Die Rolle von AWS im Rahmen der DSGVO
Im Rahmen der DSGVO wird AWS sowohl als Datenauftragsverarbeiter als auch als Datenverantwortlicher gesehen.
Gemäß Artikel 32 sind Verantwortliche und Auftragsverarbeiter verpflichtet, „… geeignete technische und organisatorische Maßnahmen“ zu treffen, die „den Stand der Technik, die Implementierungskosten und die Art, den Umfang, und den Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ berücksichtigen. Die DSGVO macht konkrete Vorschläge für eventuell erforderliche Sicherheitsmaßnahmen, darunter:
-
die Pseudonymisierung
und Verschlüsselung personenbezogener Daten; -
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
-
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem Zwischenfall rasch wiederherzustellen;
-
ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
AWS als Datenauftragsverarbeiter
Wenn Kunden und APN-Partner (AWS Partner Network) die AWS-Services zur Verarbeitung personenbezogener Daten verwenden, agiert AWS als Datenauftragsverarbeiter. Kunden und APN-Partner können die Steuermöglichkeiten, die wir in den AWS-Services zur Verfügung stellen – etwa die für Sicherheitskonfigurationen – für die Verarbeitung personenbezogener Daten nutzen. In diesen Fällen kann der Kunde oder APN-Partner als Datenverantwortlicher oder Datenauftragsverarbeiter und AWS als Datenauftragsverarbeiter oder untergeordneter Datenauftragsverarbeiter agieren. Im AWS-Vertragsanhang zur DSGVO-konformen Datenverarbeitung sind die Verpflichtungen von AWS als Datenauftragsverarbeiter dargelegt.
AWS als Datenverantwortlicher
Wenn AWS personenbezogene Daten erhebt und die Zwecke und Verfahren für ihre Verarbeitung bestimmt, agiert das Unternehmen als Datenverantwortlicher. Wenn AWS z. B. Kontoinformationen für die Kontoregistrierung, die Verwaltung und den Zugriff auf Services oder Kontaktinformationen für das AWS-Konto verarbeitet, um über den Kunden-Support Unterstützung anzubieten, agiert das Unternehmen als Datenverantwortlicher.