DSGVO-Compliance von AWS-Umgebungen
Dokumente
Zum datenschutzrechtlichen Nachweis der DSGVO-Compliance bei der Nutzung von AWS-Diensten empfehlen wir Ihnen die folgenden AWS-Dokumente:
- AWS stellt seinen Kunden über die Konsole ein Data Processing Addendum (DPA) mit ergänzenden Garantien zur Verfügung, die aufgrund der Schrems-II-Entscheidung und dem Wegfall des Privacy Shield Abkommens benötigt werden. Dies ist die Entsprechung zur Auftragsverarbeitungsvereinbarung (AVV) aus dem EU-Rechtsraum.
- Weiterhin empfehlen wir Ihnen, zum Nachweis der Umsetzung technischer und organisatorischer Maßnahmen (TOMs) das Dokument zur C5-Compliance aus AWS Artifact
- Zusätzliche Informationen zur Umsetzung von Datenschutzmaßnahmen bietet das Dokument „Navigating GDPR Compliance on AWS“
Sprechen Sie gerne Ihren MSU Account Manager an, wenn Sie hierbei Unterstützung benötigen.
Technische und organisatorische Maßnahmen
Aus den obigen Dokumenten ist ersichtlich, dass AWS plattformseitig große Anstrengungen unternimmt, unterschiedlichste Compliance-Anforderungen zu erfüllen. In der individuellen Umsetzung der Architektur Ihrer Services sind einige Punkte von besonderer Bedeutung. Hinweise zur konkreten Umsetzung in Ihrer von MSU gemanagten AWS-Umgebung erhalten Sie von Ihrem MSU Account Manager oder, je nach gebuchtem SLA, über die entsprechende Servicedokumentation.
Data-at-Rest Encryption
Um AWS standardmäßig die Möglichkeit zu nehmen, direkten Einblick in Ihre gespeicherten Daten zu erhalten, sollten die angelegten Datenträger verschlüsselt werden.
Data-in-Transit Encryption
Zur Absicherung des Datenverkehrs sollte dieser immer verschlüsselt werden. Dies betrifft sowohl Webserver-Traffic, als auch FTP-Verbindungen und Remote Access-Verbindungen.
Benutzer- und Rechtekonzept
Es muss ein klares Konzept vorliegen, welche Benutzer mit welchen Rechten ausgestattet werden. Dieses Konzept sollte dem Least-Privileges-Prinzip folgen, d.h. jeder Benutzer / Rolle bekommt nur genau die Rechte, die unbedingt zur Aufgabenerfüllung benötigt werden. Genauere Details regelt Ihre Servicevereinbarung.
Passwort-Policy
Passwörter sollten einem regelmäßigen Austausch unterliegen. Genauere Details regelt Ihre Servicevereinbarung.