-Grundverordnung einhalten. Es ist von entscheidender Bedeutung, das Datenschutzniveau der DSGVO einzuhalten oder es auf ein mit dem der EU vergleichbares Niveau anzuheben, unabhĂ€ngig davon, wo die Daten ĂŒbermittelt und gespeichert werden. Wenn interne Daten und Kundendaten auf den Servern von Amazon gespeichert werden, werden sie möglicherweise nicht in der EU aufbewahrt. Infolgedessen muss das Niveau der Datensicherheit gesondert bewertet werden. Wenn Amazon die Daten in den Vereinigten Staaten speichert, werden sie an einen Drittstaat auĂerhalb der EU ĂŒbermittelt. Die Datenschutzgesetze in den Vereinigten Staaten sind beispielsweise weniger streng als in Europa, so dass der Dienst nicht verfĂŒgbar ist.
Andererseits mĂŒssen Unternehmen in der EU regelmĂ€Ăig prĂŒfen und bestĂ€tigen, dass die VertrĂ€ge mit den Datenschutzanforderungen ĂŒbereinstimmen. Wie schwierig diese Wahrheit sein kann, wollen wir anhand des folgenden Szenarios demonstrieren: Zum Beispiel nutzt „Doctolib“ in Frankreich AWS ĂŒber AWS Sarl in Luxemburg, die eine Tochtergesellschaft von Amazon Web Services in den USA ist. Aus der Sicht von „Doctolib“ besteht lediglich eine vertragliche Bindung mit einem europĂ€ischen Unternehmen, das den DSGVO-Vorschriften unterliegt. Aufgrund der Unternehmensstruktur von AWS ermöglicht der Patriot Act der US-Regierung jedoch den Zugriff auf die Daten. ZusĂ€tzliche vertragliche Vereinbarungen, die den Zugriff auf Daten aus Drittstaaten wie den Vereinigten Staaten einschrĂ€nken, sind in der Regel die einzige Option. Technische Lösungen wie die DatenverschlĂŒsselung mit SSL geben die Freiheit, trotz aller Widrigkeiten mit US-Dienstleistern zusammenzuarbeiten.
Welche Rolle spielen die neuen Standardvertragsklauseln, um sicherzustellen, dass AWS in einer Weise genutzt wird, die dem Datenschutz entspricht?
Standardvertragsklauseln (VSK) sind ein von der EuropĂ€ischen Kommission entwickeltes sogenanntes Vertragsmodell, das es dem EuropĂ€ischen Wirtschaftsraum und Drittstaaten ermöglicht, sich vertraglich auf europĂ€ische Datenschutzanforderungen zu einigen. Die EuropĂ€ische Kommission hat im Juni 2021 neue Standardvertragsklauseln vorgeschlagen, die am 27. September 2021 fĂŒr neue VertrĂ€ge in Kraft treten und bis zum 27. Dezember 2022 schrittweise fĂŒr bestehende VertrĂ€ge umgesetzt werden mĂŒssen. Als DSGVO-konforme ErgĂ€nzung hat Amazon diese Standardvertragsklauseln bereits in die AWS-DatenschutzerklĂ€rung aufgenommen. Sie werden nun automatisch angewendet.
Ist es notwendig, AWS in der DatenschutzerklÀrung zu erwÀhnen?
Wenn Sie als AWS-Kunde personenbezogene Daten auf Amazon-Servern speichern, mĂŒssen Sie Ihre DatenschutzerklĂ€rung entsprechend aktualisieren. Sie geben dort an, dass AWS Ihr Hosting-Anbieter ist. Abschnitt 13 (1) der Datenschutz-Grundverordnung legt rechtliche Richtlinien fĂŒr die genaue Offenlegung dessen fest, was und wie Sie Daten verwenden und weitergeben. Verweisen Sie auf die AWS-DatenschutzerklĂ€rung und die Allgemeinen GeschĂ€ftsbedingungen, damit Ihre Kunden die Praktiken von Amazon unabhĂ€ngig ĂŒberprĂŒfen können.
Auch wenn Amazon durch die frĂŒhzeitige Einbeziehung der neuen Standardvertragsbedingungen rechtskonform vorangeht, sollten Sie prĂŒfen, was hinter den Kulissen geschieht, und eventuell zusĂ€tzliche Schritte mit dem Unternehmen unternehmen, um persönliche Daten zu schĂŒtzen.