Datenschutz in Brasilien

Übersicht

In Brasilien ist das allgemeine Datenschutzgesetz („LGPD“) die primäre Rechtsgrundlage für den Schutz personenbezogener Daten. Das LGPD gilt für die Verarbeitung personenbezogener Daten (welche definiert sind als Informationen bezüglich einer identifizierten oder identifizierbaren natürlichen Person) durch natürliche oder juristische Personen des öffentlichen oder privaten Sektors, ungeachtet der zur Verarbeitung verwendeten Mittel und ungeachtet des Landes, in dem sich der Datenverantwortliche befindet bzw. in dem sich die Daten befinden. Dem wird vorausgesetzt, dass 1) die Verarbeitung in Brasilien stattfindet, 2) die Verarbeitung das Angebot oder die Bereitstellung von Waren oder Dienstleistungen oder die Verarbeitung von Daten von Personen, die in Brasilien ansässig sind, zum Zweck hat, oder 3) die personenbezogenen Daten in Brasilien erhoben wurden.

Das LGPD legt Regeln und Grundsätze für die Verarbeitung personenbezogener Daten fest. Organisationen müssen darlegen können, dass sie geeignete Maßnahmen ergriffen haben, um die Einhaltung der Regeln zum Schutz personenbezogener Daten nachzuweisen, einschließlich der Wirksamkeit dieser Maßnahmen, welche die Erarbeitung und Durchsetzung konformer Richtlinien für die Verarbeitung personenbezogener Daten erforderlich machen.

Im Rahmen des LGPD müssen Verantwortliche und Verarbeiter (gemäß Definition des LGPD) technische und administrative Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff sowie vor unbeabsichtigter bzw. unrechtmäßiger Zerstörung, Veränderung, Weitergabe oder vor unbeabsichtigtem bzw. unrechtmäßigem Verlust oder vor sonstigen Arten unsachgemäßer bzw. unrechtmäßiger Verarbeitung zu schützen. Darüber hinaus räumt das LGPD der nationalen Datenschutzbehörde Brasiliens („ANPD“) das Recht ein, technische Mindeststandards festzulegen, die von Verantwortlichen und Verarbeitern einzuhalten sind.

Für AWS ist der Datenschutz und die Sicherheit von Daten ein vorrangiges Anliegen. Sicherheit bei AWS beginnt bei seiner eigenen Kerninfrastruktur. Für die Cloud entwickelt und den strengsten Sicherheitsanforderungen der Welt angepasst, wird unsere Infrastruktur rund um die Uhr überwacht, um die Sicherheit, Integrität und Verfügbarkeit unserer Kundendaten sicherzustellen. Die gleichen Sicherheitsexperten von Weltklasse, die diese Infrastruktur überwachen, sind auch für die Entwicklung und Verwaltung unserer breiten Auswahl an innovativen Sicherheitsservices verantwortlich, die Ihnen bei der Erfüllung Ihrer eigenen regulatorischen und Sicherheitsanforderungen helfen. Als AWS-Kunde, unabhängig von Größe und Standort, genießen Sie sämtliche Vorteile unserer Erfahrung, die auch den strengsten Qualitätssicherungsframeworks von Drittanbietern Stand hält.

AWS implementiert und pflegt technische und organisatorische Sicherheitsmaßnahmen für AWS Cloud-Infrastrukturservices unter weltweit anerkannten Qualitätssicherungsframeworks und -zertifizierungen wie ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Kundeninhalten verhindern, wurden von unabhängigen Prüfgesellschaften validiert.

ISO 27018 beispielsweise ist der erste internationale Leitfaden für den Schutz personenbezogener Daten in der Cloud. Er basiert auf dem Informationssicherheitsstandard ISO 27002 und bietet eine Anleitung zur Implementierung von Kontrollen gemäß ISO 27002, die für persönlich identifizierbare Informationen (PII) gelten, die von öffentlichen Cloud-Dienstanbietern verarbeitet werden. AWS verfügt somit über ein System von Kontrollmechanismen, die sich speziell mit dem Datenschutz für Kundeninhalte beschäftigen.

Diese umfassenden technischen und organisatorischen Sicherheitsmaßnahmen von AWS sind konsistent mit den Zielen des LGPD zum Schutz personenbezogener Daten. Kunden, die AWS-Services verwenden, behalten die Kontrolle über ihre Inhalte und sind eigenverantwortlich für die Implementierung zusätzlicher, ihren Anforderungen angepasster Sicherheitsmaßnahmen, zu denen etwa die Inhaltsklassifizierung, Verschlüsselung, Zugriffsmanagement und Sicherheitsanmeldeinformationen zählen.

Da AWS keinen Einblick in und keine Kenntnis der von Kunden ins Netzwerk hochgeladenen Inhalte hat und auch nicht ermitteln kann, ob diese Daten die Bestimmungen des LGPD erfüllen, sind die Kunden für die Konformität mit dem LGPD und den zugehörigen Bestimmungen selbst verantwortlich. Diese Seite ist eine Ergänzung zu den bestehenden Datenschutz-Ressourcen und hilft Ihnen bei der Ausrichtung Ihrer Sicherheitsmaßnahmen an Ihre Anforderungen im Rahmen des AWS-Modells der gemeinsamen Verantwortung, wenn Sie personenbezogene Daten mit AWS-Services speichern und verarbeiten.

• Was ist die LGPD?

  Das brasilianische Allgemeine Datenschutzgesetz ("LGPD") ist Brasiliens wichtigste Regelung zum Schutz personenbezogener Daten, die am 18. September 2020 in Kraft trat.

• Für wen gilt die LGPD?

  Die LGPD gilt für alle Organisationen, unabhängig davon, ob sie in Brasilien niedergelassen sind oder nicht, die personenbezogene Daten verarbeiten, um Menschen in Brasilien Waren oder Dienstleistungen anzubieten oder zu erbringen. Die LGPD gilt auch für Organisationen, die personenbezogene Daten in Brasilien sammeln oder verarbeiten. Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte natürliche Person beziehen oder anhand derer eine natürliche Person identifiziert werden kann.
  

• Sind die AWS-Services LGPD-konform?

  Wir können bestätigen, dass alle AWS-Services in Übereinstimmung mit der LGPD genutzt werden können. Das bedeutet, dass die Kunden nicht nur von allen Maßnahmen profitieren, die AWS bereits zur Aufrechterhaltung der Servicesicherheit ergreift, sondern auch AWS-Services als wichtigen Bestandteil ihrer LGPD-Compliance-Pläne einsetzen können. Weitere Einzelheiten finden Sie in unserem Whitepaper Navigation der LGPD-Compliance auf AWS.
  

• Wo kann ein einzelner Betroffener Informationen über die Ausübung der LGPD-Rechte finden?

  Am 14. August 2020 haben wir unseren Datenschutzhinweis aktualisiert, um unsere Richtlinien als für die Datenverarbeitung Verantwortlicher im Hinblick auf die Anforderungen der LGPD zu erläutern, einschließlich der Frage, wie Betroffene ihre gesetzlichen Rechte ausüben können.
  

• Verfügt AWS über ein Datenschutzhub mit einer umfassenden Beschreibung der Datenschutzpositionen von AWS und der den Kunden gewährten Rechte?

  Ja. Auf unserer Seite Datenschutz finden Sie Informationen über unsere Datenschutzrichtlinien und -praktiken. Wir haben auch unseren Datenschutzhinweis aktualisiert, um alle gemäß LGPD erforderlichen Offenlegungen aufzunehmen, einschließlich der Art und Weise, wie Kunden ihre Rechte gemäß dem Gesetz ausüben können.
  

• Ist AWS mit dem Datenschutz in anderen Ländern in LATAM konform?

  AWS hat stets hohe Anforderungen an die Sicherheit und Compliance bei den globalen Tätigkeitsfeldern. Die Schutzmaßnahmen, die wir für die DSGVO und LGPD zur Verfügung stellen, stehen Kunden auf der ganzen Welt zur Verfügung, und unsere Kunden können diese Schutzmaßnahmen nutzen, um die Einhaltung ihrer lokalen Datenschutzgesetze zu gewährleisten.
  

• Welche Rolle spielt der Kunde beim Schutz seiner Inhalte?

  Unter dem AWS-Modell der gemeinsamen Verantwortung behalten AWS-Kunden die Kontrolle über die Sicherheitsmaßnahmen, die sie zum Schutz ihrer eigenen Inhalte, der Plattform, der Anwendungen, Systeme und Netzwerke einsetzen – genau so, wie es auch bei Anwendungen in einem lokalen Rechenzentrum der Fall wäre. Die LGPD ändert nichts an dem AWS-Modell der übergreifenden Verantwortlichkeit, das für Kunden und APN-Partner, die sich auf die Nutzung von Cloud-Computing-Services konzentrieren, weiterhin relevant ist. Das Modell der übergreifenden Verantwortlichkeit ist ein nützlicher Ansatz, um die unterschiedlichen Verantwortlichkeiten von AWS (als Datenverarbeiter oder Unterverarbeiter) und Kunden oder APN-Partnern (als Datenkontrolleur oder Datenverarbeiter) im Rahmen der LGPD darzustellen. Im Rahmen des Modells der übergreifenden Verantwortlichkeit ist AWS für die Sicherung der zugrunde liegenden Infrastruktur, die die Cloud unterstützt, verantwortlich, und Kunden und APN-Partner, die entweder als Datenkontrolleur oder Datenverarbeiter fungieren, sind für alle persönlichen Daten, die sie in die Cloud stellen, verantwortlich. Dabei können Kunden auf den technischen und organisatorischen Sicherheitsmaßnahmen und -kontrollen von AWS aufsetzen, um ihre eigenen Compliance-Anforderungen unter Kontrolle zu behalten. Kunden können auf ihnen vertraute Mittel zum Schutz ihrer Daten zurückgreifen. Beispielsweise können Sie neben AWS-Sicherheitsfunktionen wie AWS Identity and Access Management auch Methoden wie Verschlüsselung oder Multifaktor-Authentifizierung verwenden.

  Der Kunde muss bei der Bewertung der Sicherheit einer Cloud-Lösung Folgendes verstehen und dazwischen unterscheiden können:

  • Sicherheitsmaßnahmen, die AWS implementiert und betreibt – „Sicherheit der Cloud“ und
  • Sicherheitsmaßnahmen, die Kunden implementieren und betreiben und die sich auf die Sicherheit ihrer Kundeninhalte und -anwendungen beziehen, für die sie AWS-Services nutzen – „Sicherheit in der Cloud“.
    

   

  Weitere Informationen über zusätzliche Maßnahmen, die Kunden ergreifen können, und Lösungen, die AWS anbietet, finden Sie auf der AWS Security Learning Webseite.

  

• Wer hat Zugriff auf Kundeninhalte?

  Kunden sind weiterhin Eigentümer ihrer Inhalte und haben volle Kontrolle darüber. Sie wählen aus, durch welche AWS-Services ihre Inhalte verarbeitet, gespeichert und bereitgestellt werden. AWS hat keinen Einblick in die Inhalte seiner Kunden und greift auf diese Inhalte auch nicht zu, es sei denn zum Zwecke der Bereitstellung der vom Kunden gewählten AWS-Services oder sofern zur Erfüllung eines Gesetzes oder einer bindenden Rechtsvorschrift erforderlich.

  Kunden, die AWS-Services nutzen, behalten innerhalb der AWS-Umgebung die Kontrolle über ihre Inhalte. Kunden haben folgende Möglichkeiten:

  • Sie können bestimmen, wo ihre Inhalte gespeichert werden, z. B. die Art der Speicherumgebung und den geografischen Standort des Speichers.
  • Sie können das Format ihrer Inhalte steuern, z. B. Klartext, maskiert, anonymisiert oder verschlüsselt, indem sie das von AWS bereitgestellte Verschlüsselungsverfahren oder die Verschlüsselungstechnik eines frei gewählten Drittanbieters verwenden.
  • Sie können weitere Zugriffssteuerungen verwenden, etwa Identitäts- und Zugriffsmanagement und Sicherheitsanmeldeinformationen.
  • Sie können festlegen, ob SSL, Virtual Private Cloud und andere Maßnahmen für die Netzwerksicherheit eingesetzt werden sollen, um unbefugte Zugriffe zu verhindern.

  Dies gibt AWS-Kunden die Kontrolle über den gesamten Lebenszyklus ihrer Inhalte auf AWS und ermöglicht ihnen, ihre Inhalte entsprechend den eigenen Anforderungen zu verwalten, einschließlich Klassifizierung der Inhalte, Zugriffskontrolle, Aufbewahrung und Löschung.
  

• Wo werden Kundeninhalte gespeichert?

  AWS-Rechenzentren sind weltweit in Clustern und auf zahlreiche Standorte verteilt. Wir bezeichnen ein Cluster aus Rechenzentren an einem bestimmten Ort als "Region".

  AWS-Kunden wählen die AWS-Region (oder Regionen) aus, in der ihre Inhalte gespeichert werden. So können Kunden mit bestimmten geografischen Anforderungen Umgebungen am gewünschten Standort (oder auch an mehreren Standorten) einrichten.

  Kunden können ihre Inhalte in mehrere Regionen replizieren und dort speichern. AWS verschiebt jedoch keine Kundeninhalte außerhalb der vom Kunden festgelegten Region(en). So werden die Services, wie vom Kunden beantragt, bereitgestellt, und geltende Gesetze können eingehalten werden.
  
  

• Wie schützt AWS seine Rechenzentren?

  Die Sicherheitsstrategie für die Rechenzentren von AWS setzt sich aus skalierbaren Sicherheitskontrollen und verschiedenen Verteidigungsebenen zum Schutz Ihrer Informationen zusammen. AWS hat beispielsweise sorgfältige Überwachungsmaßnahmen auf mögliche Datenüberflutungsrisiken und seismische Aktivitäten implementiert. Den Zugang zu unseren Rechenzentren kontrollieren wir durch physische Sicherheitsanlagen, Sicherheitskräfte, Bedrohungserkennungstechnologie und gründliche Screeningverfahren. Wir sichern unsere Systeme, testen Anlagen und Prozesse regelmäßig und schulen unser AWS-Personal in Achtsamkeit vor dem Unerwarteten.

  Zur Validierung unserer Rechenzentren führen externe Prüfer das gesamte Jahr hindurch Tests zu mehr als 2 600 Standards und Anforderungen durch. Diese unabhängigen Prüfungen stellen sicher, dass wir die geltenden Sicherheitsstandards erfüllen oder gar übertreffen. Aus diesem Grund verlassen sich auch Organisationen in hoch regulierten Branchen weltweit darauf, dass ihre Daten bei AWS sicher sind.

  Erfahren Sie mehr über unsere inhärenten Vorkehrungen zum Schutz unserer Rechenzentren in einer virtuellen Tour durch ein AWS-Rechenzentrum.

• Welche AWS-Regionen kann ich nutzen?

  Kunden können wählen, ob sie eine beliebige Region, alle Regionen oder eine beliebige Kombination von Regionen verwenden möchten. Eine vollständige Liste der AWS-Regionen finden Sie auf der Seite Globale AWS-Infrastruktur.
  

• Welche Sicherheitsmaßnahmen hat AWS zum Schutz der Systeme?

  Die AWS Cloud-Infrastruktur wurde als eine der flexibelsten und sichersten Cloud Computing-Umgebungen der heutigen Zeit konzipiert. Die Größe von Amazon erlaubt deutlich mehr Investitionen in Sicherheitsrichtlinien und Gegenmaßnahmen, als es sich fast jedes große Unternehmen allein leisten kann. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die AWS-Services ausführen, die Kunden und APN-Partnern leistungsstarke Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, für die Handhabung von personenbezogenen Daten bieten. Weitere Einzelheiten zu den von AWS ergriffenen Maßnahmen zur Aufrechterhaltung eines gleichbleibend hohen Sicherheitsniveaus finden Sie im AWS-Whitepaper Übersicht über die Sicherheitsprozesse.

  AWS stellt auch mehrere Compliance-Berichte von externen Auditoren zur Verfügung, die unsere Konformität mit einer Vielzahl von Sicherheitsstandards und -vorschriften – einschließlich ISO 27001, ISO 27017 und ISO 27018 – geprüft und verifiziert haben. Um die Transparenz der Wirksamkeit dieser Maßnahmen zu gewährleisten, bieten wir Zugang zu Prüfungsberichten Dritter in AWS Artifact. Diese Berichte zeigen unseren Kunden und APN-Partnern, die entweder als Datenkontrolleure oder als Datenverarbeiter fungieren können, dass wir die zugrunde liegende Infrastruktur schützen, auf der sie personenbezogene Daten speichern und verarbeiten. Weitere Informationen finden Sie auf unserer Seite mit Compliance-Ressourcen.
  

• Was hat AWS in Vorbereitung auf die LGPD getan?

  Die AWS Experten für Compliance, Datenschutz und Sicherheit haben mit den Kunden zusammengearbeitet, um ihre Fragen zu beantworten und ihnen bei der Vorbereitung auf laufende Workloads in der AWS Cloud zu helfen. Diese Teams haben auch die Bereitschaft der AWS-Services geprüft, die Anforderungen der LGPD zu erfüllen. Darüber hinaus bieten wir unseren Kunden eine Datenverarbeitungsvereinbarung an, die den Anforderungen der LGPD entspricht.

  AWS hat stets hohe Anforderungen an die Sicherheit und Compliance bei den globalen Tätigkeitsfeldern. Die Sicherheit ist seit jeher unsere oberste Priorität, sozusagen die Aufgabe, die vor allen anderen zu erledigen ist. Unser Sicherheitsmodell ist branchenführend und die Grundlage für die lange Liste international anerkannter Zertifizierungen und Akkreditierungen, die unsere Compliance mit strikten internationalen Standards unter Beweis stellt. Auf der Liste finden sich beispielsweise ISO 27017 für die Cloud-Sicherheit, ISO 27018 für den Datenschutz in der Cloud, SOC 1, SOC 2 and SOC 3, PCI DSS Level 1, NIST FIPS 140-2, C5 und weitere. Um Transparenz über die Wirksamkeit dieser Maßnahmen zu schaffen, geben wir unseren Kunden und APN-Partnern über die AWS-Managementkonsole Zugriff auf die Auditberichte Dritter. Diese Berichte zeigen unseren Kunden und APN-Partnern, die entweder als Datenkontrolleure oder als Datenverarbeiter fungieren können, dass wir die zugrunde liegende Infrastruktur schützen, auf der sie personenbezogene Daten speichern und verarbeiten. Weitere Informationen finden Sie auf unserer Compliance-Webseite.
  
  

• Welche Services stellt AWS bereit, damit Kunden die LGPD einhalten können?

  AWS bietet bereits bestimmte Funktionen und Services, damit Kunden die Anforderungen der LGPD erfüllen können:

  Datenzugriffskontrolle: Nur autorisierte Administratoren, Benutzer und Anwendungen haben Zugriff auf AWS-Ressourcen

  • Multi-Factor-Authentication (MFA)
  • Individuell festgelegter Zugriff auf Objekte in Amazon S3-Buckets, Amazon SQS, Amazon SNS und mehr
  • Authentifizierung von API-Anfragen
  • Geografische Beschränkungen
  • Tokens für den vorübergehenden Zugriff mit AWS Security Token Service

  Nachverfolgung und Protokollierung: Sie sehen die Aktivitäten in Ihren AWS-Ressourcen.

  • Asset Management und Konfiguration mit AWS Config
  • Compliance-Prüfung und Sicherheitsanalyse mit AWS CloudTrail
  • Identifikation von Herausforderungen bei der Konfiguration mit AWS Trusted Advisor
  • Individuell festgelegte Protokollierung des Zugriffs auf Amazon S3-Objekte
  • Ausführliche Informationen zu Abläufen im Netzwerk mit Amazon VPC-FlowLogs
  • Regelbasierte Prüfungen und Aktionen zur Konfiguration mit AWS Config Rules
  • Filterung und Nachverfolgung von HTTP-Zugriff auf Anwendungen mit WAF-Funktionen in AWS CloudFront

  Verschlüsselung: Daten in AWS sind verschlüsselt.

  • Verschlüsselung Ihrer Daten beim Speichern mit AES256 (EBS/S3/Glacier/RDS)
  • Zentral verwaltetes Key Management (nach AWS-Region)
  • IPsec-Tunnel in AWS mit den VPN-Gateways
  • Dedizierte HSM-Module in der Cloud mit AWS CloudHSM
    

• Wie kann AWS den für die Datenverarbeitung Verantwortlichen helfen, ihren Meldepflichten bei Datenverletzungen gemäß LGPD nachzukommen?

  AWS bietet Kunden und APN-Partnern eine Reihe von Tools, um zu verstehen, wer wann und von wo aus Zugriff auf ihre Ressourcen hat. Eines dieser Tools ist AWS CloudTrail, das Governance, Compliance, Operational Auditing und Risk Auditing eines AWS-Kontos ermöglicht. Mit AWS CloudTrail können Kunden Informationen über Kontoaktivitäten in ihrer AWS-Infrastruktur protokollieren, fortlaufend überwachen und speichern. Damit können Unternehmen verstehen, was mit ihrer AWS-Infrastruktur geschieht und sofort auf ungewöhnliche Aktivitäten reagieren. Weitere Informationen über AWS CloudTrail und die anderen Sicherheitstools, die AWS seinen Kunden zur Verfügung stellt, um ihnen bei der Erfüllung ihrer Verpflichtungen als Datenkontrolleure im Rahmen der LGPD zu helfen, finden Sie auf unserer Sicherheitswebsite.
  

• Wie hilft mir AWS, meine Daten vor Cyber-Angriffen zu schützen?

  AWS bietet Kunden und APN-Partnern eine Reihe von Tools zum Schutz ihrer Daten und zum Schutz vor Cyber-Angriffen. Eines dieser Tools ist AWS Shield. Dies ist ein Managed Distributed Denial of Service(DDoS)-Schutzdienst zum Schutz von Websites und Anwendungen, die auf AWS ausgeführt werden. AWS Shield Standard ist ohne Aufpreis erhältlich und bietet eine permanente Erkennung und automatische Inline-Minimierung, die Ausfall- und Latenzzeiten von Anwendungen minimieren kann. Für einen höheren Grad an Schutz vor Angriffen auf Webanwendungen, die auf AWS laufen und ELB-, Amazon CloudFront- und Amazon Route 53-Ressourcen nutzen, können Kunden und APN-Partner AWS Shield Advanced abonnieren.
  

• Wie geht AWS mit Löschanweisungen von Kunden um?

  AWS-Services ermöglichen das Löschen von Inhalten durch den Kunden bei Bedarf über die AWS-Managementkonsole, APIs und andere Eingabemethoden. Weitere Informationen über spezifische Service-Funktionen finden Sie in unserer Dokumentation.
  

• An wen kann ich mich wenden, wenn ich Fragen zur LGPD und AWS habe?

  Zusätzlich zu unserer Datenschutzseite und unserem Datenschutzhinweis empfehlen wir Kunden und APN Partnern, sich bei Fragen zum Datenschutz oder zu AWS und LGPD zunächst an ihren AWS Kundenbetreuer zu wenden. Wenn Kunden sich für den Enterprise Support angemeldet haben, können sie sich auch an ihren Technical Account Manager (TAM) wenden. TAMs arbeiten mit Solutions Architects zusammen, um Kunden bei der Identifizierung potenzieller Risiken und potenzieller Minderungen zu unterstützen. TAMs und Account-Teams können auch Kunden und APN-Partner mit spezifischen Ressourcen auf der Grundlage ihrer Umgebung und ihrer Bedürfnisse ausstatten.

  AWS hat auch Teams von Enterprise Support Representatives, Professional Services Consultants und anderen Mitarbeitern, die bei LGPD-Fragen helfen. Um Kunden und APN Partner weiterzubilden, führt AWS auch eine Reihe von Vorträgen, Webinaren und Workshops auf AWS Gipfeltreffen durch, um ihnen zu helfen, LGPD zu verstehen und Lösungen mit AWS Werkzeugen zu implementieren.