Datenschutz in Kanada

Übersicht

AWS-Kunden können eine AWS-Umgebung entwerfen und implementieren und die AWS-Services so nutzen, dass sie ihren Verpflichtungen gemäß den kanadischen Datenschutzgesetzen auf Bundes-, Provinz- und Territorialebene nachkommen.

Kunden haben stets die Kontrolle darüber, wie sie ihre in AWS gespeicherten Inhalte verwalten und darauf zugreifen. AWS hat keine Kenntnis davon, was Kunden in seine Services hochladen, einschließlich der Frage, ob diese Daten den kanadischen Datenschutzgesetzen unterliegen oder nicht, und die Kunden sind selbst dafür verantwortlich, sicherzustellen, dass sie alle geltenden Gesetze einhalten.

Das AWS Data Processing Addendum (AWS DPA), das auch als Datentransferabkommen bezeichnet wird, gilt weltweit und enthält spezifische vertragliche Verpflichtungen, um die Rollen und Verpflichtungen jeder Partei in Bezug auf die Privatsphäre und die Sicherheit personenbezogener Daten angemessen zu regeln.

In Kanada gibt es mehrere Gesetze, die sich auf den Schutz personenbezogener Daten beziehen. Die Durchsetzung dieser Gesetze wird von verschiedenen Regierungsorganisationen und Behörden auf Bundes-, Provinz- und Territorialebene übernommen.

Auf Bundesebene kann das Personal Information Protection and Electronic Documents Act (PIPEDA) für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im privaten Sektor gelten, und der Privacy Act kann im öffentlichen Sektor gelten. Das Office of the Privacy Commissioner of Canada (OPC) überwacht die Anwendung beider Gesetze.

Die kanadischen Provinzen und Territorien haben auch ihre eigenen Datenschutzgesetze sowohl für den öffentlichen als auch für den privaten Sektor sowie Datenschutzgesetze für bestimmte Arten personenbezogener Daten, wie z. B. persönliche Gesundheitsinformationen, verabschiedet. Die OPC-Website bietet einen Überblick über diese Gesetze und Behörden der Provinzen und Territorien.

Für Kunden, die ihre Daten in Kanada verarbeiten möchten, stehen die AWS-Region Kanada (Zentral) in der Nähe von Montreal und die Region Kanada (West) in der Nähe von Calgary zur Verfügung. Eine vollständige Liste der AWS-Regionen und -Services finden Sie auf der Seite Globale AWS-Infrastruktur.

Häufig gestellte Fragen

• Wie können Kunden feststellen, welche kanadischen Datenschutzgesetze für ihren Anwendungsfall gelten?

  Ob und in welchem Umfang ein AWS-Kunde PIPEDA, dem Privacy Act oder anderen kanadischen Datenschutzanforderungen unterliegt, kann je nach Geschäft und Anwendungsfall des Kunden variieren. Kunden sollten ihre eigenen Rechtsberater hinzuziehen, um sich über die Datenschutzgesetze zu informieren, denen sie unterliegen.

• Wie können Kunden die kanadischen Datenschutzgesetze in AWS einhalten?

  Kunden, die den kanadischen Datenschutzgesetzen unterliegen, müssen möglicherweise Anforderungen in Verbindung mit der Erfassung, dem Zugriff, der Verwendung, der Offenlegung und dem Schutz von personenbezogenen Gesundheitsdaten erfüllen. AWS gibt Kunden die Kontrolle über die Speicherung und Verarbeitung ihrer Inhalte in AWS-Services. Hierzu zählt auch, wie sie ihre Inhalte schützen und wer auf diese Inhalte zugreifen kann. AWS bietet Services, die Kunden konfigurieren und nutzen können, um die Sicherheit aller in AWS gespeicherten personenbezogenen Daten zu gewährleisten, und es liegt in der Verantwortung des Kunden, eine Lösung zu entwickeln, die den geltenden Datenschutzanforderungen entspricht.

  Auf der Seite AWS-Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und Leitfäden zu bewährten Methoden, und in AWS Artifact haben Kunden bei Bedarf Zugriff auf AWS-Prüfungsberichte von Drittanbietern.

• Verbieten kanadische Datenschutzgesetze einem AWS-Kunden, personenbezogene Daten außerhalb Kanadas zu übertragen oder zu speichern?

  Kunden sollten ihre eigenen Rechtsberater konsultieren, um festzustellen, welche kanadischen Datenschutzgesetze oder sonstigen Verpflichtungen für ihr Unternehmen und ihren Anwendungsfall gelten können.

• Erfordern kanadische Datenschutzgesetze die Verschlüsselung personenbezogener Daten?

  Unternehmen, die den kanadischen Datenschutzgesetzen unterliegen, sind verpflichtet, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen, und es liegt in der Verantwortung jedes Kunden, festzustellen, ob eine Verschlüsselung erforderlich ist, um seinen Sicherheits- und Compliance-Verpflichtungen nachzukommen.

  AWS empfiehlt Kunden als bewährte Methode, ihre Daten im Ruhezustand und bei der Übertragung zu verschlüsseln. Weitere Hinweise finden Sie unter Verschlüsseln von Daten im Ruhezustand und bei der Übertragung.

• Welche Rolle spielt der Kunde beim Schutz seiner Inhalte in AWS?

  Der Kunde muss bei der Bewertung der Sicherheit einer Cloud-Lösung Folgendes verstehen und dazwischen unterscheiden können:

  • Sicherheitsmaßnahmen, die AWS implementiert und betreibt – „Sicherheit der Cloud“ und
  • Sicherheitsmaßnahmen, die Kunden implementieren und betreiben und die sich auf die Sicherheit ihrer Kundeninhalte und -anwendungen beziehen, für die sie AWS-Services nutzen – „Sicherheit in der Cloud“.

  

  Unter dem AWS-Modell der geteilten Verantwortung behalten AWS-Kunden die Kontrolle über die Sicherheitsmaßnahmen, die sie zum Schutz ihrer eigenen Inhalte, der Plattform, der Anwendungen, Systeme und Netzwerke einsetzen – genau so, wie es auch bei Anwendungen in einem lokalen Rechenzentrum der Fall wäre. Kunden können vertraute Sicherheitsmaßnahmen wie Verschlüsselung und Multi-Faktor-Authentifizierung verwenden, um ihre Daten zu schützen und ihre Compliance-Anforderungen zu erfüllen. Hinzu kommen AWS-Sicherheitsservices und Features wie AWS Identity and Access Management (IAM).

• Wer hat Zugriff auf Kundeninhalte in AWS?

  Kunden sind weiterhin Eigentümer ihrer Inhalte und haben volle Kontrolle darüber. Sie wählen aus, durch welche AWS-Services ihre Inhalte verarbeitet, gespeichert und gehostet werden. AWS greift nicht auf Kundeninhalte zu und verwendet sie nur, wenn dies für die Wartung oder Bereitstellung der von einem Kunden ausgewählten AWS-Services erforderlich ist oder wenn dies zur Einhaltung gesetzlicher Vorschriften oder einer verbindlichen Anordnung einer Regierungsbehörde erforderlich ist, wie in der AWS-Kundenvereinbarung dargelegt.

  Kunden, die AWS-Services nutzen, behalten innerhalb der AWS-Umgebung die Kontrolle über ihre Inhalte. Kunden haben folgende Möglichkeiten:

  • Sie können bestimmen, wo ihre Inhalte gespeichert werden, z. B. die Art der Speicherumgebung und den geografischen Standort des Speichers;
  • Sie können das Format ihrer Inhalte steuern, z. B. Klartext, maskiert, anonymisiert oder verschlüsselt, indem sie das von AWS bereitgestellte Verschlüsselungsverfahren oder die Verschlüsselungstechnik eines frei gewählten Drittanbieters verwenden;
  • Sie können Zugriffskontrollen wie AWS Identity and Access Management (IAM) verwalten; und
  • Sie können steuern, ob sie Verschlüsselung, Amazon Virtual Private Cloud (VPC)-Features und andere Netzwerk- und Datensicherheitsmaßnahmen verwenden, um unbefugten Zugriff zu verhindern.

  Dies gibt AWS-Kunden die Kontrolle über den gesamten Lebenszyklus ihrer Inhalte in AWS und ermöglicht ihnen, ihre Inhalte entsprechend den eigenen Anforderungen zu verwalten, einschließlich Klassifizierung der Inhalte, Zugriffssteuerung, Aufbewahrung und Löschung.

• Wo werden Kundeninhalte gespeichert?

  Die globale AWS-Infrastruktur bietet Ihnen die Flexibilität, zu entscheiden, wie und wo Sie Ihre Workloads ausführen möchten. Als Kunde wählen Sie die AWS-Region(en), in der Ihre Kundeninhalte gespeichert sind, sodass Sie die AWS-Services an einem Ort Ihrer Wahl entsprechend Ihren spezifischen Anforderungen bereitstellen können. Unsere flexiblen Speicheroptionen finden Sie auf der Webseite der AWS-Regionen.

  Sie können Ihre Kundeninhalte in mehr als einer AWS-Region replizieren und sichern. Wir werden Ihre Inhalte nicht ohne Ihre Zustimmung außerhalb der von Ihnen gewählten AWS-Region(en) verschieben, es sei denn, dies ist im Einzelfall erforderlich, um dem Gesetz oder der verbindlichen Anordnung einer Regierungsstelle nachzukommen. Es ist jedoch wichtig, zu beachten, dass nicht alle AWS-Services in allen AWS-Regionen verfügbar sind. Weitere Informationen darüber, welche Services in welchen AWS-Regionen verfügbar sind, finden Sie auf der Webseite Regionale AWS-Services.

• Welche Sicherheitsmaßnahmen hat AWS zum Schutz der Systeme?

  AWS ist als weltweit sicherste Cloud-Infrastruktur konzipiert, auf der Anwendungen und Workloads erstellt, migriert und verwaltet werden können. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die AWS-Services ausführen und Kunden leistungsstarke Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, für die Handhabung von personenbezogenen Daten bieten.

  AWS stellt mehrere Compliance-Berichte von externen Auditoren zur Verfügung, die unsere Compliance mit einer Vielzahl von Sicherheitsstandards – einschließlich SOC 2 Typ 2, ISO 27001, ISO 27017 und ISO 27018 – geprüft und verifiziert haben. In Kanada werden AWS-Services auch vom Canadian Centre for Cyber Security bewertet.

  Um die Transparenz der Wirksamkeit dieser Maßnahmen zu gewährleisten, bieten wir Zugang zu Prüfungsberichten Dritter in AWS Artifact. Diese Berichte zeigen unseren Kunden, dass wir die zugrunde liegende Infrastruktur schützen, auf der sie personenbezogene Daten speichern und verarbeiten. Weitere Informationen finden Sie auf unserer Seite mit Compliance-Ressourcen.

• Wie schützt AWS seine Rechenzentren?

  Die Sicherheitsstrategie für die Rechenzentren von AWS setzt sich aus skalierbaren Sicherheitskontrollen und mehrfachen Verteidigungsebenen zum Schutz Ihrer Informationen zusammen. AWS hat beispielsweise sorgfältige Überwachungsmaßnahmen auf mögliche Datenüberflutungsrisiken und seismische Aktivitäten implementiert. Den Zugang zu unseren Rechenzentren kontrollieren wir durch physische Sicherheitsanlagen, Sicherheitskräfte, Bedrohungserkennungstechnologie und gründliche Screeningverfahren. Wir sichern unsere Systeme, testen Anlagen und Prozesse regelmäßig und schulen unser AWS-Personal in Achtsamkeit vor dem Unerwarteten.

  Zur Validierung unserer Rechenzentren führen externe Prüfer das gesamte Jahr hindurch Tests zu mehr als 2 600 Standards und Anforderungen durch. Diese unabhängigen Prüfungen stellen sicher, dass wir die geltenden Sicherheitsstandards konstant erfüllen oder gar übertreffen. Aus diesem Grund verlassen sich auch Unternehmen in hoch regulierten Branchen weltweit darauf, dass ihre Daten bei AWS sicher sind.

  Erfahren Sie mehr über unsere inhärenten Vorkehrungen zum Schutz unserer Rechenzentren in einer virtuellen Tour.