AWS & DSGVO: Ist der Amazon-Dienst datenschutzkonform?

Letztes Update:
05
.
01
.
2022
Lesezeit:
0
Min
Amazon Web Services, kurz AWS, ist ein beliebter Cloud-Computing-Anbieter. Sein Sitz in den USA stellt Unternehmen, die den Service in Europa nutzen, regelmäßig vor datenschutzrechtliche Fragen. Was es rund um AWS und DSGVO sowie Datenschutz zu beachten gilt, fassen wir für Sie übersichtlich zusammen.
AWS & DSGVO: Ist der Amazon-Dienst datenschutzkonform?
Die wichtigsten Erkenntnisse
  • AWS speichert Unternehmensdaten auf US-Servern, was DSGVO-Herausforderungen birgt.
  • DSGVO erfordert EU-ähnliches Datenschutzniveau bei Datenübertragung in Drittstaaten.
  • Schrems II-Urteil: EU-US-Privacy-Shield nicht DSGVO-konform, Nutzung problematisch.
  • Neue Standardvertragsklauseln ab 27.09.2021 verpflichtend, AWS hat diese integriert.
  • Nutzung von AWS muss in der Datenschutzerklärung transparent erwähnt werden.

AWS ist ein Cloud-Computing-Service von Amazon. Beim Cloud-Computing werden Daten auf den Servern des jeweiligen Anbieters statt auf Ihren hauseigenen Servern gespeichert. Für Unternehmen hat dieses Prinzip den Vorteil, die gesamte technische Infrastruktur nicht mehr mit eigenen Mitarbeitern zu verwalten. Stattdessen werden diese Aufgaben vom Cloud-Computing-Anbieter selbst erledigt und mit der monatlichen Nutzungsgebühr abgegolten. Zugleich bestehen sehr viel höhere Sicherheiten vor Hacking Angriffen oder Datenverlust, was den Service einmal mehr attraktiv macht. Die andere Seite der Medaille ist jedoch, dass Sie alle Ihre Unternehmensdaten, die Sie auf den AWS-Servern speichern, einem Dritten übergeben - mit Hauptsitz in den USA.

Amazon Web Services & Datenschutz: Welche Herausforderungen gibt es?

Unternehmen mit Sitz in der EU sind verpflichtet, die Bestimmungen der DSGVO einzuhalten, wenn es um die Verarbeitung von personenbezogenen Daten geht. Egal, wohin die Daten übermittelt und gespeichert werden: Es gilt, das Datenschutzniveau entsprechend der DSGVO einzuhalten beziehungsweise auf ein ähnliches Niveau aufzubauen, welches mit der EU vergleichbar ist. Werden unternehmensinterne und kundenbezogene Daten auf den Servern von Amazon gespeichert, bleiben diese unter Umständen nicht innerhalb der EU. Entsprechend ist dann das Datenschutzniveau gesondert zu prüfen. Speichert Amazon die Daten in den USA, werden diese folglich an einen Drittstaat außerhalb der EU übermittelt. In den USA zum Beispiel gelten die Datenschutzbestimmungen nicht in der Strenge wie in Europa, was eine Nutzung des Services verbietet. Nach dem „Schrems II“-Urteil ist das bisherige EU-US-Privacy-Shield offiziell nicht mit der DSGVO vereinbar und damit unwirksam. 

Auf der anderen Seite sind selbstverständlich auch Unternehmen in der EU stets dazu aufgefordert, die datenschutzkonforme Vertragsgestaltung zu prüfen und zu bestätigen. Am folgenden Beispiel schildern wir Ihnen, wie herausfordernd dieser Tatbestand sein kann. In Frankreich zum Beispiel nutzt “Doctolib” AWS über das Unternehmen AWS Sarl in Luxemburg - ein Tochterunternehmen von Amazon Web Services in den USA. Aus Sicht von “Doctolib” liegt lediglich eine Vertragsvereinbarung mit einem europäischen Unternehmen vorliegt, das den Bestimmungen der DSGVO unterliegt. Durch die Unternehmensstruktur seitens AWS besteht allerdings durch den Patriot Act gemäß US-Recht die Möglichkeit, dass die USA Zugriff auf die Daten erhalten. Abhilfe können im Regelfall nur zusätzliche vertragliche Vereinbarungen schaffen, die einen Zugriff auf die Daten von Drittstaaten wie den USA unterbinden. Auch technische Lösungen wie eine SSL-Verschlüsselung der Daten schaffen Freiraum, mit US-Dienstleistern trotz alledem weiter zusammenarbeiten zu können.
 

Welche Rolle spielen die neuen Standardvertragsklauseln bei der datenschutzkonformen Nutzung von AWS?

Standardvertragsklauseln (SSC) sind ein sogenanntes Vertragsmuster der Europäischen Kommission, mit welchem europäische Datenschutzstandards zwischen dem Europäischen Wirtschaftsraum und Drittstaaten vertraglich vereinbart werden. Im Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen, die für Neuverträge ab dem 27.09.2021 anzuwenden sind und für bestehende Verträge sukzessive bis zum 27.12.2022 übernommen werden müssen. Amazon hat diese Standardvertragsklauseln bereits als DSGVO-konformen Zusatz in die AWS Datenschutzerklärung integriert. Sie gelten ab sofort automatisch. 

Muss die Nutzung von AWS in der Datenschutzerklärung erwähnt werden?

Wenn Sie als AWS-Kunde personenbezogene Daten auf Servern von Amazon speichern, müssen Sie Ihre Datenschutzerklärung entsprechend erweitern. Dort erklären Sie, dass Sie AWS als Hosting-Anbieter einsetzen. Die rechtlichen Details zur genauen Bekanntmachung, welche und wie Sie die Daten verwenden und weitergeben, orientieren sich an § 13 Abs. 1 DSGVO. Verweisen Sie zusätzlich zu die AWS-Datenschutzbestimmungen und Nutzungsbedingungen, damit Ihre Kunden selbstständig die Vorgehensweise von Amazon prüfen können.


Auch wenn Amazon mit einer frühzeitigen Integration der neuen Standardvertragsklauseln den rechtskonformen Weg ebnet, sollten Sie dennoch hinter die Kulissen schauen und mit dem Unternehmen eventuell zusätzliche Maßnahmen zum Schutz personenbezogener Daten ergreifen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
datenschutz-Muster

Kostenlose Materialien zum Thema

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!