Datenschutz in Indonesien
Schützen Sie Ihre Daten
Das Vertrauen unserer Kunden zu gewinnen, ist die Grundlage unseres Geschäfts bei AWS, und wir wissen, dass Sie darauf vertrauen, dass wir Ihre wichtigsten und sensibelsten Werte schützen: Ihre Daten. Wir verdienen dieses Vertrauen, indem wir eng mit Ihnen zusammenarbeiten, um Ihre Datenschutzbedürfnisse zu verstehen, und indem wir das umfassendste Angebot an Services, Tools und Fachwissen anbieten, um Sie beim Schutz Ihrer Daten zu unterstützen. Hierfür stellen wir technische, betriebliche und vertragliche Maßnahmen bereit, die zum Schutz Ihrer Daten erforderlich sind. Mit AWS verwalten Sie die Datenschutzkontrollen Ihrer Daten, kontrollieren, wie Ihre Daten verwendet werden, bestimmen, wer Zugriff hat und wie sie verschlüsselt werden. Wir untermauern diese Fähigkeiten mit der flexibelsten und sichersten Cloud-Computing-Umgebung, die heute verfügbar ist.
Zu unseren Verpflichtungen gehören:
Datenkontrolle
Mit AWS haben Sie die Kontrolle über Ihre Daten, indem Sie leistungsstarke AWS-Services und -Tools nutzen, mit denen Sie bestimmen können, wo Ihre Daten gespeichert werden, wie sie gesichert sind und wer Zugriff darauf hat. Mit Services wie AWS Identity and Access Management (IAM) können Sie den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. AWS CloudTrail und Amazon Macie ermöglichen Governance, Compliance, Detection und Auditing, während AWS CloudHSM und AWS Key Management Service (KMS) die sichere Generierung und Verwaltung von Encryption Keys ermöglichen.
Datenschutz
Datenhoheit
Sie entscheiden, ob Sie Ihre Kundendaten in einer oder mehreren AWS-Regionen auf der ganzen Welt speichern möchten. Wenn Sie AWS-Services nutzen, können Sie darauf vertrauen, dass Ihre Kundendaten in der AWS-Region verbleiben, die Sie ausgewählt haben. Eine kleine Zahl von AWS-Services beinhaltet die Übertragung von Daten, unter anderem, um die Services weiter zu entwickeln und zu verbessern. Sie können jedoch jederzeit ihre Zustimmung zu diesen Datentransfers zurückziehen, solange sie keinen unverzichtbaren Teil des Service darstellen (beispielsweise bei Content Delivery Services). Wir verbieten den Fernzugriff von AWS-Mitarbeitern auf die Kundendaten zu jedem Zweck, einschließlich der Serverwartung. Der Zugriff wird lediglich gestattet, wenn die Kunden dies ausdrücklich wünschen oder er notwendig ist, um Betrug oder Missbrauch zu verhindern beziehungsweise die Einhaltung von Gesetzen ihn erforderlich machen. Wenn wir eine Informationsanfrage der Strafverfolgungsbehörden erhalten, widersprechen wir diesen grundsätzlich, wenn die Anfragen im Widerspruch zu geltendem Recht stehen, zu allgemein formuliert sind oder wir andere gewichtige Gründe dafür sehen. Wir stellen auch einen halbjährlichen Bericht über Informationsanfragen zur Verfügung, der die Art und Anzahl der Informationsanfragen beschreibt, die AWS von Strafverfolgungsbehörden erhält.
Sicherheit
Bei AWS hat die Sicherheit oberste Priorität und die Sicherheit in der Cloud ist eine geteilte Verantwortung von AWS und unserem Kunden. Finanzdienstleister, Gesundheitsdienstleister und Behörden gehören zu den Kunden, die uns einige ihrer sensibelsten Informationen anvertrauen. Mit unseren umfassenden Services können Sie Ihre Fähigkeit verbessern, zentrale Sicherheits-, Vertraulichkeits- und Compliance-Anforderungen zu erfüllen, sei es durch Amazon GuardDuty oder unser AWS Nitro System, die zugrunde liegende Plattform für unsere EC2-Instances. Darüber hinaus ermöglichen Services wie AWS CloudHSM und AWS Key Management Service die sichere Erzeugung und Verwaltung von Encryption Keys, und AWS Config und AWS CloudTrail bieten Überwachungs- und Protokollierungsfunktionen für Compliance und Audits.
Übersicht
Indonesien hat am 17. Oktober 2022 sein Gesetz zum Schutz personenbezogener Daten (Gesetz der Republik Indonesien Nr. 27, Jahr 2022) (PDP-Gesetz) erlassen. Das PDP-Gesetz gilt für Personen mit Wohnsitz (i) in Indonesien und (ii) außerhalb Indonesiens, wenn ihre Handlungen rechtliche Konsequenzen in Indonesien oder für indonesische Datensubjekte im Ausland haben.
Das PDP-Gesetz unterscheidet zwischen dem Datenverantwortlichen und dem Datenverarbeiter und erlegt jedem von ihnen unterschiedliche Verpflichtungen im Umgang mit Daten auf. Ein Datenverantwortlicher ist eine Person, die die Ziele der Verarbeitung personenbezogener Daten festlegt und die Kontrolle darüber ausübt. Ein Datenverarbeiter ist eine Person, die Daten auf Anweisung eines Datenverantwortlichen verarbeitet. Zu den allgemeinen Pflichten eines Datenverantwortlichen gehören:
- Verarbeitung personenbezogener Daten in Übereinstimmung mit den angegebenen Rechtsgrundlagen für die Verarbeitung, einschließlich der Einwilligung der betroffenen Person, der vertraglichen Notwendigkeit und des berechtigten Interesses
- Implementierung geeigneter Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten vor unbefugter Offenlegung
- Sicherstellung, dass die Rechte der betroffenen Personen gewahrt bleiben, einschließlich des Rechts auf Zugang und Korrektur der personenbezogenen Daten und der Umsetzung der Aufforderung, die Daten zu löschen
- Übermittlung personenbezogener Daten außerhalb von Indonesien nur, wenn die Bedingungen für eine solche Übermittlung erfüllt sind
Für Datenverarbeiter schreibt das PDP-Gesetz vor, dass die Verarbeitung personenbezogener Daten nur gemäß den Anweisungen des Datenverantwortlichen erfolgen darf. Das PDP-Gesetz enthält keine Anforderungen an die Datenlokalisierung.
Bestehende Vorschriften zum Schutz personenbezogener Daten, einschließlich des Gesetzes Nr. 11 aus dem Jahr 2008 über elektronische Informationen und Transaktionen, der Regierungsverordnung Nr. 71 aus dem Jahr 2019 über den Betrieb elektronischer Systeme und Transaktionen (GR 71) (mit der die Regierungsverordnung Nr. 82 aus dem Jahr 2012 über den Betrieb elektronischer Systeme und Transaktionen geändert wurde) und der Verordnung des Ministers für Kommunikation und Informatik Nr. 20 aus dem Jahr 2016 über den Schutz personenbezogener Daten in einem elektronischen System (Ministerialverordnung 20) bleiben weiterhin in Kraft, soweit sie nicht im Widerspruch zum PDP-Gesetz stehen.
AWS achtet sehr auf Ihre Privatsphäre und die Sicherheit Ihrer Daten. Sicherheit bei AWS beginnt bei seiner eigenen Kerninfrastruktur. Für die Cloud entwickelt und den strengsten Sicherheitsanforderungen der Welt angepasst, wird unsere Infrastruktur rund um die Uhr überwacht, um die Sicherheit, Integrität und Verfügbarkeit unserer Kundendaten sicherzustellen. Die gleichen Sicherheitsexperten von Weltklasse, die diese Infrastruktur überwachen, sind auch für die Entwicklung und Verwaltung unserer breiten Auswahl an innovativen Sicherheitsservices verantwortlich, die Ihnen bei der Erfüllung Ihrer eigenen regulatorischen und Sicherheitsanforderungen helfen. Als AWS-Kunde, unabhängig von Größe und Standort, genießen Sie sämtliche Vorteile unserer Erfahrung, die auch den strengsten Qualitätssicherungsframeworks von Drittanbietern Stand hält.
AWS implementiert und pflegt technische und organisatorische Sicherheitsmaßnahmen, die für die AWS-Cloud-Infrastruktur-Services im Rahmen von weltweit anerkannten Sicherheits-Frameworks und Zertifizierungen gelten, darunter ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, PCI DSS Level 1, and SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Inhalten von Kunden verhindern, wurden von unabhängigen Prüfern validiert.
ISO 27018 beispielsweise ist der erste internationale Leitfaden für den Schutz personenbezogener Daten in der Cloud. Er basiert auf dem Informationssicherheitsstandard ISO 27002 und bietet eine Anleitung zur Implementierung von Kontrollen gemäß ISO 27002, die für persönlich identifizierbare Informationen (PII) gelten, die von öffentlichen Cloud-Dienstanbietern verarbeitet werden. AWS verfügt somit über ein System von Kontrollmechanismen, die sich speziell mit dem Datenschutz für Kundeninhalte beschäftigen.
Diese umfassenden technischen und organisatorischen Sicherheitsmaßnahmen von AWS sind konsistent mit typischen regulatorischen Zielen zum Schutz personenbezogener Daten. Kunden, die AWS-Services verwenden, behalten die Kontrolle über ihre Inhalte und sind eigenverantwortlich für die Implementierung zusätzlicher, ihren Anforderungen angepasster Sicherheitsmaßnahmen, zu denen etwa die Inhaltsklassifizierung, Verschlüsselung, Zugriffsmanagement und Sicherheitsanmeldeinformationen zählen.
Da AWS keinen Einblick in und keine Kenntnis der von Kunden ins Netzwerk hochgeladenen Inhalte hat und auch nicht ermitteln kann, ob diese Daten die Bestimmungen des PDP-Gesetzes erfüllen, sind die Kunden für die Konformität mit dem PDP-Gesetz und den zugehörigen Bestimmungen selbst verantwortlich. Diese Seite ist eine Ergänzung zu den bestehenden Datenschutz-Ressourcen und hilft Ihnen bei der Ausrichtung Ihrer Sicherheitsmaßnahmen an Ihre Anforderungen im Rahmen des AWS-Modells der geteilten Verantwortung, wenn Sie personenbezogene Daten mit AWS-Services verarbeiten.
-
Welche Rolle spielt der Kunde beim Schutz seiner Inhalte?
Unter dem AWS-Modell der gemeinsamen Verantwortung behalten AWS-Kunden die Kontrolle über die Sicherheitsmaßnahmen, die sie zum Schutz ihrer eigenen Inhalte, der Plattform, der Anwendungen, Systeme und Netzwerke einsetzen – genau so, wie es auch bei Anwendungen in einem lokalen Rechenzentrum der Fall wäre. Dabei können Kunden auf den technischen und organisatorischen Sicherheitsmaßnahmen und -kontrollen von AWS aufsetzen, um ihre eigenen Compliance-Anforderungen unter Kontrolle zu behalten. Kunden können auf ihnen vertraute Mittel zum Schutz ihrer Daten zurückgreifen. Beispielsweise können Sie neben AWS-Sicherheitsfunktionen wie AWS Identity and Access Management auch Methoden wie Verschlüsselung oder Multifaktor-Authentifizierung verwenden.
Der Kunde muss bei der Bewertung der Sicherheit einer Cloud-Lösung Folgendes verstehen und dazwischen unterscheiden können:
- Sicherheitsmaßnahmen, die AWS implementiert und betreibt – "Sicherheit der Cloud" und
- Sicherheitsmaßnahmen, die Kunden implementieren und betreiben und die sich auf die Sicherheit ihrer Kundeninhalte und -anwendungen beziehen, für die sie AWS-Services nutzen – "Sicherheit in der Cloud".
-
Wer hat Zugriff auf Kundeninhalte?
Kunden sind weiterhin Eigentümer ihrer Inhalte und haben volle Kontrolle darüber. Sie wählen aus, durch welche AWS-Services ihre Inhalte verarbeitet, gespeichert und bereitgestellt werden. AWS hat keinen Einblick in die Inhalte seiner Kunden und greift auf diese Inhalte auch nicht zu, es sei denn zum Zwecke der Bereitstellung der vom Kunden gewählten AWS-Services oder sofern zur Erfüllung eines Gesetzes oder einer bindenden Rechtsvorschrift erforderlich.
Kunden, die AWS-Services nutzen, behalten innerhalb der AWS-Umgebung die Kontrolle über ihre Inhalte. Kunden haben folgende Möglichkeiten:
- Sie können bestimmen, wo ihre Inhalte gespeichert werden, z. B. die Art der Speicherumgebung und den geografischen Standort des Speichers.
- Sie können das Format ihrer Inhalte steuern, z. B. Klartext, maskiert, anonymisiert oder verschlüsselt, indem sie das von AWS bereitgestellte Verschlüsselungsverfahren oder die Verschlüsselungstechnik eines frei gewählten Drittanbieters verwenden.
- Sie können weitere Zugriffssteuerungen verwenden, etwa Identitäts- und Zugriffsmanagement und Sicherheitsanmeldeinformationen.
- Sie können festlegen, ob SSL, Virtual Private Cloud und andere Maßnahmen für die Netzwerksicherheit eingesetzt werden sollen, um unbefugte Zugriffe zu verhindern.
Dies gibt AWS-Kunden die Kontrolle über den gesamten Lebenszyklus ihrer Inhalte auf AWS und ermöglicht ihnen, ihre Inhalte entsprechend den eigenen Anforderungen zu verwalten, einschließlich Klassifizierung der Inhalte, Zugriffskontrolle, Aufbewahrung und Löschung.
-
Wo werden Kundeninhalte gespeichert?
AWS-Rechenzentren sind weltweit in Clustern und auf zahlreiche Standorte verteilt. Wir bezeichnen ein Cluster aus Rechenzentren an einem bestimmten Ort als "Region".
AWS-Kunden wählen die AWS-Region (oder Regionen) aus, in der ihre Inhalte gespeichert werden. So können Kunden mit bestimmten geografischen Anforderungen Umgebungen am gewünschten Standort (oder auch an mehreren Standorten) einrichten.
Kunden können ihre Inhalte in mehrere Regionen replizieren und dort speichern. AWS verschiebt jedoch keine Kundeninhalte außerhalb der vom Kunden festgelegten Region(en). So werden die Services, wie vom Kunden beantragt, bereitgestellt, und geltende Gesetze können eingehalten werden.
-
Wie schützt AWS seine Rechenzentren?
Die Sicherheitsstrategie für die Rechenzentren von AWS setzt sich aus skalierbaren Sicherheitskontrollen und verschiedenen Verteidigungsebenen zum Schutz Ihrer Informationen zusammen. AWS hat beispielsweise sorgfältige Überwachungsmaßnahmen auf mögliche Datenüberflutungsrisiken und seismische Aktivitäten implementiert. Den Zugang zu unseren Rechenzentren kontrollieren wir durch physische Sicherheitsanlagen, Sicherheitskräfte, Bedrohungserkennungstechnologie und gründliche Screeningverfahren. Wir sichern unsere Systeme, testen Anlagen und Prozesse regelmäßig und schulen unser AWS-Personal in Achtsamkeit vor dem Unerwarteten.
Zur Validierung unserer Rechenzentren führen externe Prüfer das gesamte Jahr hindurch Tests zu mehr als 2 600 Standards und Anforderungen durch. Diese unabhängigen Prüfungen stellen sicher, dass wir die geltenden Sicherheitsstandards erfüllen oder gar übertreffen. Aus diesem Grund verlassen sich auch Organisationen in hoch regulierten Branchen weltweit darauf, dass ihre Daten bei AWS sicher sind.
Erfahren Sie mehr über unsere inhärenten Vorkehrungen zum Schutz unserer Rechenzentren in einer virtuellen Tour durch ein AWS-Rechenzentrum ».
-
Welche AWS-Regionen kann ich nutzen?
Kunden können wählen, ob sie eine beliebige Region, alle Regionen oder eine beliebige Kombination von Regionen verwenden möchten. Eine vollständige Liste der AWS-Regionen finden Sie auf der Seite Globale AWS-Infrastruktur.
-
Welche Sicherheitsmaßnahmen hat AWS zum Schutz der Systeme?
Die AWS Cloud-Infrastruktur wurde als eine der flexibelsten und sichersten Cloud Computing-Umgebungen der heutigen Zeit konzipiert. Die Größe von Amazon erlaubt deutlich mehr Investitionen in Sicherheitsrichtlinien und Gegenmaßnahmen, als es sich fast jedes große Unternehmen allein leisten kann. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die AWS-Services ausführen, die Kunden und APN-Partnern leistungsstarke Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, für die Handhabung von personenbezogenen Daten bieten.
AWS stellt auch mehrere Compliance-Berichte von externen Auditoren zur Verfügung, die unsere Konformität mit einer Vielzahl von Sicherheitsstandards und -vorschriften – einschließlich ISO 27001, ISO 27017 und ISO 27018 – geprüft und verifiziert haben. Um die Transparenz der Wirksamkeit dieser Maßnahmen zu gewährleisten, bieten wir Zugang zu Prüfungsberichten Dritter in AWS Artifact. Diese Berichte zeigen unseren Kunden und APN-Partnern, die entweder als Datenkontrolleure oder als Datenverarbeiter fungieren können, dass wir die zugrunde liegende Infrastruktur schützen, auf der sie personenbezogene Daten speichern und verarbeiten. Weitere Informationen finden Sie auf unserer Seite mit Compliance-Ressourcen.