itemis Blog

Wie man nicht zu verhindernde Datenschutz-Inspektionen verhindert

Geschrieben von Rainer Klute | 02.07.2019

Wer seine Cloud-Anwendung bei einem Dienstleister betreibt und personenbezogene Daten verarbeitet – und seien es nur die IP-Adressen der Nutzer –, hat das Recht, in Räumen und Rechenzentren des Dienstleisters Vor-Ort-Inspektionen durchzuführen. Dieser Artikel beschreibt, wie sich Amazon Web Services (AWS) dem zu entziehen versucht, ohne gegen die DSGVO zu verstoßen.

Amazon Web Services (AWS) ist einer der ganz Großen im Cloud-Business. In zahlreichen sogenannten Verfügbarkeitszonen rund um die Welt betreibt AWS große Rechenzentren. Dort können Kunden Rechnerkapazität mieten und ihre Cloud-Anwendungen betreiben.

Cloud-Anwendungen verarbeiten typischerweise personenbezogene Daten; auch die IP-Adressen der Zugreifer zählen dazu. Das macht diejenigen Betreiber von Cloud-Anwendungen, die der Europäischen Datenschutzgrundverordnung (DSGVO) unterliegen, zu Verantwortlichen im Sinne des Datenschutzrechts. AWS ist dann ein sogenannter Auftragsverarbeiter und muss Audits durch den Verantwortlichen zulassen und dazu beitragen.

Nicht ohne meinen Vertrag

Verantwortlicher und Auftragsverarbeiter können nicht einfach so loslegen und personenbezogene Daten verarbeiten, sondern müssen zuvor einen Vertrag abschließen. Welche Regelungen dieser Vertrag zwingend enthalten muss, legt die DSGVO in Artikel 28 Absatz 3 fest.

Auch wenn die Datenverarbeitung auf den Anlagen eines Auftragsverarbeiters stattfindet, bleibt der Verantwortliche – nomen est omen – dafür verantwortlich. Verstößt der Auftragsverarbeiter gegen Datenschutzbestimmungen, ist es der Verantwortliche, der das Bußgeld zahlen muss. Die DSGVO legt daher großen Wert darauf, dass der Verantwortliche seine Verantwortung nicht nur theoretisch auf dem Papier besitzt, sondern auch tatsächlich und praktisch wahrnehmen kann.

Insbesondere räumt die DSGVO in Artikel 28 Absatz 3 Buchstabe h) dem Verantwortlichen in Bezug auf seine Auftragsverarbeiter umfassende Informationsrechte ein. Dies schließt ausdrücklich das Recht ein, Inspektionen beim Auftragsverarbeiter vor Ort durchzuführen und sich ein Bild zu machen.

AWS: Inspektionen unerwünscht

Für AWS ist das ziemlich blöd. Einerseits will man nicht, dass Kunden durch die Rechenzentren laufen. Andererseits will man mit Kunden in der Europäischen Union (EU) beziehungsweise im Europäischen Wirtschaftsraum (EWR) Geschäft machen und muss sich daher an die DSGVO halten.

Was tun?

AWS hat sich eine vertragliche Konstruktion überlegt, die die Kunden aus den Rechenzentren heraushalten soll und trotzdem mit der DSGVO verträglich ist. Wie das funktioniert, erkläre ich im Folgenden.

Für das Vertragsverhältnis zwischen AWS und allen Kunden gilt zum einen die ganz normale AWS Kundenvereinbarung. Für AWS-Kunden, die als Verantwortliche oder Auftragsverarbeiter der DSGVO unterliegen, gilt außerdem das AWS GDPR Data Processing Addendum (DPA). Ein wesentlicher Bestandteil des DPA sind die von der EU-Kommission genehmigten Standarddatenschutzklauseln, auch als Standardvertragsklauseln bekannt.

Standardvertragsklauseln ermöglichen Datenübermittlung ins Drittland

Diese Klauseln machen die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation zulässig, weil sie gemäß Artikel 46 Absatz 2 Buchstabe c) DSGVO sogenannte geeignete Garantien darstellen. Sie dehnen sozusagen die Regelungen der DSGVO bis zu Auftragsverarbeitern aus, auch dorthin, wo die Europäische Union keine Gesetzgebungskompetenz besitzt. Falls ein solcher Auftragsverarbeiter weitere Auftragsverarbeiter hinzuzieht, muss er mit diesen Verträge schließen, die ebenfalls DSGVO-konform sind und die Standardvertragsklauseln enthalten.

Dies soll den Datenschutz über sämtliche Auftragsverarbeiter hinweg sicherstellen. Damit das funktioniert, dürfen die Standarddatenschutzklauseln nicht verändert werden, sondern müssen so, wie sie sind, in den jeweiligen konkreten Vertrag übernommen werden.

Zurück zu den Inspektionen. Wie wir gesehen haben, billigt die DSGVO in Artikel 28 Absatz 3 Buchstabe h) dem Verantwortlichen das Recht auf Inspektionen zu. Und nicht nur das: Sie legt auch fest, wer diese Inspektionen durchzuführen hat, nämlich der Verantwortliche selbst oder ein von ihm beauftragter Prüfer. Die DSGVO verpflichtet Auftragsverarbeiter in der EU unmittelbar, Inspektionen zuzulassen und dazu beizutragen.

Der Datenexporteur prüft selbst oder bestimmt den Prüfer

Die Standarddatenschutzklauseln geben diese Verpflichtung an Auftragsverarbeiter im Drittland weiter und zwar in Form einer vertraglichen Regelung, konkret: in Klausel 5 Buchstabe f). Danach verpflichtet sich der Datenimporteur (in diesem Fall: AWS), dass er „auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden“.

AWS hätte das gern anders. Wie genau, führt das Unternehmen in Absatz 10 des DPA aus: AWS möchte mindestens einmal im Jahr selbst ein Audit durchführen lassen. Ergebnis dieser Inspektion sei ein Prüfbericht, den der Kunde unter dem Siegel der Verschwiegenheit erhalten kann.

AWS will sich selbst prüfen

Damit soll es dann aber auch genug sein. Irgendwelche Kunden oder deren Beauftragte in den Rechenzentren? Nein, lieber nicht! Das regelt AWS in Absatz 11 der DPA wie folgt:

Customer Audits. Customer agrees to exercise any right it may have to conduct an audit or inspection, including under the Standard Contractual Clauses if they apply, by instructing AWS to carry out the audit described in Section 10. If Customer wishes to change this instruction regarding the audit, then Customer has the right to request a change to this instruction by sending AWS written notice as provided for in the Agreement. If AWS declines to follow any instruction requested by Customer regarding audits or inspections, Customer is entitled to terminate this DPA and the Agreement. If the Standard Contractual Clauses apply, nothing in this Section varies or modifies the Standard Contractual Clauses nor affects any supervisory authority’s or data subject’s rights under the Standard Contractual Clauses.”

Auf Deutsch

Kundenaudits. Der Kunde erklärt sich damit einverstanden, von seinem Recht auf Durchführung eines Audits oder einer Inspektion, auch im Rahmen der Standardvertragsklauseln, Gebrauch zu machen, indem er AWS beauftragt, das in Absatz 10 beschriebene Audit durchzuführen. Falls der Kunde diese Anweisung bezüglich des Audits ändern möchte, ist er berechtigt, eine Änderung dieser Anweisung durch Zusendung einer schriftlichen Mitteilung an AWS zu verlangen, wie im Vertrag vorgesehen. Verweigert AWS die Befolgung der vom Kunden angeforderten Anweisungen zu Audits oder Inspektionen, ist der Kunde berechtigt, dieses DPA und den Vertrag zu kündigen. Sofern die Standardvertragsklauseln Anwendung finden, ändert oder modifiziert dieser Absatz die Standardvertragsklauseln nicht und berührt auch nicht die Rechte einer Aufsichtsbehörde oder einer betroffenen Person gemäß der Standardvertragsklauseln.«

Okay. Das müssen wir in einfaches Deutsch übersetzen und ein wenig zusammenfassen. Dann steht da:

  1. Wenn du uns inspizieren willst, dann beauftragst du uns mit der Durchführung.
  2. Wenn dir das nicht passt, dann teile uns schriftlich mit, wie du dir das stattdessen vorstellst.
  3. Wenn wir mit deinem Vorschlag nicht einverstanden sind, dann kannst du deinen Vertrag kündigen.

Punkt 1 lassen wir uns einmal auf der Zunge zergehen: AWS will AWS inspizieren! Ernsthaft? Wie war das doch gleich mit dem Bock und dem Gärtner? Selbst dann, wenn AWS die Inspektion nicht durch eigenes Personal durchführen lässt, sondern »unabhängige Sicherheitsexperten« damit beauftragt, wäre dies ein massiver Einschnitt in die Rechte des Verantwortlichen, die ihm die DSGVO einräumt.

Für eine Prüfung anderer Art, zum Beispiel durch den Kunden selbst, legt AWS die Hürden höher (Punkt 2) und droht damit, den Vertrag zu kündigen (Punkt 3). Halt, nein, das stimmt nicht! AWS droht nicht mit Kündigung, sondern räumt dem Kunden ein Sonderkündigungsrecht ein. Ein wichtiger Unterschied!

Alles nur Spaß!

Wie wir gesehen haben, suggeriert AWS dem Kunden: »Nö, du kannst nicht selbst inspizieren oder inspizieren lassen. Wenn dir das nicht passt, dann geh doch!« Damit hätte der Verantwortliche aber keine echte Wahlfreiheit mehr. Er könnte seiner Verantwortung gemäß Artikel 28 DSGVO nicht nachkommen, und der Schutz der personenbezogenen Daten, die AWS im Auftrag des Verantwortlichen verarbeitet, wäre nicht mehr gegeben. Das wäre unzulässig und ein Datenschutzverstoß.

Aber die Justiziare von AWS sind ja nicht blöd. Sie wissen, dass das unzulässig wäre. Daher sagen sie so etwas ja auch nicht. Vielmehr versuchen sie nur, beim Kunden den entsprechenden Eindruck zu erwecken, damit dieser sein Recht auf Inspektionen nicht wahrnimmt. Damit keine rechtlichen Unklarheiten bleiben, hat AWS noch einen Satz angehängt:

Sofern die Standardvertragsklauseln Anwendung finden, ändert oder modifiziert dieser Absatz die Standardvertragsklauseln nicht und berührt auch nicht die Rechte einer Aufsichtsbehörde oder einer betroffenen Person gemäß der Standardvertragsklauseln.«

Auf Deutsch: »April, April! War alles nur Spaß!« Schauen wir uns das näher an:

»Sofern die Standardvertragsklauseln Anwendung finden«, formuliert AWS. Was denn nun? Finden sie Anwendung oder nicht? Ja, selbstverständlich tun sie das! Sie sind ja Bestandteil des DPA. Und das DPA wiederum gilt gerade und ausdrücklich für AWS-Kunden, die der DSGVO unterliegen. Es geht gar nicht anders! Im Verhältnis zwischen dem Datenexporteur und AWS als Auftragsverarbeiter müssen die Standardvertragsklauseln gelten. Denn sie sind es, die die geeigneten Garantien für die Übermittlung personenbezogener Daten an AWS darstellen.

Verantwortliche haben jedes Recht auf Inspektion der AWS-Rechenzentren

Genau das stellt der letzte Satz von Absatz 11 des AWS-DPA ausdrücklich fest: „… ändert oder modifiziert dieser Absatz die Standardvertragsklauseln nicht.“ Nein, natürlich tut er das nicht! Was folgt daraus? Die Standardvertragsklauseln gelten uneingeschränkt. Was wiederum folgt daraus? Das Recht des Verantwortlichen, eine Vor-Ort-Inspektion vorzunehmen, gilt uneingeschränkt.

Gut, man könnte hier pingelig sein und darauf hinweisen, dass die Standarddatenschutzklauseln keine Anwendung zu finden brauchen, wenn Verantwortliche AWS-Rechenzentren inspizieren wollen, die in der EU angesiedelt sind oder in einem Land, für das eine Angemessenheitsentscheidung der EU-Kommission gemäß Artikel 45 DSGVO vorliegt. Das Ergebnis wäre dasselbe: Der Verantwortliche hat jedes Recht, das Rechenzentrum zu inspizieren.

Verschleierungstaktik

AWS tut alles in seinen Kräften Stehende, um diese Tatsache möglichst gut vor dem Kunden zu verschleiern:

  • Da ist das freundliche Angebot, die AWS-Dienste nicht mehr zu nutzen. Mancher wird sich davon ins Boxhorn jagen lassen. »Vielen Dank für das Sonderkündigungsrecht«, wäre die angemessene Reaktion des Kunden. »Ich will meinen Vertrag aber gar nicht kündigen. Und ich will mir immer noch euer Rechenzentrum anschauen.«
  • Der Konditionalsatz »sofern die Standardvertragsklauseln Anwendung finden …« verunsichert AWS-Kunden über die rechtliche Situation. Jedenfalls sorgt er eher für Irritation als für Klarheit.
  • Schließlich betont AWS, die Rechte einer Aufsichtsbehörde oder einer betroffenen Person seien nicht berührt. Dieser Hinweis ist ebenso richtig wie überflüssig. Aus AWS-Sicht ist er dennoch nützlich, lenkt er doch von der entscheidenden Tatsache ab, dass die Rechte des Verantwortlichen ebenfalls nicht berührt werden!

Fazit

Der gesamte Absatz 11 der AWS-DPA ändert an der durch die DSGVO geschaffenen rechtlichen Situation überhaupt nichts, vom Sonderkündigungsrecht des Kunden einmal abgesehen. Er enthält schwer zu durchschauendes Geschwurbel und dient meines Erachtens nur dem einen Zweck, beim Kunden den Eindruck zu erwecken, er habe kein Recht auf Inspektionen, während er dieses Recht aber sehr wohl besitzt. Bei genauem Lesen schränkt Absatz 11 DPA dieses Recht nicht ein – kann dieses Recht nicht einschränken – und sagt das auch. Der Absatz hat also keine Auswirkungen und könnte komplett entfallen.

Insgesamt ist das AWS-DPA meiner Einschätzung nach DSGVO-konform, dürfte aber dennoch den Zweck erfüllen, Verantwortliche von Inspektionen abzuhalten.