Datenschutz in Argentinien

Übersicht

Das argentinische Gesetz zum Schutz personenbezogener Daten Nr. 25.326, einschließlich der Ausführungsverordnung Nr. 1558/2001 und ergänzender Bestimmungen („PDPL“), ist ein argentinisches Bundesgesetz, das für den Schutz personenbezogener Daten in Argentinien und bei der internationalen Übertragung personenbezogener Daten zur Verarbeitung gilt. Im Juli 2018 verabschiedete die argentinische Datenschutzbehörde (Agencia de Acceso a la Información Pública , „ADPA“) im Rahmen der PDPL die Resolution 47/2018 („Resolution 47“), mit der die Verfügung Nr. 11/2006 aufgehoben wurde, die sich auf Sicherheitsmaßnahmen bezog, die die für die Datenverarbeitung Verantwortlichen (d. h. die AWS-Kunden) bei der Verarbeitung personenbezogener Daten berücksichtigen mussten. Die Resolution 47 beschreibt neue, empfohlene Sicherheitsmaßnahmen, die sich an internationalen bewährten Methoden und Standards orientieren und darauf abzielen, die Vertraulichkeit und Integrität personenbezogener Daten während ihrer Verarbeitung – von der Datenerfassung bis zur Datenlöschung – zu schützen. Insbesondere aktualisierte diese neue Resolution die Liste der Maßnahmen und Kontrollen, die zur Verwaltung, Planung, Kontrolle und Verbesserung der Sicherheit bei der Verarbeitung personenbezogener Daten empfohlen werden. Diese empfohlenen Sicherheitsmaßnahmen sind nach Kategorien von verarbeitungsbezogenen Aktivitäten unterteilt, darunter Datenerfassung, Zugriffskontrollen, Änderungskontrollen, Sicherung und Wiederherstellung, Schwachstellenmanagement, Entfernen oder Löschen von Daten, Sicherheitsvorfälle und Entwicklungsumgebungen. Darüber hinaus enthält Beschluss 47 eine Liste von Sicherheitsmaßnahmen, die auf "sensible Daten" (wie in der PDPL definiert) anzuwenden sind.

Für AWS ist der Datenschutz und die Sicherheit von Daten ein vorrangiges Anliegen. Sicherheit bei AWS beginnt bei seiner eigenen Kerninfrastruktur. Für die Cloud entwickelt und den strengsten Sicherheitsanforderungen der Welt angepasst, wird unsere Infrastruktur rund um die Uhr überwacht, um die Sicherheit, Integrität und Verfügbarkeit unserer Kundendaten sicherzustellen. Die gleichen Sicherheitsexperten von Weltklasse, die diese Infrastruktur überwachen, sind auch für die Entwicklung und Verwaltung unserer breiten Auswahl an innovativen Sicherheitsservices verantwortlich, die Ihnen bei der Erfüllung Ihrer eigenen regulatorischen und Sicherheitsanforderungen helfen. Als AWS-Kunde, unabhängig von Größe und Standort, genießen Sie sämtliche Vorteile unserer Erfahrung, die auch den strengsten Qualitätssicherungsframeworks von Drittanbietern Stand hält.

AWS implementiert und pflegt technische und organisatorische Sicherheitsmaßnahmen für AWS Cloud-Infrastrukturservices unter weltweit anerkannten Qualitätssicherungsframeworks und -zertifizierungen wie ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Kundeninhalten verhindern, wurden von unabhängigen Prüfgesellschaften validiert.

ISO 27018 beispielsweise ist der erste internationale Leitfaden für den Schutz personenbezogener Daten in der Cloud. Er basiert auf dem Informationssicherheitsstandard ISO 27002 und bietet eine Anleitung zur Implementierung von Kontrollen gemäß ISO 27002, die für persönlich identifizierbare Informationen (PII) gelten, die von öffentlichen Cloud-Dienstanbietern verarbeitet werden. AWS verfügt somit über ein System von Kontrollmechanismen, die sich speziell mit dem Datenschutz für Kundeninhalte beschäftigen.

Diese umfassenden technischen und organisatorischen Maßnahmen von AWS stehen im Einklang mit den Zielen der PDPL und der Resolution 47 unter der PDPL zum Schutz personenbezogener Daten. Kunden, die AWS-Services verwenden, behalten die Kontrolle über ihre Inhalte und sind eigenverantwortlich für die Implementierung zusätzlicher, ihren Anforderungen angepasster Sicherheitsmaßnahmen, zu denen etwa die Inhaltsklassifizierung, Verschlüsselung, Zugriffsmanagement und Sicherheitsanmeldeinformationen zählen.

Da AWS keine aussagekräftige Übersicht darüber hat, welche Art von Inhalten die Kunden in AWS speichern möchten, einschließlich der Frage, ob diese Daten als unter die PDPL fallend betrachtet werden oder nicht, sind die Kunden letztendlich selbst für die Einhaltung der PDPL und der damit verbundenen Vorschriften verantwortlich. Diese Seite ist eine Ergänzung zu den bestehenden Datenschutz-Ressourcen. Die Informationen auf dieser Seite helfen Ihnen bei der Ausrichtung Ihrer Sicherheitsmaßnahmen an Ihre Anforderungen im Rahmen des AWS-Modells der gemeinsamen Verantwortung, wenn Sie personenbezogene Daten in weltweit verteilten Rechenzentren verarbeiten.

• Welche Rolle spielt der Kunde beim Schutz seiner Inhalte?

  Unter dem AWS-Modell der gemeinsamen Verantwortung behalten AWS-Kunden die Kontrolle über die Sicherheitsmaßnahmen, die sie zum Schutz ihrer eigenen Inhalte, der Plattform, der Anwendungen, Systeme und Netzwerke einsetzen – genau so, wie es auch bei Anwendungen in einem On-Premise-Rechenzentrum der Fall wäre. Dabei können Kunden auf den technischen und organisatorischen Sicherheitsmaßnahmen und -kontrollen von AWS aufsetzen, um ihre eigenen Compliance-Anforderungen unter Kontrolle zu behalten. Kunden können auf ihnen vertraute Mittel zum Schutz ihrer Daten zurückgreifen. Beispielsweise können Sie neben AWS-Sicherheitsfunktionen wie AWS Identity and Access Management auch Methoden wie Verschlüsselung oder Multifaktor-Authentifizierung verwenden.

  Der Kunde muss bei der Bewertung der Sicherheit einer Cloud-Lösung Folgendes verstehen und dazwischen unterscheiden können:

  • Sicherheitsmaßnahmen, die AWS implementiert und betreibt – „Sicherheit der Cloud“ und

  • Sicherheitsmaßnahmen, die Kunden implementieren und betreiben und die sich auf die Sicherheit ihrer Kundeninhalte und -anwendungen beziehen, für die sie AWS-Services nutzen – „Sicherheit in der Cloud“.
    

  

• Wer hat Zugriff auf Kundeninhalte?

  Kunden sind weiterhin Eigentümer ihrer Inhalte und haben volle Kontrolle darüber. Sie wählen aus, durch welche AWS-Services ihre Inhalte verarbeitet, gespeichert und bereitgestellt werden. AWS hat keinen aussagekräftigen Einblick in die Inhalte seiner Kunden und greift auf diese Inhalte auch nicht zu, es sei denn zum Zwecke der Bereitstellung der vom Kunden gewählten AWS-Services oder sofern zur Erfüllung eines Gesetzes oder einer bindenden Rechtsvorschrift erforderlich.

  Kunden, die AWS-Services nutzen, behalten innerhalb der AWS-Umgebung die Kontrolle über ihre Inhalte. Kunden haben folgende Möglichkeiten:

  • Sie können bestimmen, wo ihre Inhalte gespeichert werden, z. B. die Art der Speicherumgebung und den geografischen Standort des Speichers. 
  • Sie können das Format ihrer Inhalte steuern, z. B. Klartext, maskiert, anonymisiert oder verschlüsselt, indem sie das von AWS bereitgestellte Verschlüsselungsverfahren oder die Verschlüsselungstechnik eines frei gewählten Drittanbieters verwenden. 
  • Sie können weitere Zugriffssteuerungen verwenden, etwa Identitäts- und Zugriffsmanagement und Sicherheitsanmeldeinformationen. 
  • Sie können festlegen, ob SSL, Virtual Private Cloud und andere Maßnahmen für die Netzwerksicherheit eingesetzt werden sollen, um unbefugte Zugriffe zu verhindern.

  Dies gibt AWS-Kunden die Kontrolle über den gesamten Lebenszyklus ihrer Inhalte auf AWS und ermöglicht ihnen, ihre Inhalte entsprechend den eigenen Anforderungen zu verwalten, einschließlich Klassifizierung der Inhalte, Zugriffskontrolle, Aufbewahrung und Löschung.
  

• Wo werden Kundeninhalte gespeichert?

  Die globale AWS-Infrastruktur gibt Ihnen die Flexibilität, die Methode und den Standort zur Ausführung Ihrer Workloads zu bestimmen. Dabei nutzen Sie dasselbe Netzwerk sowie dieselbe Oberfläche, APIs und AWS-Services. Wenn Sie Ihre Anwendungen global ausführen möchten, können Sie aus einer beliebigen AWS-Region und Availability Zones auswählen. Als Kunde wählen Sie die AWS-Region(en), in der Ihre Kundeninhalte gespeichert sind, sodass Sie die AWS-Services an einem Ort Ihrer Wahl entsprechend Ihren spezifischen geographischen Anforderungen nutzen können. Wenn beispielsweise ein AWS-Kunde in Australien seine Daten nur in Australien speichern möchte, kann er seine AWS-Services ausschließlich in der AWS-Region Asien-Pazifik (Sydney) bereitstellen. Weitere flexible Speicheroptionen finden Sie auf der AWS-Regionen-Webseite.
  

  Sie können Ihre Kundeninhalte in mehr als einer AWS-Region replizieren und sichern. Wir werden Ihre Inhalte nicht ohne Ihre Zustimmung außerhalb der von Ihnen gewählten AWS-Region(en) verschieben oder replizieren, es sei denn, dies ist im Einzelfall erforderlich, um dem Gesetz oder der verbindlichen Anordnung einer Regierungsstelle nachzukommen. Es ist jedoch wichtig, zu beachten, dass nicht alle AWS-Services in allen AWS-Regionen verfügbar sind. Weitere Informationen darüber, welche Services in welchen AWS-Regionen verfügbar sind, finden Sie auf der Webseite AWS-Region-Services.
  

• Wie schützt AWS seine Rechenzentren?

  Die Sicherheitsstrategie für die Rechenzentren von AWS setzt sich aus skalierbaren Sicherheitskontrollen und verschiedenen Verteidigungsebenen zum Schutz Ihrer Informationen zusammen. AWS hat beispielsweise sorgfältige Überwachungsmaßnahmen auf mögliche Datenüberflutungsrisiken und seismische Aktivitäten implementiert. Den Zugang zu unseren Rechenzentren kontrollieren wir durch physische Sicherheitsanlagen, Sicherheitskräfte, Bedrohungserkennungstechnologie und gründliche Screeningverfahren. Wir sichern unsere Systeme, testen Anlagen und Prozesse regelmäßig und schulen unser AWS-Personal in Achtsamkeit vor dem Unerwarteten.

  Zur Validierung unserer Rechenzentren führen externe Prüfer das gesamte Jahr hindurch Tests zu mehr als 2 600 Standards und Anforderungen durch. Diese unabhängigen Prüfungen stellen sicher, dass wir die geltenden Sicherheitsstandards erfüllen oder gar übertreffen. Aus diesem Grund verlassen sich auch Organisationen in hoch regulierten Branchen weltweit darauf, dass ihre Daten bei AWS sicher sind.
  

  Erfahren Sie mehr über unsere inhärenten Vorkehrungen zum Schutz unserer Rechenzentren in einer virtuellen Tour durch ein AWS-Rechenzentrum ».
  

• Welche AWS-Regionen kann ich nutzen?

  Kunden können eine bestimmte Region, alle Regionen oder eine Kombination aus bestimmten Regionen einschließlich Regionen in Brasilien und den USA wählen. Eine vollständige Liste der AWS-Regionen finden Sie auf der Seite Globale AWS-Infrastruktur.

• Die Datenschutzbehörde Argentiniens (ADPA) hat festgestellt, dass bestimmte Länder ein „angemessenes Sicherheitsniveau“ bereitstellen. Unterhält AWS Regionen in diesen Ländern?

  Unter dem PDPL ist es Datenverantwortlichen (d. h. AWS-Kunden) erlaubt, personenbezogene Daten in Länder mit Rechtssystemen zu übertragen, die für personenbezogene Daten ein gemäß ADPA "angemessenes Sicherheitsniveau" bieten. Gemäß von der ADPA veröffentlichter Bestimmung 60-E/2016 gelten die Mitgliedsstaaten der Europäischen Union (EU) und der Europäischen Wirtschaftsgemeinschaft (EEC) als Länder mit "angemessenem Sicherheitsniveau" zum Schutz personenbezogener Daten.

  AWS unterhält Regionen in zahlreichen EU-Ländern mit lt. ADPA unter dem PDPL "angemessenem Sicherheitsniveau", darunter Deutschland, Frankreich, Großbritannien und Irland. Eine vollständige Liste der AWS-Regionen finden Sie auf der Seite Globale AWS-Infrastruktur.

  Unabhängig von der gewählten Region wendet AWS auf alle seine Rechenzentren die gleichen Sicherheitsstandards an.
  

• Welche internationalen Datenübertragungsvereinbarungen bietet AWS zum Schutz personenbezogener Daten, die in ein anderes Land, einschließlich Brasilien und die USA, übertragen werden?

  In seinen Kundenvereinbarungen geht AWS bestimmte Sicherheits- und Datenschutzverpflichtungen ein, die allgemein für Kundeninhalte gelten, unabhängig von der Region, in der der Kunde seine Daten zu speichern wünscht. Die Verpflichtungen, die AWS eingeht, stehen im Einklang mit den Zielen der PDPL, der Disposition 60-E/2016 und der Resolution 47/2018 im Rahmen der PDPL zum Schutz personenbezogener Daten.

  AWS bietet auch ein internationales Datenverarbeitungs-Addendum (DPA) an, das auch als Datentransferabkommen bezeichnet wird, das weltweit gilt und spezifische vertragliche Verpflichtungen enthält, um die Rollen und Verpflichtungen jeder Partei in Bezug auf die Privatsphäre und die Sicherheit personenbezogener Daten angemessen zu regeln.

  Zudem steht Kunden die Option eines Unternehmensvertrags mit AWS offen, der noch genauer an die spezifischen Anforderungen des Kunden angepasst werden kann. Wenn Sie nähere Informationen zu AWS-Unternehmensverträgen oder dem DPA wünschen, wenden Sie sich an Ihren AWS Sales-Mitarbeiter.