AWS ist der Cloud-Service von Amazon, der Daten auf den Servern des Anbieters statt auf eigenen Servern des Kunden speichert. Unternehmen nutzen so den Vorteil, ihre technische Infrastruktur nicht mehr selbst zu verwalten, sondern diese Aufgaben vom Cloud-Anbieter erledigen zu lassen. In der Regel bieten Cloud-Services außerdem viel höhere Sicherheiten vor Datenverlust oder Angriffen, was auch im Sinne der DSGVO erstrebenswert ist.
Amazon Web Services & Datenschutz: Kann das überhaupt funktionieren?
Unternehmen mit Sitz in der EU sind verpflichtet, die Bestimmungen der DSGVO einzuhalten, wenn es um die Verarbeitung von personenbezogenen Daten geht. Egal, wohin die Daten übermittelt und gespeichert werden: Es gilt, das Datenschutzniveau entsprechend der DSGVO einzuhalten beziehungsweise ein mit der EU vergleichbares Niveau zu garantieren. Im Fall AWS werden die Daten an einen außereuropäischen Dritten übergeben, der zudem in den USA sitzt - was aus Datenschutzsicht ein Problem darstellt.
Werden personenbezogene Daten, z.B von Mitarbeitern oder Kunden, auf den Servern von Amazon gespeichert, bleiben diese unter Umständen nicht innerhalb der EU. Entsprechend ist dann das Datenschutzniveau bei der Übermittlung an einen Drittstaat zu prüfen. Speichert Amazon die Daten in den USA, gilt das europäische Datenschutzniveau bereits als nicht erreichbar: Nach dem „Schrems II“-Urteil des EuGH vom Juli 2020 ist das bisherige EU-US-Privacy-Shield gerichtsbeschlossen nicht mehr mit der DSGVO vereinbar und damit auch nicht mehr anwendbar.
Abhilfe können daher im Regelfall zusätzliche Schutzmaßnahmen schaffen, wie z.B. vertragliche Vereinbarungen, die einen Zugriff auf die Daten durch Drittstaaten wie den USA unterbinden oder technische Lösungen wie Verschlüsselungen, bei denen der Schlüssel nicht beim Cloudanbieter liegt. Üblicherweise sind rein vertragliche Regelungen nur schwer rechtswirksam zu gestalten, denn eine Vereinbarung darüber, dass z.B. Amazon geltende US-Gesetze nicht beachtet um europäische Daten zu schützen, wäre nicht zulässig. Daher ist eine Kombination mit wirksamen technischen Maßnahmen dringend angeraten.
Europäische Unternehmen schließen ihren AWS-Vertrag daher in der Regel mit AWS Sarl in Luxemburg ab, einem Tochterunternehmen von Amazon Web Services in den USA. Aus der Sicht des europäischen Unternehmens liegt somit lediglich eine Vertragsvereinbarung mit einem europäischen Unternehmen vor, das somit den Bestimmungen der DSGVO unterliegt. Durch die Unternehmensstruktur von AWS gibt aber weiterhin der US-amerikanische „Patriot Act“ bzw. der „Freedom Act“ den US-Behörden trotzdem die Möglichkeit, Zugriff auch auf die Daten der europäischen Töchter zu erhalten - aber das mit wesentlich höheren technischen und rechtlichen Hürden, als bei einer Speicherung bei einem US-Unternehmen in den USA.
Muss ich für die Nutzung von AWS Standardvertragsklauseln abschließen?
Die sog. „Standard Contractual Clauses“ (SSC) oder „Standardvertragsklauseln“ sind verschiedene Vertragsvorlagen der Europäischen Kommission, mit denen europäische Datenschutzstandards zwischen Unternehmen im räumlichen Anwendungsbereich der DSGVO und Unternehmen in Drittstaaten vereinbart werden. Ab dem 27.09.2021 müssen für Neuverträge zwingend die neuesten Vertragsmuster verwendet werden, bereits davor bestehende SCC-Verträge müssen bis Ende 2022 auf das neue Muster angepasst werden. Amazon hat die neuen Standardvertragsklauseln bereits in die AWS Datenschutzerklärung integriert. Sie gelten daher automatisch. Achtung: SCC zwischen europäischen und US-Unternehmen sind alleine nicht ausreichend, das hat der EuGH bereits entschieden, es müssen immer angemessene zusätzliche Schutzmaßnahmen implementiert werden.
Verwendung der Amazon-Dienste muss in Datenschutzinformation erwähnt werden
Wenn ein Unternehmen personenbezogene Daten auf AWS-Servern speichert, muss darüber in der betreffenden Datenschutzinformationen (DSI) nach Art. 13 DSGVO aufgeklärt werden und AWS als Cloudprovider genannt werden. Außerdem muss auf die AWS-Datenschutzinformationen und AWS-Nutzungsbedingungen hingewiesen werden, damit Betroffene sich dort über die weitere Verarbeitung informieren können.
Fazit:
Die Nutzung von AWS ist auch für europäische Unternehmen DSGVO-konform möglich - der Verantwortliche muss aber in jedem Fall die Verarbeitung genau prüfen, die verarbeiteten Daten kennen und sich sicher sein, dass sein Vertragswerk und die zusätzlichen Schutzmaßnahmen angemessen sind.
Sprechen Sie mit Ihrem Datenschutzbeauftragten oder nehmen Sie Kontakt mit uns auf - wir beraten Sie individuell und persönlich!