AWS Cloud Services und Datenschutz – Was Webseitenbetreiber wissen müssen

Nutzt ein Webseitenbetreiber Amazon Web Services (AWS) zur Speicherung und Verarbeitung von Daten, agiert AWS als Auftragsverarbeiter und verarbeitet Daten zum Zweck der Erbringung von Cloud-Infrastruktur-Services auf Basis von Vertragserfüllung und berechtigten Interessen. AWS ist einer der weltweit größten Cloud-Infrastruktur-Anbieter und bietet Hosting, Speicherung, Datenbanken und viele weitere Services an. Diese Datenschutzerklärung richtet sich an Webseitenbetreiber und erläutert, welche Angaben zu AWS rechtlich in die eigene Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von AWS Cloud Services

Amazon Web Services (AWS) ist eine umfassende Cloud-Computing-Plattform, die Webseitenbetreibern ermöglicht, ihre Anwendungen, Datenbanken und Speicher in der Cloud zu hosten, statt auf lokalen Servern. AWS bietet Services wie:

• Compute: EC2 (Virtual Machines), Lambda (Serverless Computing)
• Storage: S3 (Objektspeicher), EBS (Block Storage)
• Datenbanken: RDS (relational), DynamoDB (NoSQL)
• Netzwerk: CloudFront (CDN), Route 53 (DNS)
• Sicherheit: KMS (Verschlüsselung), IAM (Zugriffskontrolle)

Wenn ein Webseitenbetreiber AWS nutzt, speichert er seine Website-Daten, Anwendungen und Benutzerdaten in AWS-Rechenzentren. AWS verarbeitet diese Daten gemäß den Anweisungen des Webseitenbetreibers und tritt als Auftragsverarbeiter auf.

Die Integration erfolgt durch Verträge zwischen dem Webseitenbetreiber und AWS. Der Webseitenbetreiber konfiguriert, welche Services er nutzen möchte, und AWS stellt die Infrastruktur und Sicherheitsmaßnahmen bereit.

B. Pflichtangaben in der Datenschutzerklärung zu AWS Cloud Services

Nach DSGVO Art. 13 Abs. 1 lit. c muss ein Webseitenbetreiber die Zwecke der Verarbeitung offenlegen. Art. 13 Abs. 1 lit. d verlangt die Rechtsgrundlagen, Art. 13 Abs. 1 lit. e die Empfänger oder Kategorien von Empfängern. Art. 13 Abs. 1 lit. f fordert, dass Drittlandtransfers (z. B. in die USA) offengelegt und begründet werden.

Hinweis: AWS ist ein universeller Cloud-Anbieter, der viele Dienste umfasst. Ein themenorientierter Ansatz ist hier erforderlich: Unter „Hosting und Cloud-Infrastruktur" oder „Speicherung personenbezogener Daten" sollte erläutert werden, dass AWS genutzt wird und welche Daten dort verarbeitet werden. Ein Empfänger-Anhang zur Datenschutzerklärung schafft Klarheit.

C. Anbieter von AWS Cloud Services

Juristischer Name (EU): Amazon Web Services EMEA SARL
Anschrift: 38 Avenue John F. Kennedy, L-1855 Luxemburg
Sitzland: Luxemburg (Europäischer Wirtschaftsraum)
Juristischer Name (weltweit): Amazon Web Services Inc.
Sitzland (weltweit): USA (Seattle, Washington)
Rolle: Auftragsverarbeiter (Data Processor)

DPA-Status: Amazon Web Services EMEA SARL ist nicht DPF-zertifiziert. Allerdings stellt AWS ein umfassendes AWS Data Processing Addendum (AWS DPA) bereit, das auf Standard Contractual Clauses (SCC) für Drittlandtransfers basiert. Das DPA dokumentiert AWS als Auftragsverarbeiter und regelt die Verarbeitung personenbezogener Daten gemäß DSGVO.

Datenschutzerklärung: https://aws.amazon.com/de/privacy/

GDPR Center: https://aws.amazon.com/compliance/eu-data-protection/

Data Processing Addendum (DPA/AVV): AWS stellt ein standardisiertes DPA bereit, das Webseitenbetreiber abschließen müssen. Das DPA regelt die Verarbeitung personenbezogener Daten als Auftragsverarbeiter, Subprozessoren, Drittlandtransfers, Datensicherheit und Betroffenenrechte.

D. Datenverarbeitung durch AWS Cloud Services – Ablauf

E. Erhobene Daten beim Einsatz von AWS Cloud Services

AWS verarbeitet die Daten, die der Webseitenbetreiber selbst hochlädt oder übermittelt. Abhängig vom genutzten Service können diese sehr unterschiedlich sein:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adressen, Anfrage-Metadaten, Fehler-Logs, Zugriffsprotokolle
• Anwendungsdaten: Website-Inhalte, Quellcode, Konfigurationsdaten, API-Schlüssel (sollten verschlüsselt sein)
• Benutzerdaten: Kundendaten, Authentifizierungsdaten, Kontaktinformationen, je nachdem was der Betreiber speichert
• Transaktionsdaten: Zahlungsdaten, Bestelldaten, Buchungsdaten (sollten verschlüsselt sein)
• Technische Metadaten: Dateigrößen, Änderungsdatum, Zugriffskontrolle, Verschlüsselungsstatus
• Backup- und Wiederherstellungsdaten: Redundante Kopien für Ausfallsicherheit

Die genaue Zusammensetzung hängt davon ab, welche Services der Webseitenbetreiber nutzt und welche Daten er hochlädt. AWS verarbeitet primär Daten auf Anweisung des Betreibers, nicht eigenständig.

Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (AWS dokumentiert seine Datenverarbeitung in umfangreichen Compliance-Dokumentationen).

F. Nutzungszwecke beim Einsatz von AWS Cloud Services

AWS wird in der Regel zu folgenden Zwecken eingesetzt:

• Funktionsbereitstellung: Hosting der Website, Ausführung von Anwendungen, Speicherung von Daten
• Verfügbarkeit und Ausfallsicherheit: Redundanz, Backups, Disaster Recovery
• Sicherheit und Missbrauchsschutz: Sicherheitsüberwachung, Angriffserkennung, Verschlüsselung
• Leistungsoptimierung: Load Balancing, Caching, Performance Monitoring
• Compliance: Compliance-Reporting, Audit-Logs, Datenschutz-Dokumentation

G. Rechtsgrundlagen für AWS Cloud Services

AWS Cloud Services sind ein Infrastruktur-Service. Für die Datenverarbeitung sind folgende Rechtsgrundlagen relevant:

1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Nutzung von AWS ist typischerweise erforderlich, um die Website oder digitale Services zu betreiben. Die Verarbeitung ist somit zur Erfüllung des Vertrags mit Besuchern/Kunden notwendig.

2. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Soweit AWS für Sicherheit, Verfügbarkeit und Leistungsoptimierung eingesetzt wird, können berechtigte Interessen des Webseitenbetreibers herangezogen werden.

Hinweis: Eine Einzelfallprüfung ist notwendig. AWS-Nutzung erfordert in der Regel keine explizite Einwilligung, sondern wird über Vertragserfüllung oder berechtigte Interessen begründet.

H. Besonderheiten und Hinweise zu AWS Cloud Services

• DPF-Status und SCC: AWS EMEA SARL ist nicht DPF-zertifiziert. AWS stützt sich auf Standard Contractual Clauses (SCC) für Drittlandtransfers. Das AWS DPA dokumentiert dies. Der Webseitenbetreiber sollte sichern, dass ein aktuelles DPA vorliegt.
• Drittlandtransfers: AWS-Daten können in USA-Regionen verarbeitet werden, wenn der Webseitenbetreiber dies konfiguriert. Der Betreiber sollte bei sensiblen Daten EU-Regionen wählen (z. B. Frankfurt).
• Subprozessoren: AWS nutzt Subprozessoren (z. B. für Backup, Logging, Sicherheit). Eine Liste ist in AWS-Dokumentation verfügbar.
• Datensicherheit: AWS implementiert umfangreiche Sicherheitsmaßnahmen (ISO 27001, SOC 2, Encryption, etc.) und dokumentiert diese in Compliance-Reports.
• Kundenkontrolle: Der Webseitenbetreiber behält vollständige Kontrolle über die Daten und kann diese zu jeder Zeit abrufen, modifizieren oder löschen.
• Schrems-II-Compliance: AWS bietet Tools und Dokumentation zur Compliance mit dem Schrems-II-Urteil (z. B. Encryption, contractual safeguards, supplementary measures).

I. FAQ zu AWS Cloud Services

J. Fazit und Empfehlungen zu AWS Cloud Services

AWS Cloud Services sind essenzielle Infrastruktur-Tools für Websites und digitale Anwendungen. Datenschutzrechtlich ist AWS als Auftragsverarbeiter zu behandeln, da AWS die Daten gemäß den Anweisungen des Webseitenbetreibers verarbeitet und keinen eigenständigen Zweck hat.

Ein vollständiges Data Processing Addendum (DPA) zwischen dem Webseitenbetreiber und AWS EMEA SARL ist erforderlich. Das DPA regelt die Verarbeitung personenbezogener Daten, Subprozessoren, Drittlandtransfers und Sicherheitsmaßnahmen.

Ein themenorientierter Ansatz in der Datenschutzerklärung, der unter „Hosting und Cloud-Infrastruktur" erklärt, dass AWS für das Hosting genutzt wird, ist ausreichend. Ein Empfänger-Anhang zur Datenschutzerklärung erhöht die Klarheit zusätzlich.

Webseitenbetreiber sollten bei der Konfiguration von AWS darauf achten, dass EU-Regionen für sensible Daten gewählt werden und dass verschlüsselte Verbindungen und Zugriffskontrolle implementiert sind.