Datenschutz bei AWS

AWS und Datenschutz mit DSGVO
Kategorien:

Sind Amazon-Server DSGVO-konform?

Cloud-Computing wird immer beliebter. Die dominanten Anbieter in diesem Markt stammen allesamt aus den USA, so auch Amazon Web Services (AWS). Werden personenbezogene Daten von deutschen und europäischen Unternehmen in die USA übermittelt, bedarf es hierfür immer einer Rechtsgrundlage. Nachdem der Europäische Gerichtshof in seinem Urteil vom 16.7.2020 das sogenannte Privacy Shield für ungültig erklärt hat, werden für den Datentransfer in der Regel Standardvertragsklauseln eingesetzt. Diese allein sind jedoch nicht ausreichend.

Der EuGH betonte in seinem Urteil die Verantwortung des Verantwortlichen, zu bewerten, ob die Rechte der betroffenen Personen in den USA (oder anderen Drittstaaten) mit dem Abschluss der Standardvertragsklauseln tatsächlich ein gleichwertiges Schutzniveau wie in der EU genössen. De facto erwarten die europäischen Aufsichtsbehörden ergänzende Maßnahmen wie eine Anonymisierung oder Verschlüsselung der zu transferierenden Daten. Ob und wie AWS Datenschutz ernst nimmt und seine Kunden bei der Umsetzung unterstützt, beleuchtet dieser Blogbeitrag.

 

AWS

 

Amazon Web Services (AWS) ist ein US-amerikanischer Cloud-Computing-Anbieter. Er wurde 2006 als Tochterunternehmen des Online-Versandhändlers Amazon.com gegründet. Seitdem wächst AWS rasant. 2017 benannte Gartner AWS als führenden internationalen Anbieter im Cloud Computing. Vor einigen Jahren lag der Umsatz von AWS bei 46 Milliarden Dollar.

 

 

AWS und Datenschutz

 

Als US-amerikanisches Unternehmen steht Amazon Web Services, wie vergleichbare Dienste auch, seit Jahren in Bezug auf den Datenschutz in der Kritik. Um das Problem zu kompensieren, bietet AWS sogenannte Regionen an, die wiederum in Availability Zones unterteilt sind und physischen Standorten für die Speicherung von Daten entsprechen. So können beispielsweise die Regionen Irland (eu-west-1) und Frankfurt am Main (eu-central-1) gewählt werden, sodass Instanzen nur dort ausgeführt werden. Das Problem dabei: In der EU befindliche Server schützen nicht vor Zugriffen US-amerikanischer Behörden im Rahmen des Cloud Acts. Dies ist ein Problem für AWS und den Datenschutz in Deutschland.

Amazon bietet seinen Kunden vorkonfigurierte Standardvertragsklauseln an und verweist zudem auf ein Data Processing Addendum. Beide Dokumente sind jedoch nach einem „High-Level-Ansatz“ konzipiert. Sie unterstützen den Kunden bei der Durchführung des in den Standardvertragsklauseln geforderten Transfer Impact Assessments nicht wirklich. So ist die folgende, aus dem Addendum stammende Beschreibung der verarbeiteten Datenkategorien: „Customer Data uploaded to the Services under Customer’s AWS accounts.“ natürlich viel zu oberflächlich, um ein adäquates Transfer Impact Assessment durchzuführen.

Um den Datenschutz zu verbessern, bietet Amazon Entwicklern die Möglichkeit, auf AWS hinterlegte Daten selbst noch einmal zu verschlüsseln – auch bei Verwendung eines offiziellen Software Development Kits. Großkunden wird die Verwendung von Hardwareverschlüsselung mit individuellen Komponenten angeboten.

 

Fazit
Gemäß der Selbstdarstellung von AWS werden Anfragen von US-amerikanischen Behörden stets sorgfältig geprüft und ggf. abgewehrt. Zudem betont Amazon AWS hinsichtlich des Datenschutzes, dass durch den Kunden verschlüsselte Daten nur im verschlüsselten Zustand an amerikanische Behörden herausgegeben würden.

Für AWS Services mit Verschlüsselung werde der AWS eigene KMS-Service verwandt, wodurch sichergestellt sei, dass AWS selbst keine Möglichkeit habe, den Klartext zu entschlüsseln.

Damit scheint ein datenschutzkonformer Einsatz von AWS möglich, allerdings nur, wenn tatsächlich verschlüsselt wird und mögliche Restrisiken im Rahmen des Transfer Impact Assessments als akzeptabel bewertet wurden.

Sie benötigen Unterstützung bei der professionellen Durchführung eines Transfer Impact Assessments? Sprechen Sie und gerne an. Wir freuen uns, Sie mit unserer langjährigen Datenschutzexpertise zu unterstützen.

Tags:
Share this post :
de_DEGerman