Hallo zusammen,
wir nutzen über einen Dienstleister deren Software, die auf AWS Servern läuft.
Muss ich nun mit dem Dienstleister eine AVV oder mit Amazon eine AVV abschließen?
Hallo @Hippo ,
meiner Einschätzung nach handelt es sich hier bei AWS um einen Subunternehmer, der von Deinem Dienstleister eingebunden wird. Ihr müsst einen AVV mit dem von Euch beauftragtem Dienstleister abschließen und in diesem die generelle Einbindung von Unterauftragnehmern regeln.
Dabei muss immer sichergestellt werden, dass die im AVV abgestimmten Vorgaben zur Verarbeitung auch immer an die betreffenden Unterauftragnehmer “durchgereicht” werden. Außerdem müssen die eigenen Kontrollrechte als Verantwortlicher auch für die Unterauftragnehmer vereinbart werden.
Wenn die vorhandenen Regelungen zwischen Eurem Dienstleister und AWS bereits ausreichend sind - dies ist natürlich immer abhängig von der Art der Verarbeitung und den betroffenen Datenkategorien - kann die Unterbeauftragung von AWS bereits im AVV mit dem Dienstleister genehmigt werden.
Ihr kauft Euch eine Software-Dienstleistung ein. Sofern diese Software personenbezogene Daten verarbeitet, dann ist das eine Auftragsverarbeitung, die einen AV-Vertrag mit dem Dienstleister erfordert.
Die Organisation der IT-Infrastruktur zum Betreiben der Software ist Sache des Dienstleisters. Die vertragliche Regelungen inkl. AVV mit AWS muss der Dienstleister regeln. AWS wird im AVV mit Euch zum Unterauftragnehmer
Je nach Sensibilität der zu verarbeitenden Daten lohnt es sich auch mal näher hinzusehen, wo Eure Daten konkret verarbeitet werden, ob der Dienstleister eigene Verschlüsselungsmethoden anwendet usw.
Amazon ist und bleibt ein US-amerikanisches Unternehmen und die Einsichtnahme durch US-Behörden ist grundsätzlich immer möglich.
Wozu das denn? Für den “Unterauftragnehmer” ist der Dienstleister der Verantwortliche.
So einfach kannst Du es Dir nicht machen. Der Verantwortliche muss, je nach Sensibilität der im Auftrag verarbeiteten Daten in unterschiedlicher Tiefe, die gesamte Verarbeitungskette kontrollieren. Die Methode - ich beauftrage Dienstleister A und dann nach mir die Sintflut funktioniert aber nicht.
Der EDSA hat sich in einer Stellungnahme vom Oktober 2024 recht ausführlich zu den Kontrollpflichten des Verantwortlichen geäußert.
Eine Zusammenfassung findet man z.B. auch hier: Kontrollpflichten bei Auftragsverarbeitern in der Verarbeitungskette
1 „Gefällt mir“
Das wollte ich damit auch nicht ausdrücken! Selbstverständlich sehe ich bei der Kette der Unterauftragnehmer genauer hin und stelle Fragen oder sogar Forderungen.
Ich versuche meinen Verantwortlichen immer in die Richtung zu lenken eine rein europäische Lösung bei Auftragnehmern anzustreben.
Aber insbesondere bei SaaS-Diensten ist das leider nicht immer so einfach. Zum Glück schauen Dienstleister inzwischen in eigenem Interesse selbst näher hin. Bei besonders “windigen” Dienstleistern rat ich auch schon mal ganz ab.
Aber bitte nur AV-Vereinbarung mit dem Dienstleister machen, wenn das auch wirklich eine Auftragsverarbeitung ist. Ich beobachte in letzter Zeit, dass oft reflexartig AVVs gemacht werden, obwohl es sich um eine Datenweitergabe an einen selbst Verantwortlichen handelt. Ganz kurios wird es, wenn man z. B. bei einer Lagerverwaltung (also ohne jegliche personenbezogene Daten) eine AV-Vereinbarung macht, weil man sich ja dort anmelden muss und somit Username und Passwort “verarbeitet” werden.
1 „Gefällt mir“