INFORMATIONEN

Ist AWS DSGVO-konform? Ist der Cloud-Dienst von Amazon DSGVO-konform?

AWS, oder Amazon Web Services, ist ein bekannter Anbieter von Cloud Computing. Da der Dienst in den Vereinigten Staaten angesiedelt ist, haben Unternehmen, die ihn in Europa nutzen, häufig Bedenken hinsichtlich des Datenschutzes. Wir haben eine Liste von Dingen zusammengestellt, an die Sie denken sollten, wenn es um AWS, DSGVO und Datensicherheit geht.

Beim Cloud Computing werden die Daten auf den Servern des jeweiligen Anbieters und nicht auf den eigenen Servern gespeichert. Diese Idee bietet Unternehmen den Vorteil, dass sie nicht ihre gesamte technologische Infrastruktur mit eigenen Mitarbeitern verwalten müssen. Stattdessen werden diese Tätigkeiten vom Cloud-Computing-Anbieter übernommen, der für seine Dienste eine monatliche Gebühr erhält. Gleichzeitig bietet der Dienst eine deutlich verbesserte Sicherheit vor Hackerangriffen und Datenverlusten, was ihn noch attraktiver macht. Die Kehrseite der Medaille ist jedoch, dass Sie alle Ihre auf AWS-Servern gespeicherten Unternehmensdaten einem Dritten mit Sitz in den Vereinigten Staaten überlassen.

Amazon Web Services und Datenschutz: Was sind die Herausforderungen?

Wenn es um die Verarbeitung personenbezogener Daten geht, müssen Unternehmen, die in der EU tätig sind, die Vorschriften der Datenschutz-Grundverordnung einhalten. Es ist von entscheidender Bedeutung, das Datenschutzniveau der DSGVO einzuhalten oder es auf ein mit dem der EU vergleichbares Niveau anzuheben, unabhängig davon, wo die Daten übermittelt und gespeichert werden. Wenn interne Daten und Kundendaten auf den Servern von Amazon gespeichert werden, werden sie möglicherweise nicht in der EU aufbewahrt. Infolgedessen muss das Niveau der Datensicherheit gesondert bewertet werden. Wenn Amazon die Daten in den Vereinigten Staaten speichert, werden sie an einen Drittstaat außerhalb der EU übermittelt. Die Datenschutzgesetze in den Vereinigten Staaten sind beispielsweise weniger streng als in Europa, so dass der Dienst nicht verfügbar ist.

Andererseits müssen Unternehmen in der EU regelmäßig prüfen und bestätigen, dass die Verträge mit den Datenschutzanforderungen übereinstimmen. Wie schwierig diese Wahrheit sein kann, wollen wir anhand des folgenden Szenarios demonstrieren: Zum Beispiel nutzt „Doctolib“ in Frankreich AWS über AWS Sarl in Luxemburg, die eine Tochtergesellschaft von Amazon Web Services in den USA ist. Aus der Sicht von „Doctolib“ besteht lediglich eine vertragliche Bindung mit einem europäischen Unternehmen, das den DSGVO-Vorschriften unterliegt. Aufgrund der Unternehmensstruktur von AWS ermöglicht der Patriot Act der US-Regierung jedoch den Zugriff auf die Daten. Zusätzliche vertragliche Vereinbarungen, die den Zugriff auf Daten aus Drittstaaten wie den Vereinigten Staaten einschränken, sind in der Regel die einzige Option. Technische Lösungen wie die Datenverschlüsselung mit SSL geben die Freiheit, trotz aller Widrigkeiten mit US-Dienstleistern zusammenzuarbeiten.

Welche Rolle spielen die neuen Standardvertragsklauseln, um sicherzustellen, dass AWS in einer Weise genutzt wird, die dem Datenschutz entspricht?

Standardvertragsklauseln (VSK) sind ein von der Europäischen Kommission entwickeltes sogenanntes Vertragsmodell, das es dem Europäischen Wirtschaftsraum und Drittstaaten ermöglicht, sich vertraglich auf europäische Datenschutzanforderungen zu einigen. Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln vorgeschlagen, die am 27. September 2021 für neue Verträge in Kraft treten und bis zum 27. Dezember 2022 schrittweise für bestehende Verträge umgesetzt werden müssen. Als DSGVO-konforme Ergänzung hat Amazon diese Standardvertragsklauseln bereits in die AWS-Datenschutzerklärung aufgenommen. Sie werden nun automatisch angewendet.

Ist es notwendig, AWS in der Datenschutzerklärung zu erwähnen?

Wenn Sie als AWS-Kunde personenbezogene Daten auf Amazon-Servern speichern, müssen Sie Ihre Datenschutzerklärung entsprechend aktualisieren. Sie geben dort an, dass AWS Ihr Hosting-Anbieter ist. Abschnitt 13 (1) der Datenschutz-Grundverordnung legt rechtliche Richtlinien für die genaue Offenlegung dessen fest, was und wie Sie Daten verwenden und weitergeben. Verweisen Sie auf die AWS-Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen, damit Ihre Kunden die Praktiken von Amazon unabhängig überprüfen können.

Auch wenn Amazon durch die frühzeitige Einbeziehung der neuen Standardvertragsbedingungen rechtskonform vorangeht, sollten Sie prüfen, was hinter den Kulissen geschieht, und eventuell zusätzliche Schritte mit dem Unternehmen unternehmen, um persönliche Daten zu schützen.

Der Verkauf von Kundendaten – ein riskanteres Geschäft

26/04/2022 Keine Kommentare

Daten sind im digitalen Zeitalter unverzichtbar. Daher teilen viele Unternehmen die Daten, die sie von ihren Kunden sammeln, mit anderen Unternehmen, um sie in greifbare

mehr »

An overview on Brazil Data Protection Act

11/09/2022 Keine Kommentare

Die EU-Datenschutzgrundverordnung trat am 25. Mai 2018 in Kraft und zwingt Unternehmen, die in der Europäischen Union ansässig und tätig sind, die überarbeitete Verordnung über

mehr »

Ein Leitfaden zur Unterstützung bei der Datenschutz-Folgenabschätzung

20/01/2022 Keine Kommentare

Was ist eine DFA? Eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DFA) ist eine Methode zur Identifizierung und Abschwächung von Datensicherheitsrisiken in einem Projekt. Dabei werden

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Ist AWS DSGVO-konform? Ist der Cloud-Dienst von Amazon DSGVO-konform?

Amazon Web Services und Datenschutz: Was sind die Herausforderungen?

Welche Rolle spielen die neuen Standardvertragsklauseln, um sicherzustellen, dass AWS in einer Weise genutzt wird, die dem Datenschutz entspricht?

Ist es notwendig, AWS in der Datenschutzerklärung zu erwähnen?

Der Verkauf von Kundendaten – ein riskanteres Geschäft

An overview on Brazil Data Protection Act

Ein Leitfaden zur Unterstützung bei der Datenschutz-Folgenabschätzung

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen