Amazon Web Services (AWS) – einer der bedeutendsten Anbieter von Cloud Computing-Diensten – hat seine Datenschutzvereinbarungen durch die europäischen Datenschutzaufsichtsbehörden unter Federführung der Luxemburger Aufsichtsbehörde (CNPD) prüfen lassen. Die CNPD hat AWS mit Schreiben vom 06.03.2015 bestätigt, dass das verwendete Data Processing Addendum ausreichende vertragliche Regelungen für internationale Datenübermittlungen enthalte. AWS teilt auf seiner Webseite hierzu mit: „The Article 29 Working Party has found that the AWS Data Processing Agreement meets the requirements of the Directive with respect to Model Clauses.”

Können die Dienste von AWS damit also datenschutzkonform genutzt werden? Wir werfen einen genaueren Blick auf die Entscheidung der Luxemburger Aufsichtsbehörde.

Hintergrund der Entscheidung der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe ist ein Beratungsgremium der Europäischen Union. Diesem gehören die Aufsichtsbehörden der Mitgliedstaaten und der EU sowie ein Vertreter der Europäischen Kommission an. Die Artikel-29-Datenschutzgruppe wird insbesondere tätig, wenn es um die einheitliche Anwendung der EU-Datenschutzrichtlinien geht.

Die AWS-Datenschutzvereinbarungen hat die Artikel-29-Gruppe aufgrund ihres Arbeitsdokuments 226 geprüft. Danach können von Unternehmen verwendete Vertragsklauseln daraufhin überprüft werden, ob sie ausreichende Datenschutzgarantien für die Übermittlung personenbezogener Daten in Drittstaaten enthalten.

Für internationale Datenübermittlungen greifen Unternehmen häufig auf die von der Europäischen Kommission herausgegebenen Standardvertragsklauseln zurück. Diese sind ein anerkanntes Instrument zur Sicherstellung eines angemessenen Datenschutzniveaus bei Datenübermittlungen in Drittstaaten. Bei Auftragsdatenverarbeitern wie AWS finden typischerweise die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern Anwendung.

Die Verwendung der Standardvertragsklauseln ist allerdings nicht mehr ohne Weiteres möglich, wenn Unternehmen den Vertragstext auf ihre konkrete Situation anpassen. In vielen EU-Mitgliedstaaten muss der Einsatz der Standardvertragsklauseln zudem den nationalen Aufsichtsbehörden angezeigt und von diesen genehmigt werden.

Vor diesem Hintergrund bietet die Artikel-29-Gruppe Unternehmen die Möglichkeit, ihre Verträge für die Regelung ihrer internationalen Datentransfers prüfen und die Vereinbarkeit mit den Standardvertragsklauseln feststellen zu lassen. Diesen Weg ist AWS gegangen.

Aussage der Artikel-29-Datenschutzgruppe

In dem Verfahren unter Federführung der CNPD hat die Artikel-29-Gruppe das Data Processing Addendum und Anhang 2 der Standardvertragsklauseln der Amazon Web Services, Inc. geprüft. Mit Schreiben vom 06.03.2015 hat die CNPD festgestellt, dass das Data Processing Addendum mit den Standardvertragsklauseln vereinbar ist.

Vereinzelt war zu lesen, die EU habe den Datenschutz in AWS abgesegnet. Werner Vogels, Chief Technology Officer bei Amazon.com, erklärte in einer Pressemitteilung: „Indem wir unseren Kunden in Europa und dem Rest der Welt eine DPA anbieten, die von der EU-Datenschutzbehörde abgesegnet wurde, machen wir ganz klar, dass sie von AWS Datenschutz auf höchstem Niveau erwarten können.“

Gibt es also keine Probleme mehr?

Die Prüfung des Data Processing Addendum lässt erkennen, dass AWS die Bedeutung des Datenschutzes für europäische Kunden erkannt hat, beseitigt aber nicht alle Probleme.

Dies zeigt ein vertiefter Blick in das Schreiben der CNPD. Die Luxemburger Aufsichtsbehörde teilt nämlich zugleich mit, dass das Ergebnis der begrenzten Untersuchung nicht als Beleg dafür missverstanden werden solle, dass die vertraglichen Regelungen als Ganzes den EU-Datenschutzrichtlinien entsprächen oder als Bestätigung dafür, dass AWS generell den EU-Datenschutzbestimmungen entspreche.

Diese Einschränkung ist wichtig, könnte das Schreiben der CNPD doch leicht dahingehend verstanden werden, die Verwendung des geprüften Data Processing Addendum garantiere die datenschutzkonforme Nutzung von AWS.

Fazit

Deutsche Unternehmen, die Dienste von Auftragsdatenverarbeitern in Drittstaaten wie z.B. AWS nutzen wollen, haben mehrere datenschutzrechtliche Aspekte zu berücksichtigen.

Bei Datenverarbeitungen in Drittstaaten außerhalb der EU gelten die besonderen Anforderungen der §§ 4b, 4c BDSG. Unternehmen müssen daher zunächst für das Bestehen eines angemessenen Datenschutzniveaus in dem Drittstaat Sorge tragen. Bei der Nutzung von AWS ist das von der CNPD geprüfte Data Processing Addendum die entsprechende Grundlage.

Darüber hinaus müssen jedoch die Vorgaben für die Auftragsdatenverarbeitung nach § 11 BDSG beachtet werden. Die nach § 11 Absatz 2 BDSG erforderlichen schriftlichen Festlegungen decken sich leider nicht vollständig mit den Standardvertragsklauseln. Soweit nach § 11 BDSG erforderliche Festlegungen daher nicht in den Standardvertragsklauseln enthalten sind, müssen sie gesondert getroffen werden. Einen Vergleich der Vorgaben von § 11 BDSG mit den Standardvertragsklauseln finden Sie hier.