Datenschutz-Grundverordnung (DSGVO) Zentrum


Übersicht

Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union schützt das Grundrecht europäischer Bürger auf Privatsphäre und den Schutz personenbezogener Daten. Es enthält strenge Anforderungen, die Standards für Datenschutz, Sicherheit und Compliance anheben und vereinheitlichen.

Blog: Alle AWS-Services GDPR-bereit – Mehr lesen

Neben unserer eigenen Compliance haben wir uns bei AWS das Ziel gesetzt, unseren Kunden entsprechende Services und Ressourcen anzubieten, damit sie die für ihre Aktivitäten geltenden DSGVO-Vorgaben erfüllen können. Neue Funktionen werden regelmäßig eingeführt und AWS bietet über 500 Funktionen und Services, die sich auf Sicherheit und Compliance konzentrieren.

DSGVO-Aktivierung in Ihrer AWS -Umgebung

AWS bietet spezifische Funktionen und Dienste, die Kunden bei der Einhaltung der DSGVO nutzen können.

Daten in AWS verschlüsseln:

  • Verschlüsselung Ihrer Daten beim Speichern mit AES256 (EBS/S3/Glacier/RDS)
  • Zentral verwaltetes Key Management (nach AWS-Region)
  • IPsec-Tunnel in AWS mit den VPN-Gateways
  • Dedizierte HSM-Module in der Cloud mit AWS CloudHSM

Überblick über Aktivitäten auf Ihren AWS-Ressourcen:

  • Asset Management und Konfiguration mit AWS Config
  • Audits und Sicherheitsanalysen mit AWS CloudTrail
  • Ausführliche Informationen zu Abläufen im Netzwerk mit Amazon VPC-FlowLogs
  • Regelbasierte Prüfungen und Aktionen zur Konfiguration mit AWS Config Rules
  • Filterung und Überwachung des HTTP-Zugriffs auf Anwendungen mit AWS-WAF-Funktionen in AWS CloudFront

Nur autorisierte Administratoren, Benutzer und Anwendungen zulassen:

  • Multi-Factor-Authentifizierung (MFA)
  • Individuell festgelegter Zugriff auf Objekte in Amazon S3, Amazon SQS und Amazon SNS
  • Authentifizierung von API-Anfragen
  • Geografische Beschränkungen
  • Tokens für den vorübergehenden Zugriff mit AWS Security Token Service

Kunden kontrollieren ihre Inhalte. Mit AWS können Kunden:

  • Bestimmen, wo ihre Kundeninhalte gespeichert werden, einschließlich Speicherart und geografische Speicherregion.
  • Den gesicherten Status ihrer Kundeninhalte festlegen. Wir bieten unseren Kunden eine zuverlässige Verschlüsselung für Kundeninhalte während der Übertragung und der Speicherung. Wir bieten ihnen außerdem die Option, ihre eigenen Verschlüsselungsschlüssel zu verwalten.
  • Den Zugriff auf ihre Kundeninhalte und die AWS-Services und -Ressourcen über Nutzer, Gruppen, Berechtigungen und Anmeldedaten verwalten, die die Kunden steuern.

Mit dem SbD-Ansatz soll Folgendes erreicht werden:

  • Erzwingende Funktionen sollen erstellt werden, die von Nutzern ohne entsprechende Änderungsberechtigung nicht überschrieben werden können.
  • Ein verlässlicher Einsatz der Kontrollen soll erzielt werden.
  • Die durchgehende Prüfung in Echtzeit soll ermöglicht werden.
  • Das technische Skripting Ihrer Governance-Richtlinien soll durchgeführt werden.

Unsere branchenführenden Funktionen bilden die Grundlage für die vielen international anerkannten Zertifizierungen und Akkreditierungen, mit denen wir die Einhaltung strikter internationaler Standards nachweisen. Zu diesen gehören: ISO 27001 für technische Maßnahmen, ISO 27017 für die Sicherheit in der Cloud, ISO 27018 für den Datenschutz in der Cloud, SOC 1, SOC 2 und SOC 3, PCI DSS Level 1 und bestimmte Zertifizierungen, die speziell auf die EU zutreffen, wie den Anforderungskatalog Cloud Computing (C5) und ENS High. AWS kündigte kürzlich auch die Einhaltung des CISPE-Verhaltenskodexes an.

AWS-Services nutzen

Amazon Macie

Schützen Sie personenbezogene Daten proaktiv und erkennen Sie, wenn diese verschoben werden.

WEITERE INFORMATIONEN ZU AMAZON MACIE »

AWS Identity and Access Management (IAM)

Sie können AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen zulassen oder verweigern.

WEITERE INFORMATIONEN ZU AWS IAM »

AWS Config

Vereinfachen Sie Compliance-Audits, Sicherheitsanalysen, Änderungsmanagement und operative Fehlerbehebung.  

WEITERE INFORMATIONEN ZU AWS CONFIG »

Amazon Inspector

Definieren Sie Standards und bewährte Methoden für Ihre Anwendungen und überprüfen Sie die Einhaltung dieser Standards.

WEITERE INFORMATIONEN ÜBER AMAZON INSPECTOR »

Amazon GuardDuty

Intelligente Bedrohungserkennung und fortlaufende Überwachung zum Schutz Ihrer AWS-Konten und -Workloads.

WEITERE INFORMATIONEN ZU AMAZON GUARDDUTY »

AWS Key Management Service (KMS)

Einfaches Erstellen und Steuern der Schlüssel, die zum Verschlüsseln von Daten verwendet werden.

WEITERE INFORMATIONEN ZU AWS KMS »

Häufig gestellte Fragen zur DSGVO

  • Was ist die Datenschutz-Grundverordnung (DSGVO)?

    Die Datenschutz-Grundverordnung (DSGVO (General Data Protection Regulation, GDPR)) ist ein neues europäisches Datenschutzgesetz, das am 25. Mai 2018 in Kraft tritt. Die Datenschutz-Grundverordnung wird die EU-Datenschutzrichtlinie (Richtlinie 95/46/EC) ersetzen. Ziel ist es, die Datenschutzgesetze innerhalb der Europäischen Union durch ein einziges Datenschutzgesetz zu harmonisieren, das für jeden Mitgliedsstaat verbindlich ist.

  • Für wen gilt die Datenschutz-Grundverordnung (DSGVO)?

    Die DSGVO gilt für alle Organisationen mit EU-Niederlassungen und für alle Organisationen, die die personenbezogenen Daten von EU-Bürgern verarbeiten und EU-Bürgern Waren oder Dienstleistungen anbieten oder das Verhalten von EU-Bürgern innerhalb der EU überwachen, unabhängig davon, ob diese EU-Niederlassungen besitzen oder nicht. Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte natürliche Person beziehen oder anhand derer eine natürliche Person identifiziert werden kann.

  • Welche Auswirkungen hat die Datenschutz-Grundverordnung (DSGVO) auf bestehende EU-Datenschutzgesetze?

    Die Datenschutz-Grundverordnung ersetzt die bestehende Datenschutzrichtlinie (Richtlinie 95/46/EG). Ab dem 25. Mai 2018 sind diese Datenschutzrichtlinie und alle Gesetze, die sich auf sie beziehen, nicht mehr gültig.

  • Wie bereitet AWS sich auf die Einführung der Datenschutz-Grundverordnung vor?

    Unsere Experten zur Compliance, zum Datenschutz und für die Sicherheit beantworten die Fragen unserer Kunden weltweit und beraten sie zur Ausführung von Arbeitslasten in der AWS Cloud nach der Einführung der Datenschutz-Grundverordnung. Diese Teams haben auch geprüft, inwieweit die AWS-Services die Anforderungen der DSGVO erfüllen können, und haben bestätigt, dass alle AWS-Services die Anforderungen der DSGVO erfüllen.

    Zusätzlich bieten wir Kunden eine Vereinbarung zur Datenverarbeitung an, die mit der DSGVO konform ist (DSGVO DPA). Die AWS DSGVO DPA ist in den AWS-Servicebestimmungen enthalten und gilt automatisch für alle Kunden, die die DSGVO einhalten müssen.

    AWS kündigte kürzlich auch die Einhaltung des CISPE Code of Conduct an (Blogpost auf Englisch). Mit dem CISPE Code of Conduct können Cloud-Kunden prüfen, inwiefern der Anbieter ihrer Cloud-Infrastruktur seine Datenschutzverpflichtungen gemäß der Datenschutzverordnung (DSGVO) einhält. Die folgenden Produkte und Services erfüllen die Compliance mit den Verhaltensregeln von CISPE vollständig: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWSAWS Identity and Access Management (IAM), AWS CloudTrail und Amazon Elastic Block Storage(Amazon EBS). Kunden erhalten dadurch eine weitere Zusicherung von AWS: Mit AWS haben sie die Kontrolle über ihre Daten in einer sicheren und geschützten Umgebung. Weitere Informationen zur AWS-Compliance des CISPE-Verhaltenskodexes finden Sie auf dieser Website: https://cispe.cloud/.

    AWS hat stets hohe Anforderungen an die Sicherheit und Compliance bei den globalen Tätigkeitsfeldern. Die Sicherheit ist seit jeher unsere oberste Priorität, sozusagen die Aufgabe, die vor allen anderen zu erledigen ist. Unser Sicherheitsmodell ist branchenführend und die Grundlage für die lange Liste international anerkannter Zertifizierungen und Akkreditierungen, die unsere Compliance mit strikten internationalen Standards unter Beweis stellt. Auf der Liste finden sich beispielsweise ISO 27017 für die Cloud-Sicherheit, ISO 27018 für den Datenschutz in der Cloud, SOC 1, SOC 2 und SOC 3, PCI DSS Level 1 und weitere. AWS unterstützt seine Kunden bei der Einhaltung regionaler Sicherheitsstandards, etwa des Anforderungskatalogs Cloud Computing (C5), eine von der Bundesregierung unterstützte Bescheinigung.

  • Hält AWS Verhaltensregeln ein, die Teil der Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind?

    AWS kündigte die Einhaltung des CISPE Data Protection Code of Conduct an. CIPSE ist ein Zusammenschluss von Anbietern von Cloud-Infrastruktur (auch "Infrastructure-as-a-Service" genannt). Diese bieten Kunden in Europa Cloud-Services an. Mit dem CISPE Code of Conduct können Kunden sicherstellen, dass ihr Cloud-Infrastrukturanbieter die erforderlichen Datenschutzstandards erfüllt, um ihre Daten gemäß der Datenschutz-Grundverordnung zu schützen. Zu den wichtigsten Vorteilen dieser Verhaltensregeln gehören:

    • Es wird klar festgelegt, wer beim Datenschutz für welche Aspekte verantwortlich ist: Im Code of Conduct wird die Rolle des Anbieters und des Kunden erklärt, die ihnen nach der Datenschutz-Grundverordnung jeweils zufällt. Speziell wird auf den Kontext der Cloud-Infrastrukturservices eingegangen.
    • Im Code of Conduct sind die geltenden Grundsätze festgehalten: Er beschreibt die Aktionen und Verpflichtungen seitens der Anbieter für die Einhaltung der Datenschutz-Verordnung und die Compliance ihrer Kunden.
    • Im Code of Conduct können Kunden Informationen zum Datenschutz und zur Datensicherheit nachlesen, die sie für ihre Entscheidungsfindung benötigen: Anbieter müssen bei den Schritten, die sie zur Erfüllung ihrer Sicherheitsverpflichtungen unternehmen, transparent sein. Sie müssen beispielsweise Benachrichtigungen bei Datenpannen, beim Löschen von Daten und der Weiterverarbeitung von Daten durch Dritte sowie bei Anforderungen zur Verbrechensbekämpfung und seitens der Regierung senden. Die gebotenen Sicherheitsstandards sind sehr hoch und Kunden erhalten durch diese Informationen Einblick in die Details.

    Sie finden Hinweise zur Erfüllung von Anforderungen des Gesetzgebers durch AWS in folgendem Abschnitt: "Datenaufbewahrung bei AWS".

  • Welche Änderungen ergeben sich mit der Einführung der Datenschutz-Grundverordnung (DSGVO) für in Europa tätige Organisationen?

    Einer der wichtigsten Aspekte der Datenschutz-Grundverordnung ist die Harmonisierung des Vorgangs zur Verarbeitung personenbezogener Daten und ihrem sicheren Austausch für EU-Mitgliedsstaaten. Organisationen müssen die Sicherheit der verarbeiteten Daten sowie ihre Compliance mit der Datenschutz-Grundverordnung fortwährend nachweisen. Dazu sind die Implementierung und regelmäßige Prüfung nachhaltiger technischer und organisatorischer Maßnahmen sowie Compliance-Richtlinien erforderlich.

  • Welche Services stellt AWS bereit, damit Kunden die Datenschutz-Grundverordnung (DSGVO) einhalten können?

    AWS bietet bereits bestimmte Funktionen und Services, damit Kunden die Anforderungen der Datenschutz-Grundverordnung erfüllen können:

    Zugriffskontrolle: Nur autorisierte Administratoren, Benutzer und Anwendungen haben Zugriff auf AWS-Ressourcen

    • Multi-Factor-Authentifizierung (MFA)
    • Individuell festgelegter Zugriff auf Objekte in Amazon S3-Buckets, Amazon SQS, Amazon SNS und mehr
    • Authentifizierung von API-Anfragen
    • Geografische Beschränkungen
    • Tokens für den vorübergehenden Zugriff mit AWS Security Token Service

    Nachverfolgung und Protokollierung: Sie sehen die Aktivitäten in Ihren AWS-Ressourcen

    • Asset Management und Konfiguration mit AWS Config
    • Compliance-Prüfung und Sicherheitsanalyse mit AWS CloudTrail
    • Identifikation von Herausforderungen bei der Konfiguration mit AWS Trusted Advisor
    • Individuell festgelegte Protokollierung des Zugriffs auf Amazon S3-Objekte
    • Ausführliche Informationen zu Abläufen im Netzwerk mit Amazon VPC-FlowLogs
    • Regelbasierte Prüfungen und Aktionen zur Konfiguration mit AWS Config Rules
    • Filterung und Nachverfolgung von HTTP-Zugriff auf Anwendungen mit WAF-Funktionen in AWS CloudFront

    Verschlüsselung: Daten in AWS sind verschlüsselt

    • Verschlüsselung Ihrer Daten beim Speichern mit AES256 (EBS/S3/Glacier/RDS)
    • Zentral verwaltetes Key Management (nach AWS-Region)
    • IPsec-Tunnel in AWS mit den VPN-Gateways
    • Dedizierte HSM-Module in der Cloud mit AWS CloudHSM

    Striktes Compliance-Framework und hohe Sicherheitsstandards:

    • Zertifiziert nach ISO 27001/9001
    • Zertifiziert nach ISO 27017/27018
    • Anforderungskatalogs Cloud Computing (C5; von der Bundesregierung unterstütztes Zertifizierungsschema)
    • AWS hat zusammen mit der Prüfgesellschaft TÜV TRUST IT ein Arbeitsheft für die Kundenzertifizierung herausgegeben. Darin enthalten sind Richtlinien für die Compliance mit dem BSI IT-Grundschutz
  • Wie können Kunden sich auf die Datenschutz-Grundverordnung (DSGVO) vorbereiten?

    Nachstehend finden Sie wichtige Punkte zur Erfüllung der DSGVO-Anforderungen:

    • Reichweite: Sie müssen bestimmen, ob die Datenschutz-Grundverordnung für die Aktivitäten Ihrer Organisation gilt. So können Sie sicherstellen, dass die zugehörigen Compliance-Anforderungen erfüllt werden. Die Datenschutz-Grundverordnung gilt für alle in der EU niedergelassenen Organisationen. Je nach Aktivität gilt sie jedoch auch für Organisationen außerhalb der EU.
       
    • Rechte der identifizierten bzw. identifizierbaren Personen: Mit der Datenschutz-Grundverordnung erhalten natürliche Personen mehr Rechte. Sie können beispielsweise ablehnen, dass ihre Daten verarbeitet werden und haben das Recht, auf personenbezogene Daten zu ihrer Person zuzugreifen. In Organisationen, für die die DSGVO gilt, muss sichergestellt sein, dass die Rechte dieser Personen eingehalten werden, wenn ihre personenbezogenen Daten verarbeitet werden.
       
    • Meldung bei Verletzung des Schutzes personenbezogener Daten: Als Verantwortlicher müssen Sie eine Verletzung des Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde melden, also spätestens 72 Stunden, nachdem Sie davon Kenntnis erlangt haben. Mit AWS haben Sie die Kontrolle über die Verarbeitung und den Schutz personenbezogener Daten. So können Sie Ihre eigene Umgebung auf Datenpannen überprüfen und Behörden sowie die betroffenen Personen gemäß Datenschutz-Grundverordnung informieren. Außerdem informiert AWS als Auftragsverarbeiter Sie unverzüglich, wenn uns bekannt wird, dass entweder (i) eine Verletzung unserer Sicherheitsstandards vorliegt, die zur zufälligen oder ungesetzlichen Zerstörung, zum Verlust, zur Änderung, zur nicht autorisierten Offenlegung von oder zum Zugriff auf personenbezogene Daten führt, die in AWS-Services in Ihrem Konto hochgeladen wurden, oder (ii) ein nicht autorisierter Zugriff auf die Ausstattung oder die Einrichtungen von AWS vorliegt, der zur Zerstörung, zum Verlust, zur nicht autorisierten Offenlegung oder zu einer Änderung der personenbezogenen Daten führt, die in die AWS-Services in Ihrem Konto hochgeladen wurden.
       
    • Datenschutzbeauftragter: Möglicherweise müssen Sie einen Datenschutzbeauftragten bestellen, der die Datensicherheit und andere Aspekte hinsichtlich der Verarbeitung personenbezogener Daten verwaltet.
       
    • Datenschutz-Folgenabschätzung: Möglicherweise müssen Sie eine solche Abschätzung zur Verarbeitung durchführen und u. U. auch bei der Aufsichtsbehörde vorlegen. Darin müssen Ihre Verfahren und Prozesse im Umgang mit Daten sowie die Mechanismen zum Schutz personenbezogener Daten angegeben sein.
       
    • Vereinbarung über die Datenverarbeitung: Möglicherweise benötigen Sie eine Vereinbarung über die Datenverarbeitung, die die Anforderungen der Datenschutz-Grundverordnung erfüllt, wenn personenbezogene Daten außerhalb des EWR übermittelt werden. AWS bietet seinen Kunden eine Vereinbarung über die Datenverarbeitung, die in den AWS-Servicebestimmungen enthalten ist und automatisch für alle Kunden gilt, die die DSGVO einhalten müssen. Bei AWS können Sie eine Reihe von Services und spezifischen Service-Funktionen nutzen, um die Anforderungen der Datenschutz-Grundverordnung zu erfüllen. Dazu gehören Services für Zugriffskontrollen, Nachverfolgung, Protokollierung und Verschlüsselung. Weitere Informationen dazu im Abschnitt "Welche Services stellt AWS bereit, damit Kunden die Datenschutz-Grundverordnung (DSGVO) einhalten können?" oben

    Wir haben Teams, die auf Compliance und Datenschutz spezialisiert sind sowie Sicherheitsexperten und Partner des AWS Partnernetzwerks. Diese arbeiten mit Kunden zusammen, beantworten ihre Fragen und helfen ihnen dabei, Arbeitslasten in der Cloud nach Inkrafttreten der Datenschutz-Grundverordnung auszuführen. Weitere Informationen erhalten Sie von Ihrem AWS Account Manager.

  • Bietet AWS einen Zusatz zur Datenverarbeitung (Data Processing Addendum, DPA)?

    Ja. AWS bietet einen DSGVO-konformen Zusatz zur Datenverarbeitung (DSGVO DPA) an, mit dem Sie die vertraglichen Verpflichtungen der DSGVO erfüllen können. Das AWS DSGVO DPA ist in den AWS-Servicebestimmungen enthalten und gilt automatisch für alle Kunden weltweit, die die DSGVO einhalten müssen.

  • Sind AWS-Services GDPR-konform?

    AWS-Services entsprechen der General Data Protection Regulation (GDPR). Das bedeutet, dass die Kunden nicht nur von allen Maßnahmen profitieren, die AWS bereits zur Aufrechterhaltung der Servicesicherheit ergreift, sondern auch AWS-Services als wichtigen Bestandteil ihrer GDPR-Compliance-Pläne einsetzen können. Weitere Details finden Sie in unserer DSGVO-Services-Bereitschaftsankündigung im AWS Security Blog: https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/.

  • Wie lautet die Rolle von AWS unter der DSGVO? Ist AWS ein Datenverarbeiter oder ein Datenkontrolleur?

    AWS fungiert unter der GDPR sowohl als Datenverarbeiter als auch als Datenkontrolleur.

    • AWS als Datenverarbeiter: Wenn Kunden und AWS Partner Network (APN)-Partner AWS-Services nutzen, um persönliche Daten in ihren Inhalten zu verarbeiten, agiert AWS als Datenverarbeiter. Kunden und APN-Partner können die in den AWS-Services verfügbaren Kontrollen, einschließlich der Sicherheitskonfigurationskontrollen, für den Umgang mit personenbezogenen Daten nutzen. Unter diesen Umständen kann der Kunde oder APN-Partner selbst als Datenkontrolleur oder Datenverarbeiter fungieren, während AWS als Datenverarbeiter oder Unterverarbeiter fungiert. AWS bietet einen DSGVO-konformen Zusatz zur Datenverarbeitung (DPA) an, der die Verpflichtungen von AWS als Datenverarbeiter beinhaltet.
    • AWS als Datenkontrolleur: Wenn AWS personenbezogene Daten sammelt und die Zwecke und Mittel zur Verarbeitung dieser personenbezogenen Daten festlegt – zum Beispiel, wenn AWS Kontoinformationen für die Kontoeröffnung, die Verwaltung, den Zugang zu Services oder Kontaktinformationen für das AWS-Konto speichert, um durch Kundenbetreuungsaktivitäten Hilfe zu leisten –, fungiert es als Datenkontrolleur.
  • Wie wirkt sich die DSGVO auf das AWS-Modell der übergreifenden Verantwortlichkeit aus?

    Die GDPR ändert nichts an dem AWS-Modell der übergreifenden Verantwortlichkeit, das für Kunden und APN-Partner, die sich auf die Nutzung von Cloud-Computing-Services konzentrieren, weiterhin relevant ist. Das Modell der übergreifenden Verantwortlichkeit ist ein nützlicher Ansatz, um die unterschiedlichen Verantwortlichkeiten von AWS (als Datenverarbeiter oder Unterverarbeiter) und Kunden oder APN-Partnern (als Datenkontrolleur oder Datenverarbeiter) im Rahmen der GDPR darzustellen.

    Im Rahmen des Modells der übergreifenden Verantwortlichkeit ist AWS für die Sicherung der zugrunde liegenden Infrastruktur, die die Cloud unterstützt, verantwortlich, und Kunden und APN-Partner, die entweder als Datenkontrolleur oder Datenverarbeiter fungieren, sind für alle persönlichen Daten, die sie in die Cloud stellen, verantwortlich.

    AWS-Verantwortlichkeiten als Datenverarbeiter

    AWS ist für den Schutz der globalen Infrastruktur verantwortlich, die alle in der AWS Cloud angebotenen Services ausführt. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die AWS-Services ausführen, die Kunden und APN-Partnern leistungsstarke Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, für die Handhabung von Kundeninhalten bieten. Der Schutz dieser Infrastruktur hat für AWS oberste Priorität. AWS stellt mehrere Compliance-Berichte von externen Wirtschaftsprüfern zur Verfügung, die unsere Einhaltung einer Vielzahl von Computersicherheitsstandards und -vorschriften überprüft haben (weitere Informationen finden Sie unter: https://aws.amazon.com/compliance). Diese Berichte zeigen unseren Kunden und APN-Partnern, dass wir die persönlichen Daten, die sie auf AWS verarbeiten, schützen. Gute Beispiele sind unter anderem die AWS-Compliance-Richtlinien ISO 27001, 27017 und 27018. ISO 27018 enthält Sicherheitskontrollen, die sich auf den Schutz personenbezogener Daten konzentrieren. Details zur ISO-27108-Konformität von AWS finden Sie hier: https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS ist auch für die Sicherheitskonfiguration seiner Technologien verantwortlich, die als verwaltete Services gelten. Beispiele hierfür sind Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce und verschiedene andere Services. Diese Services bieten die Skalierbarkeit und Flexibilität von Cloud-basierten Ressourcen mit dem zusätzlichen Vorteil der Verwaltung. Für diese Services übernimmt AWS grundlegende Sicherheitsaufgaben wie Betriebssystemsicherheit und Datenbank-Patching, Firewall-Konfiguration und Notfallwiederherstellung. Für verwaltete Services konfigurieren Kunden und APN-Partner die logischen Zugriffskontrollen für ihre Ressourcen und schützen ihre Kontoinformationen. Einige von ihnen können zusätzliche Aufgaben erfordern, wie die Einrichtung von Datenbankbenutzerkonten, aber insgesamt wird die Sicherheitskonfiguration durch den Service durchgeführt. Bei all diesen Services sind die Kunden und APN-Partner weiterhin für die persönlichen Daten verantwortlich, die sie in die Cloud stellen.

    AWS bietet auch einen DSGVO-konformen Zusatz zur Datenverarbeitung (DSGVO DPA) an, der die Verpflichtungen von AWS als Datenverarbeiter beinhaltet. Die AWS DSGVO DPA ist in den AWS-Servicebestimmungen enthalten und gilt automatisch für alle Kunden, die die DSGVO einhalten müssen.

    Kunden und APN-Partner als Verantwortliche – und wie AWS-Services helfen können:

    Mit der AWS Cloud können Kunden und APN-Partner virtuelle Server, Speicher, Datenbanken und Desktops innerhalb von Minuten statt Wochen bereitstellen. Sie können auch Cloud-basierte Analyse- und Workflow-Tools verwenden, um Daten nach Bedarf zu verarbeiten und sie dann in ihren eigenen Rechenzentren oder in der Cloud zu speichern. Die AWS-Services, die Kunden und APN-Partner nutzen, bestimmen, wie viel Konfigurationsaufwand sie im Rahmen ihrer GDPR-Verantwortung zu leisten haben. AWS-Produkte, die in die Kategorie Infrastructure as a Service (IaaS) fallen – wie Amazon EC2, Amazon VPC und Amazon S3 – stehen vollständig unter der Kontrolle eines Kunden oder APN-Partners und erfordern die Durchführung aller erforderlichen Sicherheitskonfigurations- und Verwaltungsaufgaben. Bei EC2-Instances sind sie beispielsweise für die Verwaltung des Gastbetriebssystems (einschließlich Updates und Sicherheitspatches), der auf den Instances installierten Anwendungssoftware oder Dienstprogramme sowie für die Konfiguration der von AWS bereitgestellten Firewall (eine so genannte Sicherheitsgruppe) für jede Instance zuständig, die unabhängig vom Standort der Server ausgeführt werden muss.

    Um den Datenschutz durch Design und Standardprinzipien zu realisieren, empfehlen wir Kunden und APN-Partnern, ihre AWS-Anmeldeinformationen zu schützen und individuelle Benutzerkonten mit Amazon Identity and Access Management (IAM) einzurichten, sodass jeder Benutzer seine eigenen Anmeldedaten hat, wodurch Sie berechtigungsbasierten Zugriff auf Daten und die Trennung von Aufgaben nach Benutzerrollen implementieren können. Wir empfehlen auch die Verwendung von Multi-Factor Authentication (MFA) mit jedem Konto, die die Verwendung von SSL/TLS für die Kommunikation mit AWS-Ressourcen, die Einrichtung von API/Benutzeraktivitätsprotokollierung mit AWS CloudTrail, die Nutzung von AWS-Verschlüsselungslösungen und andere Sicherheitskontrollen innerhalb der AWS-Services erfordert. Kunden und APN-Partner können auch erweiterte Sicherheits-Services wie Amazon GuardDuty für Konto- und Infrastruktursicherheit und Amazon Macie für die Erkennung und Sicherung von in Amazon S3 gespeicherten persönlichen Daten nutzen, um die Einhaltung der GDPR-Richtlinien zu gewährleisten.

    Weitere Informationen über zusätzliche Maßnahmen, die Kunden ergreifen können, und Lösungen, die AWS anbietet, finden Sie im AWS-Whitepaper Bewährte Methoden für Sicherheit und in der empfohlenen Dokumentation auf der Webseite von AWS Security Resources: https://aws.amazon.com/security/.

  • An wen kann ich mich wenden, wenn ich Fragen zu GDPR und AWS habe?

    Kunden und APN-Partner mit Fragen zum Datenschutz oder AWS und GDPR empfehlen wir, sich zuerst an ihren AWS-Kundenbetreuer zu wenden. Wenn Kunden sich für den Enterprise Support angemeldet haben, können sie sich auch an ihren Technical Account Manager (TAM) wenden. TAMs arbeiten mit Solutions Architects zusammen, um Kunden bei der Identifizierung potenzieller Risiken und potenzieller Minderungen zu unterstützen. TAMs und Account-Teams können auch Kunden und APN-Partner mit spezifischen Ressourcen auf der Grundlage ihrer Umgebung und ihrer Bedürfnisse ausstatten.

    AWS hat auch Teams von Enterprise Support Representatives, Professional Services Consultants und anderen Mitarbeitern, die bei GDPR-Fragen helfen. Um Kunden und APN-Partner weiterzubilden, bietet AWS auch eine Reihe von Vorträgen, Webinaren und Workshops auf den AWS Summits und AWS Pop-up Lofts, damit sie die DSGVO besser verstehen und Lösungen mit AWS-Tools implementieren können.

  • Welche technische Beratung rund um GDPR bietet AWS seinen Kunden und APN-Partnern?

    AWS bietet Kunden und APN-Partnern eine Reihe von Ressourcen, um sie auf ihrem Weg zur GDPR-Compliance zu unterstützen. AWS hat Teams von Enterprise Support Representatives, Professional Services Consultants und anderen Mitarbeitern, die Kunden und APN-Partnern bei GDPR-Fragen helfen. AWS bietet auch eine Reihe von Vorträgen, Webinaren und Workshops auf den AWS Summits und AWS Pop-up Lofts, um Kunden und APN-Partnern zu helfen, die DSGVO zu verstehen und den Datenschutz mit Hilfe von AWS-Tools zu implementieren.

  • Bietet AWS Professional Services Unterstützung bei der Einhaltung der GDPR-Richtlinien?

    Das AWS Professional Services Team führt eine Reihe von Aktivitäten durch, um Kunden und APN-Partner auf ihrem Weg zur GDPR-Compliance zu unterstützen. Professional Services Consultants helfen bei der Beantwortung von Fragen zur DSGVO, indem sie sowohl private Beratungssitzungen als auch öffentliche Vorträge, Webinare und Workshops auf AWS Summits und AWS Pop-up Lofts anbieten. Das Team von AWS Professional Services arbeitet auch direkt mit Kunden und APN-Partnern zusammen, um ihnen technische Beratung rund um die DSGVO anzubieten und standardmäßigen und/oder spezifischen Datenschutz mit AWS-Tools zu implementieren. Weitere Informationen darüber, wie AWS Professional Services Consultants Kunden und APN-Partner unterstützen, finden Sie unter: https://aws.amazon.com/professional-services/.

  • Wie kann mir der AWS-Support auf meinem Weg zur GDPR-Compliance helfen?

    AWS Premium Support arbeitet mit Kunden und APN-Partnern zusammen, um sie auf ihrem Weg zur GDPR-Compliance zu unterstützen. Als Teil dieser Aktivität haben wir derzeit Teams von Cloud Support Engineers und Technical Account Managers, die geschult sind, um Compliance-Risiken zu identifizieren und zu minimieren. Zwei Programme, die Kunden und APN-Partner bei der Umsetzung der GDPR-Konformität als nützlich erachten könnten:

    • Cloud Operations Review: Dieses Programm ist für AWS Enterprise Support-Kunden verfügbar und soll ihnen dabei helfen, Lücken beim Einsatz der Cloud zu identifizieren. Ausgehend von einer Reihe operativer bewährter Methoden, die aus den Erfahrungen von AWS mit einer großen Anzahl repräsentativer Kunden gewonnen wurden, bietet dieses Programm eine Übersicht über den Cloud-Betrieb und die damit verbundenen Managementpraktiken, die Unternehmen auf ihrem Weg zur DSGVO-Compliance unterstützen können. Das Programm verfolgt einen Vier-Säulen-Ansatz mit dem Fokus auf die Vorbereitung, Überwachung, den Betrieb und die Optimierung von Cloud-basierten Systemen im Sinne von Operational Excellence.
    • Well-Architected-Rezension: Dieses Programm ermöglicht es Unternehmen, ihre Architektur an den bewährten Methoden von AWS zu messen und Architekturen zu erstellen, die sicher, zuverlässig, leistungsstark und kostengünstig sind. Well-Architected-Rezensionen ermöglichen es Kunden und APN-Partnern außerdem, zu verstehen, wo sich Risiken in ihrer Architektur befinden und diese zu eliminieren, bevor Anwendungen in Produktion gehen.

    Kunden und APN-Partner, die wissen möchten, wie der AWS Premium Support ihnen helfen kann, können weitere Informationen im AWS Support Center finden, das über die AWS-Konsole (https://console.aws.amazon.com/support/), unter Verwendung der im Enterprise Support Agreement mit AWS angegebenen Kontaktdaten oder auf der AWS Premium Support-Seite unter: https://aws.amazon.com/premiumsupport/. Zollbehörden mit Unternehmenssupport sollten sich mit Fragen zur DSGVO an ihren TAM wenden.

  • Verfügt AWS über Unterverarbeiter?

    Wir informieren unsere Kunden und APN-Partner proaktiv über alle Subunternehmer, die Zugang zu Inhalten haben, die auf AWS hochgeladen wurden, einschließlich Inhalten, die möglicherweise personenbezogene Daten enthalten. Diese Verpflichtung ist Teil des Zusatzes zur Datenverarbeitung von AWS im Rahmen der DSGVO (DSGVO DPA). Die AWS DSGVO DPA ist in den AWS-Servicebestimmungen enthalten und gilt automatisch für alle Kunden, die die DSGVO einhalten müssen.

  • Welche Instrumente gibt mir AWS an die Hand, um technische und organisatorische Maßnahmen zur Datensicherung konstruktiv und standardmäßig umzusetzen?

    Viele der GDPR-Anforderungen konzentrieren sich auf die Kontrolle und den Schutz von Daten. AWS-Services bieten Kunden und APN-Partnern die Möglichkeit, eigene Sicherheitsmaßnahmen in Übereinstimmung mit GDPR zu implementieren, einschließlich spezifischer taktischer Maßnahmen wie:

    • die Verschlüsselung personenbezogener Daten
    • die Fähigkeit, die laufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -Services sicherzustellen.
    • die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen.
    • ein Verfahren zur regelmäßigen Prüfung, Bewertung und Beurteilung der Wirksamkeit technischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

    AWS verfügt über eine Reihe fortschrittlicher Sicherheits- und Compliance-Services, die eingesetzt werden können, um die Anforderungen von GDPR zu erfüllen:

    • Amazon GuardDuty – ein Service mit intelligenter Bedrohungserkennung und kontinuierlicher Überwachung von bösartigem oder nicht autorisiertem Verhalten.
    • Amazon Macie – ein maschinelles Lernwerkzeug zur Unterstützung der Entdeckung und Klassifizierung von in Amazon S3 gespeicherten personenbezogenen Daten.
    • Amazon Inspector – ein automatisierter Sicherheitsbewertungs-Service, um Anwendungen in Übereinstimmung mit den besten Sicherheitspraktiken zu halten.
    • AWS Config Rules – eine Funktion, mit der Sie Cloud-Ressourcen dynamisch auf die Einhaltung von Sicherheitsregeln überprüfen können.

    AWS hat auch ein Whitepaper "Navigieren der DSGVO-Compliance auf AWS" veröffentlicht, das diesem Thema gewidmet ist. Dieses Dokument befasst sich mit der spezifischen Verknüpfung von Ressourcen mit Konzepten wie Monitoring, Datenzugriff und Schlüsselmanagement. 

  • Welche Sicherheitsmaßnahmen hat AWS zum Schutz der Systeme?

    Die AWS Cloud-Infrastruktur wurde als eine der flexibelsten und sichersten Cloud Computing-Umgebungen der heutigen Zeit konzipiert. Die Größe von Amazon erlaubt deutlich mehr Investitionen in Sicherheitsrichtlinien und Gegenmaßnahmen, als es sich fast jedes große Unternehmen allein leisten kann. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die AWS-Services ausführen, die Kunden und APN-Partnern leistungsstarke Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, für die Handhabung von personenbezogenen Daten bieten. Weitere Einzelheiten zu den von AWS ergriffenen Maßnahmen zur Aufrechterhaltung eines gleichbleibend hohen Sicherheitsniveaus finden Sie im AWS-Whitepaper "Übersicht über die Sicherheitsprozesse".

    AWS stellt auch mehrere Compliance-Berichte von externen Auditoren zur Verfügung, die unsere Konformität mit einer Vielzahl von Computersicherheitsstandards und -vorschriften – einschließlich ISO 27001, ISO 27017 und ISO 27018 – geprüft und verifiziert haben. Um Transparenz über die Wirksamkeit dieser Maßnahmen zu schaffen, geben wir unseren Kunden und APN-Partnern über die AWS-Managementkonsole Zugriff auf die Auditberichte Dritter. Diese Berichte zeigen unseren Kunden und APN-Partnern, die entweder als Datenkontrolleure oder als Datenverarbeiter fungieren können, dass wir die zugrunde liegende Infrastruktur schützen, auf der sie personenbezogene Daten speichern und verarbeiten. Weitere Informationen finden Sie unter: https://aws.amazon.com/compliance

  • Wie kann AWS Datenkontrolleure bei der Erfüllung ihrer Pflichten im Rahmen der GDPR hinsichtlich der Meldung von Verstößen gegen personenbezogene Daten unterstützen?

    AWS hat einen Prozess zur Überwachung von Sicherheitsvorfällen und zur Benachrichtigung über Datenverstöße eingerichtet und wird Kunden und APN-Partner über jeden bestätigten Verstoß gegen AWS-Systeme unterstützen und informieren. AWS bietet Kunden und APN-Partnern außerdem eine Reihe von Tools, um zu verstehen, wer wann und von wo aus Zugriff auf ihre Ressourcen hat. Eines dieser Tools ist AWS CloudTrail, das Governance, Compliance, Operational Auditing und Risk Auditing eines AWS-Kontos ermöglicht. Mit AWS CloudTrail können Kunden Informationen über Kontoaktivitäten in ihrer AWS-Infrastruktur protokollieren, fortlaufend überwachen und speichern. Damit können Unternehmen verstehen, was mit ihrer AWS-Infrastruktur geschieht und sofort auf ungewöhnliche Aktivitäten reagieren. Weitere Informationen über AWS CloudTrail und die anderen Sicherheitstools, die AWS seinen Kunden zur Verfügung stellt, um ihre Pflichten als Datenkontrolleure im Rahmen der DSGVO zu erfüllen, finden Sie hier: https://aws.amazon.com/security/.  

  • Wie hilft mir AWS, meine Daten vor Cyber-Angriffen zu schützen?

    AWS bietet Kunden und APN-Partnern eine Reihe von Tools zum Schutz ihrer Daten und zum Schutz vor Cyber-Angriffen. Eines dieser Tools ist AWS Shield. Dies ist ein Managed Distributed Denial of Service(DDoS)-Schutzdienst zum Schutz von Websites und Anwendungen, die auf AWS ausgeführt werden. AWS Shield Standard ist ohne Aufpreis erhältlich und bietet eine permanente Erkennung und automatische Inline-Minimierung, die Ausfallzeiten und Latenzzeiten von Anwendungen minimieren kann. Kunden und APN-Partner können AWS Shield Advanced abonnieren, um sich vor Angriffen auf Webanwendungen zu schützen, die auf AWS, Amazon CloudFront und Amazon Route 53 ausgeführt werden. AWS veröffentlicht und aktualisiert außerdem regelmäßig das Dokument "Bewährte Methoden von AWS für die DDoS-Abwehr", das Kunden hilft, AWS-Anwendungen zu entwickeln, die gegen DDoS-Angriffe resistent sind.

    Andere Tools, die AWS zum Schutz von Daten vor Cyber-Angriffen einsetzen muss, sind unter anderem:

    • Mit AWS Identity and Access Management (IAM) können Unternehmen den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mit IAM können Kunden und APN-Partner AWS-Benutzer und -Gruppen anlegen und verwalten sowie Zugriffsrechte für AWS-Ressourcen vergeben und verweigern. IAM ist eine Funktion von AWS-Konten, die ohne Aufpreis bereitgestellt wird.
    • Mit AWS Config können Kunden und APN-Partner vorkonfigurierte Regeln aktivieren, die sicherstellen, dass sich ihre AWS-Ressourcen in einem ordnungsgemäß konfigurierten und konformen Zustand befinden.
    • Mit AWS CloudTrail können Unternehmen Informationen über Kontoaktivitäten im Zusammenhang mit Aktionen in AWS protokollieren, kontinuierlich überwachen und speichern, was die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlerbehebung vereinfacht (AWS CloudTrail ist standardmäßig auf allen AWS-Konten aktiviert).
    • Amazon GuardDuty ist ein Managed Service zur Bedrohungserkennung, der AWS-Konten und -Instances fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und somit schützt. Es überwacht Aktivitäten, die auf eine mögliche Kompromittierung des Kontos hinweisen können, wie z. B. ungewöhnliche API-Aufrufe oder potenziell nicht autorisierte Implementierungen. GuardDuty erkennt außerdem Instances mit potenziellen Sicherheitsverletzungen oder Informationsbeschaffung durch Angreifer.
    • Amazon Macie ist ein Sicherheits-Service, der durch maschinelles Lernen Kunden und APN-Partner bei der automatischen Erkennung, Klassifizierung und dem Schutz sensibler Daten in AWS unterstützt. Dieser vollständig verwaltete Service überwacht kontinuierlich die Datenzugriffsaktivitäten auf Anomalien und generiert detaillierte Warnmeldungen, wenn er das Risiko eines unbefugten Zugriffs oder unbeabsichtigten Datenverlustes erkennt – wie zum Beispiel sensible Daten, die ein Kunde versehentlich von außen zugänglich gemacht hat.  
  • Welche Tools stehen mir zur Verfügung, um personenbezogene Daten in meinen Inhalten auf AWS zu finden?

    Amazon Macie ist ein Sicherheitsservice, der auf Basis von Machine Learning automatisch vertrauliche Daten in AWS erkennt, klassifiziert und schützt. Dieser vollständig verwaltete Service überwacht kontinuierlich die Datenzugriffsaktivitäten auf Anomalien und generiert detaillierte Warnmeldungen, wenn er das Risiko eines unbefugten Zugriffs oder unbeabsichtigten Datenverlustes erkennt – wie zum Beispiel ein Zugriff auf sensible Daten, die versehentlich von außen zugänglich gemacht wurden. Macie ist nach international anerkannten Standards wie ISO 27017 für Cloud Security und ISO 27018 für Cloud Privacy zertifiziert und Kunden und APN-Partner können mit Macie auch den Zugriff auf ihre Daten kontinuierlich überwachen, um verdächtige Aktivitäten anhand von Zugriffsmustern zu erkennen.

  • Wie kann ich den Zugriff auf personenbezogene Daten innerhalb meiner Inhalte auf AWS kontrollieren?

    Um Kunden und APN-Partner bei der Einhaltung der GDPR-Richtlinien zu unterstützen, verfügt AWS über eine Reihe von Tools zur Kontrolle des Zugriffs auf personenbezogene Daten, die in ihren Inhalten auf AWS enthalten sind. Zu diesen Tools zählen Folgende:

    Standardmäßige Sicherheit bedeutet, dass die AWS-Services standardmäßig sicher sind. Wenn die Standardkonfiguration verwendet wird, ist der Zugriff auf Ressourcen nur für den Kontoinhaber und den Root-Administrator möglich.

    • Mit AWS Identity and Access Management (IAM) können Kunden und APN-Partner den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mithilfe von IAM können Kunden und APN-Partner AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen den Zugriff auf AWS-Ressourcen zulassen oder verweigern. IAM ist eine Funktion von AWS-Konten, die ohne Aufpreis bereitgestellt wird.
    • Die AWS Multi-Factor Authentication fügt dem Benutzernamen und dem Passwort eines AWS-Kontos eine zusätzliche Schutzebene hinzu. AWS bietet Kunden die Wahl zwischen virtuellen MFA-Geräten und Hardware-MFA-Geräten.
    • Mit AWS Directory Service können Kunden und APN-Partner Unternehmensverzeichnisse integrieren und verbinden, um die Kosten für Administration zu verringern und das Endbenutzererlebnis zu verbessern;
    • Mit AWS Config können Kunden und APN-Partner vorkonfigurierte Regeln aktivieren, die sicherstellen, dass sich ihre AWS-Ressourcen in einem ordnungsgemäß konfigurierten und konformen Zustand befinden.
    • AWS CloudTrail ermöglicht es Kunden und APN-Partnern, Informationen über Kontoaktivitäten im Zusammenhang mit Aktionen in ihrer AWS-Infrastruktur zu protokollieren, kontinuierlich zu überwachen und aufzubewahren, was die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlerbehebung vereinfacht.
    • Amazon Macie nutzt maschinelles Lernen, um Kunden zu helfen, Datenverluste zu vermeiden, indem es automatisch sensible Daten in AWS erkennt, klassifiziert und schützt. Dieser vollständig verwaltete Service überwacht kontinuierlich die Datenzugriffsaktivitäten auf Anomalien und generiert detaillierte Warnmeldungen, wenn er das Risiko eines unbefugten Zugriffs oder unbeabsichtigten Datenverlustes erkennt – wie zum Beispiel sensible Daten, die ein Kunde versehentlich von außen zugänglich gemacht hat.
  • Wie kann ich die in AWS gespeicherten personenbezogenen Daten verschlüsseln, um unbefugten Zugriff zu verhindern?

    AWS bietet Kunden und APN-Partnern die Möglichkeit, ihre in der Cloud ruhenden Daten um eine zusätzliche Sicherheitsebene zu erweitern und sie bei der Erfüllung ihrer Verarbeitungspflichten als Datenkontrolleure im Rahmen der GDPR zu unterstützen. Zu den Verschlüsselungs-Tools, die auf AWS verfügbar sind, gehören Folgende:

    • Datenverschlüsselungsfunktionen, die in AWS Speicher- und Datenbank-Services verfügbar sind, wie Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS und Redshift
    • flexible Optionen zur Schlüsselverwaltung, inklusive AWS Key Management Service, mit denen Kunden auswählen können, ob AWS die Verschlüsselungsschlüssel verwaltet oder Sie – für die vollständige Kontrolle über Schlüssel
    • verschlüsselte Nachrichtenwarteschlangen für die Übertragung sensibler Daten mittels serverseitiger Verschlüsselung (SSE) für Amazon SQS
    • dedizierte, Hardware-basierte, kryptografische Schlüsselspeicherung über AWS CloudHSM, mit der Kunden Compliance-Anforderungen erfüllen können
     
    Außerdem bietet AWS Kunden und APN-Partnern APIs, um die Verschlüsselung und den Datenschutz mit beliebigen Diensten zu integrieren, die sie in einer AWS-Umgebung entwickeln oder bereitstellen.
  • Wie geht AWS mit Löschanweisungen von Kunden um?

    AWS-Services ermöglichen das Löschen von Inhalten durch den Kunden bei Bedarf über die AWS-Managementkonsole, APIs und andere Eingabemethoden. Weitere Informationen zu den einzelnen Servicefunktionen finden Sie unter https://aws.amazon.com/documentation.

  • Wie kann ich einer Datenschutzbehörde beweisen, dass meine Nutzung von AWS GDPR-konform ist?

    AWS bietet Kunden und APN-Partnern hilfreiche Informationen, einschließlich mehrerer Compliance-Berichte von externen Auditoren, die unsere Einhaltung einer Vielzahl von Computersicherheitsstandards und -vorschriften überprüft haben, um das hohe Maß an Compliance zu belegen, das AWS für seine Infrastruktur unterhält. Diese Berichte zeigen unseren Kunden und APN-Partnern, dass wir die persönlichen Daten, die sie auf AWS verarbeiten, schützen. Ein gutes Beispiel dafür ist die Einhaltung der Standards ISO 27001, 27017 und 27018 durch AWS. ISO 27018 enthält Sicherheitskontrollen, die sich auf den Schutz personenbezogener Daten konzentrieren. Details zur Einhaltung des Standards ISO 27108 durch AWS finden Sie hier: https://aws.amazon.com/compliance/iso-27018-faqs/./

    AWS ist auch konform mit dem CISPE-Verhaltenskodex für den Datenschutz. CIPSE ist ein Zusammenschluss von Anbietern von Cloud-Infrastruktur (auch "Infrastructure as a Service" genannt) und bietet europäischen Kunden Cloud-Services. Mit dem CISPE Code of Conduct können Kunden und APN-Partner sicherstellen, dass ihr Cloud-Infrastrukturanbieter die erforderlichen Datenschutzstandards erfüllt, um ihre Daten gemäß der Datenschutz-Grundverordnung zu schützen. Zu den wichtigsten Vorteilen dieser Verhaltensregeln gehören:

    • Es wird klar festgelegt, wer beim Datenschutz für welche Aspekte verantwortlich ist: Im Code of Conduct wird die Rolle des Anbieters und des Kunden erklärt, die ihnen nach der Datenschutz-Grundverordnung jeweils zufällt. Speziell wird auf den Kontext der Cloud-Infrastruktur-Services eingegangen.
    • Im Code of Conduct sind die geltenden Grundsätze festgehalten: Er beschreibt die Aktionen und Verpflichtungen seitens der Anbieter für die Einhaltung der Datenschutz-Verordnung und die Compliance ihrer Kunden und APN-Partner.
    • Im Code of Conduct können Kunden und APN-Partner Informationen zum Datenschutz und zur Datensicherheit nachlesen, die sie für ihre Entscheidungsfindung benötigen: Anbieter müssen bei den Schritten, die sie zur Erfüllung ihrer Sicherheitsverpflichtungen unternehmen, transparent sein. Sie müssen beispielsweise Benachrichtigungen bei Datenpannen, beim Löschen von Daten und der Weiterverarbeitung von Daten durch Dritte sowie bei Anforderungen zur Verbrechensbekämpfung und seitens der Regierung senden. Die gebotenen Sicherheitsstandards sind sehr hoch und Kunden und APN-Partner erhalten durch diese Informationen Einblick in die Details.
  • Ist AWS für EU-US Privacy Shield zertifiziert?

    Ja. Amazon.com, Inc. ist gemäß dem EU-US Privacy Shield zertifiziert und AWS ist in dieser Zertifizierung enthalten. So können Kunden, die personenbezogene Daten in die USA übermitteln, ihre Datenschutzanforderungen erfüllen. Die Zertifizierung von Amazon.com Inc. finden Sie auf der Website zum EU-US Privacy Shield: https://www.privacyshield.gov/list.

    Weitere Informationen zu diesem Thema im Kontext von AWS finden Sie auf unserer Seite EU-US Privacy Shield.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Compliance-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »