DSGVO und Webhosting bei ausländischen Cloud-Anbietern (Amazon AWS, Google Cloud, Azure, etc.)

[Steve06]

Ich konzentriere mich jetzt hier auf Amazon AWS, aber die Problematik ist bei anderen amerikanischen Anbietern dieselbe.

Es geht um das Hosten von Webseiten und angeschlossener Datenbanken mit Nutzerdaten (Login-Daten, Email, Username, evtl. Geburtsdatum, Posts des Users...).

Wenn ich es richtig verstehe, dann genügt es nicht ein Datenzentrum besagten Anbieters in der EU (z.B. in Frankfurt) zu wählen und man ist fein raus, sondern es bleibt grundsätzlich problematisch, wenn es sich um einen Nicht-EU-Anbieter (ausgehend von der Muttergesellschaft) handelt.

Man muss also wohl einen Auftragsverarbeitungsvertrag (AVV) mit dem US-Anbieter abschließen, wo und wie genau das bei AWS geht konnte ich aber nicht ausfindig machen. Im Netz konnte ich beim Thema AVV und AWS mehrere Verlinkungen auf dieses Dokument finden, aber das ist ja nichts, was unterzeichnet wird, sondern eine Anlage. Daher frage ich mich, ob ein solcher Vertrag durch bloße Akzeptanz der Nutzungsbedingungen von AWS als implizit geschlossen gilt und ein Verweis auf dieses Dokument bei der eigenen Datenschutzerklärung "genügt". Oder weiß sonst wer wo ich den AVV mit AWS abschließe? Auf deren Seite konnte ich keinen Hinweis finden, da ist beim Thema DSGVO alles recht schwammig.

Falls sich jemand bei dem Thema auskennt, wäre ich über Details dankbar.

Grüße
Steve

 

[nexus]

Falls sich jemand bei dem Thema auskennt, wäre ich über Details dankbar.

Frag den Fachanwalt deines Vertrauens...Nur ein zugelassener Jurist darf dir eine Rechtsberatung anbieten.

 

[Thorsten]

In der Regel ist es doch so, dass durch die Nutzung eines Dienstes implizit auch eine AVV geschlossen wird. Die Verantwortung, was mit den Daten passiert, verbleibt ja im Vertragsverhältnis zwischen deinen Kunden und deinen angebotenen Services bei dir. Wenn du dir insbesondere die Bedingungen der großen Cloud Anbieter zu Gemüte führst, wirst du feststellen, dass es sich meist um Ausschlussklauseln handelt. Also wofür der Dienstleister dir gegenüber nicht haftet, dich nicht unterstützt oder dergleichen. Für den Anbieter gilt die Vereinbarung mit Nutzung des Service als vereinbart.

Eine Regelung zur Auftragsdatenverarbeitung brauchst du aber grundsätzlich auch innerhalb der EU. Immer wenn ein Dritter die Daten deiner Nutzer verarbeitet, haben Nutzer ggf. ein Auskunftsrecht.

Kompliziert wird es aus meiner Sicht immer dann, wenn man sich wirklich konkret mit benutzerbezogenen / persönlichen Daten, der Definition von Daten verarbeiten und Datenspeicherung konkret beschäftigt.

 

[Thorsten]

Frag den Fachanwalt deines Vertrauens...Nur ein zugelassener Jurist darf dir eine Rechtsberatung anbieten.

Korrekt, aber eine Diskussion zu diesen Themen ist ja trotzdem erlaubt. Und eine persönliche, nicht juristische, laienhafte Einschätzung (aka persönliche Meinung) ist meiner Meinung nach auch in Ordnung .

 

[Steve06]

Hallo zusammen,
ich schließe mich @Thorsten an, dass ich Beiträge wie den von @nexus nicht hilfreich finde. Mir geht es hier um einen allgemeinen Meinungs- und Erfahrungsaustausch darüber, wie andere Betroffene mit dem o.g. Problem umgehen. Hier ging es nicht um die Rechtsberatung in einem konkreten Streitfall. Daher finde ich so einen Kommentar rauszuhausen, aber nichts inhaltlich beizutragen, unpassend.

So, aber nun zurück zum eigentlichen Inhalt. Ich habe mich kundig gemacht und anbei mein aktueller Wissensstand:
- Mit Urteil des EuGH vom 16.7.2020 ("Schrems II") wurde das Privacy-Shield-Abkommen zwischen den USA und der EU für ungültig erklärt. D.h. rechtlich gesehen ist immer davon auszugehen, dass ein Unternehmen, das selbst ein US-Unternehmen ist oder eine US-Muttergesellschaft hat, auf Verlangen von US-Behörden gezwungen werden könnte, diesen Zugriff auf personenbezogene Daten, die man auf der Infrastruktur speichert oder verarbeitet. Es schafft auch keine Abhilfe, ein Rechenzentrum in der EU des betreffenden Anbieters zu verwenden.
- Eine Verschlüsselung der Daten, die man dort speichert, reicht nicht aus (auch wenn man den Schlüssel außerhalb der Infrastruktur aufbewahren würde), wenn die Daten auf dortigen Servern verarbeitet werden, da die Daten nach der Entschlüsselung im Hauptspeicher des Rechners vorlägen und somit abgefangen werden könnten.
- Auch ein AVV mit von der EU-Kommission vorformulierten Standardklauseln reicht nicht aus.
- Allerdings hat Joe Biden ein neues "Trans-Atlantic Data Privacy Framework" im Oktober 2022 unterzeichnet, das nun der EU-Kommission zur Ratifizierung vorliegt. Somit ist es möglich, dass eine rechtsgültige und rechtlich robuste Vereinbarung in der Zukunft gefunden wird.
==> Mein aktuelles Fazit: Wie auch immer es sich entwickelt, mit personenbezogene Daten sollte man einen Bogen um AWS & co. machen. Eigene Blog-Posts (des Webseitenanbieters) dort zu speichern u. verarbeiten wäre wohl in Ordnung, User-Kommentare vermutlich auch, sofern nur mit einem eigenen User Identifier versehen und die eigentlichen User-Daten außerhalb der US-Infrastruktur vorgehalten werden. In der Praxis bedeutet eine solche Trennung eine zusätzliche Komplexität, die wohl nur in Ausnahmefällen gerechtfertigt ist.

 

[MadMakz]

Meine zwei Pfennige, neben dem Funfact das Deutsche Bundesbehörden AWS nutzen;

rechtlich gesehen ist immer davon auszugehen, dass ein Unternehmen, das selbst ein US-Unternehmen ist oder eine US-Muttergesellschaft ha

Ich denke damit ist der Patriot Act gemeint, welcher der U.S.A. zunächst nur erlaubt Kundendaten zu erfragen die auch auf U.S. Boden liegen.
Also wem z.B. der AWS account gehört, weiterer verdacht anfrage nach Daten auf der Platte usw...
Wenn die Daten Physikalisch nicht auf U.S. Hoheitsgebiet liegen darf auch eine U.S. behörde erst mit zustimmung des jeweiligen Landes darauf zugreifen.
Damit dieser Zustand seitens AWS existieren kann gibt es u.a. (neben Steuervorteilen) die AWS EMEA in Luxemburg die das komplette EU geschäfft betreibt.

Aber;

Mutter ist dennoch 100% AWS Inc, ergo greift bis dahin auch weiter der Patriot Act und ich denke nicht das es eine U.S. Behörde juckt nicht-DSGVO Konforme anfragen zu stellen die dann evtl. einfach beantwortet werden.

...ein neues "Trans-Atlantic Data Privacy Framework" im Oktober 2022 unterzeichnet, das nun der EU-Kommission zur Ratifizierung vorliegt. Somit ist es möglich, dass eine rechtsgültige und rechtlich robuste Vereinbarung in der Zukunft gefunden wird.

Im Endeffekt ein "Cloud Act 2.0" und macht es nur für behördliche Anfragen VON nicht U.S. Staaten einfacher Informationen AUS den USA zu bekommen. In die andere richtung hat man schon immer stark mit den U.S. Diensten gearbeitet z.B. NSA mit BND usw.
Der Patriot Act steht auf U.S. Seite weiterhin über diesem Gesetz.

Auf den dreh und angelpunk "Patriot Act" geht übrigens auch keine einzige "Warum sind wir GDRP Compilant" FAQ irgendeiner solcher Unternehmen ein, dabei ist es genau der Kernpunkt worum sich die Frage nach "DSGVO Konformität" dreht.

Von einem muss man aber ausgehen; Im Zweifel lässt sich so ein Unternehmen wegen verstößen lieber in einer EU verklagen als in den USA.

Für mich persönlich bedeutet das; Benutze AWS & Co. weiterhin vorerst nicht geschäftlich.

 

[Steve06]

Meine zwei Pfennige, neben dem Funfact das Deutsche Bundesbehörden AWS nutzen;

[...]

Im Endeffekt ein "Cloud Act 2.0" und macht es nur für behördliche Anfragen VON nicht U.S. Staaten einfacher Informationen AUS den USA zu bekommen. In die andere richtung hat man schon immer stark mit den U.S. Diensten gearbeitet z.B. NSA mit BND usw.
Der Patriot Act steht auf U.S. Seite weiterhin über diesem Gesetz.

Anbei ein Artikel von 08/2022, dass Behörden in D keine Cloud-Dienste von einer US-Tochter nutzen dürfen: Link

Und hier wird nochmal der Sinn des "Trans-Atlantic Data Privacy Framework" dargelegt. Es geht tatsächlich darum, dass die EU-Seite soweit überzeugt werden soll, das Datenschutzniveau in den USA als hinreichend zu betrachten, so dass die GDPR/DSGVO bei Nutzung solcher Dienste als eingehalten betrachtet werden können. Link

Sollte das realisiert werden können, und zwar so nachhaltig, dass nicht irgendwelche Klagen es wieder kippen, dann haben wir wieder freiere Wahl. Aber natürlich ist das eine die rechtliche Seite, und das andere die Außenwahrnehmung bei den Verbrauchern, für die die Nutzung von US-Hostern wahrscheinlich noch lange Zeit negativ behaftet bleiben wird.