EU segnet Datenschutz in Amazon Web Services ab
Datenschutz und Cloud ist nach wie vor ein Thema. Jetzt legt die Artikel-29-Datenschutzgruppe der EU-Datenschutzbehörden eine Prüfung der Datenverarbeitungsvereinbarung von Aamazon Web Services vor und sieht erhebliche Einschränkungen bei der Erfüllung von EU-Datenschutzgesetzen.
Amazon Web Services weist auf eine Prüfung von Vertragsklauseln für Nutzer der eigenen Cloud-Dienste hin. CNPD, die Nationale Datenschutzkommission Luxemburgs, hatte auch im Namen anderer nationaler Datenschutzbehörden in Europa das Vertragswerk des US-Unternehmens unter die Lupe genommen. Gegenstand der Prüfung waren das “Data Processing Addendum” beziehungswise die Datenverarbeitungsvereinbarung sowie der Annex 2 zu den Standardvertragsklauseln von Amazon. Sie genügen laut CNPD den Anforderungen der EU-Datenschutzregeln.
AWS erklärt dazu in einer Pressemitteilung, die EU-Datenschutzbehörde habe die Datenverarbeitungsvereinbarung von Amazon Web Services genehmigt. Werner Vogels, Chief Technology Officer bei Amazon.com. “Indem wir unseren Kunden in Europa und dem Rest der Welt eine DPA anbieten, die von der EU-Datenschutzbehörde abgesegnet wurde, machen wir ganz klar, dass sie von AWS Datenschutz auf höchstem Niveau erwarten können.”
Die Pressemitteilung führt die Abkürzungen ISO 27001, SOC 1, 2, 3 und PCI DSS Level 1 auf. Doch ist ISO 27001 eine internationale Norm aber kein “EU-Gesetz”, SOC 1, 2, 3 sind Vorgaben des AICPA – einer amerikanischen Vereiningung von Wirtschaftsprüfern und PCI DSS Level 1 ist eine Vorgabe der Kreditkartenbranche und damit ebenfalls kein in der EU geltendes Gesetz.
Anwenderunternehmen sollten den fünften Absatz des von der CNPD veröffentlichten Briefes an AWS (PDF) genauer lesen. Dort heißt es: Das positive Ergebnis dieser begrenzten Untersuchung sollte nicht als Beleg dafür missverstanden werden, dass Amazons vertragliche Regelungen als Ganzes den EU-Datenschutzrichtlinien entsprechen oder als Bestätigung dafür, dass AWS in der Praxis generell EU-Datenschutzbestimmungen entspricht.“ Man habe lediglich festgehalten, dass mit dem “Data Processing Addendum” und den Anhängen, AWS “ausreichende vertragliche Zusagen macht, um ein zufolge Artikel 26 der Direktive 95/46/EC legales Rahmenwerk für seine internationalen Datenflüsse bereitzustellen.”
Dennoch lässt die Prüfung Amazons Bemühen erkennen, europäischen Firmenkunden ein Verbrieftes Datenschutzniveau anzubieten. Ein Schritt dazu war vor wenigen Tagen auch die neue Amazon-Region Frankfurt. Damit liefert der US-Konzern nun auch Dienste von Servern in einem Rechenzentrum in Deutschland. Damit sollen Firmen überzeugt werden, die bislang auf Verweis von Datenschutzbestimmungen, die etwa die Speicherung und Verarbeitung von personenbezogenen Daten innerhalb Deutschlands oder der EU vorschreiben, auf eine Weitergabe der Daten an Amazon verzichtet haben. Wie Amazon-Sprecher Jeff Barr erklärt, stehen ab sofort 700 Produkte zur Auswahl, weitere seien in Vorbereitung.
Die Trusted-Cloud-Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi) hat auf der CeBIT erste Details aus dem Pilotprojekt “Datenschutz-Zertifizierung für Cloud-Dienste” vorgestellt. In dieser Arbeitsgruppe sind Sicherheitsexperten aus Industrie, Forschung und Datenschutzaufsichtsbehörden vertreten. Seit anderthalb Jahren arbeiten die Vertreter in dem Gremium einen Anforderungskatalog für Deutschland aus. Ziel dieser Ergänzung der ISO/IEC-Norm 27018 ist die Schaffung einer Grundlage einer datenschutzkonformen Zertifizierung. Diese soll Cloud- Anbieter hinsichtlich des Datenschutzniveaus vergleichbar machen und außerdem Rechtssicherheit im Hinblick auf Verpflichtungen nach den geltenden Datenschutzgesetzen sicherstellen.
Tipp: In einer breit angelegten Serie haben wir einen Überblick über Desktop und Workspace-as-a-Service zusammengestellt. Dort finden Sie auch Marktübersichten und Vergleiche von Leistungsmekrmalen aller derzeit in Deutschland verfügbaren DaaS- und WaaS-Angebote, auch AWS ist hier vertreten:
Der Endgerätetyp wird für die WaaS-Nutzung bedeutungslos
Desktop-as-a-Service und Management – Selber machen ist Trumpf
Desktop-as-a-Service: Sicherheit und Verfügbarkeit wird immer besser
Kleiner Wegweiser durch den Microsoft-Lizenzdschungel
Workspaces: Für jeden Leistungsbedarf die richtige Ausrüstung
Desktop-as-a-Service: Welcher Anbieter hat die beste Infrastruktur?
Desktop-as-a-Service: Verträge gründlich verhandeln und lesen!
WaaS und DaaS: Anbieter und -Produkte im Überblick
Office-365-Anwender überwiegend zufrieden
[mit Material von Peter Marwan, ITespresso.de]