Ich hätte gern Informationen über EU-Datenschutz »
  • Übersicht

    EUAWSLogo

    Das Vertrauen unserer Kunden hat bei uns höchste Priorität. Wir bieten unsere Dienste Millionen von aktiven Kunden an, darunter Unternehmen, Bildungseinrichtungen und Regierungsbehörden aus über 190 Ländern. Zu unseren Kunden zählen Finanzdienstleister, Gesundheitsdienstleiser und Regierungsbehörden, die uns einige ihrer sensibelsten Informationen anvertrauen.

    Wir wissen, dass der Datenschutz und die Datensicherheit unseren Kunden ein sehr großes Anliegen sind. Daher übergibt AWS seinen Kunden standardmäßig die Inhaberschaft und Kontrolle über ihre Inhalte. Dies wird ermöglicht durch einfache, jedoch leistungsstarke Tools. Kunden können so bestimmen, wo ihre Inhalte gespeichert werden, sie während der Übertragung oder Speicherung schützen und den Zugriff auf die AWS-Dienste und -Ressourcen für ihre Nutzer verwalten. Wir implementieren außerdem verantwortungsvolle und fortgeschrittene technische und physische Kontrollen, um den nicht autorisierten Zugriff auf Kundeninhalte oder deren Offenlegung zu verhindern.

    Wir verpflichten uns immer wieder neu dazu, das Vertrauen unsere Kunden beizubehalten. Wir bemühen uns darum, Kunden von unseren Richtlinien, Praktiken und Technologien rund um den Datenschutz und die Datensicherheit in Kenntnis zu setzen. Zu unseren Verpflichtungen gehören:

    • Zugriff: Die Kunden verwalten den Zugriff auf ihre Inhalte sowie auf AWS-Services und -Ressourcen. Wir bieten fortschrittliche Funktionen für den Zugriff, die Verschlüsselung und die Anmeldung, damit sie dies effektiv tun können (z. B. AWS CloudTrail). Wir greifen nicht auf die Inhalte unserer Kunden zu oder verwenden sie – außer dies ist gesetzlich oder für die Wartung der AWS-Dienste und ihre Bereitstellung an unsere Kunden und ihre Endbenutzer erforderlich.
    • Speicherung: Die Kunden wählen die Region(en), in der (denen) ihre Inhalte gespeichert werden sollen. Wir verschieben oder vervielfältigen die Kundeninhalte nicht außerhalb der ausgewählten Regionen – außer dies ist gesetzlich oder für die Wartung der AWS-Dienste und ihre Bereitstellung an unsere Kunden und ihre Endbenutzer erforderlich.
    • Sicherheit: Die Kunden wählen aus, wie ihre Inhalte gesichert werden sollen. Wir bieten unseren Kunden eine zuverlässige Verschlüsselung für Kundeninhalte während der Übertragung und der Speicherung. Wir bieten ihnen außerdem die Option, ihre eigenen Verschlüsselungsschlüssel zu verwalten.
    • Offenlegung von Kundeninhalten: Wir legen keine Kundeninhalte offen – außer wir müssen dies zur Einhaltung des Gesetzes oder einer gültigen und verpflichtenden Anweisung einer Regierungs- oder Regulierungsbehörde tun. Außer wenn es uns nicht gestattet ist oder es klare Anzeichen für ein illegales Verhalten in Verbindung mit den Produkten und Diensten von Amazon gibt, benachrichtigt Amazon seine Kunden vor der Offenlegung ihrer Inhalte, damit sie sich vor der Offenlegung schützen können.
    • Zusicherung der Sicherheit: Wir haben ein Programm für die Zusicherung der Sicherheit entwickelt, das bewährte globale Methoden zum Datenschutz und zur Datensicherheit verwendet. So können wir Kunden dabei helfen, unsere Umgebung für die Sicherheitskontrolle zu erstellen, zu betreiben und nach den besten Möglichkeiten zu nutzen. Die Vorgänge zum Sicherheitsschutz und zur Sicherheitskontrolle werden von mehreren Bewertungen durch Dritte unabhängig geprüft.

    AWS ordnet Kundeninhalte in zwei Kategorien ein: Kundeninhalte und Kontoinformationen.

    Wir definieren Kundeninhalte als Software (einschließlich Computerabbilder), Daten, Text, Audio, Video oder Bilder, die ein Kunde oder ein beliebiger Endbenutzer für die Verarbeitung, Speicherung oder das Hosting durch die AWS-Dienste in Verbindung mit dem Konto dieses Kunden überträgt. Des Weiteren gehören alle Rechenergebnisse dazu, die ein Kunde oder ein beliebiger Endbenutzer aus dem Vorherstehenden durch ihre Verwendung der AWS-Dienste erhalten haben. Zu den Kundeninhalten gehören beispielsweise Inhalte, die ein Kunde oder ein beliebiger Endbenutzer im Amazon Simple Storage Service speichert. Zu den Kundeninhalten zählen keine Kontoinformationen; diese werden nachstehend beschrieben. Die Bestimmungen der AWS-Kundenvereinbarung oder einer anderen Vereinbarung mit uns zur Verwendung der AWS-Dienste gelten auch für Ihre Kundeninhalte.

    Wir definieren Kontoinformationen als Informationen über einen Kunden, die uns ein Kunde im Zusammenhang mit der Erstellung oder Verwaltung eines Kundenkontos liefert. Zu den Kontoinformationen gehören beispielsweise Namen, Nutzernamen, Telefonnummern, E-Mail-Adressen und Abrechnungsinformationen, die mit einem Kundenkonto verknüpft sind. Die Informationspraktiken in den AWS-Datenschutzhinweisen gelten auch für Kontoinformationen.

    Die Kunden haben weiterhin die Inhaberschaft an ihren Kundeninhalten und wählen aus, welche AWS-Dienste ihre Kundeninhalte verarbeiten, speichern und hosten. Wir greifen nicht auf die Inhalte unserer Kunden zu oder verwenden sie – außer dies ist gesetzlich oder für die Wartung der AWS-Dienste und ihre Bereitstellung an unsere Kunden und ihre Endbenutzer erforderlich. Wir verwenden niemals Kundeninhalte zu Marketing- oder Werbezwecken oder leiten zu diesen Zwecken Informationen daraus ab.

    Kunden kontrollieren ihre Inhalte. Mit AWS können Kunden:

    • Bestimmen, wo ihre Kundeninhalte gespeichert werden, einschließlich Speicherart und geografische Speicherregion.

    • Den gesicherten Status ihrer Kundeninhalte festlegen. Wir bieten unseren Kunden eine zuverlässige Verschlüsselung für Kundeninhalte während der Übertragung und der Speicherung. Wir bieten ihnen außerdem die Option, ihre eigenen Verschlüsselungsschlüssel zu verwalten.

    Den Zugriff auf ihre Kundeninhalte und die AWS-Dienste und -Ressourcen über Nutzer, Gruppen, Berechtigungen und Anmeldedaten verwalten, die die Kunden steuern.

    Wir wissen, dass es für Kunden wichtig ist, wie ihre Kontoinformationen verwendet werden. Wir schätzen das Vertrauen unserer Kunden darin, dass wir mit diesen Informationen sorgsam und vernünftig umgehen. In den AWS-Datenschutzhinweisen wird beschrieben, wie wir Kontoinformationen erheben und verwenden.

    Wir sind um den Datenschutz unserer Kunden sehr bemüht. Wir legen keine Kundeninhalte offen – außer wir müssen dies zur Einhaltung des Gesetzes oder einer gültigen und verpflichtenden Anweisung einer Regierungs- oder Regulierungsbehörde tun. Regierungs- und Regulierungsbehörden müssen gültige und verpflichtende Anordnungen auf dem geltenden Rechtsweg einholen. Wir überprüfen alle Anordnungen und legen Widerspruch gegen zu allgemeine oder anderweitig unangemessene Anordnungen ein. Außer wenn es uns nicht gestattet ist oder es klare Anzeichen für ein illegales Verhalten in Verbindung mit den Produkten und Diensten von Amazon gibt, benachrichtigt Amazon seine Kunden vor der Offenlegung ihrer Inhalte, damit sie sich vor der Offenlegung schützen können. Wir möchten auch darauf hinweisen, dass Kunden ihre Kundeninhalte verschlüsseln können. Wir bieten Kunden die Option, ihre eigenen Verschlüsselungsschlüssel zu verwalten.

    Wir wissen, dass unseren Kunden Transparenz wichtig ist. Wir veröffentlichen daher regelmäßig einen Bericht über die Arten und den Umfang von Informationsanfragen, die bei uns eingehen. Sie können sie hier nachlesen.

    Kunden wählen die Region oder Regionen aus, in der bzw. in denen ihre Kundeninhalte gespeichert werden. So können sie die AWS-Dienste an den Standorten ihrer Wahl und in Übereinstimmung mit ihren spezifischen geografischen Anforderungen bereitstellen. AWS-Datenzentren werden in Clustern in verschiedenen Regionen weltweit erstellt.

    Ein AWS-Kunde in Großbritannien kann seine AWS-Services beispielsweise ausschließlich in der Region Europa (London) bereitstellen und seine Inhalte nur dort speichern. Bei dieser Wahl sind die Kundeninhalte in Großbritannien. Kunden können ihre Kundeninhalte vervielfältigen und in mehr als einer Region sichern. Wir verschieben oder vervielfältigen die Kundeninhalte nicht außerhalb der ausgewählten Regionen – außer dies ist gesetzlich oder für die Wartung der AWS-Dienste und ihre Bereitstellung an unsere Kunden und ihre Endbenutzer erforderlich.

    *Nicht alle AWS-Dienste sind in allen Regionen verfügbar.

    Der Kunde muss bei der Bewertung der Sicherheit einer Cloud-Lösung Folgendes verstehen und dazwischen unterscheiden können:

    • Sicherheitsmaßnahmen, die AWS implementiert und betreibt – „Sicherheit der Cloud“

    und

    • Sicherheitsmaßnahmen, die Kunden implementieren und betreiben und die sich auf die Sicherheit ihrer Kundeninhalte und -anwendungen beziehen, die die AWS-Dienste nutzen – „Sicherheit in der Cloud“

    Modell der gemeinsamen Verantwortung

    Eine umfassende Auflistung aller Sicherheitsmaßnahmen in der Kerninfrastruktur, den Plattformen und Services der AWS-Cloud finden Sie in unserem Whitepaper Amazon Web Services – Sicherheitsprozesse im Überblicke.

    Wir haben ein Programm für die Zusicherung der Sicherheit entwickelt, das bewährte globale Methoden zum Datenschutz und zur Datensicherheit verwendet. So können wir Kunden dabei helfen, unsere Umgebung für die Sicherheitskontrolle zu erstellen, betreiben und nach den besten Möglichkeiten zu nutzen. Die Vorgänge zum Sicherheitsschutz und zur Sicherheitskontrolle werden von mehreren Bewertungen durch Dritte unabhängig geprüft.

    Die Einhaltung des Standards ISO 27018 durch AWS wurde unabhängig von einem Dritten bestätigt. ISO 27018 ist der erste internationale Leitfaden für den Schutz personenbezogener Daten in der Cloud. Er basiert auf dem Informationssicherheitsstandard ISO 27002 und bietet eine Anleitung zur Implementierung von Kontrollen gemäß ISO 27002, die für Angaben über bestimmbare Personen (Personally Identifiable Information – PII) gelten, die von öffentlichen Cloud-Dienstanbieter verarbeitet werden. AWS verfügt somit über ein System von Steuerungsmechanismen, die sich speziell mit dem Datenschutz der Inhalte beschäftigen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu AWS ISO 27018.

    Die AWS-Datenzentren sind in Clustern in verschiedenen Ländern weltweit zu finden. Wir bezeichnen ein Cluster von Datenzentren in einem bestimmten Land als "Region". Kunden haben weltweit Zugang zu 16 AWS-Regionen, darunter 3 Regionen in der EU: Irland (Dublin), Großbritannien (London) und Deutschland (Frankfurt). Kunden können 1 Region, alle Regionen oder beliebig viele Regionen dazwischen auswählen.

    Die AWS-Kunden wählen die AWS-Region (oder Regionen) aus, in der ihre Inhalte gespeichert werden. So können Kunden mit bestimmten geografischen Anforderungen Umgebungen am gewünschten Standort (oder an mehreren Standorten) einrichten. AWS-Kunden in Europa können beispielsweise festlegen, dass sie ihre AWS-Services nur in einer der EU-Regionen (Deutschland, Großbritannien oder Irland) bereitstellen. Wenn ein Kunde dies wünscht, werden seine Inhalte – je nach Wahl – in Deutschland, Großbritannien oder Irland gespeichert. Dies wird nur geändert, wenn der Kunde ausdrücklich angibt, dass er seine Inhalte verschieben oder in einer anderen AWS-Region replizieren möchte.

    Kunden können Inhalte in mehr als einer Region replizieren und speichern. AWS verschiebt jedoch keine Kundeninhalte außerhalb der vom Kunden festgelegten Region(en). So werden die Dienste, wie vom Kunden beantragt, bereitgestellt und geltende Gesetze können eingehalten werden.

    AWS ist weiterhin durch zuverlässige Sicherheitsstandards zertifiziert, darunter ISO 27001, SOC 1/2/3 und PCI DSS Level 1. Wir operieren nach dem Modell der gemeinsamen Verantwortung in der Cloud: AWS ist für die Sicherheit der zugrunde liegenden Infrastruktur (Sicherheit der Cloud) zuständig und Kunden sind für die Sicherheit ihrer Daten und Anwendungen (Sicherheit in der Cloud) zuständig. AWS beschäftigt ein Team von Lösungsarchitekten, Account-Managern, Beratern, Schulungsleitern und weiteren Mitarbeitern in der EU, die in Fragen zur Cloud-Sicherheit und Compliance fachlich ausgebildet sind. Sie unterstützen AWS-Kunden, damit sie in der Cloud so sicher wie möglich sind, die Compliance einhalten und bewährte Methoden bei der Cloud-Sicherheit anwenden. AWS hilft seinen Kunden auch dabei, lokale Sicherheitsstandards zu befolgen. AWS hat beispielsweise zusammen mit der Prüfgesellschaft TÜV TRUST IT ein Arbeitsheft für die Kundenzertifizierung herausgegeben. Darin enthalten sind Richtlinien für die Compliance mit dem BSI IT-Grundschutz.

  • EU-Richtlinie

    Die EU-Datenschutzrichtlinie (auch bekannt alsRichtlinie 95/46/EG) regelt die Verarbeitung personenbezogener Daten sowie den freien Datenverkehr dieser Angaben. Ganz allgemein legt diese Richtlinie eine Reihe von Datenschutzanforderungen fest, die bei der Verarbeitung von personenbezogenen Daten gelten.

    Ja. Weitere Informationen dazu, wie Kunden dem AWS-Zusatz zur Datenverarbeitung beitreten können, finden Sie hier (Anmeldung erforderlich).

    Die Artikel-29-Datenschutzgruppe hat den AWS-Zusatz zur Datenverarbeitung genehmigt, der auch die Modellklauseln enthält. Die Artikel-29-Datenschutzgruppe hat befunden, dass der AWS-Zusatz zur Datenverarbeitung die Anforderungen der Richtlinie bezüglich der Modellklauseln erfüllt. Die AWS-Vereinbarung zur Datenverarbeitung ist somit keine Ad-hoc-Vereinbarung. Weitere Informationen zur Genehmigung des AWS-Zusatzes zur Datenverarbeitung der Artikel-29-Datenschutzgruppe finden Sie hier: http://www.cnpd.public.lu/en/actualites/international/2015/03/AWS/index.html

    Die Nationale Kommission für den Datenschutz (CNPD) in Luxemburg fungierte als führende Autorität im Namen der Artikel-29-Datenschutzgruppe gemäß der Vorgehensweise der Artikel-29-Datenschutzgruppe.

    Weitere Informationen dazu, wie Kunden dem AWS-Zusatz zur Datenverarbeitung beitreten können, finden Sie hier (Anmeldung erforderlich).

    AWS-Kunden, die personenbezogene Daten in der Cloud erheben und speichern, agieren im Sinne der Richtlinie 95/46/EG als für die Verarbeitung Verantwortliche.

    Weitere Informationen zur Rolle von Kunden und AWS finden Sie im Abschnitt "Datenschutz in der EU-Richtlinie" im AWS-Whitepaper zum EU-Datenschutz.

    Die Standardvertragsklauseln (auch als Modellklauseln bezeichnet) sind Standardbestimmungen, die von der Europäischen Kommission definiert und genehmigt wurden. Sie können verwendet werden, um personenbezogene Daten von einem für die Verarbeitung Verantwortlichen an einen Auftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums zu übertragen, ohne gegen die Compliance zu verstoßen.

    Die Artikel-29-Datenschutzgruppe wurde gemäß der EU-Datenschutzrichtlinie des Europäischen Parlaments und des Rates ins Leben gerufen. Sie setzt sich aus Vertretern der Datenschutzbehörden aller EU-Mitgliedsstaaten sowie aus einem Vertreter der Europäischen Kommission zusammen. Die Artikel-29-Datenschutzgruppe ist mit der Harmonisierung der Anwendung der Datenschutzregeln in der EU betraut. Sie berät auch die EU-Kommission zur Angemessenheit von Datenschutzstandards in Ländern außerhalb der EU.

    Die Sicherheit der Daten unserer Kunden hat oberste Priorität. AWS hat bereits die Genehmigung der EU-Datenschutzbehörde (Artikel 29 des Arbeitskreises) für den Zusatz zur AWS-Datenverarbeitung und die Musterklauseln erhalten. Dadurch können Daten außerhalb Europas übermittelt werden, auch in die USA. Dank unseres von der EU genehmigten Zusatzes zur Datenverarbeitung und der Musterklauseln können AWS-Kunden AWS weiterhin für ihre weltweiten Geschäfte verwenden und halten dabei alle EU-Gesetze ein. Der Zusatz für die AWS-Datenverarbeitung steht allen AWS-Kunden zur Verfügung, die personenbezogene Daten verarbeiten – egal, ob sie ihren Sitz in Europa haben oder ein globales Unternehmen sind, das im Europäischen Wirtschaftsraum tätig ist.

    Weitere Informationen dazu, wie Kunden dem AWS-Zusatz zur Datenverarbeitung beitreten können, finden Sie hier (Anmeldung erforderlich).

    Ja. Amazon.com, Inc. ist gemäß dem EU-US Privacy Shield zertifiziert und AWS ist in dieser Zertifizierung enthalten. So können Kunden, die personenbezogene Daten in die USA übermitteln, ihre Datenschutzanforderungen erfüllen. Die Zertifizierung von Amazon.com Inc. finden Sie auf der Website zum EU-US Privacy Shield: https://www.privacyshield.gov/list.

    Weitere Informationen zu diesem Thema finden Sie im Kontext von AWS, besuchen Sie unsere SeiteEU-US Privacy Shield.

  • Datenschutz-Grundverordnung

    CISPEAWS

    Die Europäische Kommission genehmigte 2016 die Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) und übernahm sie. Diese Grundverordnung stellt die größte Änderung der europäischen Datenschutzgesetze seit der Einführung der EU-Datenschutzrichtlinie (Richtlinie 95/46/EC) im Jahr 1995 dar. Mit ihr sollen die Sicherheit und der Schutz personenbezogener Daten in der EU gestärkt und das europäische Gesetz zum Datenschutz harmonisiert werden. Sie ersetzt die EU-Datenschutzrichtlinie sowie alle regionale Gesetze, die sich auf sie beziehen.

    AWS begrüßt die Datenschutz-Grundverordnung. Sie schützt das Grundrecht europäischer Bürger auf Privatsphäre und den Schutz personenbezogener Daten. Durch die Verordnung werden strenge Anforderungen für den Datenschutz, die Sicherheit und Compliance eingeführt und sie wird die Einführung strikterer Kontrollen bei Unternehmen zur Folge haben. Alle AWS-Services werden die Datenschutz-Grundverordnung GDPR mit dem Datum ihres Inkrafttretens am 25. Mai 2018 einhalten.

    Neben unserer eigenen Compliance verpflichten wir uns auch dazu, unseren Kunden Services und Ressourcen anzubieten, mit deren Hilfe sie die GDPR-Anforderungen erfüllen können, die sie betreffen.

    Die Datenschutz-Grundverordnung (General Data Protection Regulation GDPR) ist ein neues europäisches Datenschutzgesetz, das am 25. Mai 2018 in Kraft tritt. Die Datenschutz-Grundverordnung wird die EU-Datenschutzrichtlinie (Richtlinie 95/46/EC) ersetzen. Ziel ist es, die Datenschutzgesetze innerhalb der Europäischen Union durch ein einziges Datenschutzgesetz zu harmonisieren, das für jeden Mitgliedsstaat verbindlich ist.

     

    Die Datenschutz-Grundverordnung gilt für alle Organisationen, die in der EU tätig sind und personenbezogene Daten von in der EU ansässigen Personen verarbeiten. Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte natürliche Person beziehen oder anhand derer eine natürliche Person identifiziert werden kann.

    Die Datenschutz-Grundverordnung ersetzt die bestehende Datenschutzrichtlinie (Richtlinie 95/46/EG). Ab dem 25. Mai 2018 sind diese Datenschutzrichtlinie und alle Gesetze, die sich auf sie beziehen, nicht mehr gültig.

    Unsere Experten zur Compliance, zum Datenschutz und für die Sicherheit beantworten die Fragen unserer Kunden weltweit und beraten sie zur Ausführung von Arbeitslasten in der AWS Cloud nach der Einführung der Datenschutz-Verordnung. Sie haben außerdem alle unsere bestehenden Aktivitäten bei AWS geprüft, damit sie die Anforderungen der neuen Datenschutz-Grundverordnung erfüllen. Alle AWS-Services werden die Datenschutz-Grundverordnung GDPR mit dem Datum ihres Inkrafttretens am 2018. Mai einhalten.

    Zudem haben wir eine neue Vereinbarung zur Datenverarbeitung (GDPR DPA), die alle Anforderungen der Datenschutz-Grundverordnung erfüllen wird. Der Zusatz GDPR DPA steht allen AWS-Kunden ab sofort zur Verfügung, damit sie sich auf die Einführung im Mai 2018 vorbereiten können. Wenn Sie weitere Informationen zum Zusatz GDPR DPA oder eine Kopie davon erhalten möchten, wenden Sie sich bitte an Ihren AWS Account Manager.

    AWS kündigte kürzlich auch die Einhaltung des CISPE Code of Conduct an (Blogpost auf Englisch). Mit dem CISPE Code of Conduct können Cloud-Kunden prüfen, inwiefern der Anbieter ihrer Cloud-Infrastruktur seine Datenschutzverpflichtungen gemäß der Datenschutzverordnung GDPR einhält. Die folgenden Produkte und Services erfüllen die Compliance mit den Verhaltensregeln von CISPE vollständig: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail und Amazon Elastic Block Storage (Amazon EBS). Kunden erhalten dadurch eine weitere Zusicherung von AWS: Mit AWS haben sie die Kontrolle über ihre Daten in einer sicheren und geschützten Umgebung. Weitere Informationen zur AWS-Compliance des CISPE Code of Conduct finden Sie auf dieser Website: https://cispe.cloud/

    AWS hat stets hohe Anforderungen an die Sicherheit und Compliance bei den globalen Tätigkeitsfeldern. Die Sicherheit ist seit jeher unsere oberste Priorität, sozusagen die Aufgabe, die vor allen anderen zu erledigen ist. Unser Sicherheitsmodell ist branchenführend und die Grundlage für die lange Liste international anerkannter Zertifizierungen und Akkreditierungen, die unsere Compliance mit strikten internationalen Standards unter Beweis stellt. Auf der Liste finden sich beispielsweise ISO 27017 für die Cloud-Sicherheit, ISO 27018 für den Datenschutz in der Cloud, SOC 1, SOC 2 und SOC 3, PCI DSS Level 1 und weitere. AWS unterstützt seine Kunden bei der Einhaltung regionaler Sicherheitsstandards, etwa des Anforderungskatalogs Cloud Computing (C5) des BSI in Deutschland.

    AWS kündigte die Einhaltung des CISPE Data Protection Code of Conduct an. CIPSE ist ein Zusammenschluss von Anbietern von Cloud-Infrastruktur (auch "Infrastructure as a Service" genannt) und bietet europäischen Kunden Cloud-Services. Mit dem CISPE Code of Conduct können Kunden sicherstellen, dass ihr Cloud-Infrastrukturanbieter die erforderlichen Datenschutzstandards erfüllt, um ihre Daten gemäß der Datenschutz-Grundverordnung zu schützen. Zu den wichtigsten Vorteilen dieser Verhaltensregeln gehören:

    • Es wird klar festgelegt, wer beim Datenschutz für welche Aspekte verantwortlich ist: Im Code of Conduct wird die Rolle des Anbieters und des Kunden erklärt, die ihnen nach der Datenschutz-Grundverordnung jeweils zufällt. Speziell wird auf den Kontext der Cloud-Infrastrukturservices eingegangen.
    • Im Code of Conduct sind die geltenden Grundsätze festgehalten: Er beschreibt die Aktionen und Verpflichtungen seitens der Anbieter für die Einhaltung der Datenschutz-Verordnung und die Compliance ihrer Kunden.
    • Im Code of Conduct können Kunden Informationen zum Datenschutz und zur Datensicherheit nachlesen, die sie für ihre Entscheidungsfindung benötigen: Anbieter müssen bei den Schritten, die sie zur Erfüllung ihrer Sicherheitsverpflichtungen unternehmen, transparent sein. Sie müssen beispielsweise Benachrichtigungen bei Datenpannen, beim Löschen von Daten und der Weiterverarbeitung von Daten durch Dritte sowie bei Anforderungen zur Verbrechensbekämpfung und seitens der Regierung senden. Die gebotenen Sicherheitsstandards sind sehr hoch und Kunden erhalten durch diese Informationen Einblick in die Details

    Einer der wichtigsten Aspekte der Datenschutz-Grundverordnung ist die Harmonisierung des Vorgangs zur Verarbeitung personenbezogener Daten und ihrem sicheren Austausch für EU-Mitgliedsstaaten. Organisationen müssen die Sicherheit der verarbeiteten Daten sowie ihre Compliance mit der Datenschutz-Grundverordnung fortwährend nachweisen. Dazu sind die Implementierung und regelmäßige Prüfung nachhaltiger technischer und organisatorischer Maßnahmen sowie Compliance-Richtlinien erforderlich.

    AWS bietet bereits bestimmte Funktionen und Services, damit Kunden die Anforderungen der Datenschutz-Grundverordnung erfüllen können:
     

    Zugriffskontrolle: Nur autorisierte Administratoren, Benutzer und Anwendungen haben Zugriff auf AWS-Ressourcen

    • Multi-Factor-Authentifizierung (MFA)
    • Individuell festgelegter Zugriff auf Objekte in Amazon S3-Buckets, Amazon SQS, Amazon SNS und mehr
    • Authentifizierung von API-Anfragen
    • Geografische Beschränkungen
    • Tokens für den vorübergehenden Zugriff mit AWS Security Token Service

     

    Nachverfolgung und Protokollierung: Sie sehen die Aktivitäten in Ihren AWS-Ressourcen

    • Asset Management und Konfiguration mit AWS Config
    • Compliance-Prüfung und Sicherheitsanalyse mit AWS CloudTrail
    • Identifikation von Herausforderungen bei der Konfiguration mit AWS Trusted Advisor
    • Individuell festgelegte Protokollierung des Zugriffs auf Amazon S3-Objekte
    • Ausführliche Informationen zu Abläufen im Netzwerk mit Amazon VPC-FlowLogs
    • Regelbasierte Prüfungen und Aktionen zur Konfiguration mit AWS Config Rules
    • Filterung und Nachverfolgung von HTTP-Zugriff auf Anwendungen mit WAF-Funktionen in AWS CloudFront

     

    Verschlüsselung: Daten in AWS sind verschlüsselt

    • Verschlüsselung Ihrer Daten beim Speichern mit AES256 (EBS/S3/Glacier/RDS)
    • Zentral verwaltetes Key Management (nach AWS-Region)
    • IPsec-Tunnel in AWS mit den VPN-Gateways
    • Dedizierte HSM-Module in der Cloud mit AWS CloudHSM

     

    Striktes Compliance-Framework und hohe Sicherheitsstandards:

    • Zertifiziert nach ISO 27001/9001
    • Zertifiziert nach ISO 27017/27018
    • Anforderungskatalogs Cloud Computing (C5; von der Bundesregierung unterstütztes Zertifizierungsschema)
    • AWS hat zusammen mit der Prüfgesellschaft TÜV TRUST IT ein Arbeitsheft für die Kundenzertifizierung herausgegeben. Darin enthalten sind Richtlinien für die Compliance mit dem BSI IT-Grundschutz

    Obwohl die Datenschutz-Grundverordnung erst im Mai 2018 in Kraft tritt, empfehlen wir Kunden und Partnern, sich bereits jetzt darauf vorzubereiten. Wenn Sie bereits hohe Standards für Compliance, Sicherheit und Datenschutz haben, sollte die Umstellung keine Probleme bereiten. Sind ihrerseits noch größere Maßnahmen für die Einhaltung der Datenschutz-Grundverordnung nötig, sollten Sie Ihre Prozesse hinsichtlich der Sicherheit, Compliance und des Datenschutz jetzt überprüfen, damit die Umstellung im Mai 2018 reibungslos erfolgen kann. Dies sind wichtige Überlegungen zur Compliance mit der Datenschutz-Grundverordnung:

    Reichweite: Sie müssen bestimmen, ob die Datenschutz-Grundverordnung für die Aktivitäten Ihrer Organisation gilt. So können Sie sicherstellen, dass die zugehörigen Compliance-Anforderungen erfüllt werden. Die Datenschutz-Grundverordnung gilt für alle in der EU niedergelassenen Organisationen. Je nach Aktivität gilt sie jedoch auch für Organisationen außerhalb der EU.

    Rechte der identifizierten bzw. identifizierbaren Personen: Mit der Datenschutz-Grundverordnung erhalten natürliche Personen mehr Rechte. Sie können beispielsweise ablehnen, dass ihre Daten verarbeitet werden und haben das Recht auf Data Portability. In Ihrer Organisation muss sichergestellt sein, dass die Rechte dieser Personen eingehalten werden, wenn ihre personenbezogenen Daten verarbeitet werden.

    Benachrichtigungen bei Datenpannen: Als verantwortliche Stelle müssen Sie Datenpannen umgehend an die Datenschutzbehörden melden. Mit AWS können Sie selbst festlegen, wie personenbezogene Daten verarbeitet und geschützt werden. So können Sie Ihre eigene Umgebung auf Datenpannen überprüfen und Behörden sowie die betroffenen Personen gemäß Datenschutz-Grundverordnung informieren. Außerdem werden Sie von AWS umgehend benachrichtigt, wenn im AWS-Netzwerk eine Verletzung der Sicherheitsstandards festgestellt wurde.

    Datenschutzbeauftragter: Möglicherweise müssen Sie einen Datenschutzbeauftragten bestellen, der die Datensicherheit und andere Aspekte hinsichtlich der Verarbeitung personenbezogener Daten verwaltet.

    Datenschutz-Folgenabschätzung: Möglicherweise müssen Sie eine solche Abschätzung zur Verarbeitung durchführen und u. U. auch bei der Aufsichtsbehörde vorlegen. Darin müssen ihre Verfahren und Prozesse im Umgang mit Daten sowie die Mechanismen zum Schutz personenbezogener Daten angegeben sein.

    Vereinbarung über die Datenverarbeitung: Möglicherweise benötigen Sie eine Vereinbarung über die Datenverarbeitung, die die Anforderungen der Datenschutz-Grundverordnung erfüllt, wenn personenbezogene Daten außerhalb des EWR übermittelt werden. AWS bietet Kunden eine Vereinbarung über die Datenverarbeitung speziell für die Datenschutz-Grundverordnung, damit sie sich auf die Umstellung vorbereiten können. Diese ist auf Anfrage erhältlich.

    Bei AWS können Sie eine Reihe von Services und spezifischen Service-Funktionen nutzen, um die Anforderungen der Datenschutz-Grundverordnung zu erfüllen. Dazu gehören Services für Zugriffskontrollen, Nachverfolgung, Protokollierung und Verschlüsselung. Weitere Informationen dazu im Abschnitt "Welche Services stellt AWS bereit, damit Kunden die Datenschutz-Grundverordnung (GDPR) einhalten können?" oben

    Wir haben Teams, die auf Compliance und Datenschutz spezialisiert sind sowie Sicherheitsexperten und Partner des AWS Partnernetzwerks. Diese arbeiten mit Kunden in Europa zusammen, beantworten ihre Fragen und helfen ihnen dabei, Arbeitslasten in der Cloud nach Inkrafttreten der Datenschutz-Grundverordnung auszuführen. Weitere Informationen erhalten Sie von Ihrem AWS Account Manager.

 

Kontakt