Cloud Hosting bringt viele Vorteile, wie z. B. Skalierbarkeit auf Abruf und eine hervorragende Verfügbarkeit. Ambient empfiehlt seinen Partnern in den allermeisten Situationen das Hosting bei einem der großen Managed-Cloud-Provider und oft arbeiten wir hier mit AWS zusammen. Unsere Ambient Shared Cloud, bei der sich mehrere Kunden die Ressourcen eines Kubernetes-Clusters teilen, liegt ebenfalls bei AWS. Wir haben das Glück häufig an Anwendungen zu arbeiten, welche Kern-Geschäftsprozesse unserer Kunden unterstützen und sensible Daten verwalten. Da legen unsere Kunden zu Recht großen Wert auf Sicherheit und Datenschutz. Und so werden wir immer wieder nach der datenschutzrechtlichen Situation beim Hosting mit US-Cloud-Unternehmen wie AWS gefragt. In diesem Artikel geben wir einen Überblick über die aktuelle rechtliche Lage.
Welche Fragestellungen gibt es beim Einsatz von AWS?
AWS als Unternehmen mit Hauptsitz in den USA unterliegt dem US-CLOUD Act, ein US-amerikanisches Gesetz aus dem Jahr 2018, das US-Behörden den Zugriff auf Daten US-amerikanischer IT-Unternehmen und Cloud-Provider ermöglicht, die außerhalb der USA gespeichert sind. AWS ist damit auf Anfrage der amerikanischen Sicherheitsbehörden nicht nur zur Herausgabe der eigenen Daten verpflichtet, sondern auch zur Herausgabe der Daten seiner Kunden, sofern sich diese in dessen Kontrolle und Obhut befinden. Letzteres ist vor allem bei den Daten der Fall, die von einem Kunden wie Ambient Innovation in der Cloud-Infrastruktur von AWS gespeichert sind. Durch den CLOUD Act können damit auch alle Daten, die von Ambient Innovation in einem europäischen Rechenzentrum von AWS gespeichert sind, in die Hände von US-Behörden gelangen – auch wenn der Vertrag mit der europäischen Amazon-Tochter Amazon Web Services EMEA SARL in Luxembourg geschlossen ist. Damit ist ein europäisches Datenschutzniveau nicht gewährleistet und der Einsatz von AWS könnte gegen die DSGVO verstoßen.
Was für Schutzmaßnahmen hat AWS ergriffen?
Der Auftragsverarbeitungsvertrag mit AWS beinhaltet die erforderlichen aktuellen Standardvertragsklauseln. Diese allein vermögen es jedoch nicht, ein angemessenes Schutzniveau herzustellen, weshalb AWS und seine Kunden zur Implementierung von SCCs zusätzliche Maßnahmen ergreifen müssen.
Im Rahmen eines „Modells der geteilten Verantwortung“ nimmt AWS selbst zusätzliche technische, organisatorische und vertragliche Maßnahmen in Angriff, andere obliegen wiederum den Kunden und damit Ambient (siehe unten). Zusätzliche vertragliche Maßnahme auf Seiten von AWS ist gemäß einer Ergänzung zum Auftragsverarbeitungsvertrag1, dass sich AWS verpflichtet, Anfragen von US-amerikanischen Behörden stets sorgfältig zu prüfen und ggf. abzuwehren.
Außerdem ist AWS Mitglied im CISPE (Cloud Infrastructure Services Providers in Europe), einem Zusammenschluss von Entscheidungsträgern aus dem Cloud-Computing-Bereich. Der CISPE Data Protection Code of Conduct (CISPE-Kodex) ist ein Datenschutz-Verhaltenskodex für Anbieter von Cloud-Infrastruktur-Services gemäß Artikel 40 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, dem sich auch AWS verpflichtet hat. Er wurde im Mai 2021 vom Europäischen Datenschutzausschuss (EDPB) genehmigt und im Juni 2021 von der französischen Datenschutzbehörde (CNIL), die als federführende Aufsichtsbehörde fungiert, offiziell angenommen.
Die Einhaltung des Verhaltenskodexes bedeutet jedoch nicht die Einhaltung der Datenschutz-Grundverordnung, sondern schafft lediglich Vertrauen in die Einhaltung von gewissen Standards. Er verpflichtet Cloud-Infrastruktur-Dienstanbieter u.a. dazu, ihren Kunden die Wahl zu geben, Dienste zur Speicherung und Verarbeitung von Kundendaten ausschließlich im Europäischen Wirtschaftsraum (EWR) zu nutzen. Ambient Innovation hat diese Wahlmöglichkeit in der AWS Infrastruktur wahrgenommen, sodass die Serverstandorte in Deutschland/ Europa liegen
Wie hoch ist das Risiko des Einsatzes von AWS im Hinblick auf Zugriffsanfragen von Behörden?
AWS veröffentlicht regelmäßig einen Bericht über Informationsanfragen (IRR)2 über die Art und den Umfang der bei ihr eingehenden behördlichen Anfragen. Laut eigener Einschätzung würden die bereitgestellten Informationen zeigen, dass die Offenlegung von Kundendaten durch AWS auf staatliche Informationsanfragen selten sind.
Wie bewerten die Datenschutzbehörden und Gerichte den Einsatz von AWS?
Im März letzten Jahres hat das oberste französische Verwaltungsgericht Conseil d’Etat entschieden, dass die Verwendung von AWS als Provider nicht automatisch dazu führe, dass die Verarbeitung der personenbezogenen Daten gegen die DSGVO verstoße, wenn angemessene zusätzliche Maßnahmen von AWS und dem Kunden ergriffen worden seien. Das Zauberwort heißt hier Verschlüsselung. Kernelement einer datenschutzrechtlich zulässigen Nutzung ist die Verschlüsselung der Daten, so dass AWS im Falle einer Zugriffsanfrage allenfalls verschlüsselte Daten herausgeben kann, ohne selbst den Schlüssel zu besitzen.
Aktuell prüft der Europäische Datenschutzbeauftragte, ob die Nutzung von AWS durch mehrere EU-Institutionen rechtmäßig ist.
Wie lässt sich der Einsatz von AWS möglichst datenschutzkonform gestalten?
Es liegt in der Verantwortung des Kunden von AWS und damit von Ambient Innovation im Rahmen der Infrastruktureinstellungen von AWS Maßnahmen zu treffen, die die datenschutzkonforme Nutzung ermöglichen. Das ist Teil des Modells der geteilten Verantwortung, das AWS implementiert hat.
- AWS-Services im EU-Raum auswählen
AWS bietet sogenannte Regionen an, die wiederum in Availability Zones unterteilt sind und physischen Standorten für die Speicherung von Daten entsprechen. So können beispielsweise die Regionen Irland (eu-west-1) und Frankfurt am Main (eu-central-1) gewählt werden, sodass Instanzen nur dort ausgeführt werden. - Verschlüsseln der Daten (mit persönlichem Bezug)
AWS bietet Verschlüsselungsdienste und -tools, die AWS-Kunden nutzen können, um Kundendaten zu schützen. AWS-Kunden können ihre eigenen Verschlüsselungsschlüssel innerhalb einer Reihe von AWS-eigenen oder Drittanbieter-Verschlüsselungslösungen verwalten.
Laut den Angaben von AWS erleichtert das AWS Key Management Service (KMS), ein verwalteter Service, die Erstellung und Kontrolle Ihrer Verschlüsselungsschlüssel und verwendet FIPS-140-2-zertifizierte Hardware-Sicherheitsmodule (HSMs), um die Sicherheit dieser Schlüssel zu schützen. Alle Anfragen zur Verwendung von Schlüsseln in AWS KMS seien in AWS CloudTrail protokolliert, so dass Kunden nachvollziehen können, wer welchen Schlüssel in welchem Kontext und wann verwendet hat. Ereignisdaten, die in AWS CloudTrail protokolliert werden, können nicht geändert werden. AWS KMS sei so konzipiert, dass weder AWS (einschließlich AWS-Mitarbeiter) noch Drittanbieter von AWS die Möglichkeit haben, Primärschlüssel von Kunden in einem unverschlüsselten Format abzurufen, anzuzeigen oder offenzulegen.
Unverzichtbar ist, in jedem Falle sicherzustellen, dass der Schlüssel für die Daten allein in den Händen von Ambient Innovation als Datenexporteur verbleibt. - Supportfälle auf die Testumgebung beschränken
Sollten es ein Problem mit einer Anwendung geben und der AWS-Support einbezogen werden, sollte das Problem in einer Testumgebung ohne personenbezogene Daten nachgestellt werden. Deshalb betreibt Ambient bei den meisten Anwendungen mindestens zwei getrennte Umgebungen: Eine Produktivumgebung und eine Testumgebung. In der Testumgebung sind fiktive oder pseudonymisierte Daten, welche zum Nachstellen von Probleme genutzt werden können. - Lassen Sie AWS die Implementierung gemäß des WellArchitected Frameworks prüfen
AWS bietet die Prüfung von Umgebungen nach dem sog. „WellArchitected Framework“ an, bei dem unter anderem auch Sicherheitsaspekte (wie z.B. die oben genannte Trennung von Umgebungen) geprüft werden.
Also sollte ich AWS nun benutzen oder nicht?
Die Frage, ob das Hosting von Anwendungen mit personenbezogenen Daten bei AWS pauschal gegen die DSGVO verstößt, ist rechtlich noch nicht abschließend geklärt. Tendenziell sieht es aber so aus, dass insbesondere bei Umsetzung der obigen Maßnahmen keine Verletzung der DSGVO vorliegt.
Letztlich muss jedes Unternehmen die umfangreichen Vorteile von AWS (und anderer US-Cloud-Anbieter) selbst gegen die rechtliche Unsicherheit abwägen. Bei Anwendungen mit sehr sensiblen personenbezogenen Daten (beispielweise Gesundheitsdaten oder Zahlungsdaten) oder solchen, die selbst wieder an viele Unternehmen lizensiert werden (SAAS-Lösungen), kann es sich wegen der Unsicherheit auf Seiten der Nutzer*innen oder Kunden lohnen, eine deutsche Hosting-Alternative (z.B. Open Telekom Cloud) in Betracht zu ziehen.
Bei der Abwägung sollte neben der rechtlichen Situation auch die faktische Sicherheit berücksichtigt werden. AWS ist ein großes und professionelles Unternehmen. Die Wahrscheinlichkeit, dass eine US-Sicherheitsbehörde echtes Interesse an Ihren Daten hat, ist vermutlich gering. So könnten beispielsweise Hacker oder Wettbewerber eine deutlich höhere praktische Gefahr für Ihre Daten darstellen und AWS eine höhere Sicherheit bieten, als kleinere, lokale Alternativen.