Die Auftragsdatenverarbeitungsvereinbarung bei Amazon Web Services – ein steiniger Weg

Gregor Stief
2 min.

Amazon Web Services, Inc. („AWS“) bietet Unternehmen Cloud-Computing an. Dadurch benötigen Unternehmen keine eigene IT-Infrastruktur mehr (Speicherplatz, Rechenleistung, …), sondern können die Daten ihrer Kunden auf den Servern von AWS speichern.

Die personenbezogenen Daten verlassen damit den Unternehmenskosmos und AWS speichert die Kundendaten im Auftrag des jeweiligen Unternehmens.

AWS betreibt unter anderem auch Server in der Region Frankfurt und damit in Deutschland.

Rechtliche Ausgangslage

Durch die Übertragung von Daten auf unternehmensexterne Server liegt eine Auftragsdatenverarbeitung nach § 11 BDSG vor.

„Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. (…)“

Die Speicherung der Kundendaten auf Servern von AWS stellt eine Verarbeitung von personenbezogenen Daten durch andere Stellen dar.

Nach § 11 II 2 BDSG muss einer solchen Auftragsdatenverarbeitung zwischen AWS und dem Unternehmen eine schriftliche Vereinbarung zugrunde liegen, eine sog. Auftragsdatenverarbeitungsvereinbarung (ADV).

Der Weg zur ADV in 5 Schritten

Bei einem unserer letzten Mandate haben wir den Weg bis zum Abschluss der ADV mitbegleitet und dadurch den Prozess bei Amazon mitverfolgen können.

  1. Schritt: Kontaktaufnahme

Die Kontaktaufnahme unsererseits erfolgte zunächst über das Kontaktformular. Wir stellten die Anfrage, ob bereits eine Muster-ADV von AWS zur Verfügung gestellt wird.

Ein Mitarbeiter von AWS rief uns aus München telefonisch zurück und bestätigte uns, dass es eine ADV mit Bezug zum BDSG gibt. Diese konnte jedoch nur auf Antrag gewährt werden und unterscheidet sich auch von dem „AWS Data Processing Addendum“, welche für eingeloggte Kunden hier verfügbar ist.

  1. Schritt: E-Mail mit Kontaktdaten an AWS

AWS fordert per E-Mail uns zur Mitteilung folgender Daten auf:

-Name und Rechtsform des Unternehmens

– Vollständige Anschrift

– Account ID (Zahlenfolge, im Unterpunkt „My Account” einsehbar)

Auf unseren Hinweis, dass der Abschluss einer ADV für den Einsatz von Google Analytics deutlich leichter funktioniere und dort unter dem Link verfügbar sei, begann AWS mit seiner Rechtsabteilung über die Veränderung der Prozesse zu sprechen.

  1. Schritt: Missverständnisse

Nachdem unsere Kontaktperson von AWS abwesend war, erhielten wir von einer Vertretung den öffentlichen Link zum „AWS Data Processing Addendum“. Nach weiterem E-Mail-Verkehr und dem Hinweis, dass wir eine ADV mit Bezug zum BDSG beantragt haben und der Rückkehr unserer ursprünglichen Kontaktperson, erhielten wir das „AWS Data Processing Addendum (GERMANY)“ mit der Bitte um Rücksendung.

  1. Schritt: Rücksendung und Unterzeichnung

Wir wollten das AWS Data Processing Addendum (GERMANY) unterschrieben und in zweifacher Ausfertigung zurücksenden. Das Problem war nur, dass keine Rücksendeadresse genannt war. Wir wiesen AWS darauf hin, dass wir die ADV nicht einfach per E-Mail zurücksenden können, da beide Parteien eine eigenhändige Unterschrift unter das Vertragsdokument setzen müssen, um dem Schriftformerfordernis des § 11 II 2 BDSG zu genügen.

Daraufhin teilte uns AWS mit, dass der Prozess für diese Anfrage neu mit der Vertragsabteilung definiert werde.

Als Rücksendeadresse wurde uns nun die Folgende genannt:

Amazon Web Services Germany GmbH

Zu Haenden: David Weiner

Krausenstrasse 38

D-10117 Berlin

  1. Schritt: Abschluss des Prozesses

Um den Prozess zur Vereinbarung der ADV datenschutzkonform abzuschließen, muss nun wiederrum AWS beide Ausfertigungen unterzeichnen und ein Exemplar zurücksenden. Wir können nur hoffen, dass der rechtskonforme Einsatz der Cloud-Lösungen bei AWS durch die Veränderung der Prozesse nun einfacher abläuft und hoffen auf interessante Erfahrungsberichte der Leser unseres Blogs.

__

Titelbild (CCO Public Domain)

__

Über den Autor

Rechtsanwalt Gregor Stief unterstützt internationale Konzerne im Finanz- und Versicherungssektor bei der Umsetzung von Anforderungen aus der EU-DSGVO und ist daher der optimale Ansprechpartner im Bereich Datenschutzrecht. Er sorgt aber ebenso bei Start-up-Unternehmen für einen abmahnsicheren Einstieg in die Geschäftswelt und übernimmt die vielfältigen Vertragsgestaltungen wie beispielsweise den sog. "WebCheck" - also die Überprüfung von Webseiten, Datenschutzerklärung, AGB, Impressum oder ADV bei Cloud-Lösungen

Kommentieren Sie diesen Beitrag!