Blog
Datenschutz in der Cloud: Das EU-US-Datenschutzabkommen und AWS
Die Digitalisierung hat die Art und Weise, wie Unternehmen und Organisationen Daten speichern und verarbeiten, grundlegend verändert. Sie setzen vermehrt auf Cloud Computing, um Daten effizienter zu speichern und verwalten. Der verstärkte Einsatz von Cloud Computing bringt jedoch nicht nur Vorteile mit sich, sondern auch erhebliche Verpflichtungen im Hinblick auf den Datenschutz, die nicht nur auf die Cloud-Nutzung beschränkt sind. Doch was genau bedeutet Datenschutz in der Cloud? Und wie wird die Gewährleistung in Cloud-Diensten wie AWS durch das kürzlich in Kraft getretene Datenschutzabkommen zwischen der EU und den USA („EU-U.S. Data Privacy Framework“) beeinflusst? In diesem Blogbeitrag werden wir diesen Fragen auf den Grund gehen. Dabei betrachten wir genauer, welche Herausforderungen sich für Cloud-Nutzer*innen im Kontext des Datenschutzes ergeben und wie AWS diesen begegnet.
Worum geht es beim Thema Datenschutz?
Informationelle Selbstbestimmung ist das Ziel der Datenschutz-Grundverordnung (DSGVO). Jeder Mensch hat das Recht selbst zu bestimmen, welche ihm zugeordneten Informationen zu welchem Zweck verarbeitet werden. Die DSGVO findet nicht nur auf die Verarbeitung personenbezogener Daten innerhalb Europas Anwendung, sondern auch außerhalb dieses Gebiets, sofern Daten von Personen mit europäischem Wohnsitz verarbeitet werden. Der Schutz personenbezogener Daten vor unbefugtem Zugriff, Missbrauch oder Verlust steht dabei im Mittelpunkt. Insbesondere in der Cloud, wo Daten in einem Netzwerk von Servern gespeichert und verarbeitet werden, sind strenge Sicherheitsmaßnahmen erforderlich. Diese gewährleisten die Integrität, Vertraulichkeit und Verfügbarkeit der Daten.
Die Nutzung der Cloud erleichtert die Verarbeitung von Daten auf internationaler Ebene erheblich. Dies bietet Vorteile hinsichtlich Skalierbarkeit und Flexibilität, jedoch bringt es auch spezifische Herausforderungen im Bereich Datenschutz mit sich. Daten können grenzüberschreitend übertragen werden, was die Einhaltung der Datenschutzgesetze und -vorschriften komplexer gestaltet. In diesem Zusammenhang ist das Datenschutzabkommen von besonderer Relevanz, da es Unternehmen bereits als rechtliche Grundlage für den Datentransfer zwischen der EU und den USA dienen wird.
Das EU-US-Datenschutzabkommen
Am 10. Juli 2023 trat das „EU-U.S. Data Privacy Framework (EU-U.S. DPF)“ als aktuelles Datenschutzabkommen zwischen der EU und den USA in Kraft. Dieses Abkommen schafft eine rechtliche Grundlage für den grenzüberschreitenden Austausch von personenbezogenen Daten. Unternehmen und Organisationen auf beiden Kontinenten wird ein Datenaustausch ermöglicht, ohne sich über die rechtlichen Aspekte der Datenübertragung Sorgen machen zu müssen. Insbesondere nach der Aufhebung der beiden vorherigen Datenschutzabkommen im Jahr 2015 und 2020 durch den Europäischen Gerichtshof (EuGH) waren Unternehmen gezwungen, alternative Lösungen zu finden, um Daten in Übereinstimmung mit den Datenschutzvorschriften der EU in die USA zu übertragen. Dies beinhaltete beispielweise die Verwendung von „Standardvertragsklauseln“, mit denen europäische Unternehmen die Gewährleistung der Sicherheit der zu übertragenden Daten vertraglich absichern können.
Der EuGH begründete die Unwirksamkeit der vorherigen Abkommen damit, dass das Datenschutzniveau in den USA im Vergleich zu den in der EU geltenden Regelungen unzureichend war. Hierfür sah der EuGH zwei konkrete Kritikpunkte: Erstens, die Zugriffsbefugnisse der US-Sicherheitsbehörden auf übermittelte personenbezogene Daten waren unzulässig und unverhältnismäßig. Zweitens, EU-Bürger*innen hatten keine ausreichenden Rechtsschutzmöglichkeiten im Falle eines möglichen Datenschutzverstoßes in den USA.
Das aktuelle Abkommen zielt darauf ab, diese bestehenden rechtlichen Unsicherheiten zu beseitigen. US-Unternehmen dürfen nun personenbezogene Daten aus der EU verarbeiten, sofern sie nachweisen können, dass sie angemessene Sicherheitsvorkehrungen gemäß den Bestimmungen des Abkommens getroffen haben. Diese Sicherheitsvorkehrungen müssen dem Schutzniveau für personenbezogene Daten entsprechen, wie es von den EU-Datenschutzvorschriften gefordert wird. Der Zugriff auf personenbezogene Daten durch US-Sicherheitsbehörden wird nur dann als zulässig angesehen, wenn er zur Wahrung der nationalen Sicherheit notwendig und verhältnismäßig ist.
Es ist jedoch wichtig zu beachten, dass in der Vergangenheit bereits zwei Datenschutzabkommen zwischen der EU und den USA vor dem Europäischen Gerichtshof (EuGH) gescheitert sind. Daher ist es wahrscheinlich, dass es auch bezüglich des im Juli 2023 in Kraft getretenen Datenschutzabkommens rechtliche Auseinandersetzungen vor dem EuGH geben wird.
Herausforderungen für Cloud-Nutzer*innen im Datenschutzkontext
Nutzer*innen von Cloud-Diensten, die beabsichtigen, personenbezogene Daten zwischen der EU und den USA zu übertragen, sollten sicherstellen, dass die Sicherheit dieser Daten den geltenden Datenschutzvorschriften der EU entspricht. Die Einhaltung dieser Datenschutzanforderungen ist für Unternehmen von entscheidender Bedeutung, da Verstöße zu Sanktionen seitens der Datenschutzbehörden führen können. Darüber hinaus müssen Unternehmen bei Datenschutzverletzungen damit rechnen, dass das Vertrauen ihrer Kund*innen erheblich geschädigt wird, was langfristige Auswirkungen auf die Existenz der betroffenen Unternehmen haben kann.
Europäische Unternehmen, die Daten in der Cloud verarbeiten und sie in die USA übertragen, sehen sich mit folgenden Datenschutzherausforderungen konfrontiert:
- Rechtliche Unsicherheit: Trotz des neuen Datenschutzabkommens besteht weiterhin rechtliche Unsicherheit. Es bleibt ungewiss, ob die Datenschutzstandards in den USA den Datenschutzvorschriften der EU entsprechen. Zudem bleibt fraglich, ob das Abkommen möglichen rechtlichen Auseinandersetzungen vor dem EuGH standhalten wird.
- Kontrolle über Daten: Nutzer*innen von Cloud-Diensten haben möglicherweise Bedenken hinsichtlich der Kontrolle über ihre Daten, insbesondere wenn sie Cloud-Services von amerikanischen Cloud-Anbietern wie AWS, Microsoft Azure oder Google Cloud Platform in Anspruch nehmen möchten. Diese Cloud-Anbieter verfügen über zahlreiche Rechenzentren, die weltweit verteilt für Kund*innen zur Verfügung stehen.
- US-Unternehmen haben die Möglichkeit, ein Nachweiszertifikat für die erfolgreiche Umsetzung der im Datenschutzabkommen geforderten Maßnahmen durch Selbstzertifizierung („Self-Certification“) zu erlangen. Die Tatsache, dass US-Unternehmen sich den Nachweis ohne die aktive Beteiligung eines Dritten selbst bescheinigen können, wirft die Frage auf, ob dies als effektive Methode angesehen werden kann.
Welche Möglichkeiten aber haben Kunden, die AWS nutzen möchten und sich mit den oben genannten Herausforderungen konfrontiert sehen? Verpflichtet sich AWS, die Anforderungen des neu in Kraft getretenen Datenschutzabkommens einzuhalten?
Lösungen: Mit AWS die Erfüllung von Datenschutzherausforderungen sicherstellen
Die Nutzung von AWS ermöglicht Kund*innen, die Vorteile der Cloud vollumfänglich zu nutzen und gleichzeitig die Anforderungen im Datenschutzkontext erfolgreich zu erfüllen. Um die Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten sowie die Betroffenenrechte zu gewährleisten, werden umfangreiche technische und organisatorische Maßnahmen unabhängig von der von den Kund*innen gewählten AWS-Region ergriffen. Für Kund*innen, die Bedenken hinsichtlich der Datenschutzstandards in den USA sowie der Kontrolle über die in der Cloud verarbeiteten und übermittelten personenbezogenen Daten haben, bietet AWS optimale Lösungen.
Als US-Unternehmen verpflichtet sich AWS zur Einhaltung des EU-U.S. Data Privacy Framework, wenn eine Übermittlung personenbezogener Daten aus der EU in die USA erfolgen soll. Dies wird in der „EU-U.S. DPF“-Liste bestätigt, die unter https://www.dataprivacyframework.gov/s/ abrufbar ist.
Darüber hinaus bietet AWS seinen Kund*innen verschiedene Möglichkeiten, um die umfassende Kontrolle über ihre Daten zu behalten. AWS ergreift auch eigenständig notwendige Schritte zur Gewährleistung der Sicherheit von Kundendaten. Die klare Zuordnung der Verantwortlichkeiten zur Sicherheitsgewährleistung erfolgt abhängig von dem Shared Responsibility Modell. Unabhängig davon können Verantwortlichkeiten mit dem jeweiligen IT-Dienstleister auch anders geregelt werden.
Konkrete Maßnahmen, um die Datenschutzanforderungen bei Nutzung von AWS zu gewährleisten:
- Kund*innen behalten die volle Kontrolle über ihre eigenen Daten: Kund*innen können eigenständig entscheiden, wo und wie ihre Daten gespeichert werden sollen und wer Zugriff darauf hat. Diese Eigenkontrolle ermöglicht ihnen, ihre Daten zu steuern und zu überwachen.
- Auswahl von regionalen Rechenzentren: Kund*innen haben die Möglichkeit, die für sie geeigneten Regionen auszuwählen, in denen sie ihre Daten verarbeiten möchten. AWS verfügt über Rechenzentren an verschiedenen Standorten weltweit.
- Verschlüsselung: AWS bietet robuste Verschlüsselungsoptionen für Daten sowohl im Ruhezustand als auch während der Übertragung. Kunden können entweder von AWS verwaltete Schlüssel oder selbstverwaltete Schlüssel verwenden. Dies gewährleistet, dass die Daten selbst im Falle eines Datenlecks geschützt sind.
- Zugriffskontrolle: Kund*innen haben die volle Kontrolle über den Zugriff auf ihre Daten. Dadurch kann das Risiko unbefugter Zugriffe auf Daten minimiert werden.
- Protokollierung: Kund*innen können umfassende Protokolle über Datenzugriffe erstellen. Dies ermöglicht ihnen, Datenzugriffe zu überwachen, zu analysieren und rechtzeitig auf Auffälligkeiten zu reagieren.
- Die Verwendung von „Standardvertragsklauseln“ steht Kund*innen unabhängig von dem kürzlich in Kraft getretenen EU-U.S Data Privacy Framework zur Verfügung. Europäische Kunden können die Einhaltung der Compliance für die Übertragung von personenbezogenen Daten zusätzlich zum EU-U.S. DPF mithilfe von Standardvertragsklauseln sicherstellen. Dadurch können Unsicherheiten beseitigt werden, falls das EU-U.S. DPF ähnlich wie die bisherigen Datenschutzabkommen zwischen der EU und den USA vor dem EuGH scheitern sollte.
Kundenbeispiele: Datenschutz mithilfe von AWS gewährleisten
Erstes Beispiel
Ein Kunde aus dem Gesundheitssektor stand vor der Herausforderung, seine IT-Infrastruktur kostengünstig zu modernisieren und die Innovationskraft des Unternehmens zu stärken. Um eine verbesserte Gesundheitsversorgung für Patient*innen zu ermöglichen, entschied sich der Kunde für den Einsatz von AWS-Services in der Cloud. Zur sicheren Verarbeitung hochsensibler Patienten- und medizinischer Daten gemäß DSGVO wurden verschiedene AWS-Services implementiert:
- AWS Key Management Service (AWS KMS): Der Kunde nutzt AWS KMS, um kryptografische Schlüssel zu erstellen, zu verwalten und zu kontrollieren. Damit werden Daten im Ruhezustand und bei der Übertragung verschlüsselt.
- Amazon GuardDuty: Die Einführung von GuardDuty ermöglicht eine kontinuierliche Überwachung auf böswillige Aktivitäten, frühzeitige Bedrohungserkennung und Schutz der IT-Infrastruktur.
- AWS CloudTrail: Der Kunde setzt AWS CloudTrail für die Überwachung und Aufzeichnung von Kontoaktivitäten ein. Potenzielle Schwachstellen werden identifiziert, und die Sicherheit der IT-Anlagen wird gewährleistet.
Durch diese AWS-Services konnte der Kunde nicht nur kosteneffizient seine IT-Infrastruktur modernisieren, sondern auch die Sicherheit hochsensibler Daten gewährleisten.
Zweites Beispiel
Skaylink ermöglichte einem mittelständischen Unternehmen die Nutzung der Cloud, indem gezielte Aufklärung und Workshops zu Datenschutz, Sicherheit und Compliance durchgeführt wurden. Angesichts der Bedenken bezüglich des US-amerikanischen CLOUD Act wurden in zwei Workshops („Datenschutz trotz US-Cloud Provider“ und „Datenschutz durch AWS“) rechtliche Aspekte sowie AWS-spezifische Sicherheitsmechanismen thematisiert. Die offene Kommunikation und Klärung von Datenschutzfragen schufen Vertrauen, sodass die AWS Cloud nun als bevorzugte Option für die IT-Infrastruktur des Unternehmens gilt. Datenschutz bleibt ein zentrales Thema auf der Cloud Journey, das nicht zur Seite geschoben werden darf und gemeinsam – unterstützt durch strukturierte Diskussionen und Wissensaufbau in Workshops – angegangen werden muss.
Fazit
Der Datenschutz in der Cloud nimmt eine zentrale Rolle ein, insbesondere für Kund*innen, die Cloud-Dienste von AWS nutzen. Ein wesentlicher Aspekt dabei ist die Möglichkeit, die Region für die Datenspeicherung zu spezifizieren. Dadurch bleiben personenbezogene Daten in der von den Kund*innen ausgewählten Region und somit unter ihrer vollen Kontrolle über den Datentransfer. Das im Juli 2023 in Kraft getretene Datenschutzabkommen hilft jedoch dabei, wenn Unternehmen ihre Daten in die USA übermitteln wollen, beispielsweise wenn sie amerikanische Kund*innen bedienen.
Unabhängig davon stellt AWS Lösungen bereit, um Kund*innen die volle Kontrolle über ihre Daten zu gewähren und dabei die europäischen Datenschutzgesetze zu berücksichtigen. Datenschutz in der Cloud ist ein fortlaufender Prozess, der eine enge Zusammenarbeit zwischen Cloud-Anbietern und Nutzer*innen erfordert, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. Gleichzeitig sichert dies das Recht auf informationelle Selbstbestimmung natürlicher Personen.