Überspringen zu Hauptinhalt

Aus für das Privacy Shield: AWS-Kunden auf der sicheren Seite

Der Europäische Gerichtshof hat letzte Woche das Datenschutzabkommen “Privacy Shield” für ungültig erklärt. Hintergrund war die Beschwerde des Juristen Max Schrems, der bemängelte, dass Facebook seine Daten in die USA weitergeleitet hat und diese dort für NSA/ FBI zugänglich gemacht werden können. Unternehmen, die regelmäßig Daten in ein anderes Land wie die USA oder China transferieren, müssen dafür nun genau die Rechtsgrundlagen (Standardvertragsklauseln) überprüfen. Unternehmen, die Daten innerhalb der EU speichern, sind von diesem Urteil nicht betroffen. Weiterführende Informationen sind bei Heise zu finden.

So sind root360 Kunden abgesichert

root360 bietet AWS Hosting und AWS Managed Cloud Lösungen weltweit an. Die Infrastruktur von Amazon Web Service (AWS) erlaubt eine klare Festlegung, wo die Daten verarbeitet und gespeichert werden. Eine Verarbeitung bzw. Speicherung außerhalb der EU erfolgt nur auf explizite Freigabe unserer Kunden. Die rechtliche Grundlage dafür ist der geltende Auftragsverarbeitungsvertrag (AVV) oder auch Data Protection Agreement (DPA), welchen root360 mit AWS verbindlich geschlossen hat und der auf den EU-Standardvertragsklauseln basiert. Diese Regelungen sind vom Aus des Privacy Shields nicht betroffen.

Statement unseres Partners AWS

Auch unser Partner AWS hat die aktuelle Entwicklung zum Privacy Shield in einem Blogbeitrag kommentiert: 

Following this ruling, we wanted to inform you that AWS customers and partners can continue to use AWS to transfer their content from Europe to the US and other countries, in compliance with EU data protection laws – including the General Data Protection Regulation (GDPR). AWS customers can rely on the SCCs included in the AWS Data Processing Addendum (DPA). As the regulatory and legislative landscape evolves, we will always work to ensure that our customers and partners can continue to enjoy the benefits of AWS everywhere they operate.

Der gesamte Beitrag ist hier zu finden: “Customer update: AWS and the EU-US Privacy Shield

Fazit

Kunden von root360 sind vom aktuellen Urteil des Privacy Shield nicht betroffen. Bei weiteren Fragen stehen wir natürlich gerne zur Verfügung

Weitere Informationen


UPDATE vom 23.02.2021

In einem Blogbeitrag vom 17.02.2021 kündigt AWS neue vertragliche Verpflichtungen an, um Kundendaten noch stärker zu schützen. Als neuer Zusatz wird im AWS AVV (Auftragsverarbeitungsvertrag), im englischen auch Data Processing Addendum (DPA), im Wesentlichen folgendes festgehalten:

  • Anfragen von Strafverfolgungsbehörden: Anfragen zur Herausgabe von Kundendaten werden angefochten, wenn diese Anfrage mit EU-Recht kollidiert oder anderweitig angemessene Gründe für eine Anfechtung vorliegen.
  •  Offenlegung des erforderlichen Mindestmaßes: Sollte AWS trotz Anfechtung jemals durch eine rechtsgültige und verbindliche Anfrage zur Offenlegung von Kundendaten gezwungen werden, verpflichtet sich AWS nur die Mindestmenge an Daten offenzulegen, die zur Erfüllung der Anfrage notwendig ist.

Das gesamte Dokument ist hier zu finden: Supplementary addendum to the AWS GDPR Data Processing Addendum

Dieser Zusatz wird zu der bereits bestehenden AVV zwischen AWS und root360 ergänzt.

AWS schreibt weiter:

These commitments further demonstrate AWS’s dedication to securing our customers’ data: it is AWS’s highest priority. We implement rigorous contractual, technical, and organizational measures to protect the confidentiality, integrity, and availability of customer data regardless of which AWS Region a customer selects. Customers have complete control over their data through powerful AWS services and tools that allow them to determine where data will be stored, how it is secured, and who has access.

Der gesamte Blogbeitrag vom 17.02 ist hier zu finden: AWS and EU data transfers: strengthened commitments to protect customer data

An den Anfang scrollen