INFORMATIONEN

Ist AWS DSGVO-konform? Ist der Cloud-Dienst von Amazon DSGVO-konform?

AWS, oder Amazon Web Services, ist ein bekannter Anbieter von Cloud Computing. Da der Dienst in den Vereinigten Staaten angesiedelt ist, haben Unternehmen, die ihn in Europa nutzen, häufig Bedenken hinsichtlich des Datenschutzes. Wir haben eine Liste von Dingen zusammengestellt, an die Sie denken sollten, wenn es um AWS, DSGVO und Datensicherheit geht.

Beim Cloud Computing werden die Daten auf den Servern des jeweiligen Anbieters und nicht auf den eigenen Servern gespeichert. Diese Idee bietet Unternehmen den Vorteil, dass sie nicht ihre gesamte technologische Infrastruktur mit eigenen Mitarbeitern verwalten müssen. Stattdessen werden diese Tätigkeiten vom Cloud-Computing-Anbieter übernommen, der für seine Dienste eine monatliche Gebühr erhält. Gleichzeitig bietet der Dienst eine deutlich verbesserte Sicherheit vor Hackerangriffen und Datenverlusten, was ihn noch attraktiver macht. Die Kehrseite der Medaille ist jedoch, dass Sie alle Ihre auf AWS-Servern gespeicherten Unternehmensdaten einem Dritten mit Sitz in den Vereinigten Staaten überlassen.

Amazon Web Services und Datenschutz: Was sind die Herausforderungen?

Wenn es um die Verarbeitung personenbezogener Daten geht, müssen Unternehmen, die in der EU tätig sind, die Vorschriften der Datenschutz-Grundverordnung einhalten. Es ist von entscheidender Bedeutung, das Datenschutzniveau der DSGVO einzuhalten oder es auf ein mit dem der EU vergleichbares Niveau anzuheben, unabhängig davon, wo die Daten übermittelt und gespeichert werden. Wenn interne Daten und Kundendaten auf den Servern von Amazon gespeichert werden, werden sie möglicherweise nicht in der EU aufbewahrt. Infolgedessen muss das Niveau der Datensicherheit gesondert bewertet werden. Wenn Amazon die Daten in den Vereinigten Staaten speichert, werden sie an einen Drittstaat außerhalb der EU übermittelt. Die Datenschutzgesetze in den Vereinigten Staaten sind beispielsweise weniger streng als in Europa, so dass der Dienst nicht verfügbar ist.

Andererseits müssen Unternehmen in der EU regelmäßig prüfen und bestätigen, dass die Verträge mit den Datenschutzanforderungen übereinstimmen. Wie schwierig diese Wahrheit sein kann, wollen wir anhand des folgenden Szenarios demonstrieren: Zum Beispiel nutzt „Doctolib“ in Frankreich AWS über AWS Sarl in Luxemburg, die eine Tochtergesellschaft von Amazon Web Services in den USA ist. Aus der Sicht von „Doctolib“ besteht lediglich eine vertragliche Bindung mit einem europäischen Unternehmen, das den DSGVO-Vorschriften unterliegt. Aufgrund der Unternehmensstruktur von AWS ermöglicht der Patriot Act der US-Regierung jedoch den Zugriff auf die Daten. Zusätzliche vertragliche Vereinbarungen, die den Zugriff auf Daten aus Drittstaaten wie den Vereinigten Staaten einschränken, sind in der Regel die einzige Option. Technische Lösungen wie die Datenverschlüsselung mit SSL geben die Freiheit, trotz aller Widrigkeiten mit US-Dienstleistern zusammenzuarbeiten.

Welche Rolle spielen die neuen Standardvertragsklauseln, um sicherzustellen, dass AWS in einer Weise genutzt wird, die dem Datenschutz entspricht?

Standardvertragsklauseln (VSK) sind ein von der Europäischen Kommission entwickeltes sogenanntes Vertragsmodell, das es dem Europäischen Wirtschaftsraum und Drittstaaten ermöglicht, sich vertraglich auf europäische Datenschutzanforderungen zu einigen. Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln vorgeschlagen, die am 27. September 2021 für neue Verträge in Kraft treten und bis zum 27. Dezember 2022 schrittweise für bestehende Verträge umgesetzt werden müssen. Als DSGVO-konforme Ergänzung hat Amazon diese Standardvertragsklauseln bereits in die AWS-Datenschutzerklärung aufgenommen. Sie werden nun automatisch angewendet.

Ist es notwendig, AWS in der Datenschutzerklärung zu erwähnen?

Wenn Sie als AWS-Kunde personenbezogene Daten auf Amazon-Servern speichern, müssen Sie Ihre Datenschutzerklärung entsprechend aktualisieren. Sie geben dort an, dass AWS Ihr Hosting-Anbieter ist. Abschnitt 13 (1) der Datenschutz-Grundverordnung legt rechtliche Richtlinien für die genaue Offenlegung dessen fest, was und wie Sie Daten verwenden und weitergeben. Verweisen Sie auf die AWS-Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen, damit Ihre Kunden die Praktiken von Amazon unabhängig überprüfen können.

Auch wenn Amazon durch die frühzeitige Einbeziehung der neuen Standardvertragsbedingungen rechtskonform vorangeht, sollten Sie prüfen, was hinter den Kulissen geschieht, und eventuell zusätzliche Schritte mit dem Unternehmen unternehmen, um persönliche Daten zu schützen.