AWS & DSGVO: Ist der Amazon-Dienst datenschutzkonform?

AWS ist ein Cloud-Computing-Service von Amazon. Beim Cloud-Computing werden Daten auf den Servern des jeweiligen Anbieters statt auf Ihren hauseigenen Servern gespeichert. Für Unternehmen hat dieses Prinzip den Vorteil, die gesamte technische Infrastruktur nicht mehr mit eigenen Mitarbeitern zu verwalten. Stattdessen werden diese Aufgaben vom Cloud-Computing-Anbieter selbst erledigt und mit der monatlichen Nutzungsgebühr abgegolten. Zugleich bestehen sehr viel höhere Sicherheiten vor Hacking Angriffen oder Datenverlust, was den Service einmal mehr attraktiv macht. Die andere Seite der Medaille ist jedoch, dass Sie alle Ihre Unternehmensdaten, die Sie auf den AWS-Servern speichern, einem Dritten übergeben - mit Hauptsitz in den USA.

Amazon Web Services & Datenschutz: Welche Herausforderungen gibt es?

Unternehmen mit Sitz in der EU sind verpflichtet, die Bestimmungen der DSGVO einzuhalten, wenn es um die Verarbeitung von personenbezogenen Daten geht. Egal, wohin die Daten übermittelt und gespeichert werden: Es gilt, das Datenschutzniveau entsprechend der DSGVO einzuhalten beziehungsweise auf ein ähnliches Niveau aufzubauen, welches mit der EU vergleichbar ist. Werden unternehmensinterne und kundenbezogene Daten auf den Servern von Amazon gespeichert, bleiben diese unter Umständen nicht innerhalb der EU. Entsprechend ist dann das Datenschutzniveau gesondert zu prüfen. Speichert Amazon die Daten in den USA, werden diese folglich an einen Drittstaat außerhalb der EU übermittelt. In den USA zum Beispiel gelten die Datenschutzbestimmungen nicht in der Strenge wie in Europa, was eine Nutzung des Services verbietet. Nach dem „Schrems II“-Urteil ist das bisherige EU-US-Privacy-Shield offiziell nicht mit der DSGVO vereinbar und damit unwirksam. 

Auf der anderen Seite sind selbstverständlich auch Unternehmen in der EU stets dazu aufgefordert, die datenschutzkonforme Vertragsgestaltung zu prüfen und zu bestätigen. Am folgenden Beispiel schildern wir Ihnen, wie herausfordernd dieser Tatbestand sein kann. In Frankreich zum Beispiel nutzt “Doctolib” AWS über das Unternehmen AWS Sarl in Luxemburg - ein Tochterunternehmen von Amazon Web Services in den USA. Aus Sicht von “Doctolib” liegt lediglich eine Vertragsvereinbarung mit einem europäischen Unternehmen vorliegt, das den Bestimmungen der DSGVO unterliegt. Durch die Unternehmensstruktur seitens AWS besteht allerdings durch den Patriot Act gemäß US-Recht die Möglichkeit, dass die USA Zugriff auf die Daten erhalten. Abhilfe können im Regelfall nur zusätzliche vertragliche Vereinbarungen schaffen, die einen Zugriff auf die Daten von Drittstaaten wie den USA unterbinden. Auch technische Lösungen wie eine SSL-Verschlüsselung der Daten schaffen Freiraum, mit US-Dienstleistern trotz alledem weiter zusammenarbeiten zu können.
 

Welche Rolle spielen die neuen Standardvertragsklauseln bei der datenschutzkonformen Nutzung von AWS?

Standardvertragsklauseln (SSC) sind ein sogenanntes Vertragsmuster der Europäischen Kommission, mit welchem europäische Datenschutzstandards zwischen dem Europäischen Wirtschaftsraum und Drittstaaten vertraglich vereinbart werden. Im Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen, die für Neuverträge ab dem 27.09.2021 anzuwenden sind und für bestehende Verträge sukzessive bis zum 27.12.2022 übernommen werden müssen. Amazon hat diese Standardvertragsklauseln bereits als DSGVO-konformen Zusatz in die AWS Datenschutzerklärung integriert. Sie gelten ab sofort automatisch. 

Muss die Nutzung von AWS in der Datenschutzerklärung erwähnt werden?

Wenn Sie als AWS-Kunde personenbezogene Daten auf Servern von Amazon speichern, müssen Sie Ihre Datenschutzerklärung entsprechend erweitern. Dort erklären Sie, dass Sie AWS als Hosting-Anbieter einsetzen. Die rechtlichen Details zur genauen Bekanntmachung, welche und wie Sie die Daten verwenden und weitergeben, orientieren sich an § 13 Abs. 1 DSGVO. Verweisen Sie zusätzlich zu die AWS-Datenschutzbestimmungen und Nutzungsbedingungen, damit Ihre Kunden selbstständig die Vorgehensweise von Amazon prüfen können.

Auch wenn Amazon mit einer frühzeitigen Integration der neuen Standardvertragsklauseln den rechtskonformen Weg ebnet, sollten Sie dennoch hinter die Kulissen schauen und mit dem Unternehmen eventuell zusätzliche Maßnahmen zum Schutz personenbezogener Daten ergreifen.