Amazon Web Services (AWS) – einer der bedeutendsten Anbieter von Cloud Computing-Diensten – hat seine Datenschutzvereinbarungen durch die europäischen Datenschutzaufsichtsbehörden unter Federführung der Luxemburger Aufsichtsbehörde (CNPD) prüfen lassen. Die CNPD hat AWS mit Schreiben vom 06.03.2015 bestätigt, dass das verwendete Data Processing Addendum ausreichende vertragliche Regelungen für internationale Datenübermittlungen enthalte. AWS teilt auf seiner Webseite hierzu mit: „The Article 29 Working Party has found that the AWS Data Processing Agreement meets the requirements of the Directive with respect to Model Clauses.”
Können die Dienste von AWS damit also datenschutzkonform genutzt werden? Wir werfen einen genaueren Blick auf die Entscheidung der Luxemburger Aufsichtsbehörde.
Hintergrund der Entscheidung der Artikel-29-Datenschutzgruppe
Die Artikel-29-Datenschutzgruppe ist ein Beratungsgremium der Europäischen Union. Diesem gehören die Aufsichtsbehörden der Mitgliedstaaten und der EU sowie ein Vertreter der Europäischen Kommission an. Die Artikel-29-Datenschutzgruppe wird insbesondere tätig, wenn es um die einheitliche Anwendung der EU-Datenschutzrichtlinien geht.
Die AWS-Datenschutzvereinbarungen hat die Artikel-29-Gruppe aufgrund ihres Arbeitsdokuments 226 geprüft. Danach können von Unternehmen verwendete Vertragsklauseln daraufhin überprüft werden, ob sie ausreichende Datenschutzgarantien für die Übermittlung personenbezogener Daten in Drittstaaten enthalten.
Für internationale Datenübermittlungen greifen Unternehmen häufig auf die von der Europäischen Kommission herausgegebenen Standardvertragsklauseln zurück. Diese sind ein anerkanntes Instrument zur Sicherstellung eines angemessenen Datenschutzniveaus bei Datenübermittlungen in Drittstaaten. Bei Auftragsdatenverarbeitern wie AWS finden typischerweise die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern Anwendung.
Die Verwendung der Standardvertragsklauseln ist allerdings nicht mehr ohne Weiteres möglich, wenn Unternehmen den Vertragstext auf ihre konkrete Situation anpassen. In vielen EU-Mitgliedstaaten muss der Einsatz der Standardvertragsklauseln zudem den nationalen Aufsichtsbehörden angezeigt und von diesen genehmigt werden.
Vor diesem Hintergrund bietet die Artikel-29-Gruppe Unternehmen die Möglichkeit, ihre Verträge für die Regelung ihrer internationalen Datentransfers prüfen und die Vereinbarkeit mit den Standardvertragsklauseln feststellen zu lassen. Diesen Weg ist AWS gegangen.
Aussage der Artikel-29-Datenschutzgruppe
In dem Verfahren unter Federführung der CNPD hat die Artikel-29-Gruppe das Data Processing Addendum und Anhang 2 der Standardvertragsklauseln der Amazon Web Services, Inc. geprüft. Mit Schreiben vom 06.03.2015 hat die CNPD festgestellt, dass das Data Processing Addendum mit den Standardvertragsklauseln vereinbar ist.
Vereinzelt war zu lesen, die EU habe den Datenschutz in AWS abgesegnet. Werner Vogels, Chief Technology Officer bei Amazon.com, erklärte in einer Pressemitteilung: „Indem wir unseren Kunden in Europa und dem Rest der Welt eine DPA anbieten, die von der EU-Datenschutzbehörde abgesegnet wurde, machen wir ganz klar, dass sie von AWS Datenschutz auf höchstem Niveau erwarten können.“
Gibt es also keine Probleme mehr?
Die Prüfung des Data Processing Addendum lässt erkennen, dass AWS die Bedeutung des Datenschutzes für europäische Kunden erkannt hat, beseitigt aber nicht alle Probleme.
Dies zeigt ein vertiefter Blick in das Schreiben der CNPD. Die Luxemburger Aufsichtsbehörde teilt nämlich zugleich mit, dass das Ergebnis der begrenzten Untersuchung nicht als Beleg dafür missverstanden werden solle, dass die vertraglichen Regelungen als Ganzes den EU-Datenschutzrichtlinien entsprächen oder als Bestätigung dafür, dass AWS generell den EU-Datenschutzbestimmungen entspreche.
Diese Einschränkung ist wichtig, könnte das Schreiben der CNPD doch leicht dahingehend verstanden werden, die Verwendung des geprüften Data Processing Addendum garantiere die datenschutzkonforme Nutzung von AWS.
Fazit
Deutsche Unternehmen, die Dienste von Auftragsdatenverarbeitern in Drittstaaten wie z.B. AWS nutzen wollen, haben mehrere datenschutzrechtliche Aspekte zu berücksichtigen.
Bei Datenverarbeitungen in Drittstaaten außerhalb der EU gelten die besonderen Anforderungen der §§ 4b, 4c BDSG. Unternehmen müssen daher zunächst für das Bestehen eines angemessenen Datenschutzniveaus in dem Drittstaat Sorge tragen. Bei der Nutzung von AWS ist das von der CNPD geprüfte Data Processing Addendum die entsprechende Grundlage.
Darüber hinaus müssen jedoch die Vorgaben für die Auftragsdatenverarbeitung nach § 11 BDSG beachtet werden. Die nach § 11 Absatz 2 BDSG erforderlichen schriftlichen Festlegungen decken sich leider nicht vollständig mit den Standardvertragsklauseln. Soweit nach § 11 BDSG erforderliche Festlegungen daher nicht in den Standardvertragsklauseln enthalten sind, müssen sie gesondert getroffen werden. Einen Vergleich der Vorgaben von § 11 BDSG mit den Standardvertragsklauseln finden Sie hier.
Anonymous
15. Februar 2018 @ 5:13
Guten Tag,
Sind die genannten Dokumente konform zur DS-GVO? Im Text wird noch auf das BDSG Bezug genommen. Ich betreibe einen Webshop auf EC2 und möchte sicherstellen, dass ich im Mai 2018 rechtskonform agiere.
Danke für Ihre Hilfe und diese ausgezeichneten Informationen.
Jan Thode
15. Februar 2018 @ 5:53
Amazon Web Services stellt für seine Kunden eine Webseite mit Informationen zur Datenschutz-Grundverordnung bereit. Die Seite ist hier abrufbar: https://aws.amazon.com/de/compliance/gdpr-center/ Zu den von Amazon Web Services angebotenen Möglichkeiten zur Nutzung der Dienste in Übereinstimmung mit den Regelungen der DSGVO gehört auch die Bereitstellung eines Vertrags zur Auftragsverarbeitung (Data Processing Agreement), der die Vorgaben der DSGVO berücksichtigt. Das Data Processing Agreement kann der Kunde bei seinem Account Manager anfordern.
Viele Grüße
Jan Thode
Anonymous
13. April 2016 @ 10:52
Hallo Herr Thode,
die Amazon Web Services, Inc. bietet die EU-Standardvertragsklauseln zur Absicherung des Datenschutzes und der Datenübermittlung an. Haben Sie diesen Vertragstext vorliegen und geprüft? Mich würde interessieren zu welchem Ergebnis Sie dort kommen.
Jan Thode
13. April 2016 @ 18:39
Guten Tag,
vielen Dank für Ihre Nachfrage. Bitte haben Sie Verständnis dafür, dass wir über diesen Blog keine individuelle Rechtsberatung leisten können und dürfen.
Nach unseren Erkenntnissen schließt das von Amazon Web Services, Inc. angebotene Data Processing Addendum die EU-Standardvertragsklauseln für Auftragsverarbeiter ein. Die Standardvertragsklauseln dürfen inhaltlich grundsätzlich nicht verändert werden, um wirksam zu sein. Wie im Artikel dargelegt, hat die Luxemburger Aufsichtsbehörde CNPD mit Schreiben vom 06.03.2015 bestätigt, dass das von AWS verwendete Data Processing Addendum ausreichende vertragliche Regelungen für internationale Datenübermittlungen enthalte. Es ist deswegen davon auszugehen, dass AWS die Standardvertragsklauseln unverändert übernommen hat.
Viele Grüße
Jan Thode
mh
27. Juli 2015 @ 16:38
Guten Tag,
ahben Sie hierzu schon seitens AWS eine Antwort erhalten?
Jan Thode
27. Juli 2015 @ 16:50
Hallo mh,
leider haben wir von Amazon Web Services noch keine Antwort erhalten.
Viele Grüße
Jan Thode
TM
13. April 2015 @ 22:47
Interessanter Artikel. Gleichwohl wuerde mich der genaue Wortlaut auch interessieren. Spannend auch, warum die US-Recht unterworfene Inc. im Rahmen der Prüfung aktiv wurde, da es um eine Absicherung der Übermittlung aus der EU in unsichere Drittländer geht.
Jan Thode
14. April 2015 @ 16:07
Vielen Dank für Ihren Kommentar! Der genaue Wortlaut des aktuellen Vertragstextes von Amazon Web Services vom Februar 2015 liegt uns leider nicht vor. Wir hätten den Vertrag gerne für diesen Artikel eingesehen und haben deswegen bei Amazon angefragt. Wir warten auf eine Rückmeldung.