Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union schützt das Grundrecht europäischer Bürger auf Privatsphäre und den Schutz personenbezogener Daten. Es enthält strenge Anforderungen, die Standards für Datenschutz, Sicherheit und Compliance anheben und vereinheitlichen.

Die AWS-Services werden die DSGVO erfüllen, wenn diese am 25. Mai 2018 in Kraft tritt.

Neben unserer eigenen Compliance haben wir uns bei AWS das Ziel gesetzt, unseren Kunden entsprechende Services und Ressourcen anzubieten, damit sie die für ihre Aktivitäten geltenden DSGVO-Vorgaben erfüllen können.Neue Funktionen werden regelmäßig eingeführt, AWS bietet über 500 Funktionen und Dienste, die sich auf Sicherheit und Compliance konzentrieren.

AWS bietet spezifische Funktionen und Dienste, die Kunden bei der Einhaltung der DS-GVO nutzen können.

HA_DynamoDB-DAX_HERO-ART

Zugriffskontrolle: Nur autorisierte Administratoren, Benutzer und Anwendungen zulassen

  • Multi-Factor-Authentifizierung (MFA)
  • Individuell festgelegter Zugriff auf Objekte in Amazon S3, Amazon SQS und Amazon SNS
  • Authentifizierung von API-Anfragen
  • Geografische Beschränkungen
  • Tokens für den vorübergehenden Zugriff mit AWS Security Token Service
Weitere Informationen »
HA_EFS-Data-Encryption_hero-art

Nachverfolgung und Protokollierung: Sie sehen die Aktivitäten in Ihren AWS-Ressourcen

  • Asset Management und Konfiguration mit AWS Config
  • Audits und Sicherheitsanalysen mit AWS CloudTrail
  • Ausführliche Informationen zu Abläufen im Netzwerk mit Amazon VPC-FlowLogs
  • Regelbasierte Prüfungen und Aktionen zur Konfiguration mit AWS Config Rules
  • Filterung und Überwachung des HTTP-Zugriffs auf Anwendungen mit AWS-WAF-Funktionen in AWS CloudFront
GC_Storage_HERO-ART

Verschlüsselung: Daten in AWS sind verschlüsselt

  • Verschlüsselung Ihrer Daten beim Speichern mit AES256 (EBS/S3/Glacier/RDS)
  • Zentral verwaltetes Key Management (nach AWS-Region)
  • IPsec-Tunnel in AWS mit den VPN-Gateways
  • Dedizierte HSM-Module in der Cloud mit AWS CloudHSM
Weitere Informationen »

Datenschutz

Kunden kontrollieren ihre Inhalte. Mit AWS können Kunden:

  • Bestimmen, wo ihre Kundeninhalte gespeichert werden, einschließlich Speicherart und geografische Speicherregion.
  • Den gesicherten Status ihrer Kundeninhalte festlegen. Wir bieten unseren Kunden eine zuverlässige Verschlüsselung für Kundeninhalte während der Übertragung und der Speicherung. Wir bieten ihnen außerdem die Option, ihre eigenen Verschlüsselungsschlüssel zu verwalten.
  • Den Zugriff auf ihre Kundeninhalte und die AWS-Services und -Ressourcen über Nutzer, Gruppen, Berechtigungen und Anmeldedaten verwalten, die die Kunden steuern.
Weitere Informationen »

Security by Design

Mit dem SbD-Ansatz soll Folgendes erreicht werden:

  • Erzwingende Funktionen sollen erstellt werden, die von Nutzern ohne entsprechende Änderungsberechtigung nicht überschrieben werden können.
  • Ein verlässlicher Einsatz der Kontrollen soll erzielt werden.
  • Die durchgehende Prüfung in Echtzeit soll ermöglicht werden.
  • Das technische Skripting Ihrer Governance-Richtlinien soll durchgeführt werden.
Weitere Informationen »

EU-Datenschutz

Die Datenschutz-Grundverordnung stellt die größte Änderung der europäischen Datenschutzgesetze seit der Einführung der EU-Datenschutzrichtlinie im Jahr 1995 dar. Mit ihr sollen die Sicherheit und der Schutz personenbezogener Daten in der EU gestärkt und das europäische Gesetz zum Datenschutz harmonisiert werden. Sie ersetzt sie die EU-Datenschutzrichtlinie sowie alle kommunalen Gesetze, die sich auf sie beziehen.

Weitere Informationen »

AWS-Zertifizierungen, -Programme, -Berichte und -Bescheinigungen

Die Einhaltung des Standards ISO 27018 durch AWS wurde unabhängig von einem Dritten bestätigt. ISO 27018 ist der erste internationale Leitfaden für den Schutz personenbezogener Daten in der Cloud. Er basiert auf dem Informationssicherheitsstandard ISO 27002 und bietet eine Anleitung zur Implementierung von Kontrollen gemäß ISO 27002, die für Angaben über bestimmbare Personen (Personally Identifiable Information – PII) gelten, die von öffentlichen Cloud-Dienstanbieter verarbeitet werden.Dies zeigt den Kunden, dass AWS über ein Kontrollsystem verfügt, das die Verpflichtung von AWS zum Datenschutz der Kundeninhalte zeigt.

Weitere Informationen »

Die Datenschutz-Grundverordnung (General Data Protection Regulation GDPR) ist ein neues europäisches Datenschutzgesetz, das am 25. Mai 2018 in Kraft tritt. Die Datenschutz-Grundverordnung wird die EU-Datenschutzrichtlinie (Richtlinie 95/46/EC) ersetzen. Ziel ist es, die Datenschutzgesetze innerhalb der Europäischen Union durch ein einziges Datenschutzgesetz zu harmonisieren, das für jeden Mitgliedsstaat verbindlich ist.

 

Die Datenschutz-Grundverordnung gilt für alle Organisationen, die in der EU tätig sind und personenbezogene Daten von in der EU ansässigen Personen verarbeiten. Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte natürliche Person beziehen oder anhand derer eine natürliche Person identifiziert werden kann.

Die Datenschutz-Grundverordnung ersetzt die bestehende Datenschutzrichtlinie (Richtlinie 95/46/EG). Ab dem 25. Mai 2018 sind diese Datenschutzrichtlinie und alle Gesetze, die sich auf sie beziehen, nicht mehr gültig.

Unsere Experten zur Compliance, zum Datenschutz und für die Sicherheit beantworten die Fragen unserer Kunden weltweit und beraten sie zur Ausführung von Arbeitslasten in der AWS Cloud nach der Einführung der Datenschutz-Verordnung. Sie haben außerdem alle unsere bestehenden Aktivitäten bei AWS geprüft, damit sie die Anforderungen der neuen Datenschutz-Grundverordnung erfüllen. Alle AWS-Services werden die Datenschutz-Grundverordnung GDPR mit dem Datum Ihres Inkrafttretens im Mai 2018 einhalten.

Zudem haben wir eine neue Vereinbarung zur Datenverarbeitung (GDPR DPA), die alle Anforderungen der Datenschutz-Grundverordnung erfüllen wird. Der Zusatz GDPR DPA steht allen AWS-Kunden ab sofort zur Verfügung, damit sie sich auf die Einführung im Mai 2018 vorbereiten können. Wenn Sie weitere Informationen zum Zusatz GDPR DPA oder eine Kopie davon erhalten möchten, wenden Sie sich bitte an Ihren AWS Account Manager.

AWS kündigte kürzlich auch die Einhaltung des CISPE Code of Conduct an (Blogpost auf Englisch). Mit dem CISPE Code of Conduct können Cloud-Kunden prüfen, inwiefern der Anbieter ihrer Cloud-Infrastruktur seine Datenschutzverpflichtungen gemäß der Datenschutzverordnung GDPR einhält. Die folgenden Produkte und Services erfüllen die Compliance mit den Verhaltensregeln von CISPE vollständig: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail und Amazon Elastic Block Storage (Amazon EBS). Kunden erhalten dadurch eine weitere Zusicherung von AWS: Mit AWS haben sie die Kontrolle über ihre Daten in einer sicheren und geschützten Umgebung. Weitere Informationen zur AWS-Compliance des CISPE Code of Conduct finden Sie auf dieser Website: https://cispe.cloud/

AWS hat stets hohe Anforderungen an die Sicherheit und Compliance bei den globalen Tätigkeitsfeldern. Die Sicherheit ist seit jeher unsere oberste Priorität, sozusagen die Aufgabe, die vor allen anderen zu erledigen ist. Unser Sicherheitsmodell ist branchenführend und die Grundlage für die lange Liste international anerkannter Zertifizierungen und Akkreditierungen, die unsere Compliance mit strikten internationalen Standards unter Beweis stellt. Auf der Liste finden sich beispielsweise ISO 27017 für die Cloud-Sicherheit, ISO 27018 für den Datenschutz in der Cloud, SOC 1, SOC 2 und SOC 3, PCI DSS Level 1 und weitere. AWS unterstützt seine Kunden bei der Einhaltung regionaler Sicherheitsstandards, etwa des Anforderungskatalogs Cloud Computing (C5) des BSI in Deutschland.

AWS kündigte die Einhaltung des CISPE Data Protection Code of Conduct an. CIPSE ist ein Zusammenschluss von Anbietern von Cloud-Infrastruktur (auch "Infrastructure-as-a-Service" genannt). Diese bieten Kunden in Europa Cloud-Services an. Mit dem CISPE Code of Conduct können Kunden sicherstellen, dass ihr Cloud-Infrastrukturanbieter die erforderlichen Datenschutzstandards erfüllt, um ihre Daten gemäß der Datenschutz-Grundverordnung zu schützen. Zu den wichtigsten Vorteilen dieser Verhaltensregeln gehören:

  • Es wird klar festgelegt, wer beim Datenschutz für welche Aspekte verantwortlich ist: Im Code of Conduct wird die Rolle des Anbieters und des Kunden erklärt, die ihnen nach der Datenschutz-Grundverordnung jeweils zufällt. Speziell wird auf den Kontext der Cloud-Infrastrukturservices eingegangen.
  • Im Code of Conduct sind die geltenden Grundsätze festgehalten: Er beschreibt die Aktionen und Verpflichtungen seitens der Anbieter für die Einhaltung der Datenschutz-Verordnung und die Compliance ihrer Kunden.
  • Im Code of Conduct können Kunden Informationen zum Datenschutz und zur Datensicherheit nachlesen, die sie für ihre Entscheidungsfindung benötigen: Anbieter müssen bei den Schritten, die sie zur Erfüllung ihrer Sicherheitsverpflichtungen unternehmen, transparent sein. Sie müssen beispielsweise Benachrichtigungen bei Datenpannen, beim Löschen von Daten und der Weiterverarbeitung von Daten durch Dritte sowie bei Anforderungen zur Verbrechensbekämpfung und seitens der Regierung senden. Die gebotenen Sicherheitsstandards sind sehr hoch und Kunden erhalten durch diese Informationen Einblick in die Details

Einer der wichtigsten Aspekte der Datenschutz-Grundverordnung ist die Harmonisierung des Vorgangs zur Verarbeitung personenbezogener Daten und ihrem sicheren Austausch für EU-Mitgliedsstaaten. Organisationen müssen die Sicherheit der verarbeiteten Daten sowie ihre Compliance mit der Datenschutz-Grundverordnung fortwährend nachweisen. Dazu sind die Implementierung und regelmäßige Prüfung nachhaltiger technischer und organisatorischer Maßnahmen sowie Compliance-Richtlinien erforderlich.

AWS bietet bereits bestimmte Funktionen und Services, damit Kunden die Anforderungen der Datenschutz-Grundverordnung erfüllen können:
 

Zugriffskontrolle: Nur autorisierte Administratoren, Benutzer und Anwendungen haben Zugriff auf AWS-Ressourcen

  • Multi-Factor-Authentifizierung (MFA)
  • Individuell festgelegter Zugriff auf Objekte in Amazon S3-Buckets, Amazon SQS, Amazon SNS und mehr
  • Authentifizierung von API-Anfragen
  • Geografische Beschränkungen
  • Tokens für den vorübergehenden Zugriff mit AWS Security Token Service

 

Nachverfolgung und Protokollierung: Sie sehen die Aktivitäten in Ihren AWS-Ressourcen

  • Asset Management und Konfiguration mit AWS Config
  • Compliance-Prüfung und Sicherheitsanalyse mit AWS CloudTrail
  • Identifikation von Herausforderungen bei der Konfiguration mit AWS Trusted Advisor
  • Individuell festgelegte Protokollierung des Zugriffs auf Amazon S3-Objekte
  • Ausführliche Informationen zu Abläufen im Netzwerk mit Amazon VPC-FlowLogs
  • Regelbasierte Prüfungen und Aktionen zur Konfiguration mit AWS Config Rules
  • Filterung und Nachverfolgung von HTTP-Zugriff auf Anwendungen mit WAF-Funktionen in AWS CloudFront

 

Verschlüsselung: Daten in AWS sind verschlüsselt

  • Verschlüsselung Ihrer Daten beim Speichern mit AES256 (EBS/S3/Glacier/RDS)
  • Zentral verwaltetes Key Management (nach AWS-Region)
  • IPsec-Tunnel in AWS mit den VPN-Gateways
  • Dedizierte HSM-Module in der Cloud mit AWS CloudHSM

 

Striktes Compliance-Framework und hohe Sicherheitsstandards:

  • Zertifiziert nach ISO 27001/9001
  • Zertifiziert nach ISO 27017/27018
  • Anforderungskatalogs Cloud Computing (C5; von der Bundesregierung unterstütztes Zertifizierungsschema)
  • AWS hat zusammen mit der Prüfgesellschaft TÜV TRUST IT ein Arbeitsheft für die Kundenzertifizierung herausgegeben. Darin enthalten sind Richtlinien für die Compliance mit dem BSI IT-Grundschutz

Obwohl die Datenschutz-Grundverordnung erst im Mai 2018 in Kraft tritt, empfehlen wir Kunden und Partnern, sich bereits jetzt darauf vorzubereiten. Wenn Sie bereits hohe Standards für Compliance, Sicherheit und Datenschutz haben, sollte die Umstellung keine Probleme bereiten. Sind ihrerseits noch größere Maßnahmen für die Einhaltung der Datenschutz-Grundverordnung nötig, sollten Sie Ihre Prozesse hinsichtlich der Sicherheit, Compliance und des Datenschutz jetzt überprüfen, damit die Umstellung im Mai 2018 reibungslos erfolgen kann. Dies sind wichtige Überlegungen zur Compliance mit der Datenschutz-Grundverordnung:

Reichweite: Sie müssen bestimmen, ob die Datenschutz-Grundverordnung für die Aktivitäten Ihrer Organisation gilt. So können Sie sicherstellen, dass die zugehörigen Compliance-Anforderungen erfüllt werden. Die Datenschutz-Grundverordnung gilt für alle in der EU niedergelassenen Organisationen. Je nach Aktivität gilt sie jedoch auch für Organisationen außerhalb der EU.

Rechte der identifizierten bzw. identifizierbaren Personen: Mit der Datenschutz-Grundverordnung erhalten natürliche Personen mehr Rechte. Sie können beispielsweise ablehnen, dass ihre Daten verarbeitet werden und haben das Recht auf Data Portability. In Ihrer Organisation muss sichergestellt sein, dass die Rechte dieser Personen eingehalten werden, wenn ihre personenbezogenen Daten verarbeitet werden.

Benachrichtigungen bei Datenpannen: Als verantwortliche Stelle müssen Sie Datenpannen umgehend an die Datenschutzbehörden melden. Mit AWS können Sie selbst festlegen, wie personenbezogene Daten verarbeitet und geschützt werden. So können Sie Ihre eigene Umgebung auf Datenpannen überprüfen und Behörden sowie die betroffenen Personen gemäß Datenschutz-Grundverordnung informieren. Außerdem werden Sie von AWS umgehend benachrichtigt, wenn im AWS-Netzwerk eine Verletzung der Sicherheitsstandards festgestellt wurde.

Datenschutzbeauftragter: Möglicherweise müssen Sie einen Datenschutzbeauftragten bestellen, der die Datensicherheit und andere Aspekte hinsichtlich der Verarbeitung personenbezogener Daten verwaltet.

Datenschutz-Folgenabschätzung: Möglicherweise müssen Sie eine solche Abschätzung zur Verarbeitung durchführen und u. U. auch bei der Aufsichtsbehörde vorlegen. Darin müssen ihre Verfahren und Prozesse im Umgang mit Daten sowie die Mechanismen zum Schutz personenbezogener Daten angegeben sein.

Vereinbarung über die Datenverarbeitung: Möglicherweise benötigen Sie eine Vereinbarung über die Datenverarbeitung, die die Anforderungen der Datenschutz-Grundverordnung erfüllt, wenn personenbezogene Daten außerhalb des EWR übermittelt werden. AWS bietet Kunden eine Vereinbarung über die Datenverarbeitung speziell für die Datenschutz-Grundverordnung, damit sie sich auf die Umstellung vorbereiten können. Diese ist auf Anfrage erhältlich.

Bei AWS können Sie eine Reihe von Services und spezifischen Service-Funktionen nutzen, um die Anforderungen der Datenschutz-Grundverordnung zu erfüllen. Dazu gehören Services für Zugriffskontrollen, Nachverfolgung, Protokollierung und Verschlüsselung. Weitere Informationen dazu im Abschnitt "Welche Services stellt AWS bereit, damit Kunden die Datenschutz-Grundverordnung (GDPR) einhalten können?" oben

Wir haben Teams, die auf Compliance und Datenschutz spezialisiert sind sowie Sicherheitsexperten und Partner des AWS Partnernetzwerks. Diese arbeiten mit Kunden in Europa zusammen, beantworten ihre Fragen und helfen ihnen dabei, Arbeitslasten in der Cloud nach Inkrafttreten der Datenschutz-Grundverordnung auszuführen. Weitere Informationen erhalten Sie von Ihrem AWS Account Manager.

Mithilfe von IAM können Sie AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen zulassen oder verweigern.


Ausbildung zum Meister der IAM-Richtlinien in maximal 60 Minuten

AWS Summit Tel Aviv 2017 Becoming an AWS Policy Ninja using AWS IAM and AWS Organizations


Bewährte Methoden für IAM

iam

Einfaches Erstellen und Steuern der Schlüssel, die zum Verschlüsseln von Daten verwendet werden.

Datenunabhängigkeit

Schlüssel werden nur in der Region gespeichert und verwendet, in der sie erstellt wurden. Sie können nicht in eine andere Region übertragen werden. Schlüssel beispielsweise, die in der Region EU-Zentral (Frankfurt) erstellt wurden, werden nur in der Region EU-Zentral (Frankfurt) gespeichert und verwendet.

Integrierte Überwachung

AWS Key Management Service funktioniert mit AWS CloudTrail und stellt für Sie Protokolle der API-Aufrufe an oder durch KMS bereit. Diese Protokolle unterstützen Sie bei der Einhaltung von Vorschriften und regulatorischen Anforderungen, indem sie Sie detailliert darüber informieren, wann auf Schlüssel zugegriffen wurde und durch wen.

Erste Schritte mit KMS

AWS_KMS_video_intro

Holen Sie das Beste aus KMS heraus

reinvent-img

Definieren Sie Standards und bewährte Methoden für Ihre Anwendungen und überprüfen Sie die Einhaltung dieser Standards.

inspector thumbnail

Um Sie beim schnellen Start zu unterstützen, bietet Amazon Inspector eine Wissensdatenbank mit Hunderten von Regeln, die mit bekannten bewährten Methoden und Schwachstellendefinitionen verknüpft sind. Zu den integrierten Regeln gehören beispielsweise die Prüfungen, ob Remote-Root-Anmeldung aktiviert ist oder ob anfällige Software-Versionen installiert sind. Diese Regeln werden von AWS-Sicherheitsmitarbeitern regelmäßig aktualisiert.

Weitere Informationen über Amazon Inspector »

Amazon Web Services bietet auf der re: Invent 2017 Sessions zur GDPR-Compliance an.

GDPR-Focused Sessions

reinvent-img