AWS legt Vereinbarung mit EU-Datenschutzbehörde vor

Cloud
AWS Logo (Bild: Amazon)

Die Artikel-29-Datenschutzgruppe der EU-Datenschutzbehörden hat kürzlich die Datenverarbeitungsvereinbarung von AWS geprüft. Dem Anbieter zufolge erfüllt er damit die EU-Datenschutzgesetze. Die Behörde schränkt das in einem Schreiben jedoch erheblich ein.

Amazon Web Services hat auf eine kürzlich abgeschlossene Prüfung von Vertragsklauseln für Nutzer seiner Cloud-Dienste durch die CNPD, die Nationale Datenschutzkommission Luxemburgs, hingewiesen. Diese war in dem Verfahren federführend für andere, betroffene Datenschutzbehörden in Europa tätig geworden. Gegenstand der Prüfung waren das “Data Processing Addendum” beziehungsweise die Datenverarbeitungsvereinbarung und der Annex 2 zu den Standardvertragsklauseln von Amazon. Sie genügen der CNPD zufolge den Anforderungen der EU-Datenschutzregeln.

AWS erklärt dazu in einer Pressemitteilung, die EU-Datenschutzbehörde habe die Datenverarbeitungsvereinbarung von Amazon Web Services genehmigt. Werner Vogels, Chief Technology Officer bei Amazon.com. “Indem wir unseren Kunden in Europa und dem Rest der Welt eine DPA anbieten, die von der EU-Datenschutzbehörde abgesegnet wurde, machen wir ganz klar, dass sie von AWS Datenschutz auf höchstem Niveau erwarten können.”

Die in der Pressemitteilung aufgeführten Abkürzungen ISO 27001, SOC 1, 2, 3 und PCI DSS Level 1 klingen übrigens vielleicht beeindruckend – fallen aber in die Kategorie “Tarnen und Täuschen” sind aber in dem Zusammenhang nicht relevant: ISO 27001 ist eine internationale Norm aber kein “EU-Gesetz”, SOC 1, 2, 3 sind Vorgaben des AICPA – einer amerikanischen Vereinigung von Wirtschaftsprüfern, und PCI DSS Level 1 ist eine Vorgabe der Kreditkartenbranche – also auch kein “EU-Gesetz”.

Update 1. April 10 Uhr 21: Im vorangehenden Absatz wurden Passagen aufgrund aktualisierter Informationen von Amazon geändert. Die von ITespresso kritisierte Darstellung wurde offenbar durch ein Versehen seitens AWS so kommuniziert – war aber nicht so beabsichtigt.

Für Firmen lohnt sich zudem ein Blick in den fünften Absatz des von der CNPD veröffentlichten Briefes an AWS (PDF). Dort heißt es: Das positive Ergebnis dieser begrenzten Untersuchung sollte nicht als Beleg dafür missverstanden werden, dass Amazons vertragliche Regelungen als Ganzes den EU-Datenschutzrichtlinien entsprechen oder als Bestätigung dafür, dass AWS in der Praxis generell EU-Datenschutzbestimmungen entspricht.” Man habe lediglich festgehalten, dass mit dem “Data Processing Addendum” und den Anhängen, AWS “ausreichende vertragliche Zusagen macht, um ein zufolge Artikel 26 der Direktive 95/46/EC legales Rahmenwerk für seine internationalen Datenflüsse bereitzustellen.”

Dennoch lässt die nun erfolgte Prüfung Amazons bemühen erkennen, europäischen Firmenkunden entgegen zu kommen. Ein Schritt dazu war vor wenigen Tagen auch die neue Amazon-Region Frankfurt. Damit liefert der US-Konzern nun auch Dienste von Servern in einem Rechenzentrum in Deutschland. Damit sollen Firmen überzeugt werden, die bislang mit Datenschutzbedenken argumentierten. Wie Amazon-Sprecher Jeff Barr erklärt, stehen ab sofort 700 Produkte zur Auswahl, weitere seien in Vorbereitung.

Der Einsatz von Cloud Computing in Unternehmen steigt langsam aber sicher. Allerdings nützen im Moment nur 37 Prozent der kleinen Unternehmen Dienstleistungen aus der Cloud. (Grafik: Bitkom).
Der Einsatz von Cloud Computing in Unternehmen steigt langsam aber sicher. Allerdings nützen im Moment nur 37 Prozent der kleinen Unternehmen Dienstleistungen aus der Cloud. (Grafik: Bitkom).
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen