Südafrika Datenschutz

Übersicht

Der Protection of Personal Information Act (PoPIA) regelt die Erhebung, Nutzung und Verarbeitung personenbezogener Daten, die von einer identifizierbaren, lebenden, natürlichen Person stammen und, wo es anwendbar ist, einer identifizierbaren, existierenden juristischen Person in Südafrika erhoben werden. Es legt die Bedingungen für die rechtmäßige Verarbeitung personenbezogener Daten fest. Der Information Regulator of South Africa überwacht und setzt unter anderem die Einhaltung von PoPIA durch.

Cross Border Data Flow
Abschnitt 72 des PoPIA erlaubt die Übermittlung von persönlichen Daten außerhalb Südafrikas unter den folgenden Bedingungen:

  • die Drittpartei, die der Empfänger der Informationen ist, unterliegt einem Gesetz, verbindlichen Unternehmensregeln oder einer verbindlichen Vereinbarung, die ein angemessenes Schutzniveau bieten (wie in PoPIA beschrieben)
  • die betroffene Person stimmt der Übermittlung zu;
  • die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen; 
  • die Übermittlung für den Abschluss oder die Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags zwischen der verantwortlichen Stelle und einem Dritten erforderlich ist; oder 
  • die Übermittlung zum Nutzen der betroffenen Person erfolgt, wie in PoPIA weiter festgelegt.
 
Für AWS ist der Datenschutz und die Sicherheit von Daten ein vorrangiges Anliegen. Sicherheit bei AWS beginnt bei seiner eigenen Kerninfrastruktur. Für die Cloud entwickelt und den strengsten Sicherheitsanforderungen der Welt angepasst, wird unsere Infrastruktur rund um die Uhr überwacht, um die Sicherheit, Integrität und Verfügbarkeit unserer Kundendaten sicherzustellen. Die gleichen Sicherheitsexperten von Weltklasse, die diese Infrastruktur überwachen, sind auch für die Entwicklung und Verwaltung unserer breiten Auswahl an innovativen Sicherheitsservices verantwortlich, die Ihnen bei der Erfüllung Ihrer eigenen regulatorischen und Sicherheitsanforderungen helfen. Als AWS-Kunde, unabhängig von Größe und Standort, genießen Sie sämtliche Vorteile unserer Erfahrung, die auch den strengsten Qualitätssicherungsframeworks von Drittanbietern Stand hält.
 
AWS implementiert und pflegt technische und organisatorische Sicherheitsmaßnahmen für AWS Cloud-Infrastrukturservices unter weltweit anerkannten Qualitätssicherungsframeworks und -zertifizierungen wie ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Kundeninhalten verhindern, wurden von unabhängigen Prüfgesellschaften validiert.

ISO 27018 beispielsweise ist der erste internationale Leitfaden für den Schutz personenbezogener Daten in der Cloud. Er basiert auf dem Informationssicherheitsstandard ISO 27002 und bietet eine Anleitung zur Implementierung von Kontrollen gemäß ISO 27002, die für persönlich identifizierbare Informationen (PII) gelten, die von öffentlichen Cloud-Dienstanbietern verarbeitet werden. AWS verfügt somit über ein System von Kontrollmechanismen, die sich speziell mit dem Datenschutz für Kundeninhalte beschäftigen.

Diese umfassenden technischen und organisatorischen Maßnahmen von AWS stehen im Einklang mit dem Ziel von PoPIA, personenbezogene Daten zu schützen. AWS-Kunden behalten die Kontrolle über ihre auf AWS-Services hochgeladenen Inhalte und sind für die Implementierung zusätzlicher Sicherheitsmaßnahmen auf der Grundlage ihrer spezifischen Anforderungen verantwortlich, einschließlich Inhaltsklassifizierung, Verschlüsselung, Zugriffsmanagement und Sicherheitsanmeldeinformationen.

AWS hat keinen Einblick in oder Kenntnis darüber, was Kunden auf AWS-Services hochladen. AWS-Kunden sind letztlich selbst für die Einhaltung von PoPIA und damit verbundenen Vorschriften verantwortlich. Diese Seite ist eine Ergänzung zu den bestehenden  Datenschutz-Ressourcen und hilft Ihnen bei der Ausrichtung Ihrer Sicherheitsmaßnahmen an Ihre Anforderungen im Rahmen des  AWS-Modells der gemeinsamen Verantwortung, wenn Sie personenbezogene Daten mit AWS-Services speichern und verarbeiten.
  • Was sind personenbezogene Daten im Sinne des PoPIA?

    "Personenbezogene Daten" sind Informationen, die sich auf eine identifizierbare, lebende, natürliche Person und gegebenenfalls auf eine identifizierbare, existierende juristische Person beziehen, einschließlich, aber nicht beschränkt auf:

    • Informationen, die sich auf Rasse, Geschlecht, Sex, Schwangerschaft, Familienstand, nationale, ethnische oder soziale Herkunft, Hautfarbe, sexuelle Orientierung, Alter, körperliche oder geistige Gesundheit, Wohlbefinden, Behinderung, Religion, Gewissen, Glauben, Kultur, Sprache und Geburt der Person beziehen;
    • Informationen, die sich auf die Ausbildung oder die medizinische, finanzielle, strafrechtliche oder berufliche Vergangenheit der Person beziehen;
    • eine identifizierende Nummer, ein Symbol, eine E-Mail-Adresse, eine physische Adresse, eine Telefonnummer, Standortinformationen, eine Online-Kennung oder eine andere besondere Zuordnung zur Person;
    • die biometrischen Informationen der Person;
    • die persönlichen Meinungen, Ansichten oder Vorlieben der Person;
    • von der Person gesendete Korrespondenz, die implizit oder explizit privater oder vertraulicher Natur ist, oder weitere Korrespondenz, die den Inhalt der ursprünglichen Korrespondenz offenbaren würde;
    • die Ansichten oder Meinungen einer anderen Person über die Person; und
    • der Name der Person, wenn er zusammen mit anderen persönlichen Informationen über die Person erscheint oder wenn die Bekanntgabe des Namens selbst Informationen über die Person offenbaren würde
  • Welche Rolle spielt der Kunde beim Schutz seiner Inhalte?

    Unter dem AWS-Modell der gemeinsamen Verantwortung behalten AWS-Kunden die Kontrolle über die Sicherheitsmaßnahmen, die sie zum Schutz ihrer eigenen Inhalte, der Plattform, der Anwendungen, Systeme und Netzwerke einsetzen – genau so, wie es auch bei Anwendungen in einem lokalen Rechenzentrum der Fall wäre. Dabei können Kunden auf den technischen und organisatorischen Sicherheitsmaßnahmen und -kontrollen von AWS aufsetzen, um ihre eigenen Compliance-Anforderungen unter Kontrolle zu behalten. Kunden können auf ihnen vertraute Mittel zum Schutz ihrer Daten zurückgreifen. Beispielsweise können Sie neben AWS-Sicherheitsfunktionen wie AWS Identity and Access Management auch Methoden wie Verschlüsselung oder Multifaktor-Authentifizierung verwenden.

    Der Kunde muss bei der Bewertung der Sicherheit einer Cloud-Lösung Folgendes verstehen und dazwischen unterscheiden können:

    • Sicherheitsmaßnahmen, die AWS implementiert und betreibt – „Sicherheit der Cloud“ und
    • Sicherheitsmaßnahmen, die Kunden implementieren und betreiben und die sich auf die Sicherheit ihrer Kundeninhalte und -anwendungen beziehen, für die sie AWS-Services nutzen – „Sicherheit in der Cloud“
    compliance-srm
  • Wer hat Zugriff auf Kundeninhalte?

    Kunden sind weiterhin Eigentümer ihrer Inhalte und haben volle Kontrolle darüber. Sie wählen aus, durch welche AWS-Services ihre Inhalte verarbeitet, gespeichert und bereitgestellt werden. AWS hat keinen Einblick in die Inhalte seiner Kunden und greift auf diese Inhalte auch nicht zu, es sei denn zum Zwecke der Bereitstellung der vom Kunden gewählten AWS-Services oder sofern zur Erfüllung eines Gesetzes oder einer bindenden Rechtsvorschrift erforderlich.

    Kunden, die AWS-Services nutzen, behalten innerhalb der AWS-Umgebung die Kontrolle über ihre Inhalte. Kunden haben folgende Möglichkeiten:

    • Sie können bestimmen, wo ihre Inhalte gespeichert werden, z. B. die Art der Speicherumgebung und den geografischen Standort des Speichers.
    • Sie können das Format ihrer Inhalte steuern, z. B. Klartext, maskiert, anonymisiert oder verschlüsselt, indem sie das von AWS bereitgestellte Verschlüsselungsverfahren oder die Verschlüsselungstechnik eines frei gewählten Drittanbieters verwenden.
    • Sie können weitere Zugriffssteuerungen verwenden, etwa Identitäts- und Zugriffsmanagement und Sicherheitsanmeldeinformationen.
    • Sie können festlegen, ob SSL, Virtual Private Cloud und andere Maßnahmen für die Netzwerksicherheit eingesetzt werden sollen, um unbefugte Zugriffe zu verhindern.

    Dies gibt AWS-Kunden die Kontrolle über den gesamten Lebenszyklus ihrer Inhalte auf AWS und ermöglicht ihnen, ihre Inhalte entsprechend den eigenen Anforderungen zu verwalten, einschließlich Klassifizierung der Inhalte, Zugriffskontrolle, Aufbewahrung und Löschung.

  • Wo werden Kundeninhalte gespeichert?

    AWS-Rechenzentren sind weltweit in Clustern und auf zahlreiche Standorte verteilt. Wir bezeichnen ein Cluster aus Rechenzentren an einem bestimmten Ort als "Region".

    AWS-Kunden wählen die AWS-Region (oder Regionen) aus, in der ihre Inhalte gespeichert werden. So können Kunden mit bestimmten geografischen Anforderungen Umgebungen am gewünschten Standort (oder auch an mehreren Standorten) einrichten.

    Kunden können ihre Inhalte in mehrere Regionen replizieren und dort speichern. AWS verschiebt jedoch keine Kundeninhalte außerhalb der vom Kunden festgelegten Region(en). So werden die Services, wie vom Kunden beantragt, bereitgestellt, und geltende Gesetze können eingehalten werden.

  • Wie schützt AWS seine Rechenzentren?

    Die Sicherheitsstrategie für die Rechenzentren von AWS setzt sich aus skalierbaren Sicherheitskontrollen und verschiedenen Verteidigungsebenen zum Schutz Ihrer Informationen zusammen. AWS hat beispielsweise sorgfältige Überwachungsmaßnahmen auf mögliche Datenüberflutungsrisiken und seismische Aktivitäten implementiert. Den Zugang zu unseren Rechenzentren kontrollieren wir durch physische Sicherheitsanlagen, Sicherheitskräfte, Bedrohungserkennungstechnologie und gründliche Screeningverfahren. Wir sichern unsere Systeme, testen Anlagen und Prozesse regelmäßig und schulen unser AWS-Personal in Achtsamkeit vor dem Unerwarteten.

    Zur Validierung unserer Rechenzentren führen externe Prüfer das gesamte Jahr hindurch Tests zu mehr als 2 600 Standards und Anforderungen durch. Diese unabhängigen Prüfungen stellen sicher, dass wir die geltenden Sicherheitsstandards erfüllen oder gar übertreffen. Aus diesem Grund verlassen sich auch Organisationen in hoch regulierten Branchen weltweit darauf, dass ihre Daten bei AWS sicher sind.

    Erfahren Sie mehr über unsere inhärenten Vorkehrungen zum Schutz unserer Rechenzentren in einer virtuellen Tour durch ein AWS-Rechenzentrum »

  • Welche AWS-Regionen kann ich nutzen?

    Kunden können wählen, ob sie eine beliebige Region, alle Regionen oder eine beliebige Kombination von Regionen verwenden möchten. Eine vollständige Liste der AWS-Regionen finden Sie auf der Seite Globale AWS-Infrastruktur.

  • Welche Sicherheitsmaßnahmen hat AWS zum Schutz der Systeme?

    Die AWS Cloud-Infrastruktur wurde als eine der flexibelsten und sichersten Cloud Computing-Umgebungen der heutigen Zeit konzipiert. Die Größe von Amazon erlaubt deutlich mehr Investitionen in Sicherheitsrichtlinien und Gegenmaßnahmen, als es sich fast jedes große Unternehmen allein leisten kann. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die AWS-Services ausführen, die Kunden und APN-Partnern leistungsstarke Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, für die Handhabung von personenbezogenen Daten bieten. Weitere Einzelheiten zu den von AWS ergriffenen Maßnahmen zur Aufrechterhaltung eines gleichbleibend hohen Sicherheitsniveaus finden Sie im AWS-Whitepaper Übersicht über die Sicherheitsprozesse.

    AWS stellt auch mehrere Compliance-Berichte von externen Auditoren zur Verfügung, die unsere Konformität mit einer Vielzahl von Sicherheitsstandards und -vorschriften – einschließlich ISO 27001, ISO 27017 und ISO 27018 – geprüft und verifiziert haben. Um die Transparenz der Wirksamkeit dieser Maßnahmen zu gewährleisten, bieten wir Zugang zu Prüfungsberichten Dritter in AWS Artifact. Diese Berichte zeigen unseren Kunden und APN-Partnern, die entweder als Datenkontrolleure oder als Datenverarbeiter fungieren können, dass wir die zugrunde liegende Infrastruktur schützen, auf der sie personenbezogene Daten speichern und verarbeiten. Weitere Informationen finden Sie auf unserer Seite mit Compliance-Ressourcen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »