AWS Security Blog

How AWS is helping EU customers navigate the new normal for data protection

French version
German version

Achieving compliance with the European Union’s data protection regulations is critical for hundreds of thousands of Amazon Web Services (AWS) customers. Many of them are subject to the EU’s General Data Protection Regulation (GDPR), which ensures individuals’ fundamental right to privacy and the protection of personal data. In February, we announced strengthened commitments to protect customer data, such as challenging law enforcement requests for customer data that conflict with EU law.

Today, we’re excited to announce that we’ve launched two new online resources to help customers more easily complete data transfer assessments and comply with the GDPR, taking into account the European Data Protection Board (EDPB) recommendations. These resources will also assist AWS customers in other countries to understand whether their use of AWS services involves a data transfer.

Using AWS’s new “Privacy Features for AWS Services,” customers can determine whether their use of an individual AWS service involves the transfer of customer data (the personal data they’ve uploaded to their AWS account). Knowing this information enables customers to choose the right action for their applications, such as opting out of the data transfer or creating an appropriate disclosure of the transfer for end user transparency.

We’re also providing additional information on the processing activities and locations of the limited number of sub-processors that AWS engages to provide services that involve the processing of customer data. AWS engages three types of sub-processors:

  • Local AWS entities that provide the AWS infrastructure.
  • AWS entities that process customer data for specific AWS services.
  • Third parties that AWS contracts with to provide processing activities for specific AWS services.

The enhanced information available on our updated Sub-processors page enables customers to assess if a sub-processor is relevant to their use of AWS services and AWS Regions.

These new resources make it easier for AWS customers to conduct their data transfer assessments as set out in the EDPB recommendations and, as a result, comply with GDPR. After completing their data transfer assessments, customers will also be able to determine whether they need to implement supplemental measures in line with the EDPB’s recommendations.

These resources support our ongoing commitment to giving customers control over where their data is stored, how it’s stored, and who has access to it.

Since we opened our first region in the EU in 2007, customers have been able to choose to store customer data with AWS in the EU. Today, customers can store their data in our AWS Regions in France, Germany, Ireland, Italy, and Sweden, and we’re adding Spain in 2022. AWS will never transfer data outside a customer’s selected AWS Region without the customer’s agreement.

AWS customers control how their data is stored, and we have a variety of tools at their disposal to enhance security. For example, AWS CloudHSM and AWS Key Management Service (AWS KMS) allow customers to encrypt data in transit and at rest and securely generate and manage encryption keys that they control.

Finally, our customers control who can access their data. We never use customer data for marketing or advertising purposes. We also prohibit, and our systems are designed to prevent, remote access by AWS personnel to customer data for any purpose, including service maintenance, unless requested by a customer, required to prevent fraud and abuse, or to comply with the law.

As previously mentioned, we challenge law enforcement requests for customer data from governmental bodies, whether inside or outside the EU, where the request conflicts with EU law, is overbroad, or we otherwise have any appropriate grounds to do so.

Earning customer trust is the foundation of our business at AWS, and we know protecting customer data is key to achieving this. We also know that helping customers protect their data in a world with constantly changing regulations, technology, and risks takes teamwork. We would never expect our customers to go it alone.

As we continue to enhance the capabilities customers have at their fingertips, they can be confident that choosing AWS will ensure they have the tools necessary to help them meet the most stringent security, privacy, and compliance requirements.

If you have questions or need more information, visit our EU Data Protection page.

.

 

 
 

Comment AWS aide les clients européens à s’adapter à la nouvelle donne de la protection des données

Par Stephen Schmidt et Donna Dodson

Se conformer aux réglementations de l’Union Européenne (UE) en matière de protection des données est essentiel pour des centaines de milliers de clients d’Amazon Web Services (AWS). Nombre d’entre eux sont soumis au Règlement général sur la protection des données (RGPD) de l’UE, qui garantit le droit fondamental des individus à la vie privée et à la protection des données personnelles. En février, nous avons annoncé des engagements renforcés en matière de protection des données clients, tels que la contestation des demandes d’entités gouvernementales lorsqu’elles sont en conflit avec la législation de l’UE.

Aujourd’hui, nous sommes heureux d’annoncer que nous avons mis en ligne deux nouvelles ressources pour aider les clients à évaluer plus facilement leurs transferts de données et à se conformer au RGPD, en tenant compte des recommandations du Comité européen de la protection des données (CEPD). Ces ressources aideront également les clients d’AWS d’autres pays à comprendre si leur utilisation des services AWS implique un transfert de données.

Avec ces nouvelles « fonctionnalités de confidentialité pour les services AWS », les clients déterminent si leur utilisation d’un service AWS implique un transfert de données client (les données personnelles qu’ils ont déposées sur leur compte AWS). Connaître ces informations leur permet de choisir l’action adaptée pour les services qu’ils utilisent, comme de ne plus procéder à un transfert de données ou fournir une information appropriée concernant le transfert en toute transparence pour l’utilisateur final.

Nous fournissons également des informations supplémentaires sur les activités de traitement et la localisation des rares sous-traitants que nous utilisons pour fournir des services impliquant le traitement des données clients. AWS a recours à trois types de sous-traitants :

  • Les filiales locales d’AWS qui fournissent l’infrastructure AWS.
  • Les filiales AWS qui traitent les données client pour certains services AWS.
  • Les tiers avec lesquels AWS est engagée contractuellement pour des activités de traitement de certains services AWS.

Ces informations, dorénavant disponibles sur notre page des sous-traitants, permettent aux clients d’évaluer si un sous-traitant est lié à leur utilisation des services AWS et des régions AWS.

Ces nouvelles ressources permettent aux clients AWS d’effectuer plus facilement leurs évaluations des transferts de données conformément aux recommandations du CEPD et, par conséquent, de se conformer au RGPD. Après avoir terminé leurs évaluations des transferts de données, les clients seront également en mesure de déterminer s’ils doivent mettre en place des mesures supplémentaires conformément aux recommandations du CEPD.

Ces ressources soutiennent notre engagement toujours renouvelé à donner aux clients le contrôle sur l’endroit où sont stockées leurs données, comment elles sont stockées et qui y a accès.

Depuis que nous avons ouvert notre première région dans l’UE en 2007, les clients peuvent choisir de stocker leurs données client avec AWS dans l’UE. Aujourd’hui, les clients peuvent stocker leurs données dans nos régions AWS en France, Allemagne, Irlande, Italie et Suède, et, dès 2022, en Espagne. AWS ne transférera jamais de données en dehors de la région AWS sélectionnée par un client sans son autorisation.

Les clients AWS contrôlent la manière dont leurs données sont stockées, et AWS propose une variété d’outils pour améliorer sa sécurité. Par exemple, AWS CloudHSM et AWS Key Management Service (KMS) permettent aux clients de chiffrer les données en transit et au repos et de générer et gérer en toute sécurité les clés de chiffrement dont ils gardent le contrôle.

Enfin, nos clients contrôlent qui peut accéder à leurs données. Nous n’utilisons jamais les données clients à des fins de marketing ou de publicité. Nous interdisons également, et nos systèmes sont conçus pour l’en empêcher, l’accès à distance par le personnel d’AWS aux données client à quelle que fin que ce soit, y compris la maintenance du service, sauf à la demande d’un client, si cela s’avère nécessaire pour empêcher la fraude et les abus, ou pour se conformer à la loi.

Comme mentionné précédemment, nous contestons les demandes d’accès aux données d’entités gouvernementales, à l’intérieur ou à l’extérieur de l’UE, lorsque la demande est en conflit avec le droit de l’UE, excessive ou lorsque nous disposons de motifs appropriés pour le faire.

Gagner la confiance des clients est le socle de notre activité chez AWS, et nous savons que la protection des données des clients est essentielle pour y parvenir. Nous savons également qu’aider les clients à protéger leurs données dans un monde où les règlementations, les technologies et les risques sont en évolution constante nécessite un travail d’équipe. Nos clients ne pourraient le faire seuls.

Alors que nous continuons d’améliorer les capacités dont les clients disposent, ils doivent être sûrs que le choix d’AWS leur garantira de disposer des outils nécessaires pour répondre aux exigences les plus strictes en matière de sécurité, de protection de la vie privée et de conformité.

Si vous avez des questions ou pour plus d’informations, visitez :

https://aws.amazon.com/compliance/eu-data-protection/

.

 

 
 

Wie AWS EU-Kunden dabei hilft, sich beim Thema Datenschutz zurechtzufinden

Von Stephen Schmidt und Donna Dodson

Den Datenschutzbestimmungen der EU stets zu entsprechen, ist für Hunderttausende von AWS-Kunden entscheidend. Alle unterliegen der Datenschutz-Grundverodnung (DSGVO) der EU, die das Grundrecht des Einzelnen auf Privatsphäre und informationeller Selbstbestimmung sicherstellt. Im Februar verpflichteten wir uns vertraglich zu einem weitergehenden Schutz von Kundentaten, wie z. B. die Anfechtung von Anfragen von Strafverfolgungsbehörden nach Kundendaten, wenn diese mit dem EU-Gesetz in Konflikt stehen.

Wir freuen uns, Ihnen heute mitteilen zu können, dass wir zwei neue Online-Ressourcen veröffentlicht haben, die Kunden dabei helfen sollen, Bewertungen, ob eine Datenübertragung vorliegt, einfacher selbst durchzuführen und die DSGVO unter Berücksichtigung der Empfehlungen des Europäischen Datenschutzausschusses (EDSA) einzuhalten.

Mit den neuen “Privacy Features for AWS Services” können Kunden feststellen, ob bei der Nutzung eines einzelnen AWS-Services, eine Übertragung von Kundendaten (die persönlichen Daten, die sie in ihr AWS-Konto hochgeladen haben) in eine andere Region sattfindet. Die Kenntnis dieser Informationen ermöglicht es Kunden, die richtige Maßnahmen für ihre Anwendungen zu wählen, z. B. die Datenübertragung zu verhindern, oder eine angemessene Offenlegung der Übertragung für die Transparenz des Endnutzers zu erstellen.

Wir stellen außerdem zusätzliche Informationen über die Verarbeitungstätigkeiten und Standorte der Unterauftragsverarbeitern bereit, die AWS mit der Erbringung von Dienstleistungen beauftragt, die die Verarbeitung von Kundendaten beinhalten. AWS setzt drei Arten von Unterauftragsverarbeitern ein:

  • lokale AWS-Einheiten, die die AWS-Infrastruktur bereitstellen.
  • AWS-Einheiten, die Kundendaten für bestimmte AWS-Services verarbeiten.
  • Dritte, mit denen AWS Verträge über die Bereitstellung von Verarbeitungstätigkeiten für bestimmte AWS-Services abschließt.

Mit den weiterführenden Informationen auf unserer Webseite können Kunden beurteilen, ob ein Unterauftragsverarbeiter für ihre Nutzung von AWS-Services und AWS-Regionen relevant ist.

Die bereitgestellten Informationen erleichtern AWS-Kunden eine Bewertung der Datenübertragung gemäß den EDSA Empfehlungen durchzuführen und damit die Einhaltung der DSGVO zu gewährleisten. Nach Abschluss ihrer Datenübertragungsbewertungen können Kunden auch feststellen, ob sie zusätzliche Maßnahmen gemäß den Empfehlungen des EDSA implementieren müssen.

Diese Informationen unterstützen unser fortwährendes Bemühungen, den Kunden die Kontrolle darüber zu geben, wo ihre Daten gespeichert werden, wie sie gespeichert werden und wer Zugriff darauf hat.

Seit wir 2007 unsere erste Region in der EU eröffnet haben, können Kunden wählen, ob sie ihre Daten bei AWS in der EU speichern möchten. Kunden können ihre Daten in einer Vielzahl von AWS-Regionen innerhalb der EU speichern: Frankreich, Deutschland, Irland, Italien und Schweden, und ab 2022 auch in Spanien. AWS überträgt niemals Daten außerhalb der vom Kunden ausgewählten AWS-Region ohne die Zustimmung des Kunden.

AWS-Kunden haben die Kontrolle darüber, wie ihre Daten gespeichert werden, und wir stellen ihnen eine Reihe von Tools zur Verfügung, wie sie die Sicherheit rund um diese Daten erhöhen können. Mit AWSCloudHSM und AWS Key Management Service (AWS KMS) können Kunden beispielsweise Daten bei der Übertragung und im Ruhezustand verschlüsseln und sichere Verschlüsselungsschlüssel erzeugen und verwalten, die sie ausschließlich selbst kontrollieren.

Außerdem bestimmen unsere Kunden selbst, wer auf ihre Daten zugreifen kann. Wir verwenden Kundendaten niemals für Marketing- oder Werbezwecke. Wir unterbinden den Fernzugriff von AWS-Mitarbeitern auf die Kundendaten zu jedem Zweck, einschließlich der Serverwartung. Der Zugriff wird lediglich gestattet, wenn die Kunden dies ausdrücklich wünschen oder es notwendig ist, um Betrug oder Missbrauch zu verhindern beziehungsweise die Einhaltung von Gesetzen ihn erforderlich machen.

Wie bereits erwähnt, widersprechen wir Strafverfolgungsanfragen nach Kundendaten von Regierungsbehörden, egal ob innerhalb oder außerhalb der EU, wenn die Anfrage im Widerspruch zu EU-Recht steht, zu weit gefasst ist oder wir anderweitig angemessene Gründe dafür haben.

Das Vertrauen der Kunden zu gewinnen, ist die Grundlage unseres Geschäfts bei AWS, und wir wissen, dass der Schutz der Kundendaten der Schlüssel dazu ist. Wir wissen auch, dass die Unterstützung der Kunden beim Schutz ihrer Daten in einer Welt mit sich ständig ändernden Vorschriften, Technologien und Risiken Teamarbeit erfordert. Wir würden von unseren Kunden niemals erwarten, dass sie es alleine schaffen.

Da wir die Funktionen, die unseren Kunden zur Verfügung stehen, immer weiter verbessern, können sie sicher sein, dass sie mit AWS über Tools verfügen, die ihnen helfen, die Einhaltung der strengsten Sicherheits-, Datenschutz- und Compliance-Anforderungen zu gewährleisten.

Für weitere Informationen, besuchen Sie unsere EU-Datenschutz Seite.

Want more AWS Security how-to content, news, and feature announcements? Follow us on Twitter.

Author

Steve Schmidt

Steve is Vice President and Chief Information Security Officer for AWS. His duties include leading product design, management, and engineering development efforts focused on bringing the competitive, economic, and security benefits of cloud computing to business and government customers. Prior to AWS, he had an extensive career at the Federal Bureau of Investigation, where he served as a senior executive and section chief. He currently holds 11 patents in the field of cloud security architecture. Follow Steve on Twitter.

Author

Donna Dodson

Donna is a Senior Principal Scientist at AWS focusing on security and privacy capabilities including cryptography, risk management, standards, and assessments. Before joining AWS, Donna was the Chief Cybersecurity Advisor at the National Institute of Standards and Technology (NIST). She led NIST’s comprehensive cybersecurity research and development to cultivate trust in technology for stakeholders nationally and internationally.