Datenschutz-Grundverordnung (DSGVO) Zentrum

Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) ein Urteil zur Übermittlung personenbezogener Daten von EU-Bürgern außerhalb des EWR (Schrems II) gefällt. In Schrems II entschied der EuGH, dass der EU-US Privacy Shield kein gültiger Mechanismus mehr ist, um personenbezogene Daten aus dem EWR in die USA zu übermitteln. In demselben Urteil bestätigte der EuGH jedoch, dass Unternehmen (vorbehaltlich der Durchführung zusätzlicher Maßnahmen, falls erforderlich) weiterhin Standardvertragsklauseln als gültigen Mechanismus für die Übermittlung personenbezogener Daten außerhalb des EWR verwenden können. Der Europäische Datenschutzausschuss (EDSA), ein europäisches Gremium, das sich aus Vertretern der nationalen Datenschutzbehörden zusammensetzt, hat inzwischen in seinen „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ (EDSA-Empfehlungen) eine nicht abschließende Liste ergänzender Maßnahmen vorgelegt.

Die EDSA-Empfehlungen bieten Datenexporteuren Beispiele für ergänzende Maßnahmen, die ergriffen werden könnten. Siehe Frage „Kann ich nach dem Schrems-II-Urteil weiterhin AWS-Services nutzen?“ unten für Details zu den Datenübermittlungsressourcen von AWS.

Ja, AWS-Kunden können weiterhin AWS-Services nutzen, um Kundendaten aus Europa in Länder außerhalb des EWR zu übermitteln, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt. Das Schrems-II-Urteil bestätigte die Verwendung von Standardvertragsklauseln als Mechanismus für die Übermittlung von Kundendaten außerhalb des EWR und AWS-Kunden können sich weiterhin auf die Standardvertragsklauseln für DSGVO-konforme Übermittlungen von Kundendaten außerhalb des EWR verlassen.

• Verarbeitungsort. Kunden wählen die AWS-Region aus, in der ihre Kundendaten gespeichert werden. Eine Übersicht der verfügbaren AWS-Regionen finden Sie unter Regionen und Availability Zones. AWS verarbeitet keine Kundendaten außerhalb der vom Kunden ausgewählten AWS-Region, es sei denn, dies ist zum Zwecke der Bereitstellung der vom Kunden initiierten AWS-Services oder zur Einhaltung von Gesetzen oder einer verbindlichen Anordnung einer staatlichen Stelle erforderlich. Weitere Informationen zu Datenübermittlungen im Rahmen von AWS-Services finden Sie auf unserer Webseite mit den Datenschutz-Features.
• Unterauftragsverarbeiter. AWS kann Unterauftragsverarbeiter, d. h. mit AWS verbundene Unternehmen oder Dritte, einsetzen, um bei der Verarbeitung von Kundendaten zu helfen, unsere Verpflichtungen gegenüber Kunden gemäß des AWS DPA zu erfüllen oder Services in unserem Namen zu erbringen. Siehe Frage „Verwendet AWS Unterauftragsverarbeiter, um Kundendaten zu verarbeiten?“ unten für Details.
• Übermittlungstools. Da das Schrems-II-Urteil die Verwendung von Standardvertragsklauseln als Mechanismus für die Übermittlung von Daten iin Länder außerhalb des EWR validiert hat, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, können sich unsere Kunden weiterhin auf die Standardvertragsklauseln verlassen, die im AWS DPA enthalten sind, wenn sie sich für eine DSGVO-konforme Übermittlung ihrer Daten außerhalb des EWR entscheiden.
• Ergänzende Maßnahmen.
  • Kundenkontrolle. Kunden haben jederzeit das Eigentum und die Kontrolle über ihre Kundendaten durch einfache, aber leistungsstarke Tools, die es ihnen ermöglichen, zu bestimmen, wo ihre Kundendaten gespeichert werden, um ihre Kundendaten während der Übermittlung und im Ruhezustand zu sichern und den Benutzerzugriff auf ihre AWS-Ressourcen zu verwalten und Kundendaten zu ändern, zu löschen und abzurufen.
  • Technische und organisatorische Maßnahmen. AWS implementiert verantwortungsvolle und ausgeklügelte technische und physische Kontrollen und Prozesse, um den unbefugten Zugriff auf oder die Offenlegung von Kundendaten zu verhindern (weitere Informationen finden Sie auf der AWS-Compliance-Webseite). Wir bieten auch eine Reihe fortschrittlicher Verschlüsselungs- und Schlüsselverwaltungsservices (einschließlich Services, die es Kunden ermöglichen, ihre eigenen Schlüssel zu verwalten), mit denen Kunden ihre Kundendaten sowohl während der Übertragung als auch im Ruhezustand schützen können - verschlüsselte Kundendaten sind ohne die entsprechende Entschlüsselung unzugänglich. Unabhängig davon, ob Kundendaten verschlüsselt oder unverschlüsselt sind, werden wir stets wachsam daran arbeiten, Kundendaten vor unbefugtem Zugriff zu schützen.
  • Anfragen von Strafverfolgungsbehörden. AWS verfügt über interne Prozesse, um Anfragen zu bearbeiten, die wir von Strafverfolgungsbehörden erhalten. Wenn wir von Strafverfolgungsbehörden eine Anfrage nach Kundendaten erhalten, prüfen wir diese sorgfältig, um ihre Richtigkeit zu bestätigen und sicherzustellen, dass sie angemessen sind und allen geltenden Gesetzen entsprechen. Sofern dies nicht gesetzlich verboten ist, benachrichtigt AWS Kunden, bevor Kundendaten offengelegt werden, damit Kunden weitere Schritte unternehmen können, um Schutz vor Offenlegung zu suchen. Im Supplementary Addendum zum AWS DPA geht AWS verstärkte vertragliche Verpflichtungen in Bezug auf den Umgang mit behördlichen Anfragen nach Kundendaten ein. AWS verpflichtet sich, (i) alle angemessenen Anstrengungen zu unternehmen, um jede staatliche Stelle, die Kundendaten anfordert, an den jeweiligen Kunden zu verweisen, (ii) den Kunden unverzüglich über die Anfrage zu benachrichtigen, soweit dies gesetzlich zulässig ist (einschließlich alle angemessenen und rechtmäßigen Anstrengungen zu unternehmen, um gegebenenfalls eine Aufhebung des Verbots zu erwirken); (iii) übermäßig weit gehende oder unangemessene Ersuchen anzufechten, einschließlich solcher, die im Widerspruch zum EU-Recht stehen, und (iv) wenn AWS nach Ausschöpfung der oben beschriebenen Schritte immer noch gezwungen ist, Kundendaten als Reaktion auf eine behördliche Anfrage offenzulegen, nur das Minimum an Kundendaten offenzulegen, das zur Erfüllung der Anfrage erforderlich ist.
  • Vertragliche Maßnahmen. AWS geht mehrere vertragliche Verpflichtungen zu den oben beschriebenen Maßnahmen ein, die sich im AWS DPA und im Supplementary Addendum widerspiegeln. Das AWS DPA und das Supplementary Addendum beinhalten vertragliche Verpflichtungen von AWS bezüglich (1) der Auswahl von AWS-Regionen durch den Kunden, in denen Kundendaten gespeichert und verarbeitet werden, (2) sowohl der technischen und organisatorischen Maßnahmen, die AWS zum Schutz der AWS-Infrastruktur implementiert hat als auch der technischen organisatorischen Maßnahmen, die Kunden zum Schutz ihrer Kundendaten treffen können, (3) Maßnahmen von AWS zum Schutz von Kundendaten und zur Benachrichtigung des Kunden im Falle einer Anfrage zur Herausgabe von Daten an eine staatliche Stelle und (4) der Fähigkeit von AWS, ihre Verpflichtungen aus dem AWS DPA in Übereinstimmung mit den in einem Drittland geltenden Rechtsvorschriften, in dem Kundendaten verarbeitet werden, einzuhalten. Das Supplementary Addendum befasst sich auch (5) mit den gesetzlichen Rechten des Einzelnen auf Schadensersatz im Falle einer Verletzung seiner durch die DSGVO gewährten Rechte.

Ja, AWS kann drei Arten von Unterauftragsverarbeitern verwenden: (1) AWS-Einheiten, die die Infrastruktur bereitstellen, auf der die AWS-Services ausgeführt werden; (2) AWS-Einheiten, die bestimmte AWS-Services unterstützen, für die sie möglicherweise Kundendaten verarbeiten müssen; und (3) Dritte, mit denen AWS einen Vertrag abgeschlossen hat, um Verarbeitungsaktivitäten für bestimmte AWS-Services bereitzustellen. Die AWS-Webseite für Unterauftragsverarbeiter bietet Informationen zu den Unterauftragsverarbeitern, die AWS in Übereinstimmung mit dem AWS DPA einsetzt, um Verarbeitungsaktivitäten für Kundendaten im Auftrag von Kunden bereitzustellen. Für einen einzelnen Kunden relevante Unterverarbeiter hängen von der AWS-Region ab, die der Kunde auswählt, und den jeweiligen AWS-Services, die der Kunde nutzt.

Das AWS-Whitepaper, Navigating Compliance with EU-Datenübertragungsvorschriften, enthält Informationen zu den Services und Ressourcen, die AWS seinen Kunden anbietet, um sie bei der Durchführung von Datenübertragungsbewertungen im Lichte des Schrems-II-Urteils und der nachfolgenden Empfehlungen des Europäischen Datenschutzausschusses zu unterstützen. Das Whitepaper beschreibt auch die wichtigsten ergänzenden Maßnahmen, die AWS zum Schutz von Kundendaten ergriffen und zur Verfügung gestellt hat.

AWS bietet Kunden hilfreiche Informationen, einschließlich mehrerer Compliance-Berichte von externen Auditoren, die unsere Einhaltung einer Vielzahl von Sicherheitsstandards und -vorschriften überprüft haben, um das hohe Maß an Compliance zu belegen, das AWS für seine Infrastruktur unterhält. Diese Berichte zeigen unseren Kunden, dass wir die persönlichen Daten, die sie auf AWS verarbeiten, schützen. Beispiele sind unter anderem die AWS-Compliance-Richtlinien ISO 27001, 27017 und 27018. ISO 27018 enthält Sicherheitskontrollen, die sich auf den Schutz von Kundendaten konzentrieren.

AWS ist auch konform mit dem CISPE-Verhaltenskodex (CISPE Code of Conduct) für den Datenschutz. Weitere Informationen zum CISPE-Verhaltenskodex finden Sie in der Frage unten: „Erfüllt AWS von der DSGVO genehmigte Verhaltensregeln speziell für Cloud-Infrastruktur-Services?“

Ja. Stand Juni 2023 entsprechen 107 AWS-Services dem Datenschutzkodex von Anbietern von Cloud-Infrastruktur-Services in Europa (CISPE). CISPE ist ein Zusammenschluss führender Cloud-Computing-Anbieter, der Millionen europäischer Kunden betreut. Der CISPE-Datenschutz- und Verhaltenskodex (CISPE-Kodex) ist der erste europaweite Verhaltenskodex für den Datenschutz, der sich auf Cloud-Infrastruktur-Services konzentriert. Der CISPE-Kodex wurde vom Europäischen Datenschutzausschuss im Namen der 27 europäischen Datenschutzbehörden gebilligt und von der französischen Datenschutzbehörde (CNIL), die als federführende Aufsichtsbehörde fungiert, formell angenommen. Im Jahr 2017 gab AWS bekannt, dass das Unternehmen eine frühere Version des CISPE-Kodex einhält.

Der CISPE-Code hilft Kunden sicherzustellen, dass ihr Cloud-Infrastruktur-Dienstleister angemessene Betriebsgarantien bietet, um die Einhaltung der DSGVO nachzuweisen und Kundendaten zu schützen. Zu den wichtigsten Vorteilen des CISPE-Codes gehören:

• Cloud-Infrastruktur-fokussiert: Klärung der Rolle des Cloud-Infrastruktur-Dienstleisters gemäß DSGVO in Bezug auf die Verarbeitung von Kundendaten – d. h. alle personenbezogenen Daten, die im Auftrag des Kunden unter Nutzung des Cloud-Infrastruktur-Services verarbeitet werden.
• Daten in Europa: Verpflichtet Anbieter von Cloud-Infrastruktur-Services, Kunden die Wahl zu lassen, Services zu nutzen, die Kundendaten vollständig innerhalb des Europäischen Wirtschaftsraums (EWR) speichern und verarbeiten.
• Datenschutz: Der CISPE-Kodex garantiert Unternehmen, dass ihre Cloud-Infrastrukturdienstleister die Anforderungen erfüllen, die für die in ihrem Namen verarbeiteten personenbezogenen Daten (Kundendaten) gemäß der Datenschutz-Grundverordnung gelten.

Das Konformitätszertifikat, das den AWS-Konformitätsstatus veranschaulicht, ist im CISPE Public Register verfügbar. Die aufgelisteten AWS-Services wurden unabhängig als konform mit dem CISPE-Code verifiziert. Der Überprüfungsprozess wurde von Ernst & Young CertifyPoint (EY CertifyPoint) durchgeführt, einer unabhängigen, weltweit anerkannten Aufsichtsbehörde, die von der CNIL akkreditiert ist.

Die DSGVO ändert nichts an dem AWS-Modell der geteilten Verantwortung, das für Kunden weiterhin relevant ist. Das Modell der geteilten Verantwortung ist ein nützlicher Ansatz, um die unterschiedlichen Verantwortlichkeiten von AWS (als Auftragsverarbeiter oder Unterauftragsverarbeiter) und Kunden (als Verantwortlicher oder Auftragsverarbeiter) im Rahmen der DSGVO darzustellen.

Im Rahmen des Modells der geteilten Verantwortung ist AWS für die Sicherung der zugrunde liegenden Infrastruktur verantwortlich, die AWS-Services unterstützt („Sicherheit „der“ Cloud“) und Kunden, die entweder als Verantwortliche oder Auftragsverarbeiter fungieren, sind für alle personenbezogenen Daten verantwortlich, die sie in AWS-Services („Sicherheit „IN“ der Cloud“) hochladen.

AWS-Verantwortung „Sicherheit der Cloud“ – AWS ist für den Schutz der Infrastruktur verantwortlich, in der alle AWS-Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die AWS-Services ausführen, die Kunden leistungsstarke Kontrollen, einschließlich Sicherheitskonfigurationskontrollen, für die Handhabung von Kundeninhalten bieten. AWS stellt mehrere Compliance-Berichte von externen Wirtschaftsprüfern zur Verfügung, die unsere Einhaltung einer Vielzahl von Computersicherheitsstandards und -vorschriften überprüft haben (weitere Informationen finden Sie auf der AWS-Compliance-Webseite). Diese Berichte zeigen unseren Kunden, dass wir ihre Kundendaten schützen. Beispiele sind unter anderem die AWS-Compliance-Richtlinien ISO 27001, 27017 und 27018. ISO 27018 enthält Sicherheitskontrollen, die sich auf den Schutz von Kundendaten konzentrieren.

Kunden-Verantwortung „Sicherheit in der Cloud“ – AWS-Kunden sind dafür verantwortlich, die Architektur ihrer Anwendungen und Lösungen, die sie auf den AWS-Services bereitstellen wollen, zu entwerfen und zu sichern. AWS-Kunden sind auch dafür verantwortlich, die AWS-Services so zu konfigurieren, dass die Vertraulichkeits-, Integritäts- und Sicherheitsanforderungen ihrer Kundendaten geschützt werden. Die spezifischen Verantwortlichkeiten, die Kunden zum Schutz ihrer Kundendaten haben, hängen davon ab, welche AWS-Services die Kunden nutzen und wie diese Services in die IT-Umgebungen der Kunden integriert sind. AWS-Kunden haben Transparenz und Kontrolle über ihre Kundendaten und können flexible Sicherheitskontrollen basierend auf der Sensibilität der spezifischen Art von Kundendaten implementieren. Kunden können dies tun, indem sie ihre eigenen Sicherheitsmaßnahmen und -tools oder die von AWS oder anderen Anbietern zur Verfügung gestellten Sicherheitsmaßnahmen und -tools verwenden. Auf diese Weise können Kunden zusätzliche Sicherheitsebenen für sensiblere Kundendaten einrichten.

AWS stellt Produkte, Tools und Services zur Verfügung, mit denen Kunden ihre Anwendungen und Lösungen entwerfen und schützen können und die bereitgestellt werden können, um die Anforderungen der DSGVO zu erfüllen, darunter:

• Mit AWS Identity and Access Management (IAM) können Unternehmen den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mit IAM können Kunden AWS-Benutzer und -Gruppen anlegen und verwalten sowie Zugriffsrechte für AWS-Ressourcen vergeben und verweigern. IAM ist eine Funktion von AWS-Konten, die ohne Aufpreis bereitgestellt wird.
• Mit AWS CloudTrail können Unternehmen Informationen über Kontoaktivitäten im Zusammenhang mit Aktionen in AWS protokollieren, kontinuierlich überwachen und speichern, was die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlerbehebung vereinfacht (AWS CloudTrail ist standardmäßig auf allen AWS-Konten aktiviert).
• Amazon GuardDuty ist ein Managed Service zur Bedrohungserkennung, der AWS-Konten und -Instances fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und somit schützt. Es überwacht Aktivitäten, die auf eine mögliche Kompromittierung des Kontos hinweisen können, wie z. B. ungewöhnliche API-Aufrufe oder potenziell nicht autorisierte Implementierungen. GuardDuty erkennt außerdem Instances mit potenziellen Sicherheitsverletzungen oder Informationsbeschaffung durch Angreifer.
• Amazon Macie ist ein Machine-Learning-Werkzeug zur Unterstützung der Entdeckung und Klassifizierung von in Amazon S3 gespeicherten personenbezogenen Daten.

Weitere Informationen zur Verwendung von AWS-Ressourcen in Übereinstimmung mit der DSGVO finden Sie in unserem Whitepaper Navigation durch die DSGVO-Compliance auf AWS.

Ja, Sie können im AWS Partner Solutions Finder nach „GDPR“ oder „DSGVO“ zu suchen, um ISVs, MSPs und SI-Partner mit Produkten und Services zu finden, die bei der Einhaltung der DSGVO helfen. Kunden können auch in AWS Marketplace nach „GDPR“- bzw. „DSGVO“-Lösungen suchen.

Ja, das AWS-Security-Assurance-Services-Team hat einige Aktivitäten, um Kunden auf ihrem Weg zur DSGVO-Compliance zu unterstützen. Dieses Team von branchenzertifizierten Compliance-Experten hilft Kunden, Compliance in der Cloud zu erreichen, aufrechtzuerhalten und zu automatisieren, indem es geltende Compliance-Standards mit AWS-servicespezifischen Features und Funktionen verknüpft. Weitere Informationen dazu, wie AWS Professional Services Consultants Kunden helfen, finden Sie hier.

Kunden können AWS Support nutzen, um technische Anleitungen zu erhalten, die sie auf ihrem Weg zur DSGVO-Compliance unterstützen. Als Teil dieser Aktivität haben wir Teams von Cloud Support Engineers und Technical Account Managers (TAMs), die geschult sind, um Compliance-Risiken zu identifizieren und zu minimieren. Die Supportstufe, die AWS bietet, hängt vom AWS-Support-Plan ab, den die Kunden wählen. Kunden, die wissen möchten, wie der AWS Premium Support ihnen helfen kann, erhalten weitere Informationen im AWS Support Center, das über die AWS-Managementkonsole verfügbar ist, über die im Enterprise Support Agreement mit AWS angegebenen Kontaktdaten oder auf der AWS-Support-Webseite. Kunden mit Enterprise Support sollten sich mit Fragen zur DSGVO an ihren TAM wenden.

Kunden könnten die folgenden zwei Programme nützlich finden, um ihre DSGVO-Compliance voranzutreiben:

• Cloud Operations Review: Dieses Programm ist für AWS Enterprise Support-Kunden verfügbar und soll ihnen dabei helfen, Lücken beim Einsatz der Cloud zu identifizieren. Ausgehend von einer Reihe operativer bewährter Methoden, die aus den Erfahrungen von AWS mit einer großen Anzahl repräsentativer Kunden gewonnen wurden, bietet dieses Programm eine Übersicht über den Cloud-Betrieb und die damit verbundenen Managementpraktiken, die Unternehmen auf ihrem Weg zur DSGVO-Compliance unterstützen können. Das Programm verfolgt einen Vier-Säulen-Ansatz mit dem Fokus auf die Vorbereitung, Überwachung, den Betrieb und die Optimierung von Cloud-basierten Systemen im Sinne von Operational Excellence.
• Well-Architected-Review: Dieses Programm ermöglicht es Unternehmen, ihre Architektur an den bewährten Methoden von AWS zu messen und Architekturen zu erstellen, die sicher, zuverlässig, leistungsstark und kostengünstig sind. Well-Architected-Reviews ermöglichen es Kunden außerdem, zu verstehen, wo sich Risiken in ihrer Architektur befinden und diese zu eliminieren, bevor Anwendungen in Produktion gehen.

AWS verfügt über ein Verfahren zur Überwachung von Sicherheitsvorfällen und zur Benachrichtigung über Datenschutzverletzungen und benachrichtigt Kunden unverzüglich und in Übereinstimmung mit dem AWS DPA über Verletzungen der Sicherheit von AWS. AWS bietet Kunden außerdem eine Reihe von Tools, um zu verstehen, wer wann und von wo aus Zugriff auf ihre Ressourcen hat. Eines dieser Tools ist AWS CloudTrail, das Governance, Compliance, Operational Auditing und Risk Auditing eines AWS-Kontos ermöglicht. Mit AWS CloudTrail können Kunden Informationen über Kontoaktivitäten in ihrer AWS-Infrastruktur protokollieren, fortlaufend überwachen und speichern. Damit können Unternehmen verstehen, was mit ihrer AWS-Infrastruktur geschieht und sofort auf ungewöhnliche Aktivitäten reagieren. Weitere Informationen über die anderen Sicherheitstools, die AWS seinen Kunden zur Verfügung stellt, um ihnen bei der Erfüllung ihrer Verpflichtungen als Verantwortliche im Rahmen der DSGVO zu helfen, finden Sie auf unserer AWS-Cloud-Sicherheitswebsite.

AWS bietet Kunden und APN-Partnern eine Reihe von Tools zum Schutz ihrer Kundendaten und zum Schutz vor Cyber-Angriffen. Eines dieser Tools ist AWS Shield. Dies ist ein Managed Distributed Denial of Service(DDoS)-Schutzdienst zum Schutz von Websites und Anwendungen, die auf AWS ausgeführt werden. AWS Shield Standard ist ohne Aufpreis erhältlich und bietet eine permanente Erkennung und automatische Inline-Minimierung, die Ausfall- und Latenzzeiten von Anwendungen minimieren kann. Kunden und APN-Partner können AWS Shield Advanced nutzen, um sich vor Angriffen auf Webanwendungen zu schützen, die in AWS, ELB, Amazon CloudFront und Amazon Route 53 ausgeführt werden. AWS veröffentlicht und aktualisiert außerdem regelmäßig das Dokument AWS Best Practices for DDoS Resiliency, das Kunden helfen kann, AWS-Anwendungen zu entwickeln, die gegen DDoS-Angriffe resistent sind.

Andere Tools, die AWS zum Schutz von Kundendaten vor Cyber-Angriffen anbietet, sind unter anderem:

• Mit AWS Identity and Access Management (IAM) können Unternehmen den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mit IAM können Kunden und APN-Partner AWS-Benutzer und -Gruppen anlegen und verwalten sowie Zugriffsrechte für AWS-Ressourcen vergeben und verweigern. IAM ist eine Funktion von AWS-Konten, die ohne Aufpreis bereitgestellt wird.
• Mit AWS Config können Kunden und APN-Partner vorkonfigurierte Regeln aktivieren, die sicherstellen, dass sich ihre AWS-Ressourcen in einem ordnungsgemäß konfigurierten und konformen Zustand befinden.
• Mit AWS CloudTrail können Unternehmen Informationen über Kontoaktivitäten im Zusammenhang mit Aktionen in AWS protokollieren, kontinuierlich überwachen und speichern, was die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlerbehebung vereinfacht (AWS CloudTrail ist standardmäßig auf allen AWS-Konten aktiviert).
• Amazon GuardDuty ist ein Managed Service zur Bedrohungserkennung, der AWS-Konten und -Instances fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht und somit schützt. Es überwacht Aktivitäten, die auf eine mögliche Kompromittierung des Kontos hinweisen können, wie z. B. ungewöhnliche API-Aufrufe oder potenziell nicht autorisierte Implementierungen. GuardDuty erkennt außerdem Instances mit potenziellen Sicherheitsverletzungen oder Informationsbeschaffung durch Angreifer.

Amazon Macie ist ein vollständig verwalteter Datensicherheits- und Datenschutzservice, der Machine Learning und Musterabgleich verwendet, um Ihre personenbezogenen Daten in AWS zu erkennen und zu schützen. Da Organisationen immer größer werdende Mengen an Daten verwalten müssen, kann das Identifizieren und Schützen personenbezogener Daten beliebigen Umfangs zunehmend komplexer, teurer und zeitaufwendiger werden. Amazon Macie automatisiert die Erkennung personenbezogener Daten beliebigen Umfangs und senkt die Kosten für den Schutz Ihrer Daten. Amazon Macie erstellt automatisch ein Inventar der Amazon-S3-Buckets, einschließlich einer Liste der unverschlüsselten Buckets, öffentlich verfügbaren Buckets und solcher Buckets, die mit AWS-Konten außerhalb der in AWS Organizations definierten Konten geteilt werden. Danach wendet Amazon Macie Machine-Learning- und Musterabgleichstechniken auf die von Ihnen ausgewählten Buckets an, um personenbezogene Daten zu identifizieren und Sie entsprechend zu benachrichtigen.

Amazon Macie ist nach international anerkannten Standards wie ISO 27017 für Cloud Security und ISO 27018 für Cloud Privacy zertifiziert und Kunden und APN-Partner können mit Macie auch den Zugriff auf ihre Daten kontinuierlich überwachen, um verdächtige Aktivitäten anhand von Zugriffsmustern zu erkennen.

Um Kunden bei der Einhaltung der DSGVO zu unterstützen, hat AWS eine Reihe von Tools zur Kontrolle des Zugriffs auf personenbezogene Daten, die in den Inhalten der Kunden auf AWS enthalten sind. Zu diesen Tools zählen Folgende:

• Standardmäßige Sicherheit bedeutet, dass die AWS-Services standardmäßig sicher sind. Wenn die Standardkonfiguration verwendet wird, ist der Zugriff auf Ressourcen nur für den Kontoinhaber und den Root-Administrator möglich.
• Mit AWS Identity and Access Management (IAM) können Kunden den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mithilfe von IAM können Organisationen AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen den Zugriff auf AWS-Ressourcen zulassen oder verweigern. IAM ist eine Funktion von AWS-Konten, die ohne Aufpreis bereitgestellt wird.
• Die AWS-Multi-Faktor-Authentifizierung fügt dem Benutzernamen und dem Passwort eines AWS-Kontos eine zusätzliche Schutzebene hinzu. AWS bietet Kunden die Wahl zwischen virtuellen MFA-Geräten und Hardware-MFA-Geräten.
• Mit AWS Directory Service können Kunden Unternehmensverzeichnisse integrieren und zusammenführen, um die Kosten für Administration zu verringern und das Endbenutzererlebnis zu verbessern.
• Mit AWS Config können Kunden vorkonfigurierte Regeln aktivieren, die sicherstellen, dass sich ihre AWS-Ressourcen in einem ordnungsgemäß konfigurierten und konformen Zustand befinden.
• AWS CloudTrail ermöglicht es Kunden, Informationen über Kontoaktivitäten im Zusammenhang mit Aktionen in ihrer AWS-Infrastruktur zu protokollieren, kontinuierlich zu überwachen und aufzubewahren, was die Sicherheitsanalyse, die Verfolgung von Ressourcenänderungen und die Fehlerbehebung vereinfacht (AWS CloudTrail ist standardmäßig für alle AWS-Konten aktiviert).
• Amazon Macie nutzt Machine Learning, um Kunden zu helfen, Datenverluste zu vermeiden, indem es automatisch sensible Daten in AWS erkennt, klassifiziert und schützt. Dieser vollständig verwaltete Service überwacht kontinuierlich die Datenzugriffsaktivitäten auf Anomalien und generiert detaillierte Warnmeldungen, wenn er das Risiko eines unbefugten Zugriffs oder unbeabsichtigten Datenverlustes erkennt – wie zum Beispiel sensible Daten, die ein Kunde versehentlich von außen zugänglich gemacht hat.

AWS bietet Kunden und APN-Partnern die Möglichkeit, für ihre in der Cloud ruhenden Kundendaten, eine zusätzliche Sicherheitsebene hinzuzufügen und so Kunden bei der Erfüllung ihrer Sicherheitspflichten für die Verarbeitung als Verantwortliche im Rahmen der DSGVO zu unterstützen. Zu den Verschlüsselungs-Tools, die auf AWS verfügbar sind, gehören Folgende:

• Datenverschlüsselungsfunktionen, die in AWS Speicher- und Datenbank-Services verfügbar sind, wie Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS und Redshift
• Flexible Optionen zur Schlüsselverwaltung, inklusive AWS Key Management Service, mit denen Kunden auswählen können, ob AWS die Schlüssel verwaltet oder Kunden die vollständige Kontrolle über ihre Schlüssel behalten
• Verschlüsselte Nachrichtenwarteschlangen für die Übertragung sensibler Daten mittels serverseitiger Verschlüsselung (SSE) für Amazon SQS
• Dedizierte, Hardware-basierte, kryptografische Schlüsselspeicherung über AWS CloudHSM, mit der Kunden Compliance-Anforderungen erfüllen können

Außerdem bietet AWS Kunden und APN-Partnern APIs, um die Verschlüsselung und den Datenschutz mit beliebigen Diensten zu integrieren, die sie in einer AWS-Umgebung entwickeln oder bereitstellen.

AWS bietet bestimmte Features und Services, damit Kunden die Anforderungen der DSGVO erfüllen können:

Zugriffskontrolle: Nur autorisierte Administratoren, Benutzer und Anwendungen haben Zugriff auf AWS-Ressourcen

• Multi-Factor-Authentifizierung (MFA)
• Individuell festgelegter Zugriff auf Objekte in Amazon S3-Buckets, Amazon SQS, Amazon SNS und mehr
• Authentifizierung von API-Anfragen
• Geografische Beschränkungen
• Tokens für den vorübergehenden Zugriff mit AWS Security Token Service

Nachverfolgung und Protokollierung: Sie sehen die Aktivitäten in Ihren AWS-Ressourcen

• Asset Management und Konfiguration mit AWS Config
• Compliance-Prüfung und -Sicherheitsanalyse mit AWS CloudTrail
• Identifikation von Herausforderungen bei der Konfiguration mit AWS Trusted Advisor
• Individuell festgelegte Protokollierung des Zugriffs auf Amazon S3-Objekte
• Ausführliche Informationen zu Abläufen im Netzwerk mit Amazon VPC Flow Logs
• Regelbasierte Prüfungen und Aktionen zur Konfiguration mit AWS Config Rules
• Filterung und Überwachung des HTTP-Zugriffs auf Anwendungen mit AWS-WAF-Funktionen in AWS CloudFront

Verschlüsselung: Daten in AWS sind verschlüsselt

• Verschlüsselung Ihrer Daten beim Speichern mit AES256 (EBS/S3/Glacier/RDS)
• Zentral verwaltetes Key Management (nach AWS-Region)
• IPsec-Tunnel in AWS mit den VPN-Gateways
• Dedizierte HSM-Module in der Cloud mit AWS CloudHSM

Starkes Compliance-Framework und Sicherheitsstandards: Wir demonstrieren die Einhaltung strenger internationaler Standards, wie zum Beispiel:

• ISO 27001 für technische Maßnahmen
• ISO 27017 für Cloud-Sicherheit
• ISO 27018 für Cloud-Datenschutz
• SOC 1, SOC 2 und SOC 3, PCI DSS Level 1,
• BSIs Cloud Computing Compliance Controls Catalogue (C5)
• ENS Hoch

Die DSGVO ist ein europäisches Gesetz und nach dem Brexit im Vereinigten Königreich nicht mehr gültig.  Die britische Regierung nahm die Anforderungen der GDPR als „UK-GDPR“ in das britische Gesetz auf.

AWS stellt ein UK-DSGVO-konformes UK-DSGVO-Addendum zum AWS DPA bereit, das die Verpflichtungen von AWS als Verarbeiter von Daten unter der britischen DSGVO beinhaltet. Das UK-DSGVO-Addendum ist Teil der AWS Servicebedingungen und wird automatisch für alle Kunden angewendet, die eine Vereinbarung zur Datenverarbeitung erfordern, die mit der britischen DSGVO konform ist.

Das UK-DSGVO-Addendum, das Teil der AWS-Servicebedingungen ist, enthält die von der EC angenommenen SCCs und das internationale Datenübermittlungs-Addendum (IDTA), das von der britischen Datenschutzbehörde (dem Information Commissioners Office) herausgegeben wurde.  Das IDTA ändert die SCCs, um sicherzustellen, dass sie einen angemessenen Schutz gemäß der DSGVO des Vereinigten Königreichs für internationale Datenübermittlungen in Länder außerhalb des Vereinigten Königreichs darstellen, denen kein angemessenes Schutzniveau für personenbezogene Daten (Drittländer des Vereinigten Königreichs) zuerkannt wurde. Das UK-DSGVO-Addendum bestätigt, dass die SCCs (in der durch das IDTA geänderten Fassung) automatisch gelten, wenn ein Kunde AWS-Services nutzt, um Kundendaten, die der UK-DSGVO (UK-Kundendaten) unterliegen, in UK-Drittländer zu übertragen.  Als Teil des UK-DSGVO-Addendum in den AWS-Servicebedingungen gelten die SCCs (in der durch die IDTA geänderten Fassung) automatisch, wenn ein Kunde AWS-Services nutzt, um UK-Kundendaten in UK-Drittländer zu übertragen.

AWS bietet ein Schweizer Addendum zum AWS-Zusatz zur Datenverarbeitung (das „Schweizer Addendum“) an, das die Verpflichtungen von AWS als Datenverarbeiter gemäß dem schweizerischen Bundesgesetz über den Datenschutz (das „FDPA“) beinhaltet. Das Schweizer Addendum ist Teil der AWS-Servicebedingungen (siehe Abschnitt 1.14.4) und gilt automatisch, wenn das FDPA für die Nutzung der AWS-Services durch einen Kunden zur Verarbeitung von Kundendaten gilt.

Das Schweizer Addendum zum AWS-Zusatz zur Datenverarbeitung, der Teil der AWS-Servicebedingungen ist (siehe Abschnitt 1.14.4), beinhaltet die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (die „SCCs“), die von der Europäischen Kommission verabschiedet und gemäß den Anforderungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten geändert wurden. Das Schweizer Addendum bestätigt, dass die SCCs (in der durch das Schweizer Addendum geänderten Fassung) automatisch gelten, wenn ein Kunde AWS-Services nutzt, um Kundendaten, die dem FDPA unterliegen, in Drittländer zu übertragen.

Kunden mit Fragen zur DSGVO empfehlen wir, sich zuerst an ihren AWS Account Manager zu wenden. Wenn Kunden sich für den Enterprise Support angemeldet haben, können sie sich auch an ihren Technical Account Manager (TAM) wenden. TAMs arbeiten mit Solutions Architects zusammen, um Kunden bei der Identifizierung potenzieller Risiken und potenzieller Minderungen zu unterstützen. TAMs und Account-Teams können auch Kunden und APN-Partner mit spezifischen Ressourcen auf der Grundlage ihrer Umgebung und ihrer Bedürfnisse ausstatten.

AWS hat auch Teams von Enterprise Support Representatives, Professional Services Consultants und anderen Mitarbeitern, die bei DSGVO-Fragen helfen. Bei Fragen können Sie uns hier kontaktieren.