Alle AWS-Services bereit für DSGVO

3. Oktober 2019: Wir haben einen Satz aktualisiert, um klarzustellen, dass AWS-Services in Übereinstimmung mit der DSGVO verwendet werden können.

Von Chad Woolf, übersetzt von Thomas Goerz.

Heute freue ich mich sehr, bekannt zu geben, dass alle AWS-Services in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) verwendet werden können. Das bedeutet, dass Kunden neben allen Maßnahmen, die Amazon Web Services (AWS) bereits zur Aufrechterhaltung der Sicherheit der Services ergreift, AWS-Dienste als zentralen Bestandteil ihrer Planungen zum Erreichen oder Aufrechterhalten einer DSGVO-Konformität einsetzen können.

Diese Ankündigung bestätigt, dass wir unsere Überprüfung der AWS-Services auf DSGVO-Konformität abgeschlossen haben und hierbei bestätigt wurde, dass alle allgemein verfügbaren Services und Features die hohen Datensicherheits- und Datenschutzstandards erfüllen, die von der DSGVO an Datenverarbeiter gestellt werden. Wir haben diese Arbeiten zwei Monate vor dem Inkrafttreten am 25. Mai 2018 abgeschlossen, um Kunden und AWS-Partnernetzwerk (APN)-Partnern eine Umgebung zu bieten, in der sie vertrauensvoll ihre eigenen DSGVO-konformen Produkte, Dienstleistungen und Lösungen aufbauen können.

Die DSGVO-Konformität von AWS-Services ist nur ein Teil der Geschichte. Wir arbeiten weiterhin mit unseren Kunden und dem APN zusammen, um sie auf ihrem Weg zur DSGVO-Konformität zu unterstützen. Zusammen mit dieser Ankündigung möchte ich die folgenden Beispiele hervorheben, wie AWS Ihnen helfen kann, Ihre eigenen Bemühungen zum Einhalten der Vorgaben der DSGVO zu beschleunigen.

Sicherheit personenbezogener Daten

Im Rahmen unserer Überprüfung der Dienste auf DSGVO-Konformität haben unsere Experten für Sicherheit und Regelkonformität (Compliance) bestätigt, dass AWS wirksame technische und organisatorische Maßnahmen ergriffen hat, um personenbezogene Daten gemäß der DSGVO zu schützen. Sicherheit bleibt unsere höchste Priorität und wir investieren weiterhin in einen hohen Standard für Sicherheit und Compliance in allen globalen Aktivitäten. Unsere branchenführende Funktionalität bildet die Grundlage für unsere lange Liste international anerkannter Zertifizierungen und Akkreditierungen, die die Einhaltung strenger internationaler Normen wie ISO 27001 für technische Maßnahmen, ISO 27017 für Cloud-Sicherheit, ISO 27018 für Cloud-Datenschutz, SOC 1, SOC 2 und SOC 3, PCI DSS Level 1 sowie EU-spezifische Zertifizierungen wie den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten Common Cloud Computing Controls Catalogue (C5) belegen. Darüberhinaus strebt AWS weiterhin all jene Zertifizierungen an, die unseren Kunden helfen.

Services zur Gewährleistung von Compliance

Viele Anforderungen der DSGVO konzentrieren sich auf die Sicherstellung einer effektiven Kontrolle und des Schutzes personenbezogener Daten. Mit AWS-Services haben Sie die Möglichkeit, Ihre eigenen maßgeschneiderten Sicherheitsmaßnahmen im Einklang mit der DSGVO umzusetzen. Dazu gehöhren spezifische Maßnahmen wie:

• Verschlüsselung personenbezogener Daten
• Sicherstellung, der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz der Verarbeitungssysteme und -dienste
• Zeitnahe Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Fall eines physischen oder technischen Zwischenfalls
• Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

AWS bietet ein ausgereiftes Portfolio von Services für den Bereich Sicherheit und Compliance, die speziell für die Anforderungen der DSGVO konzipiert wurden. Es gibt zahlreiche AWS-Services, die für Kunden mit Fokus auf die Einhaltung der DSGVO von besonderer Bedeutung sind, darunter:

• Amazon GuardDuty – Sicherheitsservice mit intelligenter Bedrohungserkennung und kontinuierlicher Überwachung
• Amazon Macie – Tool auf Basis von Machine Learning (ML) zur Unterstützung bei der Entdeckung und Sicherung personenbezogener Daten in Amazon S3
• Amazon Inspector – Service zur Schwachstellenverwaltung und automatisierten Schwachstellenanalyse zur Einhaltung bewährter Sicherheitsmaßnahmen für Anwendungen
• AWS Config – Überwachungsservice zur dynamischen Überprüfung von Cloud-Ressourcen auf Compliance mit selbstdefinierten oder von AWS bereitgestellten Sicherheitsregeln

Zudem haben wir ein White Paper mit dem Titel „Navigating GDPR Compliance on AWS [EN]“ veröffentlicht, das sich diesem Thema widmet. Dieses Papier erläutert, wie DSGVO-Konzepte mit spezifischen AWS-Services verknüpft werden können, einschließlich solcher für Monitoring, Datenzugriff und Schlüsselverwaltung. Darüber hinaus gewährt Ihnen unser DSGVO-Zentrum Zugriff auf aktuelle Ressourcen, die Sie dabei unterstützen, die Anforderungen zur Einhaltung der DSGVO zu erfüllen.

DSGVO-konformes AWS DPA

Wir stellen ein DSGVO-konformes AWS Data Processing Addendum (AWS DPA) [EN] bereit, das die Verpflichtungen von AWS als Datenverarbeiter beinhaltet, welches Sie zur Erfüllung der vertraglichen Pflichten der DSGVO benötigen.

Konformität mit Verhaltenskodex

Die DSGVO führt die Einhaltung eines „Verhaltenskodex“ als Mechanismus ein, um ausreichende Garantien für die Anforderungen nachzuweisen, die die DSGVO an Datenverarbeiter stellt. In diesem Zusammenhang haben wir zuvor unsere Compliance mit dem CISPE-Verhaltenskodex bekanntgegeben. Der CISPE-Verhaltenskodex bietet Kunden zusätzliche Sicherheit darüber, dass sie ihre Daten in einer sicheren, geschützten und konformen Umgebung vollständig kontrollieren können, wenn sie Services von Anbietern wie AWS nutzen.

Schulungen und Summits

Über unser Team von AWS Professional Services können wir Ihnen Schulungen zur Navigation der Anforderungen der DSGVO mit AWS-Services anbieten. Dieses Team bietet einen zweitägigen, moderierten DSGVO-Workshop an, der auf Ihre spezifischen Bedürfnisse und Herausforderungen zugeschnitten ist. Außerdem bieten wir Präsentationen zur DSGVO auf unseren AWS Summits in europäischen Ländern sowie in San Francisco und Tokio an.

Zusätzliche Ressourcen

Unsere Expertenteams für Compliance, Datenschutz und Sicherheit sowie das APN unterstützen unsere Kunden in ganz Europa bei der Vorbereitung auf den Betrieb regulierter Workloads in der Cloud, wenn die DSGVO in Kraft tritt. Für weitere Informationen dazu wenden Sie sich bitte an Ihren AWS Account Manager.

Auf dem Weg zum 25. Mai und darüber hinaus werden wir eine Reihe von Blogs veröffentlichen, die tiefer auf Konzepte mit Fokus auf DSGVO sowie die Unterstützung durch AWS eingehen. Bitte besuchen Sie unser DSGVO-Zentrum für weitere Informationen. Wir freuen uns darauf, Ihr Partner für die umfassende Umsetzung dieser wichtigen Verordnung zu sein.

– Chad Woolf

Vice President, AWS Security Assurance

Über die Autoren

Chad Woolf Chad kam 2010 zu Amazon und baute den Bereich AWS-Compliance von Grund auf neu auf, einschließlich Audit und Zertifizierungen, Datenschutz, Vertragskonformität, Automatisierung von Kontrollen und Überwachung von Sicherheitsprozessen. Chads Arbeit umfasst auch die Ermöglichung der Nutzung der AWS-Cloud im öffentlichen Sektor und in regulierten Branchen, die Einhaltung komplexer Datenschutzvorschriften wie der DSGVO und den Betrieb eines Teams für Handels- und Produktkonformität im Zusammenhang mit der globalen Expansion der Regionen. Bevor er zu AWS kam, arbeitete Chad 12 Jahre lang bei Ernst & Young als Senior Manager und beriet Fortune-100-Unternehmen direkt in den Bereichen IT-Prozesse, Sicherheit, Risiko und Vendor-Management sowie bei der Konzeption und Implementierung globaler Sicherheits- und Prüfungssoftwarelösungen. Chad hat einen Master of Information Systems Management und einen Bachelor of Accounting von der Brigham Young University in Utah.