Datenschutz-Grundverordnung (DSGVO) Zentrum
DSGVO-Compliance bei der Nutzung von AWS-Services
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union schützt das Grundrecht europäischer Bürger auf Privatsphäre und den Schutz personenbezogener Daten. Die DSGVO enthält robuste Anforderungen, die Standards für Datenschutz, Sicherheit und Compliance erhöhen und harmonisieren. Weitere Informationen finden Sie in unseren Fragen zur DSGVO unten.
AWS-Kunden können alle AWS-Services in Compliance mit der DSGVO verwenden, um personenbezogene Daten (wie in der DSGVO definiert) zu verarbeiten, die Kunden unter ihren AWS-Konten in die AWS-Services hochladen (Kundendaten). Neben unserer eigenen Compliance haben wir uns bei AWS das Ziel gesetzt, unseren Kunden entsprechende Services und Ressourcen anzubieten, damit sie die für ihre Aktivitäten geltenden DSGVO-Vorgaben erfüllen können. Neue Funktionen werden regelmäßig eingeführt und AWS bietet über 500 Funktionen und Services für Sicherheit und Compliance. Weitere Informationen über die Tätigkeit von AWS finden Sie in unserem Blog How AWS is helping EU customers navigate the new normal for data protection.
Kundenkontrolle
Kunden haben die Kontrolle über ihre Kundendaten. Mit AWS können Kunden:
- Bestimmen, wo ihre Kundendaten gespeichert werden, einschließlich Speicherart und geografische Speicherregion.
- Den gesicherten Status ihrer Kundendaten festlegen. Wir bieten unseren Kunden eine zuverlässige Verschlüsselung für Kundendaten während der Übertragung und der Speicherung. Wir bieten Kunden außerdem die Option, ihre eigenen Verschlüsselungsschlüssel zu verwalten.
- Den Zugriff auf ihre Kundendaten und die AWS-Services und -Ressourcen über Nutzer, Gruppen, Berechtigungen und Anmeldedaten verwalten, die die Kunden steuern.
Übermittlungen außerhalb des Europäischen Wirtschaftsraums (EWR)
AWS-Kunden können weiterhin AWS-Services nutzen, um Kundendaten in Compliance mit der DSGVO aus dem EWR in Nicht-EWR-Länder zu übertragen, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (einschließlich der Vereinigten Staaten). Bei AWS hat der Schutz der Kundendaten höchste Priorität. Wir implementieren strenge technische oder organisatorische Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Daten, unabhängig davon, welche AWS-Region der Kunde gewählt hat. Wir wissen, dass Transparenz für unsere Kunden wichtig ist. Wir listen die AWS-Services, die eine Übermittlung von Kundendaten beinhalten, auf unserer Webseite mit den Datenschutzfunktionen auf.
Im Zuge der Weiterentwicklung der regulatorischen und gesetzlichen Rahmenbedingungen werden wir stets daran arbeiten, dass unsere Kunden weiterhin die Vorteile der AWS-Services nutzen können, wo auch immer sie tätig sind. Weitere Informationen finden Sie in unserem Kunden-Update zum EU-US-Datenschutzschild, in unserem Blogbeitrag zum Supplementary Addendum zum AWS DPA und im CISPE-Datenschutz- und Verhaltenskodex.
DSGVO-Ressourcen
Fragen zur DSGVO
Übersicht und DSGVO-Grundlagen
-
Was ist die Datenschutz-Grundverordnung (DSGVO)?
Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Datenschutzgesetz, das am 25. Mai 2018 in Kraft trat. Die DSGVO ersetzt die EU-Datenschutzrichtlinie (Richtlinie 95/46/EC). Ziel ist es, die Datenschutzgesetze innerhalb der Europäischen Union (EU) durch ein einziges Datenschutzgesetz zu harmonisieren, das für jeden Mitgliedsstaat verbindlich ist.
-
Für wen gilt die DSGVO?
Die DSGVO gilt für alle Organisationen mit EU-Niederlassungen und für alle Organisationen, die die personenbezogenen Daten von EU-Bürgern verarbeiten und EU-Bürgern Waren oder Services anbieten oder das Verhalten von EU-Bürgern innerhalb der EU überwachen, unabhängig davon, ob diese EU-Niederlassungen besitzen oder nicht. Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte natürliche Person beziehen oder anhand derer eine natürliche Person identifiziert werden kann, einschließlich Namen, E-Mail-Adressen und Telefonnummern.
-
Ist AWS ein Auftragsverarbeiter oder ein Verantwortlicher gemäß der DSGVO?
AWS fungiert unter der DSGVO sowohl als Auftragsverarbeiter als auch als Verantwortlicher.
- AWS als Auftragsverarbeiter – Wenn Kunden AWS-Services verwenden, um personenbezogene Daten in den Inhalten zu verarbeiten, die sie in die AWS-Services hochladen, fungiert AWS als Auftragsverarbeiter. Kunden können die in den AWS-Services verfügbaren Kontrollen, einschließlich der Sicherheitskonfigurationskontrollen, für den Umgang mit personenbezogenen Daten nutzen. Unter diesen Umständen kann der Kunde selbst als Verantwortlicher oder Auftragsverarbeiter fungieren, während AWS als Auftragsverarbeiter oder Unterauftragsverarbeiter fungiert. AWS bietet ein GDPR-konformes AWS Data Processing Addendum (AWS DPA) an, das die Verpflichtungen von AWS als Datenverarbeiter beinhaltet. Das AWS DPA mit Standardvertragsklauseln ist Teil der AWS-Servicebedingungen und ist automatisch für alle Kunden verfügbar, die sie zur Erfüllung der DSGVO benötigen.
- AWS als Verantwortlicher: Wenn AWS personenbezogene Daten erhebt und die Zwecke und Mittel der Verarbeitung dieser personenbezogenen Daten festlegt – zum Beispiel, wenn AWS Kontoinformationen (z. B. E-Mail-Adressen, die bei der Kontoregistrierung angegeben wurden) für die Kontoregistrierung, Verwaltung, den Zugriff auf Services speichert, oder Kontaktinformationen für das AWS-Konto, um Hilfe bei Kundensupportaktivitäten zu leisten – handelt AWS als Verantwortlicher. Weitere Informationen zur Verarbeitung personenbezogener Daten durch AWS als Verantwortlicher finden Sie im AWS-Datenschutzhinweis.
-
Was sind die Standardvertragsklauseln (Standard Contractual Clauses, SCCs)?
Die SCCs sind ein im Voraus genehmigter Mechanismus zur Datenübertragung gemäß DSGVO, der in allen EU-Mitgliedstaaten anzuwenden ist und die rechtmäßige Übermittlung personenbezogener Daten in Ländern außerhalb des Europäischen Wirtschaftsraums, die keinen Angemessenheitsbeschluss der Europäischen Kommission erhalten haben (Drittländer) ermöglicht.
-
Wie integriert AWS die SCCs in das AWS-DSGVO-DPA mit Kunden?
Die AWS-Servicebedingungen umfassen die SCCs, die von der Europäischen Kommission (European Commission, EC) im Juni 2021 übernommen wurden und die AWS DPA bestätigt, dass die SCCs automatisch gelten, wenn ein AWS-Kunde AWS-Services nutzt, um Kundendaten in Länder außerhalb des Europäischen Wirtschaftsraums, die keinen Angemessenheitsbeschluss der EC erhalten haben (Drittländer) zu übertragen. Als Teil der AWS-Servicebedingungen gelten die neuen SCCs automatisch, wenn ein Kunde AWS-Services nutzt, um Kundendaten in Drittländer zu übertragen. Die wenigen Kunden, die ein AWS DPA unterzeichnet haben, können sich weiterhin auf diese AWS DPA verlassen, da die neuen SCCs in den AWS-Servicebedingungen die vorherige Version der SCCs ersetzen. Kunden können daher sicher sein, dass alle Kundendaten, die sie mithilfe von AWS-Services in Drittländer übermitteln, das gleiche hohe Schutzniveau genießen wie Kundendaten im EWR. Weitere Informationen finden Sie im Blogbeitrag über die Umsetzung der neuen Standardvertragsklauseln.
AWS- und DSGVO-Compliance nach Schrems-II-Urteil und EDSA-Empfehlungen
-
Was sind das Schrems-II-Urteil und die EDSA-Empfehlungen?
Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) ein Urteil zur Übermittlung personenbezogener Daten von EU-Bürgern außerhalb des EWR (Schrems II) gefällt. In Schrems II entschied der EuGH, dass der EU-US Privacy Shield kein gültiger Mechanismus mehr ist, um personenbezogene Daten aus dem EWR in die USA zu übermitteln. In demselben Urteil bestätigte der EuGH jedoch, dass Unternehmen (vorbehaltlich der Durchführung zusätzlicher Maßnahmen, falls erforderlich) weiterhin Standardvertragsklauseln als gültigen Mechanismus für die Übermittlung personenbezogener Daten außerhalb des EWR verwenden können. Der Europäische Datenschutzausschuss (EDSA), ein europäisches Gremium, das sich aus Vertretern der nationalen Datenschutzbehörden zusammensetzt, hat inzwischen in seinen „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ (EDSA-Empfehlungen) eine nicht abschließende Liste ergänzender Maßnahmen vorgelegt.
Die EDSA-Empfehlungen bieten Datenexporteuren Beispiele für ergänzende Maßnahmen, die ergriffen werden könnten. Siehe Frage „Kann ich nach dem Schrems-II-Urteil weiterhin AWS-Services nutzen?“ unten für Details zu den Datenübermittlungsressourcen von AWS.
-
Kann ich nach dem Schrems-II-Urteil weiterhin AWS-Services nutzen?
Ja, AWS-Kunden können weiterhin AWS-Services nutzen, um Kundendaten aus Europa in Länder außerhalb des EWR zu übermitteln, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt. Das Schrems-II-Urteil bestätigte die Verwendung von Standardvertragsklauseln als Mechanismus für die Übermittlung von Kundendaten außerhalb des EWR und AWS-Kunden können sich weiterhin auf die Standardvertragsklauseln für DSGVO-konforme Übermittlungen von Kundendaten außerhalb des EWR verlassen.
- Verarbeitungsort. Kunden wählen die AWS-Region aus, in der ihre Kundendaten gespeichert werden. Eine Übersicht der verfügbaren AWS-Regionen finden Sie unter Regionen und Availability Zones. AWS verarbeitet keine Kundendaten außerhalb der vom Kunden ausgewählten AWS-Region, es sei denn, dies ist zum Zwecke der Bereitstellung der vom Kunden initiierten AWS-Services oder zur Einhaltung von Gesetzen oder einer verbindlichen Anordnung einer staatlichen Stelle erforderlich. Weitere Informationen zu Datenübermittlungen im Rahmen von AWS-Services finden Sie auf unserer Webseite mit den Datenschutzfunktionen.
- Unterauftragsverarbeiter. AWS kann Unterauftragsverarbeiter, d. h. mit AWS verbundene Unternehmen oder Dritte, einsetzen, um bei der Verarbeitung von Kundendaten zu helfen, unsere Verpflichtungen gegenüber Kunden gemäß des AWS DPA zu erfüllen oder Services in unserem Namen zu erbringen. Siehe Frage „Verwendet AWS Unterauftragsverarbeiter, um Kundendaten zu verarbeiten?“ unten für Details.
- Übermittlungstools. Da das Schrems-II-Urteil die Verwendung von Standardvertragsklauseln als Mechanismus für die Übermittlung von Daten iin Länder außerhalb des EWR validiert hat, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, können sich unsere Kunden weiterhin auf die Standardvertragsklauseln verlassen, die im AWS DPA enthalten sind, wenn sie sich für eine DSGVO-konforme Übermittlung ihrer Daten außerhalb des EWR entscheiden.
- Ergänzende Maßnahmen.
- Kundenkontrolle. Kunden haben jederzeit das Eigentum und die Kontrolle über ihre Kundendaten durch einfache, aber leistungsstarke Tools, die es ihnen ermöglichen, zu bestimmen, wo ihre Kundendaten gespeichert werden, um ihre Kundendaten während der Übermittlung und im Ruhezustand zu sichern und den Benutzerzugriff auf ihre AWS-Ressourcen zu verwalten und Kundendaten zu ändern, zu löschen und abzurufen.
- Technische und organisatorische Maßnahmen. AWS implementiert verantwortungsvolle und ausgeklügelte technische und physische Kontrollen und Prozesse, um den unbefugten Zugriff auf oder die Offenlegung von Kundendaten zu verhindern (weitere Informationen finden Sie auf der AWS-Compliance-Webseite). Wir bieten auch eine Reihe fortschrittlicher Verschlüsselungs- und Schlüsselverwaltungsservices (einschließlich Services, die es Kunden ermöglichen, ihre eigenen Schlüssel zu verwalten), mit denen Kunden ihre Kundendaten sowohl während der Übertragung als auch im Ruhezustand schützen können - verschlüsselte Kundendaten sind ohne die entsprechende Entschlüsselung unzugänglich. Unabhängig davon, ob Kundendaten verschlüsselt oder unverschlüsselt sind, werden wir stets wachsam daran arbeiten, Kundendaten vor unbefugtem Zugriff zu schützen.
- Anfragen von Strafverfolgungsbehörden. AWS verfügt über interne Prozesse, um Anfragen zu bearbeiten, die wir von Strafverfolgungsbehörden erhalten. Wenn wir von Strafverfolgungsbehörden eine Anfrage nach Kundendaten erhalten, prüfen wir diese sorgfältig, um ihre Richtigkeit zu bestätigen und sicherzustellen, dass sie angemessen sind und allen geltenden Gesetzen entsprechen. Sofern dies nicht gesetzlich verboten ist, benachrichtigt AWS Kunden, bevor Kundendaten offengelegt werden, damit Kunden weitere Schritte unternehmen können, um Schutz vor Offenlegung zu suchen. Im Supplementary Addendum zum AWS DPA geht AWS verstärkte vertragliche Verpflichtungen in Bezug auf den Umgang mit behördlichen Anfragen nach Kundendaten ein. AWS verpflichtet sich, (i) alle angemessenen Anstrengungen zu unternehmen, um jede staatliche Stelle, die Kundendaten anfordert, an den jeweiligen Kunden zu verweisen, (ii) den Kunden unverzüglich über die Anfrage zu benachrichtigen, soweit dies gesetzlich zulässig ist (einschließlich alle angemessenen und rechtmäßigen Anstrengungen zu unternehmen, um gegebenenfalls eine Aufhebung des Verbots zu erwirken); (iii) übermäßig weit gehende oder unangemessene Ersuchen anzufechten, einschließlich solcher, die im Widerspruch zum EU-Recht stehen, und (iv) wenn AWS nach Ausschöpfung der oben beschriebenen Schritte immer noch gezwungen ist, Kundendaten als Reaktion auf eine behördliche Anfrage offenzulegen, nur das Minimum an Kundendaten offenzulegen, das zur Erfüllung der Anfrage erforderlich ist.
- Vertragliche Maßnahmen. AWS geht mehrere vertragliche Verpflichtungen zu den oben beschriebenen Maßnahmen ein, die sich im AWS DPA und im Supplementary Addendum widerspiegeln. Das AWS DPA und das Supplementary Addendum beinhalten vertragliche Verpflichtungen von AWS bezüglich (1) der Auswahl von AWS-Regionen durch den Kunden, in denen Kundendaten gespeichert und verarbeitet werden, (2) sowohl der technischen und organisatorischen Maßnahmen, die AWS zum Schutz der AWS-Infrastruktur implementiert hat als auch der technischen organisatorischen Maßnahmen, die Kunden zum Schutz ihrer Kundendaten treffen können, (3) Maßnahmen von AWS zum Schutz von Kundendaten und zur Benachrichtigung des Kunden im Falle einer Anfrage zur Herausgabe von Daten an eine staatliche Stelle und (4) der Fähigkeit von AWS, ihre Verpflichtungen aus dem AWS DPA in Übereinstimmung mit den in einem Drittland geltenden Rechtsvorschriften, in dem Kundendaten verarbeitet werden, einzuhalten. Das Supplementary Addendum befasst sich auch (5) mit den gesetzlichen Rechten des Einzelnen auf Schadensersatz im Falle einer Verletzung seiner durch die DSGVO gewährten Rechte.
- Verarbeitungsort. Kunden wählen die AWS-Region aus, in der ihre Kundendaten gespeichert werden. Eine Übersicht der verfügbaren AWS-Regionen finden Sie unter Regionen und Availability Zones. AWS verarbeitet keine Kundendaten außerhalb der vom Kunden ausgewählten AWS-Region, es sei denn, dies ist zum Zwecke der Bereitstellung der vom Kunden initiierten AWS-Services oder zur Einhaltung von Gesetzen oder einer verbindlichen Anordnung einer staatlichen Stelle erforderlich. Weitere Informationen zu Datenübermittlungen im Rahmen von AWS-Services finden Sie auf unserer Webseite mit den Datenschutzfunktionen.
-
Verwendet AWS Unterauftragsverarbeiter, um Kundendaten zu verarbeiten?
Ja, AWS kann drei Arten von Unterauftragsverarbeitern verwenden: (1) AWS-Einheiten, die die Infrastruktur bereitstellen, auf der die AWS-Services ausgeführt werden; (2) AWS-Einheiten, die bestimmte AWS-Services unterstützen, für die sie möglicherweise Kundendaten verarbeiten müssen; und (3) Dritte, mit denen AWS einen Vertrag abgeschlossen hat, um Verarbeitungsaktivitäten für bestimmte AWS-Services bereitzustellen. Die AWS-Webseite für Unterauftragsverarbeiter bietet Informationen zu den Unterauftragsverarbeitern, die AWS in Übereinstimmung mit dem AWS DPA einsetzt, um Verarbeitungsaktivitäten für Kundendaten im Auftrag von Kunden bereitzustellen. Für einen einzelnen Kunden relevante Unterverarbeiter hängen von der AWS-Region ab, die der Kunde auswählt, und den jeweiligen AWS-Services, die der Kunde nutzt.
-
Wie hilft AWS Kunden bei der Durchführung von Datenübertragungsbewertungen?
Das AWS-Whitepaper, Navigating Compliance with EU-Datenübertragungsvorschriften, enthält Informationen zu den Services und Ressourcen, die AWS seinen Kunden anbietet, um sie bei der Durchführung von Datenübertragungsbewertungen im Lichte des Schrems-II-Urteils und der nachfolgenden Empfehlungen des Europäischen Datenschutzausschusses zu unterstützen. Das Whitepaper beschreibt auch die wichtigsten ergänzenden Maßnahmen, die AWS zum Schutz von Kundendaten ergriffen und zur Verfügung gestellt hat.
-
Wie kann ich einer Datenschutzbehörde nachweisen, dass meine Nutzung der AWS-Services DSGVO-konform ist?
AWS bietet Kunden hilfreiche Informationen, einschließlich mehrerer Compliance-Berichte von externen Auditoren, die unsere Einhaltung einer Vielzahl von Sicherheitsstandards und -vorschriften überprüft haben, um das hohe Maß an Compliance zu belegen, das AWS für seine Infrastruktur unterhält. Diese Berichte zeigen unseren Kunden, dass wir die persönlichen Daten, die sie auf AWS verarbeiten, schützen. Beispiele sind unter anderem die AWS-Compliance-Richtlinien ISO 27001, 27017 und 27018. ISO 27018 enthält Sicherheitskontrollen, die sich auf den Schutz von Kundendaten konzentrieren.
AWS ist auch konform mit dem CISPE-Verhaltenskodex (CISPE Code of Conduct) für den Datenschutz. Weitere Informationen zum CISPE-Verhaltenskodex finden Sie in der Frage unten: „Erfüllt AWS von der DSGVO genehmigte Verhaltensregeln speziell für Cloud-Infrastruktur-Services?“
-
Erfüllt AWS die Anforderungen gemäß der GDPR-genehmigten CISPE-Verhaltensregeln, die eigens für die Cloud-Infrastruktur-Services gelten?
Ja. Stand Juni 2023 entsprechen 107 AWS-Services dem Datenschutzkodex von Anbietern von Cloud-Infrastruktur-Services in Europa (CISPE). CISPE ist ein Zusammenschluss führender Cloud-Computing-Anbieter, der Millionen europäischer Kunden betreut. Der CISPE-Datenschutz- und Verhaltenskodex (CISPE-Kodex) ist der erste europaweite Verhaltenskodex für den Datenschutz, der sich auf Cloud-Infrastruktur-Services konzentriert. Der CISPE-Kodex wurde vom Europäischen Datenschutzausschuss im Namen der 27 europäischen Datenschutzbehörden gebilligt und von der französischen Datenschutzbehörde (CNIL), die als federführende Aufsichtsbehörde fungiert, formell angenommen. Im Jahr 2017 gab AWS bekannt, dass das Unternehmen eine frühere Version des CISPE-Kodex einhält.
Der CISPE-Code hilft Kunden sicherzustellen, dass ihr Cloud-Infrastruktur-Dienstleister angemessene Betriebsgarantien bietet, um die Einhaltung der DSGVO nachzuweisen und Kundendaten zu schützen. Zu den wichtigsten Vorteilen des CISPE-Codes gehören:
- Cloud-Infrastruktur-fokussiert: Klärung der Rolle des Cloud-Infrastruktur-Dienstleisters gemäß DSGVO in Bezug auf die Verarbeitung von Kundendaten – d. h. alle personenbezogenen Daten, die im Auftrag des Kunden unter Nutzung des Cloud-Infrastruktur-Services verarbeitet werden.
- Daten in Europa: Verpflichtet Anbieter von Cloud-Infrastruktur-Services, Kunden die Wahl zu lassen, Services zu nutzen, die Kundendaten vollständig innerhalb des Europäischen Wirtschaftsraums (EWR) speichern und verarbeiten.
- Datenschutz: Der CISPE-Kodex garantiert Unternehmen, dass ihre Cloud-Infrastrukturdienstleister die Anforderungen erfüllen, die für die in ihrem Namen verarbeiteten personenbezogenen Daten (Kundendaten) gemäß der Datenschutz-Grundverordnung gelten.
Das Konformitätszertifikat, das den AWS-Konformitätsstatus veranschaulicht, ist im CISPE Public Register verfügbar. Die aufgelisteten AWS-Services wurden unabhängig als konform mit dem CISPE-Code verifiziert. Der Überprüfungsprozess wurde von Ernst & Young CertifyPoint (EY CertifyPoint) durchgeführt, einer unabhängigen, weltweit anerkannten Aufsichtsbehörde, die von der CNIL akkreditiert ist.
Technische und organisatorische Maßnahmen
-
Wie wirkt sich die DSGVO auf das AWS-Modell der geteilten Verantwortung aus?
Die DSGVO ändert nichts an dem AWS-Modell der geteilten Verantwortung, das für Kunden weiterhin relevant ist. Das Modell der geteilten Verantwortung ist ein nützlicher Ansatz, um die unterschiedlichen Verantwortlichkeiten von AWS (als Auftragsverarbeiter oder Unterauftragsverarbeiter) und Kunden (als Verantwortlicher oder Auftragsverarbeiter) im Rahmen der DSGVO darzustellen.
Im Rahmen des Modells der geteilten Verantwortung ist AWS für die Sicherung der zugrunde liegenden Infrastruktur verantwortlich, die AWS-Services unterstützt („Sicherheit „der“ Cloud“) und Kunden, die entweder als Verantwortliche oder Auftragsverarbeiter fungieren, sind für alle personenbezogenen Daten verantwortlich, die sie in AWS-Services („Sicherheit „IN“ der Cloud“) hochladen.
AWS-Verantwortung „Sicherheit der Cloud“ – AWS ist für den Schutz der Infrastruktur verantwortlich, in der alle AWS-Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die AWS-Services ausführen, die Kunden leistungsstarke Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, für die Handhabung von Kundeninhalten bieten. AWS stellt mehrere Compliance-Berichte von externen Wirtschaftsprüfern zur Verfügung, die unsere Einhaltung einer Vielzahl von Computersicherheitsstandards und -vorschriften überprüft haben (weitere Informationen finden Sie auf der AWS-Compliance-Webseite). Diese Berichte zeigen unseren Kunden, dass wir ihre Kundendaten schützen. Beispiele sind unter anderem die AWS-Compliance-Richtlinien ISO 27001, 27017 und 27018. ISO 27018 enthält Sicherheitskontrollen, die sich auf den Schutz von Kundendaten konzentrieren.
Kunden-Verantwortung „Sicherheit in der Cloud“ – AWS-Kunden sind dafür verantwortlich, die Architektur ihrer Anwendungen und Lösungen, die sie auf den AWS-Services bereitstellen wollen, zu entwerfen und zu sichern. AWS-Kunden sind auch dafür verantwortlich, die AWS-Services so zu konfigurieren, dass die Vertraulichkeits-, Integritäts- und Sicherheitsanforderungen ihrer Kundendaten geschützt werden. Die spezifischen Verantwortlichkeiten, die Kunden zum Schutz ihrer Kundendaten haben, hängen davon ab, welche AWS-Services die Kunden nutzen und wie diese Services in die IT-Umgebungen der Kunden integriert sind. AWS-Kunden haben Transparenz und Kontrolle über ihre Kundendaten und können flexible Sicherheitskontrollen basierend auf der Sensibilität der spezifischen Art von Kundendaten implementieren. Kunden können dies tun, indem sie ihre eigenen Sicherheitsmaßnahmen und -tools oder die von AWS oder anderen Anbietern zur Verfügung gestellten Sicherheitsmaßnahmen und -tools verwenden. Auf diese Weise können Kunden zusätzliche Sicherheitsebenen für sensiblere Kundendaten einrichten.
AWS stellt Produkte, Tools und Services zur Verfügung, mit denen Kunden ihre Anwendungen und Lösungen entwerfen und schützen können und die bereitgestellt werden können, um die Anforderungen der DSGVO zu erfüllen, darunter:
- Mit AWS Identity and Access Management (IAM) können Unternehmen den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mit IAM können Kunden AWS-Benutzer und -Gruppen anlegen und verwalten sowie Zugriffsrechte für AWS-Ressourcen vergeben und verweigern. IAM ist eine Funktion von AWS-Konten, die ohne Aufpreis bereitgestellt wird.
- Mit AWS CloudTrail können Unternehmen Informationen über Kontoaktivitäten im Zusammenhang mit Aktionen in AWS protokollieren, kontinuierlich überwachen und speichern, was die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlerbehebung vereinfacht (AWS CloudTrail ist standardmäßig auf allen AWS-Konten aktiviert).
- Amazon GuardDuty ist ein Managed Service zur Bedrohungserkennung, der AWS-Konten und -Instances fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und somit schützt. Es überwacht Aktivitäten, die auf eine mögliche Kompromittierung des Kontos hinweisen können, wie z. B. ungewöhnliche API-Aufrufe oder potenziell nicht autorisierte Implementierungen. GuardDuty erkennt außerdem Instances mit potenziellen Sicherheitsverletzungen oder Informationsbeschaffung durch Angreifer.
- Amazon Macie ist ein Machine-Learning-Werkzeug zur Unterstützung der Entdeckung und Klassifizierung von in Amazon S3 gespeicherten personenbezogenen Daten.
Weitere Informationen zur Verwendung von AWS-Ressourcen in Übereinstimmung mit der DSGVO finden Sie in unserem Whitepaper Navigating GDPR Compliance on AWS.
-
Bieten AWS-Partner Produkte und Services an, die bei der Einhaltung der DSGVO helfen?
Ja, Sie können im AWS Partner Solutions Finder nach „GDPR“ oder „DSGVO“ zu suchen, um ISVs, MSPs und SI-Partner mit Produkten und Services zu finden, die bei der Einhaltung der DSGVO helfen. Kunden können auch in AWS Marketplace nach „GDPR“- bzw. „DSGVO“-Lösungen suchen.
-
Bietet AWS Professional Services Unterstützung bei der Einhaltung der DSGVO-Richtlinien?
Ja, das AWS-Security-Assurance-Services-Team hat einige Aktivitäten, um Kunden auf ihrem Weg zur DSGVO-Compliance zu unterstützen. Dieses Team von branchenzertifizierten Compliance-Experten hilft Kunden, Compliance in der Cloud zu erreichen, aufrechtzuerhalten und zu automatisieren, indem es geltende Compliance-Standards mit AWS-servicespezifischen Features und Funktionen verknüpft. Weitere Informationen dazu, wie AWS Professional Services Consultants Kunden helfen, finden Sie hier.
-
Wie kann mir der AWS Support auf meinem Weg zur DSGVO-Compliance helfen?
Kunden können AWS Support nutzen, um technische Anleitungen zu erhalten, die sie auf ihrem Weg zur DSGVO-Compliance unterstützen. Als Teil dieser Aktivität haben wir Teams von Cloud Support Engineers und Technical Account Managers (TAMs), die geschult sind, um Compliance-Risiken zu identifizieren und zu minimieren. Die Supportstufe, die AWS bietet, hängt vom AWS-Support-Plan ab, den die Kunden wählen. Kunden, die wissen möchten, wie der AWS Premium Support ihnen helfen kann, erhalten weitere Informationen im AWS Support Center, das über die AWS-Managementkonsole verfügbar ist, über die im Enterprise Support Agreement mit AWS angegebenen Kontaktdaten oder auf der AWS-Support-Webseite. Kunden mit Enterprise Support sollten sich mit Fragen zur DSGVO an ihren TAM wenden.
Kunden könnten die folgenden zwei Programme nützlich finden, um ihre DSGVO-Compliance voranzutreiben:
- Cloud Operations Review: Dieses Programm ist für AWS Enterprise Support-Kunden verfügbar und soll ihnen dabei helfen, Lücken beim Einsatz der Cloud zu identifizieren. Ausgehend von einer Reihe operativer bewährter Methoden, die aus den Erfahrungen von AWS mit einer großen Anzahl repräsentativer Kunden gewonnen wurden, bietet dieses Programm eine Übersicht über den Cloud-Betrieb und die damit verbundenen Managementpraktiken, die Unternehmen auf ihrem Weg zur DSGVO-Compliance unterstützen können. Das Programm verfolgt einen Vier-Säulen-Ansatz mit dem Fokus auf Vorbereitung, Überwachung, Betrieb und Optimierung von Cloud-basierten Systemen beim Streben nach Operational Excellence.
- Well-Architected-Review: Dieses Programm ermöglicht es Unternehmen, ihre Architektur an den bewährten Methoden von AWS zu messen und Architekturen zu erstellen, die sicher, zuverlässig, leistungsstark und kostengünstig sind. Well-Architected-Reviews ermöglichen es Kunden außerdem, zu verstehen, wo sich Risiken in ihrer Architektur befinden und diese zu eliminieren, bevor Anwendungen in Produktion gehen.
-
Wie kann AWS Kunden bei der Erfüllung ihrer Pflichten im Rahmen der DSGVO hinsichtlich der Meldung von Verletzungen des Schutzes personenbezogener Daten unterstützen?
AWS verfügt über ein Verfahren zur Überwachung von Sicherheitsvorfällen und zur Benachrichtigung über Datenschutzverletzungen und benachrichtigt Kunden unverzüglich und in Übereinstimmung mit dem AWS DPA über Verletzungen der Sicherheit von AWS. AWS bietet Kunden außerdem eine Reihe von Tools, um zu verstehen, wer wann und von wo aus Zugriff auf ihre Ressourcen hat. Eines dieser Tools ist AWS CloudTrail, das Governance, Compliance, Operational Auditing und Risk Auditing eines AWS-Kontos ermöglicht. Mit AWS CloudTrail können Kunden Informationen über Kontoaktivitäten in ihrer AWS-Infrastruktur protokollieren, fortlaufend überwachen und speichern. Damit können Unternehmen verstehen, was mit ihrer AWS-Infrastruktur geschieht und sofort auf ungewöhnliche Aktivitäten reagieren. Weitere Informationen über die anderen Sicherheitstools, die AWS seinen Kunden zur Verfügung stellt, um ihnen bei der Erfüllung ihrer Verpflichtungen als Verantwortliche im Rahmen der DSGVO zu helfen, finden Sie auf unserer AWS-Cloud-Sicherheitswebsite.
-
Wie hilft mir AWS, meine Kundendaten vor Cyber-Angriffen zu schützen?
AWS bietet Kunden und APN-Partnern eine Reihe von Tools zum Schutz ihrer Kundendaten und zum Schutz vor Cyber-Angriffen. Eines dieser Tools ist AWS Shield. Dies ist ein Managed Distributed Denial of Service(DDoS)-Schutzdienst zum Schutz von Websites und Anwendungen, die auf AWS ausgeführt werden. AWS Shield Standard ist ohne Aufpreis erhältlich und bietet eine permanente Erkennung und automatische Inline-Minimierung, die Ausfall- und Latenzzeiten von Anwendungen minimieren kann. Kunden und APN-Partner können AWS Shield Advanced nutzen, um sich vor Angriffen auf Webanwendungen zu schützen, die in AWS, ELB, Amazon CloudFront und Amazon Route 53 ausgeführt werden. AWS veröffentlicht und aktualisiert außerdem regelmäßig das Dokument AWS Best Practices for DDoS Resiliency, das Kunden helfen kann, AWS-Anwendungen zu entwickeln, die gegen DDoS-Angriffe resistent sind.
Andere Tools, die AWS zum Schutz von Kundendaten vor Cyber-Angriffen anbietet, sind unter anderem:
- Mit AWS Identity and Access Management (IAM) können Unternehmen den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mit IAM können Kunden und APN-Partner AWS-Benutzer und -Gruppen anlegen und verwalten sowie Zugriffsrechte für AWS-Ressourcen vergeben und verweigern. IAM ist eine Funktion von AWS-Konten, die ohne Aufpreis bereitgestellt wird.
- Mit AWS Config können Kunden und APN-Partner vorkonfigurierte Regeln aktivieren, die sicherstellen, dass sich ihre AWS-Ressourcen in einem ordnungsgemäß konfigurierten und konformen Zustand befinden.
- Mit AWS CloudTrail können Unternehmen Informationen über Kontoaktivitäten im Zusammenhang mit Aktionen in AWS protokollieren, kontinuierlich überwachen und speichern, was die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlerbehebung vereinfacht (AWS CloudTrail ist standardmäßig auf allen AWS-Konten aktiviert).
- Amazon GuardDuty ist ein Managed Service zur Bedrohungserkennung, der AWS-Konten und -Instances fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und somit schützt. Es überwacht Aktivitäten, die auf eine mögliche Kompromittierung des Kontos hinweisen können, wie z. B. ungewöhnliche API-Aufrufe oder potenziell nicht autorisierte Implementierungen. GuardDuty erkennt außerdem Instances mit potenziellen Sicherheitsverletzungen oder Informationsbeschaffung durch Angreifer.
-
Welche Tools stehen mir zur Verfügung, um personenbezogene Daten in meinen Inhalten auf AWS zu finden?
Amazon Macie ist ein vollständig verwalteter Datensicherheits- und Datenschutzservice, der Machine Learning und Musterabgleich verwendet, um Ihre personenbezogenen Daten in AWS zu erkennen und zu schützen. Da Organisationen immer größer werdende Mengen an Daten verwalten müssen, kann das Identifizieren und Schützen personenbezogener Daten beliebigen Umfangs zunehmend komplexer, teurer und zeitaufwendiger werden. Amazon Macie automatisiert die Erkennung personenbezogener Daten beliebigen Umfangs und senkt die Kosten für den Schutz Ihrer Daten. Amazon Macie erstellt automatisch ein Inventar der Amazon-S3-Buckets, einschließlich einer Liste der unverschlüsselten Buckets, öffentlich verfügbaren Buckets und solcher Buckets, die mit AWS-Konten außerhalb der in AWS Organizations definierten Konten geteilt werden. Danach wendet Amazon Macie Machine-Learning- und Musterabgleichstechniken auf die von Ihnen ausgewählten Buckets an, um personenbezogene Daten zu identifizieren und Sie entsprechend zu benachrichtigen.
Amazon Macie ist nach international anerkannten Standards wie ISO 27017 für Cloud Security und ISO 27018 für Cloud Privacy zertifiziert und Kunden und APN-Partner können mit Macie auch den Zugriff auf ihre Daten kontinuierlich überwachen, um verdächtige Aktivitäten anhand von Zugriffsmustern zu erkennen.
-
Wie kann ich den Zugriff auf personenbezogene Daten innerhalb meiner Inhalte auf AWS kontrollieren?
Um Kunden bei der Einhaltung der DSGVO zu unterstützen, hat AWS eine Reihe von Tools zur Kontrolle des Zugriffs auf personenbezogene Daten, die in den Inhalten der Kunden auf AWS enthalten sind. Zu diesen Tools zählen Folgende:
- Standardmäßige Sicherheit bedeutet, dass die AWS-Services standardmäßig sicher sind. Wenn die Standardkonfiguration verwendet wird, ist der Zugriff auf Ressourcen nur für den Kontoinhaber und den Root-Administrator möglich.
- Mit AWS Identity and Access Management (IAM) können Kunden den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mithilfe von IAM können Organisationen AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen den Zugriff auf AWS-Ressourcen zulassen oder verweigern. IAM ist eine Funktion von AWS-Konten, die ohne Aufpreis bereitgestellt wird.
- Die AWS Multi-Factor Authentication fügt dem Benutzernamen und dem Passwort eines AWS-Kontos eine zusätzliche Schutzebene hinzu. AWS bietet Kunden die Wahl zwischen virtuellen MFA-Geräten und Hardware-MFA-Geräten.
- Mit AWS Directory Service können Kunden Unternehmensverzeichnisse integrieren und zusammenführen, um die Kosten für Administration zu verringern und das Endbenutzererlebnis zu verbessern.
- Mit AWS Config können Kunden vorkonfigurierte Regeln aktivieren, die sicherstellen, dass sich ihre AWS-Ressourcen in einem ordnungsgemäß konfigurierten und konformen Zustand befinden.
- AWS CloudTrail ermöglicht es Kunden, Informationen über Kontoaktivitäten im Zusammenhang mit Aktionen in ihrer AWS-Infrastruktur zu protokollieren, kontinuierlich zu überwachen und aufzubewahren, was die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlerbehebung vereinfacht (AWS CloudTrail ist standardmäßig für alle AWS-Konten aktiviert).
- Amazon Macie nutzt Machine Learning, um Kunden zu helfen, Datenverluste zu vermeiden, indem es automatisch sensible Daten in AWS erkennt, klassifiziert und schützt. Dieser vollständig verwaltete Service überwacht kontinuierlich die Datenzugriffsaktivitäten auf Anomalien und generiert detaillierte Warnmeldungen, wenn er das Risiko eines unbefugten Zugriffs oder unbeabsichtigten Datenverlustes erkennt – wie zum Beispiel sensible Daten, die ein Kunde versehentlich von außen zugänglich gemacht hat.
-
Wie kann ich Kundendaten in AWS verschlüsseln, um unbefugten Zugriff zu verhindern?
AWS bietet Kunden und APN-Partnern die Möglichkeit, für ihre in der Cloud ruhenden Kundendaten, eine zusätzliche Sicherheitsebene hinzuzufügen und so Kunden bei der Erfüllung ihrer Sicherheitspflichten für die Verarbeitung als Verantwortliche im Rahmen der DSGVO zu unterstützen. Zu den Verschlüsselungs-Tools, die auf AWS verfügbar sind, gehören Folgende:
- Datenverschlüsselungsfunktionen, die in AWS Speicher- und Datenbank-Services verfügbar sind, wie Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS und Redshift
- Flexible Optionen zur Schlüsselverwaltung, inklusive AWS Key Management Service, mit denen Kunden auswählen können, ob AWS die Schlüssel verwaltet oder Kunden die vollständige Kontrolle über ihre Schlüssel behalten
- Verschlüsselte Nachrichtenwarteschlangen für die Übertragung sensibler Daten mittels serverseitiger Verschlüsselung (SSE) für Amazon SQS
- Dedizierte, Hardware-basierte, kryptografische Schlüsselspeicherung über AWS CloudHSM, mit der Kunden Compliance-Anforderungen erfüllen können
Außerdem bietet AWS Kunden und APN-Partnern APIs, um die Verschlüsselung und den Datenschutz mit beliebigen Diensten zu integrieren, die sie in einer AWS-Umgebung entwickeln oder bereitstellen. -
Welche Services werden von AWS angeboten, damit Kunden die GDPR einhalten können?
AWS bietet bestimmte Funktionen und Services, damit Kunden die Anforderungen der DSGVO erfüllen können:
Zugriffskontrolle: Nur autorisierte Administratoren, Benutzer und Anwendungen haben Zugriff auf AWS-Ressourcen
- Multi-Factor-Authentication (MFA)
- Individuell festgelegter Zugriff auf Objekte in Amazon S3-Buckets, Amazon SQS, Amazon SNS und mehr
- Authentifizierung von API-Anfragen
- Geografische Beschränkungen
- Tokens für den vorübergehenden Zugriff mit AWS Security Token Service
Nachverfolgung und Protokollierung: Sie sehen die Aktivitäten in Ihren AWS-Ressourcen
- Asset Management und Konfiguration mit AWS Config
- Compliance-Prüfung und -Sicherheitsanalyse mit AWS CloudTrail
- Identifikation von Herausforderungen bei der Konfiguration mit AWS Trusted Advisor
- Individuell festgelegte Protokollierung des Zugriffs auf Amazon S3-Objekte
- Ausführliche Informationen zu Abläufen im Netzwerk mit Amazon VPC Flow Logs
- Regelbasierte Prüfungen und Aktionen zur Konfiguration mit AWS Config Rules
- Filterung und Überwachung des HTTP-Zugriffs auf Anwendungen mit AWS-WAF-Funktionen in AWS CloudFront
Verschlüsselung: Daten in AWS sind verschlüsselt
- Verschlüsselung Ihrer Daten beim Speichern mit AES256 (EBS/S3/Glacier/RDS)
- Zentral verwaltetes Key Management (nach AWS-Region)
- IPsec-Tunnel in AWS mit den VPN-Gateways
- Dedizierte HSM-Module in der Cloud mit AWS CloudHSM
Starkes Compliance-Framework und Sicherheitsstandards: Wir demonstrieren die Einhaltung strenger internationaler Standards, wie zum Beispiel:
- ISO 27001 für technische Maßnahmen
- ISO 27017 für Cloud-Sicherheit
- ISO 27018 für Cloud-Datenschutz
- SOC 1, SOC 2 und SOC 3, PCI DSS Level 1,
- BSIs Cloud Computing Compliance Controls Catalogue (C5)
- ENS Hoch
AWS und die UK-GDPR
-
Ist die GDPR im Vereinigten Königreich weiterhin gültig?
Die GDPR ist ein europäisches Gesetz und nach dem Brexit im Vereinigten Königreich nicht mehr gültig. Die britische Regierung nahm die Anforderungen der GDPR als „UK-GDPR“ in das britische Gesetz auf.
-
Wie können Kunden AWS in Übereinstimmung mit der britischen DSGVO verwenden?
AWS stellt ein UK-GDPR-konformes UK-DSGVO-Addendum zum AWS DPAbereit, das die Verpflichtungen von AWS als Verarbeiter von Daten unter der britischen DSGVO beinhaltet. Das UK-DSGVO-Addendum ist Teil der AWS Servicebedingungen und wird automatisch für alle Kunden angewendet, die eine Vereinbarung zur Datenverarbeitung erfordern, die mit der britischen DSGVO konform ist.
-
Wie können Kunden Daten übertragen, die mit der britischen DSGVO konform sind?
Das UK-DSGVO-Addendum, das Teil der AWS-Servicebedingungen ist, enthält die von der EC angenommenen SCCs und das internationale Datenübermittlungs-Addendum (IDTA), das von der britischen Datenschutzbehörde (dem Information Commissioners Office) herausgegeben wurde. Das IDTA ändert die SCCs, um sicherzustellen, dass sie einen angemessenen Schutz gemäß der DSGVO des Vereinigten Königreichs für internationale Datenübermittlungen in Länder außerhalb des Vereinigten Königreichs darstellen, denen kein angemessenes Schutzniveau für personenbezogene Daten (Drittländer des Vereinigten Königreichs) zuerkannt wurde. Das UK-DSGVO-Addendum bestätigt, dass die SCCs (in der durch das IDTA geänderten Fassung) automatisch gelten, wenn ein Kunde AWS-Services nutzt, um Kundendaten, die der UK-DSGVO (UK-Kundendaten) unterliegen, in UK-Drittländer zu übertragen. Als Teil des UK-DSGVO-Addendum in den AWS-Servicebedingungen gelten die SCCs (in der durch die IDTA geänderten Fassung) automatisch, wenn ein Kunde AWS-Services nutzt, um UK-Kundendaten in UK-Drittländer zu übertragen
AWS und das schweizerische Bundesgesetz über den Datenschutz
-
Wie können Kunden AWS in Übereinstimmung mit dem schweizerischen Bundesgesetz über den Datenschutz verwenden?
AWS bietet ein Schweizer Addendum zum AWS-Zusatz zur Datenverarbeitung (das „Schweizer Addendum“) an, das die Verpflichtungen von AWS als Datenverarbeiter gemäß dem schweizerischen Bundesgesetz über den Datenschutz (das „FDPA“) beinhaltet. Das Schweizer Addendum ist Teil der AWS-Servicebedingungen (siehe Abschnitt 1.14.4) und gilt automatisch, wenn das FDPA für die Nutzung der AWS-Services durch einen Kunden zur Verarbeitung von Kundendaten gilt.
-
Wie können Kunden Kundendaten gemäß dem FDPA übertragen?
Das Schweizer Addendum zum AWS-Zusatz zur Datenverarbeitung, der Teil der AWS-Servicebedingungen ist (siehe Abschnitt 1.14.4), beinhaltet die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (die „SCCs“), die von der Europäischen Kommission verabschiedet und gemäß den Anforderungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten geändert wurden. Das Schweizer Addendum bestätigt, dass die SCCs (in der durch das Schweizer Addendum geänderten Fassung) automatisch gelten, wenn ein Kunde AWS-Services nutzt, um Kundendaten, die dem FDPA unterliegen, in Drittländer zu übertragen.
Kontakt
-
An wen kann ich mich wenden, wenn ich Fragen zur DSGVO und AWS habe?
Kunden mit Fragen zur DSGVO empfehlen wir, sich zuerst an ihren AWS Account Manager zu wenden. Wenn Kunden sich für den Enterprise Support angemeldet haben, können sie sich auch an ihren Technical Account Manager (TAM) wenden. TAMs arbeiten mit Solutions Architects zusammen, um Kunden bei der Identifizierung potenzieller Risiken und potenzieller Minderungen zu unterstützen. TAMs und Account-Teams können auch Kunden und APN-Partner mit spezifischen Ressourcen auf der Grundlage ihrer Umgebung und ihrer Bedürfnisse ausstatten.AWS hat auch Teams von Enterprise Support Representatives, Professional Services Consultants und anderen Mitarbeitern, die bei DSGVO-Fragen helfen. Bei Fragen können Sie uns hier kontaktieren.