Zum Inhalt springen Zur Navigation springen
Dürfen Beschäftigtendaten in die AWS-Cloud?

Dürfen Beschäftigtendaten in die AWS-Cloud?

Digitale Zeiterfassung und Personalakte, Online-Bewerbungsverfahren – Arbeitgeber sind zunehmend interessiert, Cloudangebote auch für die Daten von Bewerbern und Beschäftigten zu nutzen. Selbst wenn Arbeitgeber darauf achten, dass Clouddienstleister ihren Firmensitz in der EU haben, können sie dennoch auf AWS in der Subdienstleister-Liste stoßen. Ob dies datenschutzrechtlich zulässig ist und was die Unterscheidung non-HR Data und HR-Data-Zertifizierung bedeutet, erläutert dieser Artikel.

Was ist die AWS-Cloud?

Clouddienstleister stellen zeitnah und mit wenig Aufwand geteilte Computerressourcen als Dienstleistung bereit, etwa in Form von Servern, Datenspeicher oder Applikationen, und rechnen diese nach Nutzung ab. Amazon Web Services (kurz AWS) ist einer der führenden Anbieter auf diesem Gebiet.

Die Konzernmutter Amazon Web Services, Inc. hat ihren Sitz in den USA und wurde bereits 2006 von dem bekannten Onlineversandhändler Amazon.com gegründet. Mittlerweile gibt es unter anderem die Tochtergesellschaft Amazon Web Services EMEA SARL, welche ihren Sitz in Irland hat, und es finden sich Server in Frankfurt sowie anderen Regionen innerhalb der EU/EWR.

Ist die Datenübermittlung in die USA zulässig?

Auch wenn in der Subdienstleisterliste die europäische Tochtergesellschaft genannt wird, kann ein Datentransfer in die USA aufgrund der US-Konzernmutter nie in Gänze ausgeschlossen werden. Genaueres hierzu kann nochmal in einem unserer älteren Artikel zur datenschutzkonformen Nutzung von AWS nachgelesen werden.

Durch den Drittlandstransfer müssen die Artikel 44 ff. DSGVO beachtet werden. Für die USA besteht derzeit noch ein Angemessenheitsbeschluss im Sinne von Artikel 45 DSGVO. Der läuft unter den Namen EU-U.S. Data Privacy Framework (kurz: DPF). US-amerikanische Unternehmen müssen sich aber explizit danach zertifizieren. Welches Unternehmen unter das DPF fällt, kann auf der offiziellen Webseite der Zertifizierungsstelle nachgelesen werden. In dieser Liste kann auch entnommen werden, was das DPF „Covered“: Non-HR Data und ggf. zusätzlich noch HR Data. „HR“ steht insoweit als Kürzel für „Human Resources“, also Beschäftigte.

Data Privacy Framework: Non-HR Data vs. HR Data

Die Unterscheidung non-HR Data und HR Data ist sprachlich leider verwirrend. In der Stellungnahme der DSK zur Übermittlung personenbezogener Daten aus Europa an die USA, Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023 (Stand: 04.09.2023), heißt es auf Seite 12:

„Beschäftigtendaten sind nur erfasst, wenn der Eintrag des Datenimporteurs in der EU‐US‐DPF‐Liste (https://www.dataprivacyframework.gov/s/participant‐search) in der Rubrik ‚Covered Data‘ den Eintrag ‚HR Data‘ enthält“.

Dies klingt auch erstmal bei reiner Übersetzung der beiden Begriffe plausibel. Allerdings erwähnt die DSK in der Fußnote 36, dass die US-Seite durchaus ein anderes Verständnis von diesem Begriffspaar hat und das zusätzliche HR Data Zertifikat nur „personenbezogene Daten der Beschäftigten der zertifizierten Organisation [erfasse].“ Die Zertifizierungsstelle selbst äußert sich auf Ihrer Webseite wie folgt hierzu:

„If your organization’s self-certification will cover human resources data (i.e., personal information about your organization’s own employees, past or present, collected in the context of the employment relationship), then your organization must agree to cooperate with and comply with the advice of the appropriate European data protection authorities with regard to such data (…)“

Die HR-Data-Zertifizierung beweise an dieser Stelle also, dass sich das US-Unternehmen auch im Bezug auf die eigenen Beschäftigtendaten zur Zusammenarbeit mit den Datenschutzbehörden der EU verpflichtet habe. Ob die DSK dieses amerikanische Verständnis für vertretbar hält oder nicht, geht nicht hervor. Zumindest der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg scheint dies nicht abzulehnen (Dr. Jens Jacobi, Einführung in den Drittstaatentransfer, S. 19, Stand 21.03.2024):

„(…) nach Verständnis der US-Seite sind damit nur die Daten der Beschäftigten des jeweiligen Datenimporteurs in den USA gemeint. Folge: Exporteure in der EU können einen Transfer personenbezogener Daten ihrer Beschäftigten (oder Beschäftigter Dritter) gestützt auf den EU-US DPF auch an solche Stellen in die USA vornehmen, die nicht über eine Zusatzzertifizierung für Beschäftigtendaten verfügen.“

Nachteile der DSK-Auslegung

Für die amerikanische Sichtweise spricht, dass die DSGVO bei der Datenübermittlung ins Drittland nicht danach unterscheidet, welche Betroffenengruppen tangiert sind. Die Voraussetzungen der Artikel 44 ff. DSGVO müssen unabhängig von Datenart und Betroffenengruppe erfüllt werden. Auch für Datenarten mit hohem Schutzbedarf im Sinne von Art. 9 Abs. 1 DSGVO werden keine strengeren Anforderungen an die Datenübermittlung gestellt. Insoweit gäbe es aus DSGVO-Sicht keinerlei Grund für ein solches Zusatz-Zertifikat.

Die Ansicht der DSK würde dazu führen, dass sensible Gesundheitsdaten bereits nach dem häufiger vorkommenden Non-HR übermittelt werden dürfen, aber unkritische Beschäftigtendaten immer die zusätzliche HR-Data-Zertifizierung benötigen.

Schließlich ist es befremdlich, dass die DSK vorschreibt, was die Zertifizierung bedeutet, obwohl sie selbst nicht die Zertifizierung vornimmt. Man sollte meinen, dass die Zertifizierungsstelle in den USA selbst besser weiß und versteht, wie die Unterscheidung in HR Data und non-HR Data zu verstehen ist.

Anwendung auf Beschäftigtendaten und AWS

Es sprechen also die besseren Argumente für das amerikanische Verständnis. Amazon Web Services, Inc. ist zwar nur für non-HR Data zertifiziert und weist nicht das zusätzliche Zertifikat für HR Data auf. Dennoch dürfen europäische Arbeitgeber ihre Beschäftigtendaten in die AWS-Cloud verarbeiten, ohne weitere Maßnahmen ergreifen zu müssen. Amazon Web Services, Inc. bräuchte die zusätzliche HR-Data-Zertifizierung nur, wenn es um die eigenen Beschäftigtendaten von Amazon Web Services, Inc. geht.

Was müssen Arbeitgeber tun, wenn der Angemessenheitsbeschluss oder das Zertifikat wegfallen?

Die Politik und vor allem Demokratie werden derzeit auf eine schwere Probe gestellt und wir Datenschützer wissen, dass der Angemessenheitsbeschluss für die USA mehr denn je auf wackeligen Beinen steht. Falls der Angemessenheitsbeschluss wie schon seine Vorgänger für ungültig erklärt wird oder AWS aus anderen Gründen die Zertifizierung verliert, dann müssen Arbeitgeber ein angemessenes Datenschutzniveau für die Beschäftigtendaten mit Hilfe anderer Garantien gemäß Artikel 46 ff. DSGVO gewährleisten. Es wird vor allem auf den Abschluss der sog. Standard Contractual Clauses hinauslaufen. Zu deren Abschluss war die Konzernmutter in der Vergangenheit bereits aufgeschlossen. Daneben muss aber auch ein Transfer Impact Assessment durchgeführt werden. Bei diesem werden unter anderem die Risiken für die Rechte und Freiheiten der betroffenen Beschäftigten erörtert und mit welchen zusätzlichen Maßnahmen der Arbeitgeber diese eindämmt.

Kein ausschließliches AWS-Thema

Die verschiedenen Auslegungen der beiden Zertifikate nach dem DPF betrifft nicht nur die Nutzung der AWS Cloud. Ob das DPF-Zertifikat für non-HR Data ausreicht, kann auch bei anderen Clouddiensten relevant sein, die zwar primär der Verarbeitung von Kundendaten dienen, aber durch Beschäftigte genutzt werden. Denn deren Nutzerdaten, wie IP-Adresse, Login-Daten, Logfiles etc., sind immer zeitgleich als Beschäftigtendaten zu betrachten. Also auch dann würde der US-Clouddienstanbieter das zusätzliche HR-Data-Zertifikat benötigen. Insoweit gäbe es kaum noch Anwendungsbereiche für das non-HR-Data-Zertifikat.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Vielen Dank für diesen Artikel zu einem wichtigen Thema. In meinem Datenschutz-Praxisleitfaden [Werbung gelöscht] hatte ich ebenfalls ausführlich darüber berichtet. Allerdings nenne ich dort zustätzliche relevante Stellen aus dem DPF-Abkommen: Gemäß Annex I.I.6 (Seite 69) müssen US-Dienstleister in der Selbstzertifizierung angeben, dass sie Beschäftigtendaten verarbeiten:
    „An organization that chooses to extend EU-U.S. DPF benefits to human resources personal information transferred from the EU for use in the context of an employment relationship must indicate this when it self-certifies to the Department and conform to the requirements set forth in the Supplemental Principle on Self-Certification“.
    UND
    Im Kapitel „6 – Self Certification“ im Buchstaben „c“ wird ebenfalls auf diesen Punkt eingegangen:
    „Where the organization wishes its EU-U.S. DPF benefits to cover human resources information transferred from the EU for use in the context of the employment relationship, it may do so […].“
    In beiden Stellen steht eindeutig „FROM THE EU“.
    Schon diese Zitate (und es gibt noch mehr) lassen meiner Meinung nach keinen Platz für die Auffassung, dass die US-merikanischen Unternehmen nun ihre eigenen Beschäfigtendaten schützen müssten.

    • Vielen Dank für den Hinweis, dass der Text zum Abkommen selbst auch noch herangezogen werden kann. Die von Ihnen zitierten Stellen konnten dem aktuellen Text der offiziellen Webseite der Zertifizierungsstelle nicht 1:1 entnommen werden, aber folgender Abschnitt zu „Human Resources Data“ ist sicherlich dennoch zur eigenen Meinungsbildung lesenswert: dataprivacyframework.gov/framework-article/9-Human-Resources-Data.

      Man könnte letztlich die Frage stellen, ob für Beschäftigtendaten ein angemessenes Schutzniveau entsprechend der DSGVO nur bei einem HR Data Zertifikat vorliegt. Wenn dem so sei, würde daraus folgen, dass das Datenschutzniveau unter dem non-HR Data Zertifikat geringer ausfiele … dann kommt man die ketzerische Frage stellen, ob dann überhaupt noch der Angemessenheitsbeschluss greifen kann.

      Die gesamte Diskussion verdeutlicht, dass die Unterteilung der Zertifikate alles andere als hilfreich ist und die Zertifizierung dringend novelliert werden müsste.

  • Die Diskussion ist doch müßig. Spätestens sobald Subdienstleister in weiteren Drittländern ins Spiel kommen, ist das gesamte Zertifikat für AWS bedeutungslos.
    Dass der Geltungsbereich durch den Zertifizierer festgelegt wird, mag sein. Aber die Auslegung ist schon sehr „tpyisch“ und bei einem Zertifikat, dessen Zweck darin besteht, Stellen in der EU eine einfache Zusammenarbeit zu ermöglichen, reichlich merkwürdig. Solche Stellen sind schließlich nicht dafür verantwortlich, wie gut der US-Anbieter die Daten seiner eigenen Mitarbeiter schützt (die ja wohl ohnehin mehr Schutz genießen, als Ausländer). Die Unterscheidung hätte praktisch keinen Sinn.
    Wenn die Vorstellungen von EU und USA in diesem Hinblick tatsächlich auseinanderfallen, stellt das doch die gesamte Anerkennung des DPF in Frage.

    • In der Tat wiederholen sich die Diskussionen zum Thema Datentransfer in die USA immer wieder und wenn der Angemessenheitsbeschluss wieder entfällt, ist die Unterscheidung von non-HR Data und HR Data Zertifikat hinfällig. Ob der Angemessenheitsbeschluss für die USA als Solches berechtigt ist oder nicht, war nicht Gegenstand des Blogs. Der Blogbeitrag wollte vielmehr auf eine datenschutzrechtliche Diskussion aufmerksam machen, welche nicht allen bekannt ist.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.