Ist AWS wirklich nicht DSGVO-konform?

Mit Komplexität: "Es kommt drauf an". Europäisches Hosting ist klarer.

Müssen wir zu AXISPORT migrieren?

Nein, aber bewertet risiko mit deinem DPO.

SaaS & Hosting

DSGVO und Cloud – Warum US-Hosting ein Problem ist

Kevin KrögerSaaS & Hosting

Deutsche und EU Unternehmen mit US-Hosting haben ein großes Problem: Schrems II. Nach Schrems II ist es rechtlich schwierig, Personendaten in die USA zu transferieren. Aber die meisten Cloud-Provider (AWS, Azure, Google Cloud) hosten in der USA. Das ist ein großes DSGVO-Risk.

Was ist Schrems II?

Der Fall "Schrems II" (Herbst 2020) hat entschieden: - EU-Personendaten dürfen nicht automatisch in die USA - Die USA haben zu viel Government Surveillance - Du brauchst spezifische Maßnahmen wenn du in die USA transferierst Das bedeutet: AWS, Azure, Google Cloud sind per se nicht DSGVO-konform wenn du sensitiv Personal Data hast.

Das Problem mit AWS, Azure, Google Cloud

Diese Provider hosten in den USA. Wenn deine Datenbank in `us-east-1` (Virginia, USA) ist, sind deine Daten in der USA. Nach Schrems II ist das problematisch für: - Kunden-Namen, Adressen - Email Adressen - Password Hashes - Payment Information - Medical Data - Anything identifiable

Die "Standardverträge" Diskussion

AWS, Microsoft, Google sagen: "Wir haben Standard Contractual Clauses (SCCs). Das makes it legal." Das ist nicht ganz wahr. SCCs sind Teil der Lösung, aber nicht die gesamte Lösung. In Deutschland haben es Datenschützer (z.B. Bayern) gesagt: AWS mit SCCs allein ist nicht ausreichend.

Was ist die Lösung?

Option 1: Daten in Europa hosten Nutze AWS EU Region (Frankfurt) oder andere europäische Cloud Provider. Das ist technisch möglich. AWS Europe ist auf GDPR-konform. Aber: Die USA könnte immer noch Server beschlagnahmen (per Executive Order 12333). Das ist risk management, nicht compliance. Option 2: Eigener Server in Europa Hoste deine Infrastruktur auf deinem eigenen Server in Deutschland/Europa. Das ist am sichersten. Du hast volle Kontrolle. Aber: Teuer, weniger flexible als Cloud, du brauchst ein DevOps Team. Option 3: Hybrid Hoste in Europa, aber nutze US-Tools nur für nicht-sensitive Daten. Beispiel: Customer Data in Europa, Analytics in USA.

AXISPORT's Ansatz

Bei AXISPORT hosten wir auf unseren eigenen Servern in Deutschland. Warum? - DSGVO-konform by default - Volle Kontrolle - Für Mittelständler: Billiger als AWS - No US Surveillance Risk Das ist unsere Philosophie.

Häufige Fehler

1. "AWS Frankfurt ist in Europa, also safe" – Nein, AWS ist US-Unternehmen 2. "Wenn wir Contracts haben, dann ist es okay" – Falsch, Schrems II macht das kompliziert 3. "Kleine Unternehmen sind safe" – Nein, DSGVO gilt für alle 4. "Bußgelder sind selten" – Falsch, Datenschützer sind aktiv

Die Zukunft

Die Diskussion wird intensiver. Die EU entwickelt "Digital Sovereignty" – nicht abhängig von US-Cloud. Es gibt mehr europäische Alternativen (Hetzner, OVH, Scaleway). Für neue Projekte: Denke über europäische Hosting nach.